pedant
Goto Top

Updates für Windows-10-PC zuverlässig unterbinden

Hallo Kollegen,

es geht darum, dass W10-Rechner ohne Domäne und ohne WSUS keine Updates machen sollen, es sei denn es wäre ausdrücklich erwünscht.
Da es nicht reicht den Update-Dienst zu deaktivieren, suchte ich eine andere, zuverlässige Methode Windows 10 davon abzuhalten jemals selbsttätig irgendwelche Windows-Updates zu installieren.
Für geplante, von mir terminlich festgelegte Updatesessions soll die Unterbindung allerdings auch leicht und rückstandsfrei wieder abschaltbar sein.

Meine Methode ist jetzt die Rechner mittels Registy auf einen nichtexistenten WSUS zu konfigurieren und damit Updateversuche nicht zu verhindern, sondern zu sabotieren.
Im Testlauf heute scheint das zu funktionieren, aber dann fallen mir Dr. Ian Malcolms Wort aus "Jurassic Park" ein:
"Die Updates finden einen Weg." (oder so ähnlich)

updates_off.cmd

updates_on.cmd

Falls jemand dazu Anmerkungen oder Anregungen hat, sei er herzlich eingeladen diese zu äußern.

Gruß Frank

Edit:
updates_off.cmd ergänzt um "DoNotConnectToWindowsUpdateInternetLocations" gemäß des Tipps von DerWoWusste.

Content-Key: 377047

Url: https://administrator.de/contentid/377047

Ausgedruckt am: 02.10.2022 um 23:10 Uhr

Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 14.06.2018 um 22:34:45 Uhr
Goto Top
Hallo Frank,

die Problematik daran ist: Zwar unterbindest du damit die bisweilen nervigen "CU", aber auch jedwede Sicherheits (etc) Patches - der Weisheit letzter Schluss ist das leider noch nicht (bitte nicht persönlich nehmen, das haben Lösungen bzgl. W10 Updates so an sich).


Viele Grüße,

Christian
Mitglied: StefanKittel
Lösung StefanKittel 14.06.2018 um 22:47:29 Uhr
Goto Top
Moin,

wenn es ganz sicher deaktiviert werden soll fallen mir dazu 2 Dinge ein:
- Kein Gateway in den Netzwerkeinstellungen und VLAN trennung von anderen PCs (Kein Internet = Keine Updates)
- Firewall mit White-Listing

Aber keine Updates = Keine Probleme gilt nicht immer...
Sicherheitsupdates haben ja auch immer mit Sicherheit zu tun....

Es ist das Problem des Kunden der Windows 10 verwenden möchte/will/muss.
Nicht mein Problem.

Ich helfe dem Kunden mit den Auswirkungen fertig zu werden und der Kunde bezahlt mich dafür.

Was bringt es die Runden Kugeln (Wunschdenken) in die Eckigen Löcher zu stopfen (Realität).

Stefan
Mitglied: Pedant
Pedant 14.06.2018 um 22:58:03 Uhr
Goto Top
Hallo Christian,

Zitat von @falscher-sperrstatus:
...aber auch jedwede Sicherheits (etc) Patches - der Weisheit letzter Schluss ist das leider noch nicht...
Irgendeine Art von Vorselektion hat Bill für Windows 10 ja leider nicht vorgesehen und es geht hier darum auf ausgewählten Rechnern auf jeden Fall PopUps, Reboots und alles ähnliche, was den Regelbetrieb unterbrechen könnte, zu verhindern.
Mit der aufgezeigten Methode möchte ich regelmäßige Updates nicht verhindern, aber den Termin des Patchdays selbst bestimmen.

Ich entnehme Deiner Antwort aber auch eine gewisse Zustimmung, was die Wirksamkeit der Unterbindung angeht!?

Gruß Frank
Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 14.06.2018 um 23:02:58 Uhr
Goto Top
Logisch, Zustimmung partiell unter o.g Einschränkung
Mitglied: Pedant
Pedant 14.06.2018 um 23:06:59 Uhr
Goto Top
Hallo Stefan,

Zitat von @StefanKittel:
wenn es ganz sicher deaktiviert werden soll fallen mir dazu 2 Dinge ein:
- Kein Gateway in den Netzwerkeinstellungen und VLAN trennung von anderen PCs (Kein Internet = Keine Updates)
- Firewall mit White-Listing
Kein Internet darf bei den fraglichen Rechnern nicht sein.
Firewall (interne Windows-Firewall) mit White-Listing wäre eine eher umständliche Lösung, da die Anforderungen (Internetzugriffe) von Rechner zu Rechner variieren.

Es geht übrigens nicht um Rechner, an denen ein User arbeitet, sondern um "Zuspieler" für unterschiedliche Zwecke, die nicht Teil eines kritischen Netzwerks sind.

Gruß Frank
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 15.06.2018 aktualisiert um 08:27:52 Uhr
Goto Top
Zitat von @StefanKittel:

Was bringt es die Runden Kugeln (Wunschdenken) in die Eckigen Löcher zu stopfen (Realität).

Tore für die WM, zumindest dann, wenn man es Regelkonform macht. SCNR.

lks

PS: Mit Windows 10 ist es noch schwieriger geworden, einen definierten Patchstand längere Zeit zu erhalten, ohne dafür andere größere Nachteile in Kauf zu nehmen. Di einzig sinnvolle Möglichkeit ist imho, die Kiste zu isolieren und nur durch wohldefnierete Firewall-Regeln und Proxies "rauszulassen.
Mitglied: DerWoWusste
Lösung DerWoWusste 15.06.2018 um 09:07:28 Uhr
Goto Top
Hi.

Da es nicht reicht den Update-Dienst zu deaktivieren...
Doch, das reicht definitiv. Der Updatedienst wird nur dann reaktiviert, wenn Du oder von dir verwendete Tools das tun. Windows reaktiviert ihn nicht.
Ausnahme: du installierst absichtlich ein Feature-Update, dann wird die Dienstartart nämlich auf defaults zurückgesetzt.
Mitglied: Pedant
Pedant 15.06.2018 um 13:24:45 Uhr
Goto Top
Hallo DerWoWusste,

Zitat von @DerWoWusste:
Doch, das reicht definitiv. Der Updatedienst wird nur dann reaktiviert, wenn Du oder von dir verwendete Tools das tun. Windows reaktiviert ihn nicht.
...dann ist irgendwo Magie im Spiel.
Ich habe einige Rechner auf denen lediglich das OS installiert ist und ansonsten nur eine selbstgeschriebene, installationsfreie Multimediaanwendung läuft. Zur (Fern-)Wartung ist noch TeamViewer und UltraVNC installiert.
Von diesen Rechnern gibt es wiederum einige, bei denen der Dienst "Windows Update" (wuauserv) ohne Zutun de-deaktiviert wird.

Wenn Du sagst, dass das nicht von Windows gemacht wird, wüsste ich echt nicht von wem sonst, aber vielleicht ist das ja herauszufinden, was mich aber nicht davon abhält die beiden Batches einzusetzen, um die Updateinstallation zu aktivieren/deaktivieren.

Da keiner die Wirksamkeit (nicht die Sinnhaftigkeit) der Batches in Frage gestellt hat, betrachte ich den Thread als gelöst.

Gegenanzeige
Ich möchte noch anmerken, dass das Deaktivieren von Windows-Updates nicht als eine Empfehlung meinerseits anzusehen ist. Sicherheitsrelevante Updates sollten zeitnah installiert werden und mit wenigen, wohlüberlegten Ausnahmen mache ich das auf all meinen Rechnern im Büro und zuhause.

Vielen Dank für Eure Beiträge.

Gruß Frank
Mitglied: DerWoWusste
Lösung DerWoWusste 15.06.2018 aktualisiert um 13:38:07 Uhr
Goto Top
Du solltest noch Internetupdating verbieten - dieses wird trotz WSUS genutzt, wenn der WSUS nicht verfügbar ist:

Von diesen Rechnern gibt es wiederum einige, bei denen der Dienst "Windows Update" (wuauserv) ohne Zutun de-deaktiviert wird.
"De-deaktiviert" = reaktiviert? Dann könnte SCCM im Spiel sein, siehe https://blogs.technet.microsoft.com/configurationmgr/2013/02/05/support- ... - sonst gibt es da keine Erklärung.

aber vielleicht ist das ja herauszufinden
ja, auditiere den Regwert für den Dienststarttyp.
Am besten in Domänen: einfach per Policy den Starttyp auf deaktiviert per GPO enforcen - da dated nichts up.
Mitglied: Pedant
Pedant 15.06.2018 um 14:34:16 Uhr
Goto Top
Hallo DerWoWusste,

Zitat von @DerWoWusste:
Du solltest noch Internetupdating verbieten
Danke, erledigt

Zitat von @DerWoWusste:
"De-deaktiviert" = reaktiviert?
Ja, aber da ich gerade nicht wusste, ob auf "manuell" oder auf "automatisch" gesetzt wurde, habe ich es negiert formuliert.

Zitat von @DerWoWusste:
Dann könnte SCCM im Spiel sein...
Keine Domäne, keine zentrale Verwaltung, nur ein paar Rechner in einer isolierten Workgroup oder ganz allein und SCCM gehört nicht zu den Boardmitteln einer W-10-Installation.
Das kann ich als Ursache also ausschließen.

aber vielleicht ist das ja herauszufinden
ja, auditiere den Regwert für den Dienststarttyp.
Am besten in Domänen: einfach per Policy den Starttyp auf deaktiviert per GPO enforcen - da dated nichts up.
Wie gesagt, keine Domäne, die fraglichen Rechner sind nur in einer Workgroup.
Ich könnte natürlich mit einem lokalen Tool den Schlüssel überwachen und dann zumindest schon mal herausfinden wann er geändert wurde, um anschließend herauszufinden wodurch es geschah.
(Ich weiß aber gar nicht, ob ich dafür im Moment neugierig genug bin.)

Gruß Frank
Mitglied: zeroblue2005
zeroblue2005 17.06.2018 aktualisiert um 10:34:46 Uhr
Goto Top
Hallo,

ich habe auch lange an so was getüftelt und bin zu folgender Lösung gekommen! Via Batch bei Anmeldung:


Da mir die Sicherheitspatches aber wichtig sind, habe ich entweder auf dem lokalen Server oder auf dem Client selber, den "WSUS Offline Update vom heise Projekt" am laufen. Dieser holt sich einmal wöchentlich die Sicherheitspatche und Installiert diese. Das Ganze lasse ich unsichtbar via Task und Batch laufen.

Aber um die Grundlegende Frage zu beantworten, sollte doch das deaktivieren von: wuauserv ausreichen... bei jeder Anmeldung! Was ich gut finde ist, dass trotz deak. von wuauserv die Updates für den Defender von einer anderen Quelle kamen.

Ich fahre dieses Prinzip jetzt schon eine Ganze weile und läuft.
Mitglied: Server-Nutzer
Server-Nutzer 12.03.2019 um 09:56:38 Uhr
Goto Top
Hallo zeroblue2005,

ist zwar schon mehr als nen halbes Jahr alt, aber vielleicht kannst Du mir noch eine Info geben:

"net stop wuauserv" und "sc config wuauserv start= disabled" als Benutzer (ist zwar Administrator) führt zu "Systemfehler 5 aufgeterten, Zugriff verweigert".

Mit "Als Administrator ausführen" geht das.

Wie kann ich beim Systemstart das Skript als Administrator ausführen lassen?

Danke für Deinen Input.

Beste Grüße
Jörg
Mitglied: Pedant
Pedant 12.03.2019 um 11:52:02 Uhr
Goto Top
Hallo Jörg,

Zitat von @Server-Nutzer:

Mit "Als Administrator ausführen" geht das.
Wie kann ich beim Systemstart das Skript als Administrator ausführen lassen?
So sollte das gehen:
Eine Batchdatei in den Autostart verknüpfen und in den Eigenschaften der Verknüpfung den Haken setzen:
Verknüpfung -> Eigenschaften -> Verknüpfung -> [Erweitert...] -> [x] Als Administrator ausführen
oder etwas "versteckter"
in der Aufgabenplanung den Start der Batchdatei als Aufgabe planen, die als "Administrator" ausgeführt wird.

Gruß Frank
Mitglied: Server-Nutzer
Server-Nutzer 12.03.2019 um 14:14:05 Uhr
Goto Top
Super, vielen Dank.

Das probiere ich nächste Woche aus.

LG aus Nordhessen
Jörg