14
Updates für Windows-10-PC zuverlässig unterbinden
Hallo Kollegen,
es geht darum, dass W10-Rechner ohne Domäne und ohne WSUS keine Updates machen sollen, es sei denn es wäre ausdrücklich erwünscht.
Da es nicht reicht den Update-Dienst zu deaktivieren, suchte ich eine andere, zuverlässige Methode Windows 10 davon abzuhalten jemals selbsttätig irgendwelche Windows-Updates zu installieren.
Für geplante, von mir terminlich festgelegte Updatesessions soll die Unterbindung allerdings auch leicht und rückstandsfrei wieder abschaltbar sein.
Meine Methode ist jetzt die Rechner mittels Registy auf einen nichtexistenten WSUS zu konfigurieren und damit Updateversuche nicht zu verhindern, sondern zu sabotieren.
Im Testlauf heute scheint das zu funktionieren, aber dann fallen mir Dr. Ian Malcolms Wort aus "Jurassic Park" ein:
"Die Updates finden einen Weg." (oder so ähnlich)
updates_off.cmd
updates_on.cmd
Falls jemand dazu Anmerkungen oder Anregungen hat, sei er herzlich eingeladen diese zu äußern.
Gruß Frank
Edit:
updates_off.cmd ergänzt um "DoNotConnectToWindowsUpdateInternetLocations" gemäß des Tipps von DerWoWusste.
es geht darum, dass W10-Rechner ohne Domäne und ohne WSUS keine Updates machen sollen, es sei denn es wäre ausdrücklich erwünscht.
Da es nicht reicht den Update-Dienst zu deaktivieren, suchte ich eine andere, zuverlässige Methode Windows 10 davon abzuhalten jemals selbsttätig irgendwelche Windows-Updates zu installieren.
Für geplante, von mir terminlich festgelegte Updatesessions soll die Unterbindung allerdings auch leicht und rückstandsfrei wieder abschaltbar sein.
Meine Methode ist jetzt die Rechner mittels Registy auf einen nichtexistenten WSUS zu konfigurieren und damit Updateversuche nicht zu verhindern, sondern zu sabotieren.
Im Testlauf heute scheint das zu funktionieren, aber dann fallen mir Dr. Ian Malcolms Wort aus "Jurassic Park" ein:
"Die Updates finden einen Weg." (oder so ähnlich)
updates_off.cmd
@echo off
net stop wuauserv
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "WUServer" /t REG_SZ /d "http://localhost" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "WUStatusServer" /t REG_SZ /d "http://localhost" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "DoNotConnectToWindowsUpdateInternetLocations" /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v "NoAutoUpdate" /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v "AUOptions" /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v "UseWUServer" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\wuauserv" /v "Start" /t REG_DWORD /d 4 /f updates_on.cmd
@echo off
net stop wuauserv
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\wuauserv" /v "Start" /t REG_DWORD /d 3 /f Falls jemand dazu Anmerkungen oder Anregungen hat, sei er herzlich eingeladen diese zu äußern.
Gruß Frank
Edit:
updates_off.cmd ergänzt um "DoNotConnectToWindowsUpdateInternetLocations" gemäß des Tipps von DerWoWusste.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 377047
Url: https://administrator.de/contentid/377047
Printed on: April 18, 2024 at 11:04 o'clock
14 Comments
Latest comment
Hallo Frank,
die Problematik daran ist: Zwar unterbindest du damit die bisweilen nervigen "CU", aber auch jedwede Sicherheits (etc) Patches - der Weisheit letzter Schluss ist das leider noch nicht (bitte nicht persönlich nehmen, das haben Lösungen bzgl. W10 Updates so an sich).
Viele Grüße,
Christian
die Problematik daran ist: Zwar unterbindest du damit die bisweilen nervigen "CU", aber auch jedwede Sicherheits (etc) Patches - der Weisheit letzter Schluss ist das leider noch nicht (bitte nicht persönlich nehmen, das haben Lösungen bzgl. W10 Updates so an sich).
Viele Grüße,
Christian
Moin,
wenn es ganz sicher deaktiviert werden soll fallen mir dazu 2 Dinge ein:
- Kein Gateway in den Netzwerkeinstellungen und VLAN trennung von anderen PCs (Kein Internet = Keine Updates)
- Firewall mit White-Listing
Aber keine Updates = Keine Probleme gilt nicht immer...
Sicherheitsupdates haben ja auch immer mit Sicherheit zu tun....
Es ist das Problem des Kunden der Windows 10 verwenden möchte/will/muss.
Nicht mein Problem.
Ich helfe dem Kunden mit den Auswirkungen fertig zu werden und der Kunde bezahlt mich dafür.
Was bringt es die Runden Kugeln (Wunschdenken) in die Eckigen Löcher zu stopfen (Realität).
Stefan
wenn es ganz sicher deaktiviert werden soll fallen mir dazu 2 Dinge ein:
- Kein Gateway in den Netzwerkeinstellungen und VLAN trennung von anderen PCs (Kein Internet = Keine Updates)
- Firewall mit White-Listing
Aber keine Updates = Keine Probleme gilt nicht immer...
Sicherheitsupdates haben ja auch immer mit Sicherheit zu tun....
Es ist das Problem des Kunden der Windows 10 verwenden möchte/will/muss.
Nicht mein Problem.
Ich helfe dem Kunden mit den Auswirkungen fertig zu werden und der Kunde bezahlt mich dafür.
Was bringt es die Runden Kugeln (Wunschdenken) in die Eckigen Löcher zu stopfen (Realität).
Stefan
Hallo Christian,
Mit der aufgezeigten Methode möchte ich regelmäßige Updates nicht verhindern, aber den Termin des Patchdays selbst bestimmen.
Ich entnehme Deiner Antwort aber auch eine gewisse Zustimmung, was die Wirksamkeit der Unterbindung angeht!?
Gruß Frank
Zitat von @falscher-sperrstatus:
...aber auch jedwede Sicherheits (etc) Patches - der Weisheit letzter Schluss ist das leider noch nicht...
Irgendeine Art von Vorselektion hat Bill für Windows 10 ja leider nicht vorgesehen und es geht hier darum auf ausgewählten Rechnern auf jeden Fall PopUps, Reboots und alles ähnliche, was den Regelbetrieb unterbrechen könnte, zu verhindern....aber auch jedwede Sicherheits (etc) Patches - der Weisheit letzter Schluss ist das leider noch nicht...
Mit der aufgezeigten Methode möchte ich regelmäßige Updates nicht verhindern, aber den Termin des Patchdays selbst bestimmen.
Ich entnehme Deiner Antwort aber auch eine gewisse Zustimmung, was die Wirksamkeit der Unterbindung angeht!?
Gruß Frank
Logisch, Zustimmung partiell unter o.g Einschränkung
Hallo Stefan,
Firewall (interne Windows-Firewall) mit White-Listing wäre eine eher umständliche Lösung, da die Anforderungen (Internetzugriffe) von Rechner zu Rechner variieren.
Es geht übrigens nicht um Rechner, an denen ein User arbeitet, sondern um "Zuspieler" für unterschiedliche Zwecke, die nicht Teil eines kritischen Netzwerks sind.
Gruß Frank
Zitat von @StefanKittel:
wenn es ganz sicher deaktiviert werden soll fallen mir dazu 2 Dinge ein:
- Kein Gateway in den Netzwerkeinstellungen und VLAN trennung von anderen PCs (Kein Internet = Keine Updates)
- Firewall mit White-Listing
Kein Internet darf bei den fraglichen Rechnern nicht sein.wenn es ganz sicher deaktiviert werden soll fallen mir dazu 2 Dinge ein:
- Kein Gateway in den Netzwerkeinstellungen und VLAN trennung von anderen PCs (Kein Internet = Keine Updates)
- Firewall mit White-Listing
Firewall (interne Windows-Firewall) mit White-Listing wäre eine eher umständliche Lösung, da die Anforderungen (Internetzugriffe) von Rechner zu Rechner variieren.
Es geht übrigens nicht um Rechner, an denen ein User arbeitet, sondern um "Zuspieler" für unterschiedliche Zwecke, die nicht Teil eines kritischen Netzwerks sind.
Gruß Frank
Zitat von @StefanKittel:
Was bringt es die Runden Kugeln (Wunschdenken) in die Eckigen Löcher zu stopfen (Realität).
Was bringt es die Runden Kugeln (Wunschdenken) in die Eckigen Löcher zu stopfen (Realität).
Tore für die WM, zumindest dann, wenn man es Regelkonform macht. SCNR.
lks
PS: Mit Windows 10 ist es noch schwieriger geworden, einen definierten Patchstand längere Zeit zu erhalten, ohne dafür andere größere Nachteile in Kauf zu nehmen. Di einzig sinnvolle Möglichkeit ist imho, die Kiste zu isolieren und nur durch wohldefnierete Firewall-Regeln und Proxies "rauszulassen.
Hi.
Ausnahme: du installierst absichtlich ein Feature-Update, dann wird die Dienstartart nämlich auf defaults zurückgesetzt.
Da es nicht reicht den Update-Dienst zu deaktivieren...
Doch, das reicht definitiv. Der Updatedienst wird nur dann reaktiviert, wenn Du oder von dir verwendete Tools das tun. Windows reaktiviert ihn nicht.Ausnahme: du installierst absichtlich ein Feature-Update, dann wird die Dienstartart nämlich auf defaults zurückgesetzt.
1
Hallo DerWoWusste,
Ich habe einige Rechner auf denen lediglich das OS installiert ist und ansonsten nur eine selbstgeschriebene, installationsfreie Multimediaanwendung läuft. Zur (Fern-)Wartung ist noch TeamViewer und UltraVNC installiert.
Von diesen Rechnern gibt es wiederum einige, bei denen der Dienst "Windows Update" (wuauserv) ohne Zutun de-deaktiviert wird.
Wenn Du sagst, dass das nicht von Windows gemacht wird, wüsste ich echt nicht von wem sonst, aber vielleicht ist das ja herauszufinden, was mich aber nicht davon abhält die beiden Batches einzusetzen, um die Updateinstallation zu aktivieren/deaktivieren.
Da keiner die Wirksamkeit (nicht die Sinnhaftigkeit) der Batches in Frage gestellt hat, betrachte ich den Thread als gelöst.
Gegenanzeige
Ich möchte noch anmerken, dass das Deaktivieren von Windows-Updates nicht als eine Empfehlung meinerseits anzusehen ist. Sicherheitsrelevante Updates sollten zeitnah installiert werden und mit wenigen, wohlüberlegten Ausnahmen mache ich das auf all meinen Rechnern im Büro und zuhause.
Vielen Dank für Eure Beiträge.
Gruß Frank
Zitat von @DerWoWusste:
Doch, das reicht definitiv. Der Updatedienst wird nur dann reaktiviert, wenn Du oder von dir verwendete Tools das tun. Windows reaktiviert ihn nicht.
...dann ist irgendwo Magie im Spiel.Doch, das reicht definitiv. Der Updatedienst wird nur dann reaktiviert, wenn Du oder von dir verwendete Tools das tun. Windows reaktiviert ihn nicht.
Ich habe einige Rechner auf denen lediglich das OS installiert ist und ansonsten nur eine selbstgeschriebene, installationsfreie Multimediaanwendung läuft. Zur (Fern-)Wartung ist noch TeamViewer und UltraVNC installiert.
Von diesen Rechnern gibt es wiederum einige, bei denen der Dienst "Windows Update" (wuauserv) ohne Zutun de-deaktiviert wird.
Wenn Du sagst, dass das nicht von Windows gemacht wird, wüsste ich echt nicht von wem sonst, aber vielleicht ist das ja herauszufinden, was mich aber nicht davon abhält die beiden Batches einzusetzen, um die Updateinstallation zu aktivieren/deaktivieren.
Da keiner die Wirksamkeit (nicht die Sinnhaftigkeit) der Batches in Frage gestellt hat, betrachte ich den Thread als gelöst.
Gegenanzeige
Ich möchte noch anmerken, dass das Deaktivieren von Windows-Updates nicht als eine Empfehlung meinerseits anzusehen ist. Sicherheitsrelevante Updates sollten zeitnah installiert werden und mit wenigen, wohlüberlegten Ausnahmen mache ich das auf all meinen Rechnern im Büro und zuhause.
Vielen Dank für Eure Beiträge.
Gruß Frank
Du solltest noch Internetupdating verbieten - dieses wird trotz WSUS genutzt, wenn der WSUS nicht verfügbar ist:
Am besten in Domänen: einfach per Policy den Starttyp auf deaktiviert per GPO enforcen - da dated nichts up.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "DoNotConnectToWindowsUpdateInternetLocations" /t REG_DWORD /d 1 /f Von diesen Rechnern gibt es wiederum einige, bei denen der Dienst "Windows Update" (wuauserv) ohne Zutun de-deaktiviert wird.
"De-deaktiviert" = reaktiviert? Dann könnte SCCM im Spiel sein, siehe https://blogs.technet.microsoft.com/configurationmgr/2013/02/05/support- ... - sonst gibt es da keine Erklärung.aber vielleicht ist das ja herauszufinden
ja, auditiere den Regwert für den Dienststarttyp.Am besten in Domänen: einfach per Policy den Starttyp auf deaktiviert per GPO enforcen - da dated nichts up.
1
Hallo DerWoWusste,
Danke, erledigt
Ja, aber da ich gerade nicht wusste, ob auf "manuell" oder auf "automatisch" gesetzt wurde, habe ich es negiert formuliert.
Keine Domäne, keine zentrale Verwaltung, nur ein paar Rechner in einer isolierten Workgroup oder ganz allein und SCCM gehört nicht zu den Boardmitteln einer W-10-Installation.
Das kann ich als Ursache also ausschließen.
Am besten in Domänen: einfach per Policy den Starttyp auf deaktiviert per GPO enforcen - da dated nichts up.
Wie gesagt, keine Domäne, die fraglichen Rechner sind nur in einer Workgroup.
Ich könnte natürlich mit einem lokalen Tool den Schlüssel überwachen und dann zumindest schon mal herausfinden wann er geändert wurde, um anschließend herauszufinden wodurch es geschah.
(Ich weiß aber gar nicht, ob ich dafür im Moment neugierig genug bin.)
Gruß Frank
Danke, erledigt
Ja, aber da ich gerade nicht wusste, ob auf "manuell" oder auf "automatisch" gesetzt wurde, habe ich es negiert formuliert.
Keine Domäne, keine zentrale Verwaltung, nur ein paar Rechner in einer isolierten Workgroup oder ganz allein und SCCM gehört nicht zu den Boardmitteln einer W-10-Installation.
Das kann ich als Ursache also ausschließen.
aber vielleicht ist das ja herauszufinden
ja, auditiere den Regwert für den Dienststarttyp.Am besten in Domänen: einfach per Policy den Starttyp auf deaktiviert per GPO enforcen - da dated nichts up.
Ich könnte natürlich mit einem lokalen Tool den Schlüssel überwachen und dann zumindest schon mal herausfinden wann er geändert wurde, um anschließend herauszufinden wodurch es geschah.
(Ich weiß aber gar nicht, ob ich dafür im Moment neugierig genug bin.)
Gruß Frank
Hallo,
ich habe auch lange an so was getüftelt und bin zu folgender Lösung gekommen! Via Batch bei Anmeldung:
Da mir die Sicherheitspatches aber wichtig sind, habe ich entweder auf dem lokalen Server oder auf dem Client selber, den "WSUS Offline Update vom heise Projekt" am laufen. Dieser holt sich einmal wöchentlich die Sicherheitspatche und Installiert diese. Das Ganze lasse ich unsichtbar via Task und Batch laufen.
Aber um die Grundlegende Frage zu beantworten, sollte doch das deaktivieren von: wuauserv ausreichen... bei jeder Anmeldung! Was ich gut finde ist, dass trotz deak. von wuauserv die Updates für den Defender von einer anderen Quelle kamen.
Ich fahre dieses Prinzip jetzt schon eine Ganze weile und läuft.
ich habe auch lange an so was getüftelt und bin zu folgender Lösung gekommen! Via Batch bei Anmeldung:
net stop wuauserv
sc config wuauserv start= disabledDa mir die Sicherheitspatches aber wichtig sind, habe ich entweder auf dem lokalen Server oder auf dem Client selber, den "WSUS Offline Update vom heise Projekt" am laufen. Dieser holt sich einmal wöchentlich die Sicherheitspatche und Installiert diese. Das Ganze lasse ich unsichtbar via Task und Batch laufen.
Aber um die Grundlegende Frage zu beantworten, sollte doch das deaktivieren von: wuauserv ausreichen... bei jeder Anmeldung! Was ich gut finde ist, dass trotz deak. von wuauserv die Updates für den Defender von einer anderen Quelle kamen.
Ich fahre dieses Prinzip jetzt schon eine Ganze weile und läuft.
1
Hallo zeroblue2005,
ist zwar schon mehr als nen halbes Jahr alt, aber vielleicht kannst Du mir noch eine Info geben:
"net stop wuauserv" und "sc config wuauserv start= disabled" als Benutzer (ist zwar Administrator) führt zu "Systemfehler 5 aufgeterten, Zugriff verweigert".
Mit "Als Administrator ausführen" geht das.
Wie kann ich beim Systemstart das Skript als Administrator ausführen lassen?
Danke für Deinen Input.
Beste Grüße
Jörg
ist zwar schon mehr als nen halbes Jahr alt, aber vielleicht kannst Du mir noch eine Info geben:
"net stop wuauserv" und "sc config wuauserv start= disabled" als Benutzer (ist zwar Administrator) führt zu "Systemfehler 5 aufgeterten, Zugriff verweigert".
Mit "Als Administrator ausführen" geht das.
Wie kann ich beim Systemstart das Skript als Administrator ausführen lassen?
Danke für Deinen Input.
Beste Grüße
Jörg
Hallo Jörg,
Eine Batchdatei in den Autostart verknüpfen und in den Eigenschaften der Verknüpfung den Haken setzen:
Verknüpfung -> Eigenschaften -> Verknüpfung -> [Erweitert...] -> [x] Als Administrator ausführen
oder etwas "versteckter"
in der Aufgabenplanung den Start der Batchdatei als Aufgabe planen, die als "Administrator" ausgeführt wird.
Gruß Frank
Zitat von @Server-Nutzer:
Mit "Als Administrator ausführen" geht das.
Wie kann ich beim Systemstart das Skript als Administrator ausführen lassen?
So sollte das gehen:Mit "Als Administrator ausführen" geht das.
Wie kann ich beim Systemstart das Skript als Administrator ausführen lassen?
Eine Batchdatei in den Autostart verknüpfen und in den Eigenschaften der Verknüpfung den Haken setzen:
Verknüpfung -> Eigenschaften -> Verknüpfung -> [Erweitert...] -> [x] Als Administrator ausführen
oder etwas "versteckter"
in der Aufgabenplanung den Start der Batchdatei als Aufgabe planen, die als "Administrator" ausgeführt wird.
Gruß Frank
Super, vielen Dank.
Das probiere ich nächste Woche aus.
LG aus Nordhessen
Jörg
Das probiere ich nächste Woche aus.
LG aus Nordhessen
Jörg
