这是 IT 管理员在评估 Deep Freeze 时最常问的问题。老实说,问这个问题非常正确。
“如果 Deep Freeze 在重启时会清除所有更改,那我该如何保持 Windows 更新?如何安装新软件?如何应用安全补丁?”
这是个合理的担忧。如果 Deep Freeze 真的永久清除所有内容,那将是一场安全噩梦:你将永远运行过时且易受攻击的系统。显然,它并非如此运作。
简而言之:Deep Freeze 内置了维护窗口,可以临时解冻你的系统,应用更新,然后自动重新冻结。你可以安排它、自动化它,并且在很大程度上可以不用管它。
但简短的回答永远无法讲清全部故事。让我们详细了解一下这到底是如何工作的,你的选择有哪些,以及多年来我们看到的管理员常犯的错误。
为什么默认情况下更新不会保留(以及这就是重点所在)
首先,让我们了解一下实际在后台发生的事情。
当 Deep Freeze 处于活动状态——我们称之为“冻结”状态——它会将所有写入操作重定向到一个临时分配表,而不是实际的硬盘驱动器。原始系统数据保持不变。当你重启时,Deep Freeze 会丢弃该分配表,原始基线会重新出现。
这正是 Deep Freeze 如此有效的原因。恶意软件无法持久存在。用户错误会被清除。配置漂移是不可能的。每次重启都会恢复到你已知的良好状态。
但这也意味着,如果你在冻结状态下安装 Windows 更新,这些更新仅存在于临时分配表中。重启后,它们就会消失——系统会恢复到之前的(未打补丁的)状态。
这不是一个 bug。这是核心功能。问题是:如何选择性地允许某些更改(如更新)永久生效,同时仍然防止其他所有风险?
这就是维护模式的作用。
维护模式的工作原理:解冻、更新、重新冻结
基本概念很简单:要对冻结的系统进行永久性更改,你需要暂时“解冻”它。在解冻状态下,系统表现得像任何正常的 Windows 计算机一样:更改会直接写入驱动器并在重启后保留。完成后,你将其重新冻结,新的状态将成为基线。
你可以手动执行此操作:登录,输入管理员密码,解冻计算机,运行更新,然后重新冻结。我们都曾在紧急情况下这样做过。但手动解冻无法规模化。如果你管理 50、200 或 2,000 台计算机,你需要自动化。
Deep Freeze 提供了几种自动化方法:
计划解冻时段。你定义一个窗口——例如,每周三凌晨 2 点——届时计算机会自动重启到解冻状态。在此窗口期间,你的更新会运行。窗口关闭时,计算机将重启并以新的基线重新冻结。
Windows 更新任务。Deep Freeze Cloud 和 Enterprise 有专门的 Windows 更新任务类型。它比简单的解冻窗口更智能:它可以在系统仍冻结时下载更新(在本地缓存),然后仅解冻足够长的时间来安装它们。安装完成后,它会自动重新冻结。无需固定结束时间。
批处理文件任务。对于第三方软件更新或自定义脚本,你可以在解冻时段安排批处理文件运行。Deep Freeze 会解冻计算机,执行你的脚本,然后完成后重新冻结。
按需解冻。从控制台或移动应用程序,你可以手动触发对特定计算机或组的解冻。适用于紧急补丁或一次性软件安装。
关键在于:Deep Freeze 不会阻止更新:它让你能够精确控制更新何时以及如何发生。
使用 Deep Freeze 进行 Windows 更新的最佳实践
在为大规模运行 Deep Freeze 的组织提供支持多年后,我们了解了什么有效,什么会带来麻烦。这是我们推荐的方法:
在非工作时间安排维护。这似乎很明显,但值得一提:在用户不使用计算机时运行更新窗口。对于学校来说,那是晚上或周末。对于图书馆来说,是深夜。对于 24/7 环境,找到使用量最低的时段。你最不希望看到的是计算机在会话期间重启。
使用“Windows 更新完成后”而不是固定结束时间。早期版本的 Deep Freeze 要求你设置一个固定的维护窗口——例如,凌晨 2 点到 4 点。问题是?有时更新在 20 分钟内完成。有时需要三个小时。如果窗口在更新完成之前关闭,你可能会遇到启动循环或安装不完整的问题。现代版本允许你选择“Windows 更新完成后”;计算机将保持解冻状态,直到所有内容都正确安装,然后自动重新冻结。请使用此选项。
让 Deep Freeze 在冻结时下载更新。即使系统冻结,Deep Freeze 也可以缓存 Windows 更新。实际安装需要解冻,但下载不需要。这意味着你的解冻时间将用于安装,而不是等待多 GB 的下载。这会大大加快速度。
对断电的计算机使用网络唤醒。Deep Freeze 的电源管理功能可以在计划维护时唤醒计算机,即使它们已关机。配置此项,以便你的夜间更新能够真正发生,而不是因为有人关掉了电脑而失败。
考虑使用 WSUS 以获得更多控制。如果你运行 WSUS 服务器,Deep Freeze 可以与之集成。优点是?你可以精确控制要推送哪些更新。Deep Freeze 默认应用关键和安全更新,但 WSUS 允许你批准特定补丁、测试后再广泛部署。
错开你的维护窗口。不要将所有 200 台计算机安排在凌晨 2 点同时更新。错开它们:A 组在凌晨 2 点,B 组在凌晨 2:30,依此类推。这可以减少网络和更新服务器的负载,并且意味着如果出现问题,你可以在整个环境受到影响之前发现它。
即使没有更新也安排重启。即使没有待处理的更新,定期重启也可以恢复你的冻结基线并清除任何累积的会话数据。许多组织将每日或每周重启作为标准做法。
在不破坏系统的情况下更新第三方软件
Windows Update 处理操作系统。但 Chrome、Firefox、Adobe Reader、Java、Zoom 以及你计算机上的数十种其他应用程序呢?
原则相同:更新必须在解冻时进行。但第三方更新需要多加考虑,因为 Deep Freeze 不直接管理它们。
选项 1: 使用你现有的部署工具。如果你已经在使用 SCCM、Intune、PDQ Deploy 或类似工具,请继续使用它们。将你的部署安排在 Deep Freeze 的解冻时段。在解冻时部署软件,然后让 Deep Freeze 以新的应用程序作为基线重新冻结。
选项 2: 使用 Deep Freeze 的批处理文件任务。你可以在解冻时段安排批处理文件或 PowerShell 脚本运行。编写一个脚本,可以静默更新你的关键应用程序,将其作为批处理文件任务安排,Deep Freeze 会自动处理解冻-执行-重新冻结的循环。
选项 3: 使用 Deep Freeze Cloud 的软件更新程序。如果你使用的是某些 Deep Freeze Cloud 套餐,软件更新程序功能可以自动处理常见的第三方应用程序。它会检查更新并在维护窗口期间应用它们。
关键提示: 在应用程序内禁用自动更新。许多应用程序会尝试自动更新自身。在冻结的计算机上,这些更新会下载、部分安装,然后在重启时消失,浪费带宽并可能导致奇怪的行为。请在应用程序本身内禁用自动更新功能,并在解冻时段集中管理更新。
防病毒定义是一个特殊情况。你的 AV 软件可能每天更新多次定义。某些 AV 产品可以将定义存储在解冻分区上(稍后会详细介绍),从而无需解冻整个系统即可持久更新。或者,在解冻时段安排定义更新。请参考你的 AV 供应商的文档以获得最佳效果。
导致麻烦的常见错误
近 30 年来,我们一直在支持 Deep Freeze 的部署。这些是我们在更新方面最常看到的错误:
在冻结状态下更新,却不知道为什么没用。这比你想象的要常见,尤其是在新管理员中。他们安装更新,重启,更新就消失了。然后他们再次安装,再次重启,结果一样。在运行更新之前检查你的冻结状态。系统托盘中的北极熊图标会告诉你:动画表示冻结,静态表示解冻。
手动解冻后忘记重新冻结。你解冻一台计算机以安装某项内容,然后分心了,让它解冻了好几天。那台计算机现在处于不安全状态:累积更改,可能感染恶意软件,偏离你的基线。完成后请立即重新冻结。如果你容易忘记,请使用计划解冻时段和自动重新冻结,而不是手动解冻。
设置太短的固定维护窗口。两个小时的窗口对于每月的补丁星期二来说可能足够了。但如果一台计算机已经离线数周,并且有数十个待处理的更新,两个小时是不够的。使用“Windows 更新完成后”选项可以完全避免这个问题。
未能在大规模部署前测试更新。这并非 Deep Freeze 特有,但在这里也很重要。首先在试点组上测试更新。如果出现问题,你希望在影响整个环境之前就知道。
忽略 Windows 功能更新。从 Windows 10 开始,微软每年发布一到两次主要功能更新。这些更新很大,耗时很长,有时会显著改变事物。Deep Freeze 可以处理它们,但你应该计划更长的维护窗口,并考虑在彻底测试后再推迟它们。
未使用协调的第三方更新工具。Deep Freeze 在冻结时会抑制 Windows 更新服务以防止冲突。如果你使用的第三方修补工具依赖于 Windows 更新,那么除非它在解冻时段运行,否则可能无法正常工作。请在你的 Deep Freeze 维护计划中协调你的工具。
关于解冻空间和解冻分区的说明
你可能在想:有没有办法在不解冻整个系统的情况下保留某些数据?
是的。Deep Freeze 提供解冻空间和解冻分区来实现这一目的。
解冻空间是即使在系统冻结时也保持可写状态的虚拟分区。保存到解冻空间的数据会在重启后保留。它们适用于需要跨重启保留的用户文档、AV 定义或应用程序数据等内容。
解冻分区是 Deep Freeze 会忽略的整个驱动器。如果你的计算机有一个被设置为解冻的 D: 驱动器,保存在那里的任何内容都会在冻结状态下保留。
但是——这一点很重要——你不能使用解冻空间或解冻分区来使 Windows 更新持久化。Windows 系统文件位于冻结的系统分区上。更新需要修改这些文件,这需要解冻系统分区本身。
解冻空间用于用户数据和特定的应用程序数据。系统更新需要适当的解冻时段。
常见问题解答
Windows 更新可以完全自动安装吗?
是的。在 Faronics Cloud Deep Freeze 中配置一个 Windows 更新任务,将其设置为在非工作时间运行,并选择“Windows 更新完成后”。Deep Freeze 将在冻结时下载更新,在预定时间自动解冻,安装更新,处理任何必需的重启,并在完成后重新冻结。无需手动干预。
我应该多久安排一次维护窗口?
这取决于你的环境。大多数组织每周安排一次 Windows 更新任务,通常与补丁星期二(每月第二个星期二)同步,并增加一到两次运行以捕获任何需要多次重启的内容。对于使用量大或安全敏感的环境,请考虑每周运行两次维护。对于风险较低的环境,每两周一次可能就足够了。
用户可以自己更新软件吗?
默认情况下不行,这是故意的。用户在冻结时安装的任何软件都会在重启后消失。如果你希望用户能够安装持久性软件,你需要授予他们解冻访问权限,这会削弱保护的目的。更好的做法是:让用户通过你的正常 IT 渠道请求软件,并在维护时段集中部署。
如果一台计算机错过了维护窗口怎么办?
如果一台计算机在其计划的维护期间处于断电状态,更新将不会运行。选项:启用网络唤醒,以便 Deep Freeze 可以唤醒计算机,或者安排一个白天的“追赶”窗口作为后备。Faronics Cloud Deep Freeze 在控制台中显示维护任务状态,因此你可以识别错过窗口的计算机。
如何处理需要不同更新计划的计算机?
创建多个策略。Deep Freeze 允许你为不同计算机组定义不同的配置。你的计算机实验室可能每周三更新,而图书馆的公共电脑则每天深夜更新。在你的控制台中设置组,并将适当的策略分配给每个组。
WSUS 呢?Deep Freeze 能与之配合使用吗?
是的。你可以将 Deep Freeze 配置为从你的 WSUS 服务器而不是直接从 Microsoft 拉取更新。优点是控制:WSUS 允许你批准特定更新、在部署前进行测试,并管理哪些更新到达哪些计算机。Deep Freeze 将在维护窗口期间安装所有 WSUS 批准的更新。
我可以在系统冻结时更新 Deep Freeze 本身吗?
不可以。Deep Freeze 更新需要系统解冻。你可以在维护窗口期间从控制台推送 Deep Freeze 更新,或将其作为常规维护周期的一部分进行安排。
底线:更新和 Deep Freeze 相辅相成
Deep Freeze 会阻止更新的担忧是我们听到的最常见的反对意见之一:也是最容易解决的。
是的,Deep Freeze 默认会清除更改。这就是它的全部意义所在。但它也为你提供了受控的窗口,以便在需要时进行永久性更改。更新在冻结时下载。计算机在预定时间自动解冻。更新安装。计算机以更新的基线重新冻结。
结果呢?你获得了重启恢复的安全性和一致性优势,同时仍然维护着完全打好补丁、最新的系统。你无需二选一。
正确设置你的维护窗口,使用我们内置的自动化功能,更新将不再是问题。我们有组织运行着数千台冻结的计算机,并实现了完全自动化的补丁管理。它确实有效。
如果你仍然不确定这在你的环境中将如何工作,请试用并进行测试。配置一个维护窗口,运行一些更新,看看这个过程在实践中是如何工作的。这比任何文档都更有价值。
准备好亲眼看看了吗?
免费试用 Faronics Cloud Deep Freeze 30 天。设置一个维护窗口,运行一些更新,看看它是多么无缝。
