C'est la question numéro un que nous recevons des administrateurs informatiques évaluant Deep Freeze. Et honnêtement, c'est la bonne question à poser.
"Si Deep Freeze efface toutes les modifications au redémarrage, comment diable puis-je maintenir Windows à jour ? Comment puis-je installer de nouveaux logiciels ? Comment puis-je appliquer les correctifs de sécurité ?"
Préoccupation légitime. Si Deep Freeze effaçait vraiment tout de manière permanente, ce serait un cauchemar de sécurité : vous seriez bloqué à exécuter des systèmes obsolètes et vulnérables pour toujours. Évidemment, ce n'est pas comme ça que ça marche.
La réponse courte : Deep Freeze dispose de fenêtres de maintenance intégrées qui dégèlent temporairement vos systèmes, appliquent les mises à jour et regèlent automatiquement. Vous pouvez le planifier, l'automatiser et l'oublier en grande partie.
Mais la réponse courte ne raconte jamais toute l'histoire. Examinons exactement comment cela fonctionne, quelles sont vos options et les erreurs que nous avons vues commettre par les administrateurs au fil des ans.
Pourquoi les mises à jour ne persistent pas par défaut (et pourquoi c'est le but)
Commençons par comprendre ce qui se passe réellement sous le capot.
Lorsque Deep Freeze est actif - ce que nous appelons l'état "Gelé" - il redirige toutes les opérations d'écriture vers une table d'allocation temporaire au lieu du disque dur réel. Les données système d'origine restent intactes. Lorsque vous redémarrez, Deep Freeze écarte cette table d'allocation et la ligne de base d'origine réapparaît.
C'est précisément ce qui rend Deep Freeze si efficace. Les logiciels malveillants ne peuvent pas persister. Les erreurs des utilisateurs sont effacées. La dérive de configuration est impossible. Chaque redémarrage revient à votre état connu et fonctionnel.
Mais cela signifie aussi que si vous installez des mises à jour Windows pendant que le système est gelé, ces mises à jour n'existent que dans la table d'allocation temporaire. Redémarrez, et elles ont disparu - le système revient à son état précédent (non patché).
Ce n'est pas un bug. C'est la fonctionnalité principale. La question est : comment autoriser sélectivement certaines modifications (comme les mises à jour) à devenir permanentes tout en vous protégeant contre tout le reste ?
C'est là qu'intervient le mode de maintenance.
Comment fonctionne le mode de maintenance : Dégeler, Mettre à jour, Regeler
Le concept fondamental est simple : pour apporter des modifications permanentes à un système gelé, vous le "dégeler" temporairement. Pendant qu'il est dégivré, le système se comporte comme n'importe quelle machine Windows normale : les modifications s'écrivent directement sur le disque et persistent après les redémarrages. Lorsque vous avez terminé, vous le regeler, et ce nouvel état devient la ligne de base.
Vous pouvez le faire manuellement : connectez-vous, entrez votre mot de passe administrateur, dégelez la machine, exécutez vos mises à jour, puis regeler. Nous l'avons tous fait en cas de besoin. Mais le dégivrage manuel ne permet pas de passer à l'échelle. Si vous gérez 50, 200 ou 2 000 machines, vous avez besoin d'automatisation.
Deep Freeze offre plusieurs façons d'automatiser cela :
Périodes de dégivrage planifiées. Vous définissez une fenêtre - disons, chaque mercredi à 2h du matin - pendant laquelle la machine redémarre automatiquement dans un état dégivré. Pendant cette fenêtre, vos mises à jour s'exécutent. Lorsque la fenêtre se ferme, la machine redémarre et se regeler avec la nouvelle ligne de base.
Tâches de mise à jour Windows. Deep Freeze Cloud et Enterprise disposent d'un type de tâche dédié pour les mises à jour Windows. C'est plus intelligent qu'une simple fenêtre de dégivrage : il peut télécharger les mises à jour tout en étant encore gelé (en les mettant en cache localement), puis dégeler juste assez longtemps pour les installer. Une fois l'installation terminée, il regeler automatiquement. Aucune heure de fin fixe requise.
Tâches de fichiers batch. Pour les mises à jour de logiciels tiers ou les scripts personnalisés, vous pouvez planifier l'exécution de fichiers batch pendant les périodes de dégivrage. Deep Freeze dégèle la machine, exécute votre script, puis regeler une fois terminé.
Dégivrage à la demande. Depuis la console ou l'application mobile, vous pouvez déclencher manuellement un dégivrage sur des machines ou des groupes spécifiques. Utile pour les correctifs d'urgence ou les installations de logiciels ponctuelles.
L'idée clé est la suivante : Deep Freeze ne lutte pas contre les mises à jour : il vous donne un contrôle précis sur quand et comment elles se produisent.
Meilleures pratiques pour les mises à jour Windows avec Deep Freeze
Après des années de support pour les organisations utilisant Deep Freeze à grande échelle, nous avons appris ce qui fonctionne et ce qui cause des maux de tête. Voici notre approche recommandée :
Planifiez la maintenance pendant les heures creuses. Cela semble évident, mais il convient de le souligner : exécutez vos fenêtres de mise à jour lorsque les utilisateurs ne sont pas sur les machines. Pour les écoles, c'est le soir ou le week-end. Pour les bibliothèques, la nuit. Pour les environnements 24h/24 et 7j/7, trouvez votre fenêtre d'utilisation la plus faible. La dernière chose que vous voulez est qu'une machine redémarre en pleine session.
Utilisez "Lorsque la mise à jour Windows est terminée" plutôt que des heures de fin fixes. Les premières versions de Deep Freeze nécessitaient de définir une fenêtre de maintenance fixe - disons, de 2h à 4h du matin. Le problème ? Parfois, les mises à jour se terminent en 20 minutes. Parfois, elles prennent trois heures. Si la fenêtre se ferme avant que les mises à jour ne soient terminées, vous risquez des boucles de démarrage ou des installations incomplètes. Les versions modernes vous permettent de sélectionner "Lorsque la mise à jour Windows est terminée" ; la machine reste dégivrée jusqu'à ce que tout soit correctement installé, puis se regeler automatiquement. Utilisez cette option.
Laissez Deep Freeze télécharger les mises à jour pendant qu'il est gelé. Deep Freeze peut mettre en cache les mises à jour Windows même lorsque le système est gelé. L'installation réelle nécessite un dégivrage, mais le téléchargement non. Cela signifie que votre fenêtre de dégivrage est consacrée à l'installation, pas à l'attente de téléchargements de plusieurs gigaoctets. C'est considérablement plus rapide.
Utilisez Wake-on-LAN pour les machines éteintes. La gestion de l'alimentation de Deep Freeze peut réveiller les machines pour la maintenance planifiée, même si elles sont éteintes. Configurez cela pour que vos mises à jour nocturnes se déroulent réellement, au lieu d'échouer parce que quelqu'un a éteint le PC.
Envisagez d'utiliser WSUS pour plus de contrôle. Si vous utilisez un serveur WSUS, Deep Freeze s'intègre avec lui. L'avantage ? Vous contrôlez exactement quelles mises à jour sont poussées. La tâche de mise à jour Windows native de Deep Freeze applique les mises à jour critiques et de sécurité par défaut, mais WSUS vous permet d'approuver des correctifs spécifiques, de reporter les mises à jour de fonctionnalités ou de tester avant de déployer largement.
Échelonnez vos fenêtres de maintenance. Ne planifiez pas les 200 machines pour qu'elles se mettent à jour exactement à 2h du matin. Échelonnez-les : Groupe A à 2h, Groupe B à 2h30, et ainsi de suite. Cela réduit la charge sur votre réseau et vos serveurs de mise à jour, et signifie que si quelque chose tourne mal, vous le détectez avant que tout le parc ne soit affecté.
Planifiez les redémarrages même sans mises à jour. Même s'il n'y a pas de mises à jour en attente, les redémarrages périodiques restaurent votre ligne de base gelée et effacent toutes les données de session accumulées. De nombreuses organisations planifient des redémarrages quotidiens ou hebdomadaires en pratique standard.
Mise à jour des logiciels tiers sans tout casser
Windows Update gère le système d'exploitation. Mais qu'en est-il de Chrome, Firefox, Adobe Reader, Java, Zoom et des dizaines d'autres applications sur vos machines ?
Même principe : les mises à jour doivent se faire pendant le dégivrage. Mais les mises à jour tierces nécessitent un peu plus de réflexion car Deep Freeze ne les gère pas directement.
Option 1: Utilisez vos outils de déploiement existants. Si vous utilisez déjà SCCM, Intune, PDQ Deploy ou similaire, continuez à les utiliser. Planifiez vos déploiements pour coïncider avec les périodes de dégivrage de Deep Freeze. Déployez des logiciels pendant le dégivrage, puis laissez Deep Freeze regeler avec les nouvelles applications dans la ligne de base.
Option 2: Utilisez les tâches de fichiers batch de Deep Freeze. Vous pouvez planifier l'exécution de fichiers batch ou de scripts PowerShell pendant les périodes de dégivrage. Écrivez un script qui met à jour silencieusement vos applications clés, planifiez-le comme une tâche de fichier batch, et Deep Freeze gère automatiquement le cycle de dégivrage-exécution-regelage.
Option 3: Utilisez le mise à jour de logiciels de Deep Freeze Cloud. Si vous utilisez certains packs Deep Freeze Cloud, la fonctionnalité de mise à jour de logiciels peut gérer automatiquement les applications tierces courantes. Elle vérifie les mises à jour et les applique pendant les fenêtres de maintenance.
Astuce critique : désactivez les mises à jour automatiques dans les applications. De nombreuses applications tentent de se mettre à jour automatiquement. Sur une machine gelée, ces mises à jour se téléchargent, s'installent partiellement, puis disparaissent au redémarrage, gaspillant de la bande passante et causant potentiellement des comportements étranges. Désactivez les fonctionnalités de mise à jour automatique dans les applications elles-mêmes, et gérez les mises à jour centralement pendant les périodes de dégivrage à la place.
Les définitions antivirus sont un cas particulier. Votre logiciel antivirus met probablement à jour ses définitions plusieurs fois par jour. Certains produits antivirus peuvent stocker les définitions sur une partition dégivrée (plus à ce sujet ci-dessous), permettant aux mises à jour de persister sans dégivrer tout le système. Alternativement, planifiez les mises à jour de définitions pendant vos périodes de dégivrage. Coordonnez-vous avec la documentation de votre fournisseur antivirus pour de meilleurs résultats.
Erreurs courantes qui causent des maux de tête
Nous soutenons les déploiements Deep Freeze depuis près de 30 ans. Ce sont les erreurs liées aux mises à jour que nous rencontrons le plus souvent :
Mettre à jour pendant que le système est gelé et se demander pourquoi cela n'a pas fonctionné. Cela arrive plus souvent que vous ne le pensez, surtout avec les nouveaux administrateurs. Ils installent les mises à jour, redémarrent, et les mises à jour ont disparu. Puis ils réinstallent, redémarrent à nouveau, même résultat. Vérifiez l'état de votre gel avant d'exécuter les mises à jour. L'icône de l'ours polaire dans la barre d'état système vous l'indique : animée signifie gelé, statique signifie dégivré.
Oublier de regeler après un dégivrage manuel. Vous dégeler une machine pour installer quelque chose, vous êtes distrait, et vous la laissez dégivrée pendant des jours. Cette machine n'est plus protégée : elle accumule des modifications, peut contracter des logiciels malveillants, dérive de votre ligne de base. Toujours regeler immédiatement une fois terminé. Si vous avez tendance à oublier, utilisez des périodes de dégivrage planifiées avec regelage automatique au lieu d'un dégivrage manuel.
Définir des fenêtres de maintenance fixes trop courtes. Une fenêtre de deux heures peut suffire pour le Patch Tuesday mensuel. Mais si une machine est éteinte depuis des semaines et a des dizaines de mises à jour en attente, deux heures ne suffiront pas. Utilisez l'option "Lorsque la mise à jour Windows est terminée" pour éviter ce problème.
Ne pas tester les mises à jour avant le déploiement de masse. Ce n'est pas spécifique à Deep Freeze, mais c'est important ici aussi. Testez d'abord les mises à jour sur un groupe pilote. Si quelque chose casse, vous voulez le savoir avant que cela n'affecte tout votre parc.
Ignorer les mises à jour de fonctionnalités de Windows. À partir de Windows 10, Microsoft publie des mises à jour de fonctionnalités majeures une ou deux fois par an. Elles sont volumineuses, prennent du temps et modifient parfois considérablement les choses. Deep Freeze les gère, mais vous devriez prévoir des fenêtres de maintenance plus longues et envisager de les reporter jusqu'à ce que vous ayez testé en profondeur.
Utiliser des outils de mise à jour tiers sans coordination. Deep Freeze supprime le service Windows Update lorsqu'il est gelé pour éviter les conflits. Si vous utilisez un outil de mise à jour tiers qui dépend de Windows Update, il peut ne pas fonctionner correctement à moins qu'il ne s'exécute pendant les périodes de dégivrage. Coordonnez vos outils avec votre calendrier de maintenance Deep Freeze.
Une note sur les ThawSpaces et les partitions dégivrées
Vous vous demandez peut-être : y a-t-il un moyen de conserver certaines données persistantes sans dégivrer tout le système ?
Oui. Deep Freeze propose des ThawSpaces et des partitions dégivrées à cet effet.
Les ThawSpaces sont des partitions virtuelles qui restent inscriptibles même lorsque le système est gelé. Les données enregistrées dans un ThawSpace persistent après les redémarrages. Elles sont utiles pour des éléments tels que les documents utilisateur, les définitions antivirus ou les données d'application qui doivent survivre aux redémarrages.
Les partitions dégivrées sont des disques entiers que Deep Freeze ignore. Si votre machine a un lecteur D: défini comme dégivré, tout ce qui y est enregistré persiste quel que soit l'état de gel.
Cependant - et c'est important - vous ne pouvez pas utiliser les ThawSpaces ou les partitions dégivrées pour rendre les mises à jour Windows persistantes. Les fichiers système Windows résident sur la partition système gelée. Les mises à jour doivent modifier ces fichiers, ce qui nécessite de dégivrer la partition système elle-même.
Les ThawSpaces sont pour les données utilisateur et les données d'application spécifiques. Les mises à jour système nécessitent des périodes de dégivrage appropriées.
Questions fréquemment posées
Les mises à jour Windows peuvent-elles s'installer complètement automatiquement ?
Oui. Configurez une tâche de mise à jour Windows dans Faronics Cloud Deep Freeze, définissez-la pour qu'elle s'exécute pendant les heures creuses, et sélectionnez "Lorsque la mise à jour Windows est terminée". Deep Freeze téléchargera les mises à jour pendant qu'il est gelé, dégèlera automatiquement à l'heure prévue, installera les mises à jour, gérera les redémarrages nécessaires et regeler une fois terminé. Aucune intervention manuelle requise.
À quelle fréquence dois-je planifier des fenêtres de maintenance ?
Cela dépend de votre environnement. La plupart des organisations planifient des tâches de mise à jour Windows hebdomadaires, souvent coïncidant avec le Patch Tuesday (le deuxième mardi de chaque mois) plus une ou deux exécutions supplémentaires pour rattraper tout ce qui nécessite plusieurs redémarrages. Pour les environnements à forte utilisation ou sensibles à la sécurité, envisagez d'exécuter la maintenance deux fois par semaine. Pour les environnements à faible risque, toutes les deux semaines peuvent suffire.
Les utilisateurs peuvent-ils mettre à jour les logiciels eux-mêmes ?
Par défaut, non, et c'est intentionnel. Tout logiciel que les utilisateurs installent pendant qu'il est gelé disparaîtra au redémarrage. Si vous voulez que les utilisateurs puissent installer des logiciels persistants, vous devriez leur donner un accès au dégivrage, ce qui va à l'encontre de l'objectif de protection. Meilleure pratique : laissez les utilisateurs demander des logiciels via vos canaux informatiques normaux, et déployez-les centralement pendant les fenêtres de maintenance.
Que se passe-t-il si une machine manque sa fenêtre de maintenance ?
Si une machine est éteinte pendant sa maintenance planifiée, les mises à jour ne s'exécuteront pas. Options : activez Wake-on-LAN pour que Deep Freeze puisse réveiller la machine, ou planifiez une fenêtre de "rattrapage" pendant les heures de jour comme solution de secours. Faronics Cloud Deep Freeze affiche l'état des tâches de maintenance dans la console, vous pouvez donc identifier les machines qui ont manqué leur fenêtre.
Comment gérer les machines qui nécessitent des calendriers de mise à jour différents ?
Créez plusieurs stratégies. Deep Freeze vous permet de définir différentes configurations pour différents groupes de machines. Vos laboratoires informatiques peuvent se mettre à jour chaque semaine le mercredi, tandis que les PC publics des bibliothèques se mettent à jour quotidiennement la nuit. Configurez des groupes dans votre console et attribuez les stratégies appropriées à chacun.
Qu'en est-il de WSUS ? Deep Freeze fonctionne-t-il avec ?
Oui. Vous pouvez configurer Deep Freeze pour qu'il récupère les mises à jour de votre serveur WSUS plutôt que directement de Microsoft. L'avantage est le contrôle : WSUS vous permet d'approuver des mises à jour spécifiques, de tester avant de déployer et de gérer quelles mises à jour atteignent quelles machines. Deep Freeze installera toutes les mises à jour approuvées par WSUS pendant la fenêtre de maintenance.
Puis-je mettre à jour Deep Freeze lui-même pendant que le système est gelé ?
Non. Les mises à jour de Deep Freeze nécessitent que le système soit dégivré. Vous pouvez pousser les mises à jour de Deep Freeze depuis la console pendant les fenêtres de maintenance, ou les planifier dans le cadre de votre cycle de maintenance régulier.
En résumé : les mises à jour et Deep Freeze fonctionnent ensemble
La préoccupation selon laquelle Deep Freeze empêche les mises à jour est l'une des objections les plus courantes que nous entendons : et l'une des plus faciles à résoudre.
Oui, Deep Freeze efface les modifications par défaut. C'est tout l'intérêt. Mais il vous offre également des fenêtres contrôlées pour apporter des modifications permanentes lorsque vous en avez besoin. Les mises à jour se téléchargent pendant qu'il est gelé. Les machines dégèlent automatiquement aux heures prévues. Les mises à jour s'installent. Les machines regèlent avec la ligne de base mise à jour.
Le résultat ? Vous bénéficiez des avantages de sécurité et de cohérence du redémarrage pour restauration, tout en maintenant des systèmes entièrement patchés et à jour. Vous n'avez pas à choisir.
Configurez correctement vos fenêtres de maintenance, utilisez les fonctionnalités d'automatisation que nous avons intégrées, et les mises à jour deviennent un non-problème. Nous avons des organisations qui gèrent des milliers de machines gelées avec une mise à jour entièrement automatisée. Ça marche.
Si vous n'êtes toujours pas sûr de la façon dont cela fonctionnerait dans votre environnement, essayez une version d'essai et testez-la. Configurez une fenêtre de maintenance, exécutez quelques mises à jour, voyez comment le processus fonctionne en pratique. Cela vaut plus que n'importe quelle documentation.
Prêt à le voir en action ?
Essayez Faronics Cloud Deep Freeze gratuitement pendant 30 jours. Configurez une fenêtre de maintenance, exécutez quelques mises à jour et constatez à quel point c'est transparent.
