На недельке Microsoft выкатили функцию автообновления для Win­dows 10/11 с лицензиями Enter­prise E3 и E5 (то есть не обычные, а более дорогие лицензии). Также должен быть настроен Hybrid Azure Active Direc­to­ry. Но если все будет закуплено и настроено, то обновлениями MS-ных продуктов, драйверов и прочего смогут автоматически кататься сами из MS-ного облака. Причем чаще чем раз в месяц. Причем не так, что все обновления разом накатятся на все хосты с риском, что что-то отъедет, а постепенно, чтобы можно было среагировать и откатиться.

"The 'test ring' con­tains a min­i­mum num­ber of devices, the 'first ring' rough­ly 1% of all end­points in the cor­po­rate envi­ron­ment, the 'fast ring' around 9%, and the 'broad ring" the rest of 90% of devices.
The updates get deployed pro­gres­sive­ly, start­ing with the test ring and mov­ing on to the larg­er sets of devices after a val­i­da­tion peri­od that allows device per­for­mance mon­i­tor­ing and pre-update met­rics com­par­i­son.
Win­dows Autopatch also has built-in Halt and Roll­back fea­tures that will block updates from being applied to high­er test rings or auto­mat­i­cal­ly rolled back to help resolve update issues."

Удобно это? Да конечно удобно. Опасно это? Ну зависит от доверия вендору, веры в его стабильность и его собственную безопасность. Вопрос сейчас неоднозначный. 😏

Но в целом это наряду с Defend­er for End­point (EDR, VM) и Intune это выглядит как правильное прогрессивное направление развития ОС. Во всяком случае десктопных. Если вы доверяете вендору ОС логично и доверять облачным IT сервисам этого вендора, облегчающих жизнь админам и безопасникам. Не знаю задумываются ли в эту сторону в Астре, Альте, РедОСе и т.д., но вообще кажется есть смысл концепции у MS перерисовывать.

С другой стороны пока такой автопатчинг это не панацея конечно, потому что с обновлением third-par­ty все совсем не так тривиально. Patch Man­age­ment все равно будет нужен. Но у MS кажется много ресурсов, чтобы постепенно и в этом направлении двигаться. Работает же у них детект уязвимостей для third-par­ty в Defend­er for End­point, что тоже совсем не просто, запилят и обновления. Если Qualys могут, то и MS смогут.