markaurel
Goto Top

TrayIcon Windows Update

Hallo zusammen und bitte um eure Hilfe!

Habe ein Tray Icon welches ich nicht haben möchte...

Folgende Umgebung: Windows Server 2012 als Domain Controller, Windows10 (1803) Workstations.
Nun ist mir heute auf einigen Rechnern ein TrayIcon aufgefallen, dass ich so nicht haben will. (Icon: siehe unten.) Quickinfo sagt, dass Sicherheitsupdates (nicht der exakte Wortlaut, aber sinngemäß da Gedächtnisprotokoll) ausständig sind.

Habe ein GPO welches die Windows Updates regelt (Windows Update):
-) Automatische Update konfigurieren = deaktiviert
-) Keine Treiber in Windows-Updates einschließen = aktiviert
-) Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten = deaktiviert
-) Zugriff auf Windows Update-Funktionen entfernen = aktiviert

Hat von euch schon mal jemand dieses Icon gehabt und es erfolgreich entfernen können?

( ich möchte / kann KEINE aut. Windows Updates zulassen. Bitte das so hinnehmen.)

Bitte um eure Tipps.

Danke.

MfG

M.A.
bad trayicon

Content-ID: 386524

Url: https://administrator.de/forum/trayicon-windows-update-386524.html

Ausgedruckt am: 23.12.2024 um 16:12 Uhr

Bem0815
Bem0815 14.09.2018 aktualisiert um 16:44:30 Uhr
Goto Top
Die Frage wäre warum kannst du keine automatischen Updates hinnehmen?
Das wäre evtl. relevant. um nicht nur dein Problem zu lösen sondern vielleicht auch generell eine bessere Strategie für die Updates anzubieten.


Generell würde ich empfehlen wenn ein Domäne im Einsatz ist auch einen WSUS zu nutzen und auf dem Server zu installieren.
Dann kannst einmal selbst entscheiden wann welche Updates für Clients freigegeben werden.

Und solange diese nicht freigegeben sind für die Clients wird auch kein Symbol auftauchen.
Die Clients werden denken dass es keine Updates gibt.

Außerdem sparst du Bandbreite, da nicht jeder Client selbst aus dem Internet sich Updates holt sondern vom WSUS die von dir genehmigten Updates.
Pjordorf
Pjordorf 14.09.2018 um 16:49:50 Uhr
Goto Top
Hallo,

Zitat von @markaurel:
Hat von euch schon mal jemand dieses Icon gehabt und es erfolgreich entfernen können?
Ja, Update machen.

( ich möchte / kann KEINE aut. Windows Updates zulassen. Bitte das so hinnehmen.)
Dann mach das Update Manuell oder mache gar keine Updates wenn es besser passt (einstellen). Nutzt du einen WSUS?

Gruß,
Peter
DerWoWusste
DerWoWusste 14.09.2018 um 16:54:07 Uhr
Goto Top
Hi.

Setze die Startart des Updatedienstes per GPO auf deaktiviert, das langt.
markaurel
markaurel 14.09.2018 um 18:50:19 Uhr
Goto Top
Hallo Bem0815!

Danke für deine Antwort.
Ich möchte aber keine Update-Strategie lostreten, sondern habe die Frage eh relativ eingeschränkt.

MfG

M.A.
markaurel
markaurel 14.09.2018 um 18:51:01 Uhr
Goto Top
Hallo Pjordorf!

Ich nutze keinen WSUS....

MfG

M.A.
Bem0815
Bem0815 14.09.2018 um 19:01:15 Uhr
Goto Top
Zitat von @markaurel:

Hallo Bem0815!

Danke für deine Antwort.
Ich möchte aber keine Update-Strategie lostreten, sondern habe die Frage eh relativ eingeschränkt.

MfG

M.A.

Dennoch ist die beste Variante wie man so eine Meldung los bekommt ein WSUS, denn damit kannst du halt manuell managen wann und ob einzelne Updates für die Clients ausgegeben werden.

Von einem generellen deaktivieren des Updatedienstes per GPO wie es DerWoWusste vorschlägt kann ich nur abraten.
Du deaktivierst dir hierdurch auch die Möglichkeit manuell Updates installieren zu können.

Ich hoffe mal du machst dann die Updates manuell. Denn gar nicht updaten sorgt nur dafür das die Clients im Unternehmen zur wandelnden Sicherheitslücke werden und der Firma sowie auch anderen Firmen schaden können.

Deshalb rate ich auch vom deaktivieren per GPO ab.
markaurel
markaurel 14.09.2018 um 19:02:25 Uhr
Goto Top
Hallo DerWoWusste!

Ich habe bei einem anderen LAN Win10 Clients (1503er glaub ich...), bei denen die Dienst Windows Updates auf Beendet/Deaktiviert gesetzt wurde.
Funkt. soweit gut...Clients beziehen keine Updates. Fertig.

Bei den Win10 (1803) Clients kommt der Windows Defender ins Spiel!
Die 3rd-party Antivierensoftware pflanzt sich auch in das Defender Security Center ein, dass es dort Rückmeldung gibt ob Signaturen usw. aktuell sind. Aus diesem Grund steht der Dienst Windows Updates auf manuell. (Das funkt. bis dato eig. auch so.) Clients bezogen keine Updates - da via GPO geregelt.

Nun kommt aber dieses doofe Tray Icon, welches ich gerne entfernt hätte. (nicht ausblenden oder ähnliches...)

Bitte um Lösungsvorschläge.

Vielen Dank.

MfG

M.A.

P.S.: Bitte entschuldigt die verzögerte Rückmeldung - musste schnell Kinder von den Pfadis abholen face-wink
markaurel
markaurel 14.09.2018 um 19:08:38 Uhr
Goto Top
Hallo Bern0815!

Nochmals danke für dein Antwort!

Ich möchte mir die WSUS-Lösung als sozusagen letzten Ausweg aufheben.
Falls es sonstige Möglichkeiten gibt das TrayIcon weg-zubekommen, würde ich diese bevorzugen.

Danke.

MfG

M.A.

P.S.: Ich bin mir recht sicher, dass ich dadurch niemand anderen Schaden zufüge, da ich mich nicht im kommerziellen Umfeld bewege.
Pjordorf
Pjordorf 14.09.2018 aktualisiert um 19:26:25 Uhr
Goto Top
Hallo,

Zitat von @markaurel:
Bei den Win10 (1803) Clients kommt der Windows Defender ins Spiel! Die 3rd-party Antivierensoftware pflanzt sich auch in das Defender Security Center ein
Dann solltest du bevor du solche Software einsetzt schauen was die will und braucht. Natürlich braucht eine Aniviren Lösung häufig Updates, aber diese muss ja nicht zwingend ins Internet.

Nun kommt aber dieses doofe Tray Icon, welches ich gerne entfernt hätte. (nicht ausblenden oder ähnliches...)
Dann eben keine drittanbieter Software nutzen was sich damit sein Leben leichter macht nutzen...

Und deine 1503 Versionen brauchen nicht ins Internet? Haben die keinen Antivirenschutz ud Co? Machen die keine E-Mails? Haben die kein Office oder ein entsprechendes Produkt? Du lässt die Firma voll im Regen stehen, denn auch MS kennt die 1503 schon gar nicht mehr. Und das mit jedem halbjährlichen Upgrade Funktionen kommen und gehen ist dir auch nicht bewusst. Windows 10 ist eher ein WaaS (Windows as a Serevice). Wer das nicht will darf auch kein Windows 10 einsetzen.
https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sh ...

Gruß,
Peter
Bem0815
Bem0815 14.09.2018 um 19:29:56 Uhr
Goto Top
Zitat von @markaurel:
P.S.: Ich bin mir recht sicher, dass ich dadurch niemand anderen Schaden zufüge, da ich mich nicht im kommerziellen Umfeld bewege.

Ob Komerziell oder nicht macht hier keinen Unterschied. Jeder Rechner der Zugriff auf das Internet hat sollte regelmäßig zumindest die Sicherheitsupdates bekommen um nicht zum Scheunentor für Angreifer zu werden.

Und wer sich dank offenem Scheuentor auf ungepatchten Systemen einmal was eingefangen hat und dann z.B. Teil eines Botnetzes wird oder ähnliches schadet damit unbewusst auch anderen.
(z.B. wenn der Rechner als Teil des Botnetzes dann für DDOS Angriffe missbraucht wird)

Ich hatte vor 3 Tagen erst wieder so einen Fall durch einen ungepatchten Mikrotik Router.
Für die Sicherheitslücke gab es seit März eine neue Firmware. Wurde hier nicht aufgespielt.

Nun kann als resultat eine Anwaltskanzlei ein paar Tage keine Mail mehr verschicken, da die Lücke im Router zum verbreiten von Mail Spam genutzt wurde und das hat dann wiederum auch anderen geschadet.

Die IP des Mail Servers der Kanzlei wird nun für die nächsten Tage noch auf den öffentlichen Spam Blacklists gelistet bleiben. Manche von denen löschen nach 24 Stunden wenn kein Spam mehr kommt, andere erst nach 7 Tagen.
DerWoWusste
DerWoWusste 15.09.2018 um 13:51:58 Uhr
Goto Top
Die 3rd-party Antivierensoftware pflanzt sich auch in das Defender Security Center ein, dass es dort Rückmeldung gibt ob Signaturen usw. aktuell sind. Aus diesem Grund steht der Dienst Windows Updates auf manuell.
Das müsstest Du näher erklären. Was passiert denn, wenn der Dienst deaktiviert ist, hat der Defender dann mangels Updates keine Möglichkeit mehr festzustellen, ob der 3rds-party-AV aktuell ist und meckert pauschal? Auch das ließe sich ggf. vermutlich mit GPOs abschalten.
markaurel
markaurel 15.09.2018 um 20:56:18 Uhr
Goto Top
Guten Abend!

Hab den GData im Einsatz. Wenn ich den Windows Update Dienst auf deaktiviert setze zieht meckert - wie du richtig vermutet hast - der Defender herum, da sich der GData dort ebenfalls einnistet. Bei der Beschreibung des Dienstes steht: "Erkennung, Herunterladen und Installation von Updates für Windows und andere Programme. Wenn der Dienst deaktiviert ist, können "Windows Update" bzw. das Feature "automatische Updates" nicht verwendet werden. Außerdem können Programme dann die Windows Update Agent-Programmierschnittstelle (WUA API) nicht verwenden."
Dies hat auch zur Folge, dass die Aktualisierung der Virensignaturen usw. nicht passiert.

Hab das auch mit dem GData Business Support besprochen - die haben sich aber da ganz auf MS ausgeredet und gemeint , dass geht sie rein gar nichts an (was ja in Wirklichkeit auch stimmt...).

Mit GPO dbgl. hab ich auch schon Versuche gestartet. Leider ohne Erfolg.

Ich denke ich werde folgenden Weg gehen müssen:
WSUS in Betrieb nehmen und die Updates dann nach Möglichkeit freigeben...

Was hältst du davon?

MfG

M.A.
DerWoWusste
DerWoWusste 15.09.2018 um 21:44:08 Uhr
Goto Top
Ja, kostet nicht die Welt, ist einfach einzurichten und löst deine Probleme. Dazu auf jeden Fall noch die GPO setzen, welche andere Quellen als Wsus nicht zulässt.
markaurel
markaurel 16.09.2018 um 09:11:13 Uhr
Goto Top
Guten Morgen!

...jo werd ich machen.

@GPO: Internen Pfad für MS Updatedienst angeben - meinst du eh diese, oder gibt es da noch andere, welche zu beachten wären?

MfG

M.A.
markaurel
markaurel 16.09.2018 um 10:48:18 Uhr
Goto Top
Hallo zusammen!

...so ein Mist aber auch. Jetzt wollte ich den WSUS auf meinem 2012er hinzufügen. Funkt. so nicht, da der Windows -Prozessaktivierungsdienst nicht gestartet werden kann. Fehler 5 Zugriff verweigert. Hab schon ziemlihc viel gegoogelt - leider ohne Erfolg...

Kann mir auch dbzgl. jemand bitte weiterhelfen.

Nochmals Danke!

MfG

M.A.
DerWoWusste
DerWoWusste 16.09.2018, aktualisiert am 17.09.2018 um 07:21:19 Uhr
Goto Top
Ich meine die GPO "do not connect to any windows update internet locations" muss aktiviert werden.
Wg. Installation WSUS: da musst Du schon mehr Details rausrücken, wann das passiert. Hatte das Problem noch nicht - evtl. mal wsus-Foren danach durchsuchen oder simpel googlen.
markaurel
markaurel 16.09.2018 um 19:13:01 Uhr
Goto Top
Guten Abend!

So jetzt bin ich vielleicht ein Stückchen weiter aber leider noch immer nicht ganz am Ziel.

In den ersten Anläufen hatte ich mehrere Dienste, welche nicht starteten bin ich mittlerweile so weit, dass nur mehr ein Dienst nicht startet.

Der """www-Publishingdienst" startet leider nicht. Fehler:1068
Hast du dbzlg. Erfahrungen? WSUS-Forum wurde ich leider noch nicht fündig.

...ppuuhhh insgesamt eine schwere Geburt!

MfG

M.A.
Bem0815
Bem0815 16.09.2018 um 21:48:53 Uhr
Goto Top
Fehler 1068 bedeutet generell das dein Dienst von einem anderen Dienst abhängig ist und dieser nicht gestartet werden konnte.
In den meisten Fällen tritt das auf weil der andere Dienst manuell deaktiviert wurde.

Geh einfach mal auf deinen "www-Publishingdienst" mache einen Rechtsklick, öffne die Eigenschaften und gehe auf den Reiter Abhängigkeiten.
Da kannst du sehen welche Dienste dafür benötigt werden und du wieder aktivieren musst.
markaurel
markaurel 17.09.2018 um 14:06:10 Uhr
Goto Top
Hello!

Folgende Abhängigkeiten:

RPC-Endpunktzuordnung +
DCOM Server Prozessstart

Beide Dienste Starttyp: automatisch und werden ausgeführt...

...also jetzt weiß ich dann nicht mehr weiter...???

MfG

M.A.
Bem0815
Bem0815 17.09.2018 um 14:24:02 Uhr
Goto Top
Hab das gerade bei mir auf dem Server mit unserem WSUS mal kurz nachgeprüft.
Da fehlt etwas bzw. ist nicht ganz korrekt.

Der WWW-Publishingdienst ist nicht direkt von DCOM-Server-Prozesstart und PRC-Endpunktzuordnung abhängig.
Er ist nur indirekt von den zweien abhängig.

Da fehlt noch ein Prozess. Der WWW-Publishingdienst ist direkt abhängig von Remoteprozeduraufruf (RPC).
Der Remoteprozeduraufruf (RPC) ist dann wiederum abhängig von DCOM-Server-Prozesstart und PRC-Endpunktzuordnung.

Das DCOM-Server-Prozesstart und PRC-Endpunktzuordnung laufen ist ja schon mal passend.

Prüfe dann nochmal ob der direkt abhängige Dienst "Remoteprozeduraufruf (RPC)" auch läuft.


Ansonsten mal vielleicht noch ein anderer Ansatzpunkt.
Ist denn der IIS ist auch auf dem Server installiert?
(Sollte glaube ich sogar automatisch mitinstalliert werden wenn er es noch nicht war, aber bin da nicht mehr ganz sicher).
markaurel
markaurel 17.09.2018 um 14:45:50 Uhr
Goto Top
Hallo Bem0815!

Vielen Dank, dass du mich nicht im Regen stehen lässt!

ISS ist installiert.

Ich glaube ich hab das (hoffentlich nicht noch ein Weiteres) Problem gefunden.

Der Windows-Prozessaktivierungsdienst läuft bei mir nicht. Fehler: 5 Zugriff verweigert.

Könnte das das Problem sein?

Bite um weitere Hilfe!

LG

M.A.
Bem0815
Bem0815 17.09.2018 um 15:27:31 Uhr
Goto Top
Ah da hab ich jetzt auch den Fehler gemacht und einen Prozess in der Kette übersehen.
Ja den Windows-Prozessaktivierungsdienst gibt es ja auch noch.

Ich hab zu dem Problem folgendes gefunden:

Resolve
Check the temporary application pool configuration directory
The Windows Process Activation Service (WAS) generates temporary application pool configuration files that it stores in the %SystemDrive%\inetpub\temp\appPools directory by default. If you change this location, WAS may not be able to find the directory.

To resolve this issue, make sure that the appPools directory meets the following requirements:

The directory must exist.
The directory cannot be on a UNC path.
The directory must be available to WAS and should have the following permissions:
SYSTEM: Full Access
Administrators: Full Access
IIS_IUSRS: Read


Siehe auch hier:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
markaurel
markaurel 17.09.2018 um 16:00:13 Uhr
Goto Top
Hello Bem0815!

Tja...die Verzeichnisse mit entsprechenden Berechtigungen habe ich - der Ordner ist allerdings (natürlich) leer (Rolle wurde ja noch nicht gestartet...)

MfG

M.A.
markaurel
markaurel 17.09.2018 um 20:06:41 Uhr
Goto Top
Geschätzte community!

Da das Thema mittlerweile recht weit von der ursprünglichen Frage weg ist, werde ich dbzgl. einen neuen Thread zur Problematik öffnen.

Vielen Dank für eure Beiträge!

MfG

M.A.