Wie automatische Windows Updates zuverlässig verhindern
Hallo!
Heute haben meine Windows 2022 Server trotz unveränderter GPO das Cumulative-Update eingespielt, wenn sie nicht auf "nur herunterladen" standen.
Dadurch hatte ich einen echt miesen Tag.
Was ist denn der beste Weg, wirklich sicherzustellen, dass Windows _KEINE_ Updates eigenständig installiert?
Ich möchte ausschließlich manuell über mein ClientManagement die Updates pushen?
- Konfiguriere ich per GPO "Automatische Updates konfigurieren"=Deaktiviert, werden dennnoch Updates direkt installiert, wenn man nur auf "Nach Upates suchen" geht.
Wie handhabt ihr das?
Setzt ihr "Automatische Updates konfigurieren" auf "2 - Vor Download und automatischer Installation benachrichtigen"?
Habt ihr einen besseren Weg?
Danke und Grüße
Phil
Heute haben meine Windows 2022 Server trotz unveränderter GPO das Cumulative-Update eingespielt, wenn sie nicht auf "nur herunterladen" standen.
Dadurch hatte ich einen echt miesen Tag.
Was ist denn der beste Weg, wirklich sicherzustellen, dass Windows _KEINE_ Updates eigenständig installiert?
Ich möchte ausschließlich manuell über mein ClientManagement die Updates pushen?
- Konfiguriere ich per GPO "Automatische Updates konfigurieren"=Deaktiviert, werden dennnoch Updates direkt installiert, wenn man nur auf "Nach Upates suchen" geht.
Wie handhabt ihr das?
Setzt ihr "Automatische Updates konfigurieren" auf "2 - Vor Download und automatischer Installation benachrichtigen"?
Habt ihr einen besseren Weg?
Danke und Grüße
Phil
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669462
Url: https://administrator.de/contentid/669462
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
schau mal nach, ob du die aktuellen ADMX für Windows Server 2022 bereits hast. Die Einstellungen der GPO werden sonst (zumindest teilweise definitiv) ignoriert unter Server 2022.
Danach greift auch Option 2 bei "Automatische Updates konfigurieren" wieder korrekt. Letzte Woche erst bei einem Kunden korrigiert, da die bereitgestellten Updates durch den WSUS bei Server 22 VMs auch einfach durchgelaufen sind, trotz Option 2, alle anderen Server drunter zeigten korrekt den "Download"-Button unter Windows Update an. Nach dem Update der ADMX kein Problem mehr.
Dran denken, ein GPUpdate durchzuführen nach Aktualisierung der GPO.
Download hier:
ADMX Server 2022
Gruß
schau mal nach, ob du die aktuellen ADMX für Windows Server 2022 bereits hast. Die Einstellungen der GPO werden sonst (zumindest teilweise definitiv) ignoriert unter Server 2022.
Danach greift auch Option 2 bei "Automatische Updates konfigurieren" wieder korrekt. Letzte Woche erst bei einem Kunden korrigiert, da die bereitgestellten Updates durch den WSUS bei Server 22 VMs auch einfach durchgelaufen sind, trotz Option 2, alle anderen Server drunter zeigten korrekt den "Download"-Button unter Windows Update an. Nach dem Update der ADMX kein Problem mehr.
Dran denken, ein GPUpdate durchzuführen nach Aktualisierung der GPO.
Download hier:
ADMX Server 2022
Gruß
Ja, aufgrund der fehlerhaften August-Updates zum Beispiel, habe ich bei einigen Kunden umgestellt, um hier nicht direkt die heruntergeladenen Updates vor der eigentlichen Installation stehen zu haben, sondern vorab selektieren und declinen zu können.
Mit Option 2 unter den automatischen Updates, also für Download und Installation benachrichtigen, wird hier nichts mehr automatisch gezogen.
Die Server melden zwar, das Updates da sind, aber einen Auto-Download habe ich nicht mehr.
Ich habe hier zum Beispiel auch die Onlinesuche deaktiviert, um nicht am WSUS vorbei zu suchen und dann doch wieder automatisch zu laden und zu installieren.
Wenn du allerdings ein anderes System zum Patchmanagement einsetzt, kannst du (falls der WSUS auch noch existiert gleichzeitig) die Server ja trotzdem gegen den WSUS rennen lassen, musst die Updates ja nicht darüber freigeben. Zumindest siehst du ja, was theoretisch von den Kisten benötigt wird dadurch. ^^
Mit Option 2 unter den automatischen Updates, also für Download und Installation benachrichtigen, wird hier nichts mehr automatisch gezogen.
Die Server melden zwar, das Updates da sind, aber einen Auto-Download habe ich nicht mehr.
Ich habe hier zum Beispiel auch die Onlinesuche deaktiviert, um nicht am WSUS vorbei zu suchen und dann doch wieder automatisch zu laden und zu installieren.
Wenn du allerdings ein anderes System zum Patchmanagement einsetzt, kannst du (falls der WSUS auch noch existiert gleichzeitig) die Server ja trotzdem gegen den WSUS rennen lassen, musst die Updates ja nicht darüber freigeben. Zumindest siehst du ja, was theoretisch von den Kisten benötigt wird dadurch. ^^
Moin,
Wenn du "Automatische Updates konfigurieren" auf "Deaktiviert" stellt, bedeutet das, das diese GPO KEINERLEI KONFIGURATION an den Automatischen Updates vornimmt - also alles auf Default stehen lässt.
Du musst also "Automatische Updates konfigurieren" auf "Aktiviert" stellen, und dann darunter das gewünschte Verhalten konfigurieren.
lg,
Slainte
- Konfiguriere ich per GPO "Automatische Updates konfigurieren"=Deaktiviert,
Du hast das Prinzip der Konfiguration per GPO nicht verstanden Wenn du "Automatische Updates konfigurieren" auf "Deaktiviert" stellt, bedeutet das, das diese GPO KEINERLEI KONFIGURATION an den Automatischen Updates vornimmt - also alles auf Default stehen lässt.
Du musst also "Automatische Updates konfigurieren" auf "Aktiviert" stellen, und dann darunter das gewünschte Verhalten konfigurieren.
lg,
Slainte
Ich tendiere gerade dazu, alles gegen einen "Dummy-WSUS" laufen zu lassen, der einfach keine Updates kennt/hat
Den muss es nicht einmal geben. Einfach eine Fakeadresse eintragen und fertig. Wenn man zudem noch Dualscan deaktiviert, wird bei Nicht-Erreichbarkeit des WSUS auch nicht das Internet für die Suche herangezogen.PS: wer teilt mit mir das Leid, dass unter Win11 23H2 die option "no auto-restart with logged on users" schlicht ignoriert wird? Finde ich gar nicht lustig.
Hallo,
noch mal kurz ein bisschen Senf zu dem Thema von mir. Allerdings eher so von der Client-Seite.
Du möchtest eine zuverlässig Lösung? Trenne den Server vollständig vom Internet.
In den letzten Jahren habe ich alles Mögliche probiert um Win10/11 Clients davon abzuhalten Updates ungefragt zu installieren oder neu zu starten. Hoffnungslos.
Microsoft ignoriert seine eigenen Vorgaben/Einstellungen, deaktivert ungefragt Deine Änderungen, Installiert Updates mit Dual-Scan an allen Einstellungen vorbei. Teilweise sogar über die "Abkürzung" von anderen Clients im LAN, etc.
Ich hatte mal eine Meldung im Eventlog die Sinngemäß diesen Inhalt enthielt: Der WSUS-Server hat seit längerem keine neuen Updates bereitgestellt. Ich installiere jetzt Updates von einer Online-Quelle. (Der WSUS war ein echte WSUS der aber keine Updates enthielt. Also nur ein Blocker).
Stefan
noch mal kurz ein bisschen Senf zu dem Thema von mir. Allerdings eher so von der Client-Seite.
Du möchtest eine zuverlässig Lösung? Trenne den Server vollständig vom Internet.
In den letzten Jahren habe ich alles Mögliche probiert um Win10/11 Clients davon abzuhalten Updates ungefragt zu installieren oder neu zu starten. Hoffnungslos.
Microsoft ignoriert seine eigenen Vorgaben/Einstellungen, deaktivert ungefragt Deine Änderungen, Installiert Updates mit Dual-Scan an allen Einstellungen vorbei. Teilweise sogar über die "Abkürzung" von anderen Clients im LAN, etc.
Ich hatte mal eine Meldung im Eventlog die Sinngemäß diesen Inhalt enthielt: Der WSUS-Server hat seit längerem keine neuen Updates bereitgestellt. Ich installiere jetzt Updates von einer Online-Quelle. (Der WSUS war ein echte WSUS der aber keine Updates enthielt. Also nur ein Blocker).
Stefan