WSUS Abschaltung

Mitglied: JosefP

JosefP (Level 1) - Jetzt verbinden

07.04.2021 um 08:38 Uhr, 708 Aufrufe, 12 Kommentare

Moin zusammen,

ich habe eine Frage und hoffe mir kann vielleicht jemand weiterhelfen. :) face-smile

Folgende Situation:

Wir möchten in unserem Unternehmen gerne den WSUS Server abschalten. Jetzt muss ja dafür noch auf allen Clients der entsprechende Eintrag in der Registry entfernt werden, damit diese nicht mehr versuchen eine Verbindung zu dem Server aufzubauen. Im Netz habe ich jetzt ein paar unterschiedliche Hinweise zu dem Thema gefunden.
Reicht es, einfach unter Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate für die Attribute WUServer und WUStatusServer Fake Einträge zu hinterlegen?
Gibt es noch mehr Werte die ggf. angepasst/geprüft werden müssen?

Vielleicht noch als kleiner Hinweis: Eine manuelle Online Suche solllte bei Bedarf weiterhin möglich sein, wir möchten als den Update Dienst nicht komplett deaktivieren.

Vielen Dank im Voraus!
Mitglied: DerWoWusste
LÖSUNG 07.04.2021 um 09:46 Uhr
Hi.

Den genannten gesamten Key löschen und den Updatedienst neu starten, fertig.

Wie kommt es zu dem Entschluss?
Bitte warten ..
Mitglied: Doskias
LÖSUNG 07.04.2021, aktualisiert um 09:51 Uhr
Moin,

Wieso machst du es dir so kompliziert? Wenn du den WSUS konfiguriert hast, dann hast du es doch sicher per GPO gemacht. Vermutlich mit dem Schlüssel Internen Pfad für den Microsoft Updatedienst angeben. Dort steht in der Beschreibung:

Wenn der Status auf „Deaktiviert“ oder „Nicht konfiguriert“ festgelegt ist und wenn automatische Updates nicht durch eine Richtlinie oder Benutzereinstellung deaktiviert sind, stellt der Client für automatische Updates direkt eine Verbindung mit der Windows Update-Website im Internet her.

Also GPO von Aktiviert auf Deaktiviert oder nicht Konfiguriert setzen und es sollte wieder die Update Website im Internet kontaktiert werden.

Gruß
Doskias
Bitte warten ..
Mitglied: JosefP
07.04.2021 um 10:02 Uhr
Danke für die schnelle Hilfe!
Update Rollout soll in Zukunft durch eine andere Lösung durchgeführt werden.
Bitte warten ..
Mitglied: em-pie
07.04.2021, aktualisiert um 10:05 Uhr
Zitat von @Doskias:
Wenn der Status auf „Deaktiviert“ oder „Nicht konfiguriert“ festgelegt ist und wenn automatische Updates nicht durch eine Richtlinie oder Benutzereinstellung deaktiviert sind, stellt der Client für automatische Updates direkt eine Verbindung mit der Windows Update-Website im Internet her.
Also GPO von Aktiviert auf Deaktiviert oder nicht Konfiguriert setzen und es sollte wieder die Update Website im Internet kontaktiert werden.
Vorsicht hierbei. Manche GPOs deuten die Einstellung dann so, dass der bisher gesetzte Werte nicht verändert wird. Ob das bei den WSUS-Settings auch so ist, weiss ich gerade nicht.
Ein "Deaktiviert" wäre hier jedoch vorzuziehen.


Ansonsten kann ich mich @DWWs Frage nur anschließen:
Weshalb wird der WSUS in Gänze abgeschaltet?

Edit: OK, Frage ist geklärt, habe zu langsam getippt ^^

Gruß
em-pie
Bitte warten ..
Mitglied: Doskias
07.04.2021 um 10:25 Uhr
Zitat von @em-pie:
Zitat von @Doskias:
Wenn der Status auf „Deaktiviert“ oder „Nicht konfiguriert“ festgelegt ist und wenn automatische Updates nicht durch eine Richtlinie oder Benutzereinstellung deaktiviert sind, stellt der Client für automatische Updates direkt eine Verbindung mit der Windows Update-Website im Internet her.
Also GPO von Aktiviert auf Deaktiviert oder nicht Konfiguriert setzen und es sollte wieder die Update Website im Internet kontaktiert werden.
Vorsicht hierbei. Manche GPOs deuten die Einstellung dann so, dass der bisher gesetzte Werte nicht verändert wird. Ob das bei den WSUS-Settings auch so ist, weiss ich gerade nicht.
Ein "Deaktiviert" wäre hier jedoch vorzuziehen.
Das ist richtig, aber das kann man ja testen. Die überwiegende Anzahl an GPOs setzt jedoch den Standard zurück, wenn es auf nicht konfiguriert gestellt wird. Bin mir grade nur 99% sicher, aber ich habe vor Ostern einen Client aus einer OU verschieben müssen und er war dann auch außerhalb der WSUS-Gruppe und hat sich sofort die aktuellen Updates gekrallt. Würde ich aber ohne Test meine Hand jetzt nicht mehr für ins Feuer legen.
Ich persönlich bin jedoch immernoch ein Freund von aktiviert/deaktiviert selbst wenn die Einstellung bei nicht konfiguriert zurückgesetzt wird. Bei deaktiviert weiß der Kollege dann, dass es absichtlich gesetzt wurde und nicht vielleicht vergessen wurde. Bei deaktiviert wird dann eher mal Rücksprache gehalten als bei nicht konfiguriert.

Aber nur den Key löschen, wenn es via GPO verteilt wurde, reicht auf Dauer nicht aus ;-) face-wink

Gruß
em-pie

Gruß
Doskias
Bitte warten ..
Mitglied: manuel-r
07.04.2021 um 10:38 Uhr
Wir möchten in unserem Unternehmen gerne den WSUS Server abschalten.

Interessehalber: Warum?
Ich bin eigentlich ganz froh entscheiden zu können wann die Clients und Server welche Updates bekommen? Wenn ich einfach mal an letzten Monat denke, wäre hier die Hölle losgebrochen, weil wir nämlich ausschließlich Drucker von Kyocera haben. Wenn wir von heute auf morgen keine Angebote oder Rechnungen mehr drucken könnten wäre das schon sehr blöd. Und das ist jetzt ja nur ein Beispiel von vielen.

Manuel
Bitte warten ..
Mitglied: StefanKittel
08.04.2021 um 04:16 Uhr
Zitat von @JosefP:
Update Rollout soll in Zukunft durch eine andere Lösung durchgeführt werden.
Magst Du uns erzählen welche Lösung Ihr in Zukunft verwendet?
Und vieleich auch warum gerade diese.

Es wäre toll wenn Du Dir die 2 Minuten dafür Zeit nimmst.

WSUS ist nicht der Weisheit letzter Schluss, aber eine richtig tolle Lösung, besonders für kleine (KMU) verteilte Strukturen habe ich noch nicht gefunden.

Stefan
Bitte warten ..
Mitglied: JosefP
08.04.2021, aktualisiert um 10:32 Uhr
Danke an alle für die Antworten und die Hilfe!

Eine Frage noch dazu: Ich glaub ich stehe da irgendwie noch auf dem Schlauch, wenn ich einfach den Key in der Registry lösche, ziehen die Clients sich dann nicht automatisch die Updates aus dem Netz?
Das soll eben nach Möglichkeit nicht der Fall sein, da die Updates ja vor dem Rollout geprüft werden sollen.
Deshalb also quasi:
- Clients sollen sich nicht mehr mit dem noch vorhandenen WSUS verbinden (WSUS Eintrag raus, Fake WSUS hinterlegen?!)
- manuelle Online Suche bei Bedarf für die IT sollte möglich sein
- Clients und Server sollen sich nicht automatisch Updates von Microsoft ziehen

Bezüglich der neuen Lösung:
Geplant ist das über die KACE Endgeräteverwaltung von Quest zu machen. Die Software wird auch darüber ausgerollt, und so soll das wohl in Zukunft alles einheitlich da drüber laufen.
Bitte warten ..
Mitglied: StefanKittel
LÖSUNG 08.04.2021 um 11:37 Uhr
Zitat von @JosefP:
Eine Frage noch dazu: Ich glaub ich stehe da irgendwie noch auf dem Schlauch, wenn ich einfach den Key in der Registry lösche, ziehen die Clients sich dann nicht automatisch die Updates aus dem Netz?
Ja, das wird der Fall sein.

Das soll eben nach Möglichkeit nicht der Fall sein, da die Updates ja vor dem Rollout geprüft werden sollen.
Daran beißen sich viele Leute die Zähne aus.

Zum einen nutzt Windows 10 ein Feature mit dem Namen "Dual Scan".
Siehe auch https://administrator.de/forum/-417055.html

Wenn Windows den WSUS nicht erreichen kann fragt er direkt bei MS nach.
Ein Fake WSUS hilft also nicht.

Zum Anderen ändert Windows mit jedem Funktionsupgrade die Methodik.
Selbst den Windows-Dienst zu deaktivieren hilft nicht. Windows aktiviert den einfach wieder.

Diese Funktionalität muss das neue Patchmanagement mitbringen.

Stefan
Bitte warten ..
Mitglied: JosefP
08.04.2021 um 14:10 Uhr
Danke!
Dualscan lässt sich, wenn ich das richtig verstanden habe, über eine GPO in der Registry deaktivieren.

Wenn Windows den WSUS nicht erreichen kann fragt er direkt bei MS nach.
Ein Fake WSUS hilft also nicht.
und da gibt es keine Möglichkeit das irgendwie zu unterbinden? Andere werden doch sicherlich auch schonmal vor einer ähnlichen Situation gestanden haben, oder? Dass also aus irgendeinem Grund der WSUS abgeschafft werden soll, Windows aber sich deshalb nicht alle Updates einfach automatisch ziehen soll.
Bitte warten ..
Mitglied: StefanKittel
08.04.2021 um 14:17 Uhr
Zitat von @JosefP:
Dualscan lässt sich, wenn ich das richtig verstanden habe, über eine GPO in der Registry deaktivieren.
Aber nicht so dauerhaft wie zumindest ich mir das wünsche.
Für 1909 hatte ich eine tolle Möglichkeit über GPO und/oder Registry die ab 2004 komplett ignoriert wurde.

und da gibt es keine Möglichkeit das irgendwie zu unterbinden?
Bestimmt, aber man muss es regelmäßig anpassen und es funktioniert z.B. für FF, Chrome oder Adobe anders.
Das Patchmanagement von Solarwinds z.B. zeigt dann an "Diese Einstellung wird vom Admin verwaltet".
Aber 100% ist das auch nciht und hat andere Schwächen.

Deshalb hatte ich gefragt was Ihr verwendet.
Ich suche auch noch das perfekte Patchmanagement für KMU-Kunden ohne AD und für externe Computer mit Test-Computer und verzögerter Installation.

Stefan
Bitte warten ..
Mitglied: emeriks
08.04.2021 um 14:55 Uhr
Dass das Deaktivieren des "Dual Scan" ab 2004 nicht mehr funktionieren soll, kann ich jetzt nicht explizit bestätigen. Wir haben das so bei uns im Einsatz und es funktioniert meines Wissens.
Weiterhin kann man per GPO diesen alternativen Download-Server auch vorgeben.

Einen "Fake Server" würde ich nicht angeben, weil Windows Update diesen dann ja auch sucht. Wenn, dann eher einen "nackten" WSUS vorhalten, welcher sich nicht synchronisiert und keine Updates hat, und die Clients mit diesem konfigurieren.
Und dann kann man noch per Firewall und Proxy unterbinden, dass die Clients überhaupt an die MS-Update-Server im Web rankommen.

E.
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 1 TagFrageFestplatten, SSD, Raid14 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 16 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 23 StundenFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...