der-phil
Goto Top

Wie automatische Windows Updates zuverlässig verhindern

Hallo!

Heute haben meine Windows 2022 Server trotz unveränderter GPO das Cumulative-Update eingespielt, wenn sie nicht auf "nur herunterladen" standen.
Dadurch hatte ich einen echt miesen Tag.

Was ist denn der beste Weg, wirklich sicherzustellen, dass Windows _KEINE_ Updates eigenständig installiert?
Ich möchte ausschließlich manuell über mein ClientManagement die Updates pushen?

- Konfiguriere ich per GPO "Automatische Updates konfigurieren"=Deaktiviert, werden dennnoch Updates direkt installiert, wenn man nur auf "Nach Upates suchen" geht.

Wie handhabt ihr das?
Setzt ihr "Automatische Updates konfigurieren" auf "2 - Vor Download und automatischer Installation benachrichtigen"?
Habt ihr einen besseren Weg?

Danke und Grüße
Phil

Content-ID: 669462

Url: https://administrator.de/contentid/669462

Ausgedruckt am: 23.11.2024 um 09:11 Uhr

N3cronomicon
N3cronomicon 13.11.2024 aktualisiert um 12:58:37 Uhr
Goto Top
Moin,

schau mal nach, ob du die aktuellen ADMX für Windows Server 2022 bereits hast. Die Einstellungen der GPO werden sonst (zumindest teilweise definitiv) ignoriert unter Server 2022.

Danach greift auch Option 2 bei "Automatische Updates konfigurieren" wieder korrekt. Letzte Woche erst bei einem Kunden korrigiert, da die bereitgestellten Updates durch den WSUS bei Server 22 VMs auch einfach durchgelaufen sind, trotz Option 2, alle anderen Server drunter zeigten korrekt den "Download"-Button unter Windows Update an. Nach dem Update der ADMX kein Problem mehr.

Dran denken, ein GPUpdate durchzuführen nach Aktualisierung der GPO.

Download hier:
ADMX Server 2022

Gruß
Der-Phil
Der-Phil 13.11.2024 um 13:05:37 Uhr
Goto Top
Also nutzt Du Option 2 und nicht "deaktiviert"?
Bei Option 2 sieht es bei mir auch gut aus, nur Deaktiviert scheint gar nicht zu funktionieren
N3cronomicon
N3cronomicon 13.11.2024 um 13:17:32 Uhr
Goto Top
Ja, aufgrund der fehlerhaften August-Updates zum Beispiel, habe ich bei einigen Kunden umgestellt, um hier nicht direkt die heruntergeladenen Updates vor der eigentlichen Installation stehen zu haben, sondern vorab selektieren und declinen zu können.

Mit Option 2 unter den automatischen Updates, also für Download und Installation benachrichtigen, wird hier nichts mehr automatisch gezogen.

wsus config

Die Server melden zwar, das Updates da sind, aber einen Auto-Download habe ich nicht mehr.

Ich habe hier zum Beispiel auch die Onlinesuche deaktiviert, um nicht am WSUS vorbei zu suchen und dann doch wieder automatisch zu laden und zu installieren.

Wenn du allerdings ein anderes System zum Patchmanagement einsetzt, kannst du (falls der WSUS auch noch existiert gleichzeitig) die Server ja trotzdem gegen den WSUS rennen lassen, musst die Updates ja nicht darüber freigeben. Zumindest siehst du ja, was theoretisch von den Kisten benötigt wird dadurch. ^^
SlainteMhath
SlainteMhath 13.11.2024 um 14:39:56 Uhr
Goto Top
Moin,

- Konfiguriere ich per GPO "Automatische Updates konfigurieren"=Deaktiviert,
Du hast das Prinzip der Konfiguration per GPO nicht verstanden face-smile

Wenn du "Automatische Updates konfigurieren" auf "Deaktiviert" stellt, bedeutet das, das diese GPO KEINERLEI KONFIGURATION an den Automatischen Updates vornimmt - also alles auf Default stehen lässt.

Du musst also "Automatische Updates konfigurieren" auf "Aktiviert" stellen, und dann darunter das gewünschte Verhalten konfigurieren.

lg,
Slainte
Der-Phil
Der-Phil 13.11.2024 um 15:23:12 Uhr
Goto Top
Die Doku dieses GPO-Eintrags sagt etwas anderes...

###
Falls der Status für diese Richtlinie auf "Deaktiviert" festgelegt ist, müssen alle unter "Windows Update" verfügbaren Updates manuell heruntergeladen und installiert werden. Suchen Sie dazu auf der Startseite nach "Windows Update".

Falls der Status auf "Nicht konfiguriert" festgelegt ist, ist die Verwendung von automatischen Updates nicht auf Gruppenrichtlinienebene festgelegt. Ein Administrator kann automatische Updates jedoch über die Systemsteuerung konfigurieren.
###

Ich tendiere gerade dazu, alles gegen einen "Dummy-WSUS" laufen zu lassen, der einfach keine Updates kennt/hat.

@N3cronomicon
Wie hast Du die Onlinesuche deaktiviert?
N3cronomicon
N3cronomicon 13.11.2024 um 15:53:08 Uhr
Goto Top
Über die Einstellung: "Do not connect to any Windows Update Internet Locations", siehe Screenshot oben.
DerWoWusste
DerWoWusste 13.11.2024 um 17:52:11 Uhr
Goto Top
Ich tendiere gerade dazu, alles gegen einen "Dummy-WSUS" laufen zu lassen, der einfach keine Updates kennt/hat
Den muss es nicht einmal geben. Einfach eine Fakeadresse eintragen und fertig. Wenn man zudem noch Dualscan deaktiviert, wird bei Nicht-Erreichbarkeit des WSUS auch nicht das Internet für die Suche herangezogen.

PS: wer teilt mit mir das Leid, dass unter Win11 23H2 die option "no auto-restart with logged on users" schlicht ignoriert wird? Finde ich gar nicht lustig.
StefanKittel
StefanKittel 14.11.2024 um 10:42:23 Uhr
Goto Top
Hallo,
noch mal kurz ein bisschen Senf zu dem Thema von mir. Allerdings eher so von der Client-Seite.
Du möchtest eine zuverlässig Lösung? Trenne den Server vollständig vom Internet.

In den letzten Jahren habe ich alles Mögliche probiert um Win10/11 Clients davon abzuhalten Updates ungefragt zu installieren oder neu zu starten. Hoffnungslos.

Microsoft ignoriert seine eigenen Vorgaben/Einstellungen, deaktivert ungefragt Deine Änderungen, Installiert Updates mit Dual-Scan an allen Einstellungen vorbei. Teilweise sogar über die "Abkürzung" von anderen Clients im LAN, etc.

Ich hatte mal eine Meldung im Eventlog die Sinngemäß diesen Inhalt enthielt: Der WSUS-Server hat seit längerem keine neuen Updates bereitgestellt. Ich installiere jetzt Updates von einer Online-Quelle. (Der WSUS war ein echte WSUS der aber keine Updates enthielt. Also nur ein Blocker).

Stefan
DerWoWusste
DerWoWusste 14.11.2024 um 10:51:21 Uhr
Goto Top
Der Fake WSUS funktioniert. Glaub mir, den kann MS nicht deaktivieren.