j1m3e84
Goto Top

Windows Updates effektiv unterdrücken

Hallo Community!

Heute stelle ich mir/euch die Frage, wie blockiere ich Effektiv Windows-Updates?

Ich habe schon folgende Szenarien versucht:

1. Dienst "Windows Update" > deaktivieren - funktioniert nicht; der Dienst wird nach einer weile vom System wieder aktiviert; wodurch konnte ich nicht nachvollziehen

2. Registryeintrag "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\NoAutoUpdate"1" ..." angelegt - habe bisher nicht länger testen können

3. Datennutzung > Limit festlegen - habe ich bisher auch nicht länger testen können - gibt es hier probleme mit dem Internetspeed oder sonstigen einschränkungen durch die Nutzung??

4. Windows Updates aussetzen und nach x Tagen wieder zulassen - hier wurden trotzdem Sicherheitsupdates installiert.....


Irgendwie so 100%ig safe scheint alles nicht zu sein... wie setzt Ihr es um, die Updates komplett zu blocken?

Würde mich über euer Feedback freuen!

VG

j1m3e

Content-ID: 520321

Url: https://administrator.de/contentid/520321

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

DerWoWusste
Lösung DerWoWusste 29.11.2019 aktualisiert um 11:35:07 Uhr
Goto Top
Hi.

Falschen WSUS eintragen ist das Einzige, was hilft.
j1m3e84
j1m3e84 29.11.2019 um 12:00:51 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Falschen WSUS eintragen ist das Einzige, was hilft.


kannst du mir erklären wo man das macht?

habe in der Registry unter "WindowsUpdate" folgendes angelegt:

WUServer > Zeichenfolge > Wert 0
WUStatusServer > Zeichenfolge > Wert 0

angelegt allerdings hat das nicht funktioniert
bloodstix
bloodstix 29.11.2019 aktualisiert um 12:15:26 Uhr
Goto Top
Windows-Version wäre natürlich auch interessant.
Windows 10 hat mitlerweile seinen eigenen Update-Repair-Trojaner namens Windows Update Remediation Service. Da kommst du mit einfach Dienste abschalten oder Reg-Keys entfernen nicht mehr weit.
>> Anleitung für WSUS-Einträge <<
chgorges
chgorges 29.11.2019 um 12:40:12 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Falschen WSUS eintragen ist das Einzige, was hilft.

Zuzüglich Dualscan deaktivieren, sonst verpufft der Effekt des falschen WSUS-Eintrag.

https://www.windowspro.de/wolfgang-sommergut/clients-fuer-wsus-konfiguri ...
https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-bu ...
j1m3e84
j1m3e84 29.11.2019 um 12:47:03 Uhr
Goto Top
Zitat von @chgorges:

Zitat von @DerWoWusste:

Hi.

Falschen WSUS eintragen ist das Einzige, was hilft.

Zuzüglich Dualscan deaktivieren, sonst verpufft der Effekt des falschen WSUS-Eintrag.

https://www.windowspro.de/wolfgang-sommergut/clients-fuer-wsus-konfiguri ...
https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-bu ...


gibts das nur als GPO oder auch per Registry?
Weil unsere Betroffenen Geräte sind in keiner Domäne

Danke für die Tipps!
chgorges
chgorges 29.11.2019 um 12:56:42 Uhr
Goto Top
[Registry_hklm_disable_updates]
openkey [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
set "DoNotConnectToWindowsUpdateInternetLocations"=reg_dword:1
set "DisableWindowsUpdateAccess"=reg_dword:1
set "SetDisableUXWUAccess"=reg_dword:1
set "DisableDualScan"=reg_dword:1
openkey [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate]
set "AutoDownload"=reg_dword:5

Ist aber OPSI-Sprache, musst das dann entsprechend übernehmen.
Funktioniert mit Windows 10 Education (=Enterprise), in wie weit es mit Professional funktioniert, kann ich dir nicht sagen.

Mit Win10 Home wird es definitiv nicht funktionieren, da solltest du dir eher einen Squid vornedran stellen, der WU-Adressen blockt.
DerWoWusste
Lösung DerWoWusste 29.11.2019 um 13:07:27 Uhr
Goto Top
Folgendes als fakeWSUS.reg abspeichern und importieren, danach den Windows Update Dienst neu starten:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001  
"WUServer"="https://fakename.fake:8531"  
"WUStatusServer"="https://fakename.fake:8531"  

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:00000001  
j1m3e84
j1m3e84 29.11.2019 aktualisiert um 13:23:17 Uhr
Goto Top
Zitat von @DerWoWusste:

Folgendes als fakeWSUS.reg abspeichern und importieren, danach den Windows Update Dienst neu starten:
Windows Registry Editor Version 5.00
> 
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
> "DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001  
> "WUServer"="https://fakename.fake:8531"  
> "WUStatusServer"="https://fakename.fake:8531"  
> 
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
> "UseWUServer"=dword:00000001  


genau diese 4 Einträge habe ich aktuell. Es scheint so für mich zu funktionieren!

Danke!
DerWoWusste
Lösung DerWoWusste 29.11.2019, aktualisiert am 26.01.2020 um 10:40:24 Uhr
Goto Top
Das sind aber 4! Und alle werden gebraucht.
Edit: Zuerst schrieb er "...genau diese 3 Einträge...
beidermachtvongreyscull
beidermachtvongreyscull 30.11.2019 aktualisiert um 16:01:16 Uhr
Goto Top
Hier mal ein Tipp aus eigener Erfahrung:

Schau mal in die Aufgabenplanung:
Planungsbibliothek --> Microsoft --> Windows --> Windows Update

Dort ist mindestens ein Eintrag, der den sihclient abfeuert. Der dreht die Einstellungen immer wieder so um, dass Windowsupdates anlaufen.
Wenn Du den löschst oder zumindest deaktivierst, sollte der Windows-Update-Dienst auch deaktiviert bleiben.

Wenn das nicht reicht, so gibt es noch so einen Schlingel, der abgestellt werden kann:
Den "Windows as a Service Medic Service". In der Dienstkontrolle taucht er auf als "Windows Update Medic Service".
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc

In obigem Key findest Du ihn und kannst den Starttyp ändern.

Teste das aber vorher auf einer Laborbüchse.