Se vuoi leggere la seconda parte di questa serie di articoli vai a Chiavi di registro per modificare Windows Update (Parte 2).
Anche se Windows Update e WSUS sono entrambi generalmente piuttosto semplici da configurare, a volte puoi ottenere un livello più alto di controllo su di loro facendo alcune piccole modifiche al registro di Windows. In questo articolo, vi mostrerò alcune chiavi di registro che sono associate a Windows Update. Mentre lo faccio, vi mostrerò le varie impostazioni che è possibile assegnare a queste chiavi di registro.
Prima di iniziare
Prima di iniziare, devo far felici gli avvocati dicendovi che modificare il registro di Windows può essere pericoloso. Modificare erroneamente il registro può distruggere Windows e/o le vostre applicazioni. Perciò vi consiglio vivamente di eseguire un backup completo del sistema prima di tentare una qualsiasi delle tecniche che sto per mostrarvi.
Ora che ho tirato fuori il disclaimer standard, c’è ancora una cosa che devo dirvi prima di iniziare. Le regolazioni del registro di sistema che sto per mostrarvi sono destinate a macchine che eseguono Windows XP. È possibile applicare le regolazioni alle singole macchine direttamente, o è possibile applicare le modifiche come parte di uno script di login. Inoltre, alcune delle chiavi di cui parlerò potrebbero non esistere di default. Se volete usare una chiave che non esiste, dovrete crearla. Dovreste anche tenere a mente che il comportamento di Windows Update può essere controllato da un criterio di gruppo, e che se un criterio di gruppo è in vigore, può causare la sovrascrittura di porzioni del registro dopo che avete fatto delle modifiche.
Elevazione dei privilegi
Uno dei problemi con la ricezione di aggiornamenti da un server WSUS è che gli utenti non sono autorizzati ad approvare o disapprovare gli aggiornamenti a meno che non siano membri del gruppo amministratori locali. Tuttavia, è possibile utilizzare il registro per dare agli utenti un’elevazione dei privilegi che permetterà loro di approvare o disapprovare gli aggiornamenti indipendentemente dal fatto che siano o meno un amministratore locale. D’altra parte, si potrebbe anche negare agli utenti finali la capacità di approvare gli aggiornamenti, riservando tale diritto agli amministratori.
La chiave di registro che controlla questo comportamento è: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins
La chiave ElevateNonAdmins ha due possibili valori. Il valore predefinito di 1 permette ai non amministratori di approvare o negare gli aggiornamenti. Se cambi questo valore a 0, allora solo gli amministratori saranno autorizzati ad approvare o negare gli aggiornamenti.
Gruppi di destinazione
Una delle cose belle di WSUS è che ti permette di usare il targeting lato client. L’idea dietro il targeting lato client è che puoi impostare diversi gruppi di computer, e puoi distribuire gli aggiornamenti su una base di gruppo. Il client side targeting non è usato di default, ma se decidete di usarlo, allora ci sono due diverse chiavi di registro che dovrete creare. Una di queste chiavi abilita il targeting lato client, mentre l’altra specifica il nome del gruppo di destinazione a cui il computer appartiene. Entrambe queste chiavi di registro devono essere create in: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
La prima chiave è una chiave DWORD chiamata TargetGroupEnabled. Puoi assegnare a questa chiave un valore di 0, che disabilita il targeting lato client, o di 1, che abilita il targeting lato client.
L’altra chiave che dovrai creare è un valore stringa chiamato TargetGroup. Il valore da assegnare a questa chiave è il nome del gruppo di destinazione a cui il computer dovrebbe essere assegnato.
Assegnare un server WSUS
Se sei stato coinvolto nel networking per un po’, allora probabilmente sai che i progetti di rete tendono a cambiare nel tempo. Cose come la crescita dell’azienda, nuovi requisiti di sicurezza e ristrutturazioni aziendali spesso costringono la rete sottostante a cambiare. Quindi cosa ha a che fare questo con Windows Update? Bene, WSUS è scalabile e può essere distribuito in modo gerarchico. Questo significa che un’organizzazione può avere una moltitudine di server WSUS distribuiti. Se un PC viene spostato in una parte diversa dell’azienda, allora il server WSUS che è stato inizialmente configurato per utilizzare potrebbe non essere più appropriato per la sua nuova posizione. Fortunatamente, un paio di semplici modifiche al registro possono essere utilizzate per cambiare il server WSUS da cui il PC riceve gli aggiornamenti.
Ci sono effettivamente due chiavi di registro che vengono utilizzate quando si specifica un server WSUS. Entrambe queste chiavi si trovano a: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\. La prima chiave si chiama WUServer. Questa chiave di registro contiene un valore stringa che dovrebbe essere inserito come URL del server WSUS (esempio: http://servername).
L’altra chiave che dovrete cambiare è un valore stringa chiamato WUStatusServer. L’idea dietro questa chiave è che il PC deve segnalare il suo stato a un server WSUS in modo che il server WSUS sappia quali aggiornamenti sono stati applicati al PC. La chiave WUStatusServer normalmente ha lo stesso identico valore della chiave WUServer (esempio: http://servername).
L’agente di aggiornamento automatico
Finora ho parlato di come collegare il PC a uno specifico server WSUS o a uno specifico gruppo target, ma questa è solo metà del processo. Windows Update utilizza un agente di aggiornamento che installa effettivamente gli aggiornamenti. Ci sono un certo numero di chiavi di registro situate in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU che controllano l’agente di aggiornamento automatico.
La prima di queste chiavi è la chiave AUOptions. A questo valore DWORD può essere assegnato un valore di 2, 3, 4 o 5. Un valore di 2 indica che l’agente dovrebbe avvisare l’utente prima di scaricare gli aggiornamenti. Un valore di 3 indica che gli aggiornamenti saranno scaricati automaticamente e l’utente sarà avvisato dell’installazione. Un valore di 4 indica che gli aggiornamenti devono essere scaricati e installati automaticamente secondo una pianificazione. Perché questa opzione funzioni, devono essere impostate anche le chiavi ScheduledInstallDay e ScheduledInstallTime. Parlerò più avanti di queste chiavi. Infine, un valore di 5 indica che gli aggiornamenti automatici sono richiesti, ma possono essere configurati dagli utenti finali.
La prossima chiave di cui voglio parlare è la chiave AutoInstallMinorUpdates. Questa chiave può essere impostata ad un valore di 0 o 1. Se la chiave è impostata a 0, allora gli aggiornamenti minori sono trattati come qualsiasi altro aggiornamento. Se il valore della chiave è impostato a 1, allora gli aggiornamenti minori sono installati silenziosamente in background.
Un’altra chiave relativa all’agente di aggiornamento automatico è la chiave DetectionFrequency. Questa chiave permette di specificare quanto spesso l’agente cerca gli aggiornamenti. Il valore della chiave deve essere un numero intero tra 1 e 22, e indica il numero di ore tra ogni tentativo di rilevamento.
Una chiave di registro correlata è la chiave DetectionFrequencyEnabled. Come il nome implica, questa chiave abilita o disabilita la funzione Detection Frequency. Impostando questa chiave su un valore di 0, la chiave DetectionFrequency viene ignorata, mentre impostandola su un valore di 1, l’agente utilizza il valore DetectionFrequency.
La prossima chiave di cui voglio parlare è la chiave NoAutoUpdate. Se questa chiave è impostata su un valore di 0, allora gli aggiornamenti automatici sono abilitati. Se il valore della chiave è impostato su 1, allora gli aggiornamenti automatici sono disabilitati.
L’ultima chiave di registro di cui voglio parlare è la chiave NoAutoRebootWithLoggedOnUsers. Come probabilmente sapete, alcuni aggiornamenti semplicemente non possono essere applicati senza riavviare il sistema. Se un utente è connesso, un riavvio obbligatorio del sistema può essere molto dannoso. Questo è particolarmente vero se l’utente si è allontanato dalla sua scrivania senza salvare il suo lavoro. È qui che entra in gioco la chiave NoAutoRebootWithLoggedOnUsers. Alla chiave può essere assegnato un valore di 0 o 1. Se il valore è impostato a 0, allora gli utenti riceveranno un avviso di cinque minuti e poi il sistema si riavvierà automaticamente. Se il valore è impostato a 1, allora gli utenti riceveranno semplicemente un messaggio che chiede loro di riavviare il sistema, ma possono riavviare a loro piacimento.
Conclusione
Ci sono molte altre chiavi di registro relative all’aggiornamento di Windows. Discuterò il resto di esse nella parte 2 di questa serie di articoli.
Se volete leggere la seconda parte di questa serie di articoli andate su Chiavi di registro per ottimizzare Windows Update (Parte 2).