Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Updates für Windows-10-PC zuverlässig unterbinden

Mitglied: Pedant

Pedant (Level 2) - Jetzt verbinden

14.06.2018, aktualisiert 15.06.2018, 1770 Aufrufe, 14 Kommentare, 3 Danke

Hallo Kollegen,

es geht darum, dass W10-Rechner ohne Domäne und ohne WSUS keine Updates machen sollen, es sei denn es wäre ausdrücklich erwünscht.
Da es nicht reicht den Update-Dienst zu deaktivieren, suchte ich eine andere, zuverlässige Methode Windows 10 davon abzuhalten jemals selbsttätig irgendwelche Windows-Updates zu installieren.
Für geplante, von mir terminlich festgelegte Updatesessions soll die Unterbindung allerdings auch leicht und rückstandsfrei wieder abschaltbar sein.

Meine Methode ist jetzt die Rechner mittels Registy auf einen nichtexistenten WSUS zu konfigurieren und damit Updateversuche nicht zu verhindern, sondern zu sabotieren.
Im Testlauf heute scheint das zu funktionieren, aber dann fallen mir Dr. Ian Malcolms Wort aus "Jurassic Park" ein:
"Die Updates finden einen Weg." (oder so ähnlich)

updates_off.cmd
01.
@echo off
02.
net stop wuauserv
03.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "WUServer" /t REG_SZ /d "http://localhost" /f
04.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "WUStatusServer" /t REG_SZ /d "http://localhost" /f
05.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "DoNotConnectToWindowsUpdateInternetLocations" /t REG_DWORD /d 1 /f
06.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v "NoAutoUpdate" /t REG_DWORD /d 1 /f
07.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v "AUOptions" /t REG_DWORD /d 1 /f
08.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v "UseWUServer" /t REG_DWORD /d 1 /f
09.
reg add "HKLM\SYSTEM\CurrentControlSet\Services\wuauserv" /v "Start" /t REG_DWORD /d 4 /f
updates_on.cmd
01.
@echo off
02.
net stop wuauserv
03.
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /f
04.
reg add "HKLM\SYSTEM\CurrentControlSet\Services\wuauserv" /v "Start" /t REG_DWORD /d 3 /f
Falls jemand dazu Anmerkungen oder Anregungen hat, sei er herzlich eingeladen diese zu äußern.

Gruß Frank

Edit:
updates_off.cmd ergänzt um "DoNotConnectToWindowsUpdateInternetLocations" gemäß des Tipps von DerWoWusste.
Mitglied: certifiedit.net
LÖSUNG 14.06.2018 um 22:34 Uhr
Hallo Frank,

die Problematik daran ist: Zwar unterbindest du damit die bisweilen nervigen "CU", aber auch jedwede Sicherheits (etc) Patches - der Weisheit letzter Schluss ist das leider noch nicht (bitte nicht persönlich nehmen, das haben Lösungen bzgl. W10 Updates so an sich).


Viele Grüße,

Christian
Bitte warten ..
Mitglied: StefanKittel
LÖSUNG 14.06.2018 um 22:47 Uhr
Moin,

wenn es ganz sicher deaktiviert werden soll fallen mir dazu 2 Dinge ein:
- Kein Gateway in den Netzwerkeinstellungen und VLAN trennung von anderen PCs (Kein Internet = Keine Updates)
- Firewall mit White-Listing

Aber keine Updates = Keine Probleme gilt nicht immer...
Sicherheitsupdates haben ja auch immer mit Sicherheit zu tun....

Es ist das Problem des Kunden der Windows 10 verwenden möchte/will/muss.
Nicht mein Problem.

Ich helfe dem Kunden mit den Auswirkungen fertig zu werden und der Kunde bezahlt mich dafür.

Was bringt es die Runden Kugeln (Wunschdenken) in die Eckigen Löcher zu stopfen (Realität).

Stefan
Bitte warten ..
Mitglied: Pedant
14.06.2018 um 22:58 Uhr
Hallo Christian,

Zitat von certifiedit.net:
...aber auch jedwede Sicherheits (etc) Patches - der Weisheit letzter Schluss ist das leider noch nicht...
Irgendeine Art von Vorselektion hat Bill für Windows 10 ja leider nicht vorgesehen und es geht hier darum auf ausgewählten Rechnern auf jeden Fall PopUps, Reboots und alles ähnliche, was den Regelbetrieb unterbrechen könnte, zu verhindern.
Mit der aufgezeigten Methode möchte ich regelmäßige Updates nicht verhindern, aber den Termin des Patchdays selbst bestimmen.

Ich entnehme Deiner Antwort aber auch eine gewisse Zustimmung, was die Wirksamkeit der Unterbindung angeht!?

Gruß Frank
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 14.06.2018 um 23:02 Uhr
Logisch, Zustimmung partiell unter o.g Einschränkung
Bitte warten ..
Mitglied: Pedant
14.06.2018 um 23:06 Uhr
Hallo Stefan,

Zitat von StefanKittel:
wenn es ganz sicher deaktiviert werden soll fallen mir dazu 2 Dinge ein:
- Kein Gateway in den Netzwerkeinstellungen und VLAN trennung von anderen PCs (Kein Internet = Keine Updates)
- Firewall mit White-Listing
Kein Internet darf bei den fraglichen Rechnern nicht sein.
Firewall (interne Windows-Firewall) mit White-Listing wäre eine eher umständliche Lösung, da die Anforderungen (Internetzugriffe) von Rechner zu Rechner variieren.

Es geht übrigens nicht um Rechner, an denen ein User arbeitet, sondern um "Zuspieler" für unterschiedliche Zwecke, die nicht Teil eines kritischen Netzwerks sind.

Gruß Frank
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 15.06.2018, aktualisiert um 08:27 Uhr
Zitat von StefanKittel:

Was bringt es die Runden Kugeln (Wunschdenken) in die Eckigen Löcher zu stopfen (Realität).

Tore für die WM, zumindest dann, wenn man es Regelkonform macht. SCNR.

lks

PS: Mit Windows 10 ist es noch schwieriger geworden, einen definierten Patchstand längere Zeit zu erhalten, ohne dafür andere größere Nachteile in Kauf zu nehmen. Di einzig sinnvolle Möglichkeit ist imho, die Kiste zu isolieren und nur durch wohldefnierete Firewall-Regeln und Proxies "rauszulassen.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 15.06.2018 um 09:07 Uhr
Hi.

Da es nicht reicht den Update-Dienst zu deaktivieren...
Doch, das reicht definitiv. Der Updatedienst wird nur dann reaktiviert, wenn Du oder von dir verwendete Tools das tun. Windows reaktiviert ihn nicht.
Ausnahme: du installierst absichtlich ein Feature-Update, dann wird die Dienstartart nämlich auf defaults zurückgesetzt.
Bitte warten ..
Mitglied: Pedant
15.06.2018 um 13:24 Uhr
Hallo DerWoWusste,

Zitat von DerWoWusste:
Doch, das reicht definitiv. Der Updatedienst wird nur dann reaktiviert, wenn Du oder von dir verwendete Tools das tun. Windows reaktiviert ihn nicht.
...dann ist irgendwo Magie im Spiel.
Ich habe einige Rechner auf denen lediglich das OS installiert ist und ansonsten nur eine selbstgeschriebene, installationsfreie Multimediaanwendung läuft. Zur (Fern-)Wartung ist noch TeamViewer und UltraVNC installiert.
Von diesen Rechnern gibt es wiederum einige, bei denen der Dienst "Windows Update" (wuauserv) ohne Zutun de-deaktiviert wird.

Wenn Du sagst, dass das nicht von Windows gemacht wird, wüsste ich echt nicht von wem sonst, aber vielleicht ist das ja herauszufinden, was mich aber nicht davon abhält die beiden Batches einzusetzen, um die Updateinstallation zu aktivieren/deaktivieren.

Da keiner die Wirksamkeit (nicht die Sinnhaftigkeit) der Batches in Frage gestellt hat, betrachte ich den Thread als gelöst.

Gegenanzeige
Ich möchte noch anmerken, dass das Deaktivieren von Windows-Updates nicht als eine Empfehlung meinerseits anzusehen ist. Sicherheitsrelevante Updates sollten zeitnah installiert werden und mit wenigen, wohlüberlegten Ausnahmen mache ich das auf all meinen Rechnern im Büro und zuhause.

Vielen Dank für Eure Beiträge.

Gruß Frank
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 15.06.2018, aktualisiert um 13:38 Uhr
Du solltest noch Internetupdating verbieten - dieses wird trotz WSUS genutzt, wenn der WSUS nicht verfügbar ist:
01.
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v "DoNotConnectToWindowsUpdateInternetLocations" /t REG_DWORD /d 1 /f
Von diesen Rechnern gibt es wiederum einige, bei denen der Dienst "Windows Update" (wuauserv) ohne Zutun de-deaktiviert wird.
"De-deaktiviert" = reaktiviert? Dann könnte SCCM im Spiel sein, siehe https://blogs.technet.microsoft.com/configurationmgr/2013/02/05/support- ... - sonst gibt es da keine Erklärung.

aber vielleicht ist das ja herauszufinden
ja, auditiere den Regwert für den Dienststarttyp.
Am besten in Domänen: einfach per Policy den Starttyp auf deaktiviert per GPO enforcen - da dated nichts up.
Bitte warten ..
Mitglied: Pedant
15.06.2018 um 14:34 Uhr
Hallo DerWoWusste,

Zitat von DerWoWusste:
Du solltest noch Internetupdating verbieten
Danke, erledigt

Zitat von DerWoWusste:
"De-deaktiviert" = reaktiviert?
Ja, aber da ich gerade nicht wusste, ob auf "manuell" oder auf "automatisch" gesetzt wurde, habe ich es negiert formuliert.

Zitat von DerWoWusste:
Dann könnte SCCM im Spiel sein...
Keine Domäne, keine zentrale Verwaltung, nur ein paar Rechner in einer isolierten Workgroup oder ganz allein und SCCM gehört nicht zu den Boardmitteln einer W-10-Installation.
Das kann ich als Ursache also ausschließen.

aber vielleicht ist das ja herauszufinden
ja, auditiere den Regwert für den Dienststarttyp.
Am besten in Domänen: einfach per Policy den Starttyp auf deaktiviert per GPO enforcen - da dated nichts up.
Wie gesagt, keine Domäne, die fraglichen Rechner sind nur in einer Workgroup.
Ich könnte natürlich mit einem lokalen Tool den Schlüssel überwachen und dann zumindest schon mal herausfinden wann er geändert wurde, um anschließend herauszufinden wodurch es geschah.
(Ich weiß aber gar nicht, ob ich dafür im Moment neugierig genug bin.)

Gruß Frank
Bitte warten ..
Mitglied: zeroblue2005
17.06.2018, aktualisiert um 10:34 Uhr
Hallo,

ich habe auch lange an so was getüftelt und bin zu folgender Lösung gekommen! Via Batch bei Anmeldung:

01.
net stop wuauserv
02.
sc config wuauserv start= disabled
Da mir die Sicherheitspatches aber wichtig sind, habe ich entweder auf dem lokalen Server oder auf dem Client selber, den "WSUS Offline Update vom heise Projekt" am laufen. Dieser holt sich einmal wöchentlich die Sicherheitspatche und Installiert diese. Das Ganze lasse ich unsichtbar via Task und Batch laufen.

Aber um die Grundlegende Frage zu beantworten, sollte doch das deaktivieren von: wuauserv ausreichen... bei jeder Anmeldung! Was ich gut finde ist, dass trotz deak. von wuauserv die Updates für den Defender von einer anderen Quelle kamen.

Ich fahre dieses Prinzip jetzt schon eine Ganze weile und läuft.
Bitte warten ..
Mitglied: Server-Nutzer
12.03.2019 um 09:56 Uhr
Hallo zeroblue2005,

ist zwar schon mehr als nen halbes Jahr alt, aber vielleicht kannst Du mir noch eine Info geben:

"net stop wuauserv" und "sc config wuauserv start= disabled" als Benutzer (ist zwar Administrator) führt zu "Systemfehler 5 aufgeterten, Zugriff verweigert".

Mit "Als Administrator ausführen" geht das.

Wie kann ich beim Systemstart das Skript als Administrator ausführen lassen?

Danke für Deinen Input.

Beste Grüße
Jörg
Bitte warten ..
Mitglied: Pedant
12.03.2019 um 11:52 Uhr
Hallo Jörg,

Zitat von Server-Nutzer:

Mit "Als Administrator ausführen" geht das.
Wie kann ich beim Systemstart das Skript als Administrator ausführen lassen?
So sollte das gehen:
Eine Batchdatei in den Autostart verknüpfen und in den Eigenschaften der Verknüpfung den Haken setzen:
Verknüpfung -> Eigenschaften -> Verknüpfung -> [Erweitert...] -> [x] Als Administrator ausführen
oder etwas "versteckter"
in der Aufgabenplanung den Start der Batchdatei als Aufgabe planen, die als "Administrator" ausgeführt wird.

Gruß Frank
Bitte warten ..
Mitglied: Server-Nutzer
12.03.2019 um 14:14 Uhr
Super, vielen Dank.

Das probiere ich nächste Woche aus.

LG aus Nordhessen
Jörg
Bitte warten ..
Ähnliche Inhalte
CPU, RAM, Mainboards

Windows 10-PC friert regelmäßig ein

gelöst Frage von achkleinCPU, RAM, Mainboards7 Kommentare

Hallo, ich habe Probleme mit einem PC-System unter Windows 10, welches regelmäßig 'einfriert' und sich dann nur noch mittels ...

Windows 10

Reaktivierung von Windows 10 in neuem PC

gelöst Frage von AgilolfingerWindows 1012 Kommentare

Hallo Zusammen, ich habe einen neuen PC gebaut und die System SSD eines alten PCs mit Windows 10 Installation ...

Windows 10

Zugriff auf Administrarivefreigabe auf Windows 10 PC

gelöst Frage von bluepythonWindows 103 Kommentare

Hallo, seid einem der letzten Windows 10 Updates kann ich keine Verbindung (z.B. Netzlaufwerk) zu einem Windows 10 PC ...

Windows 10

Win 10 PC blockiert

gelöst Frage von tsunamiWindows 1022 Kommentare

Guten Morgen, ich habe ein komisches Problem: Windows 10 Pro PC startet normal. Internet ist für ca. 5 Sekunden ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 15 StundenHumor (lol)3 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 1 TagSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 1 TagWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 1 TagGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu-Putty hilfe
gelöst Frage von Nickolas.GroheUbuntu53 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 729 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
Frage von hukimanLAN, WAN, Wireless29 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...