14
Theoretisches dauerhaftes Abschalten von Windows-Updates (Windows 10)
Moin Kollegen,
ich weiß, ich weiß, nur ein Wahnsinniger sperrt Windows-Updates, aber dennoch gibt es Gründe, Windows 10 auf einem bestimmten Stand festzusetzen.
Für mich zählen u.a. dazu die Cumulative Updates, die meist mehr im Gepäck haben, als nur reine Sicherheitsupdates.
Prinzipiell reicht oben stehender Code in einer Batch-Datei, um die entsprechenden Dienste, die mit Windows-Update zu tun haben, per Registry zu sperren (Zeilen 1-3)
und die übrigen Zeilen, um geplante Tasks entweder zu deaktivieren und/oder zu entfernen.
Der WaasMedicSvc und der UsoSvc rücken jedes Mal sonst den Update-Dienst gerade und fahren ihn wieder hoch.
Das sollte durch die Dienstsperrung und das Deaktivieren bzw. Löschen der geplanten Tasks der Vergangenheit angehören.
PSEXEC ist ein Tool aus der PSTools-Sammlung von Sysinternals und ist erforderlich, weil der Zugriff auf diese geplanten Tasks nicht mit Adminrechten möglich ist.
VG
bdmvg
ich weiß, ich weiß, nur ein Wahnsinniger sperrt Windows-Updates, aber dennoch gibt es Gründe, Windows 10 auf einem bestimmten Stand festzusetzen.
Für mich zählen u.a. dazu die Cumulative Updates, die meist mehr im Gepäck haben, als nur reine Sicherheitsupdates.
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc /v Start /t REG_DWORD /d 4 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv /v Start /t REG_DWORD /d 4 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc /v Start /t REG_DWORD /d 4 /f
c:\psexec64 -i -s schtasks /change /tn "microsoft\windows\WaaSMedic\PerformRemediation" /disable
c:\psexec64 -i -s schtasks /change /tn "\Microsoft\Windows\WindowsUpdate\Scheduled Start" /disable
c:\psexec64 -i -s schtasks /change /tn "\Microsoft\Windows\WindowsUpdate\sihpostreboot" /disable
c:\psexec64 -i -s schtasks /change /tn "\Microsoft\Windows\WindowsUpdate\sih" /disable
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\Schedule Scan" /f
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\Schedule Retry Scan" /f
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\WaaSMedic\PerformRemediation" /f
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\Schedule Scan Static Task" /f
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\UpdateModelTask" /f
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" /f Prinzipiell reicht oben stehender Code in einer Batch-Datei, um die entsprechenden Dienste, die mit Windows-Update zu tun haben, per Registry zu sperren (Zeilen 1-3)
und die übrigen Zeilen, um geplante Tasks entweder zu deaktivieren und/oder zu entfernen.
Der WaasMedicSvc und der UsoSvc rücken jedes Mal sonst den Update-Dienst gerade und fahren ihn wieder hoch.
Das sollte durch die Dienstsperrung und das Deaktivieren bzw. Löschen der geplanten Tasks der Vergangenheit angehören.
PSEXEC ist ein Tool aus der PSTools-Sammlung von Sysinternals und ist erforderlich, weil der Zugriff auf diese geplanten Tasks nicht mit Adminrechten möglich ist.
VG
bdmvg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 523730
Url: https://administrator.de/contentid/523730
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
14 Kommentare
Neuester Kommentar
Mit der LTSC Version bist Du gut aufgestellt …
Besser ist es, eine falsche WSUS-Adresse zu setzen, denn wer weiß, wann MS den WaasMedic wieder anders managet.
Muss ich mal ausprobieren.
Es kann durchaus sein, dass in kommenden Builds da ebenfalls etwas dran gedreht werden wird.
Vielleicht führen sie ja auch eine WSUS-Prüfung ein, so dass falsche WSUS-Adressen nicht greifen. Das wäre dann gruselig.
Es kann durchaus sein, dass in kommenden Builds da ebenfalls etwas dran gedreht werden wird.
Vielleicht führen sie ja auch eine WSUS-Prüfung ein, so dass falsche WSUS-Adressen nicht greifen. Das wäre dann gruselig.
Ich habe leider nur Pro und bräuchte dafür meines Wissens nach Enterprise.
Nein, da werden Sie nichts dran drehen können. Wenn der WSUS nicht da ist, ist er nicht da. Downtime gibt es immer mal 
2
Ich bin gerade über diesen Fred gestolpert weil ich auf der Suche bin die Update Benachrichtigungen auf einem Terminalserver 2019 zu deaktivieren. Beim Server 2016 ging das noch recht einfach über die Aufgabenplanung.
Beim Server 2019 ist die aber anders, es gibt nur noch die Aufgabe USO_UxBroker, die die %systemroot%\system32\MusNotification.exe startet.
Diese Aufgabe lässt sich leider nicht deaktivieren, auch Löschen ist nicht möglich. Hat hier jemand eine Idee?
Grüße
Norbert
Beim Server 2019 ist die aber anders, es gibt nur noch die Aufgabe USO_UxBroker, die die %systemroot%\system32\MusNotification.exe startet.
Diese Aufgabe lässt sich leider nicht deaktivieren, auch Löschen ist nicht möglich. Hat hier jemand eine Idee?
Grüße
Norbert
Du kannst per GPO einstellen, dass nur Admins diese Benachrichtungen bekommen. Die sollte es nicht stören.
Hi,
die lässt sich mit
nicht löschen?
die lässt sich mit
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" /f nicht löschen?
1
Ich kenne den Befehl, aber ich verstehe nicht, was Du denn willst. Willst Du gar keine Benachrichtigungen, dann schick ihn auf einen FakeWSUS, installier die Updates manuell und gut ist.
Ich richtete meinen Kommentar an @funcarver.
Ich weiß, dass DU den Befehl kennst. Dein Name ist sehr aussagekräftig.
Ich weiß, dass DU den Befehl kennst. Dein Name ist sehr aussagekräftig.
1
Sorry, ich habe euch beide durcheinandergebracht.
Hallo zusammen,
ich arbeite für ein Unternehmen wobestimmte Rechner 24/7 laufen müssen, daher wäre ein Neustart durch Updates unangebracht. Bislang hat bei Win7 das Unterbinden von Updates durch GPO's geholfen. Das wirkt bei Win10 nur noch bedingt. Daher habe ich auch mal mit diversen Möglichkeiten herumgespielt.
Im Grunde habe ich es ähnlich gelöst wie "beidermachtvongreyscull (Level 2)", ABER ich habe die Tasks nur deaktiviert, nicht gelöscht. Um im Falle das man die Dinger doch benötigt oder durch das löschen anderer Unsinn passiert nicht neu installieren zu müssen.
Da es aber wohl noch irgendeine Instanz gibt, die auch gelegentlich den deaktivierten WaaSMedic Task wieder hochzieht , der dann seinerseits wieder die anderen abgestellten Tasks aktiviert, habe ich noch im Ordner %windir%\System32\Tasks\Microsoft\Windows\WaaSMedic\ die Datei PerformRemediation in PerformRemediation.bak umbenannt und in dem Verzeichnis einen Ordner PerformRemediation angelegt damit das System nicht eine neue PerformRemediation Datei aus dem Hut zaubern kann.
Ich denke das es auch funktionieren würde wenn man dem System die Lesen und Ausführen Rechte auf die Datei entzieht.
Anyway, die Methode scheint ganz gut zu funktionieren. Ich habe das nun seit einigen Wochen eingestellt und alle Deaktivierten Tasks und Dienste blieben deaktiviert. Warten wir dann mal auf die 2003 Version von Windows.
Just my 5 Cent
Vielen Dank auch an DerWoWusste für viele gute Ideen in anderen Threads zu diesem Thema. Falscher WSUS kam nicht in Frage da ich schon Updates durchführen möchte nur eben dann wenn ich es will!
Gruß vom Doc
ich arbeite für ein Unternehmen wobestimmte Rechner 24/7 laufen müssen, daher wäre ein Neustart durch Updates unangebracht. Bislang hat bei Win7 das Unterbinden von Updates durch GPO's geholfen. Das wirkt bei Win10 nur noch bedingt. Daher habe ich auch mal mit diversen Möglichkeiten herumgespielt.
Im Grunde habe ich es ähnlich gelöst wie "beidermachtvongreyscull (Level 2)", ABER ich habe die Tasks nur deaktiviert, nicht gelöscht. Um im Falle das man die Dinger doch benötigt oder durch das löschen anderer Unsinn passiert nicht neu installieren zu müssen.
Da es aber wohl noch irgendeine Instanz gibt, die auch gelegentlich den deaktivierten WaaSMedic Task wieder hochzieht , der dann seinerseits wieder die anderen abgestellten Tasks aktiviert, habe ich noch im Ordner %windir%\System32\Tasks\Microsoft\Windows\WaaSMedic\ die Datei PerformRemediation in PerformRemediation.bak umbenannt und in dem Verzeichnis einen Ordner PerformRemediation angelegt damit das System nicht eine neue PerformRemediation Datei aus dem Hut zaubern kann.
Ich denke das es auch funktionieren würde wenn man dem System die Lesen und Ausführen Rechte auf die Datei entzieht.
Anyway, die Methode scheint ganz gut zu funktionieren. Ich habe das nun seit einigen Wochen eingestellt und alle Deaktivierten Tasks und Dienste blieben deaktiviert. Warten wir dann mal auf die 2003 Version von Windows.
Just my 5 Cent
Vielen Dank auch an DerWoWusste für viele gute Ideen in anderen Threads zu diesem Thema. Falscher WSUS kam nicht in Frage da ich schon Updates durchführen möchte nur eben dann wenn ich es will!
Gruß vom Doc
1Falscher WSUS kam nicht in Frage da ich schon Updates durchführen möchte nur eben dann wenn ich es will!
Doc, du kannst doch die WSUS-Adresse umändern, sobald Du Updates durchführen willst - geht alles manuell oder per Skript in Sekunden.
Hi,
es spricht nichts dagegen, es so wie @DerWoWusste vorschlägt zu machen.
Ich übertreibe mit meiner Lösung, da mir die Unart in Windows 10 nicht gefällt, sich "selbständig" zu machen.
Office-Updates installiere ich z.B. per Script:
Ich lade die Updates über https://docs.microsoft.com/de-de/officeupdates/office-updates-msi bzw. https://docs.microsoft.com/de-de/officeupdates/msp-files-office-2016 runter, packe sie ins Verzeichnis und lasse das Script laufen.
Windows-Updates besorge und verfolge ich auf dieser Seite: https://support.microsoft.com/de-de/help/4498140/windows-10-update-histo ...
Ich bin kein Freund mehr automatischer Updates, seit die mir einen Terminalserver zerschossen haben. Es ist echt Mist, wenn du keine cumulative Updates auf 2016 aufbringen kannst, weil die sich nicht mehr integrieren lassen.
Ich habe dann zwar irgendwann den Fehler gefunden (defektes Paket "Netzwerktreiber"), konnte es aber nur lösen, indem ich den Rechner aus einem anderen TS rausgeklont habe.
Gruß
bdmvg
es spricht nichts dagegen, es so wie @DerWoWusste vorschlägt zu machen.
Ich übertreibe mit meiner Lösung, da mir die Unart in Windows 10 nicht gefällt, sich "selbständig" zu machen.
Office-Updates installiere ich z.B. per Script:
$files = Get-ChildItem -Path "\\filer1\standardsoft$\Office_Updates\ofcx64\" -Recurse | sort-object -Property @{ Expression = 'LastWriteTime'; Ascending = $true } | Where {$_.Extension -eq ".msp"}
foreach ($file in $files)
{
$datei = $file.FullName
#$arglist = "/p $($datei) REINSTALL=ALL REINSTALLMODE=omus /qn REBOOT=ReallySuppress"
$arglist = "/p $($datei) /qn REBOOT=ReallySuppress"
Write-Host $arglist
Start-Process c:\windows\system32\msiexec.exe -Wait -ArgumentList $arglistIch lade die Updates über https://docs.microsoft.com/de-de/officeupdates/office-updates-msi bzw. https://docs.microsoft.com/de-de/officeupdates/msp-files-office-2016 runter, packe sie ins Verzeichnis und lasse das Script laufen.
Windows-Updates besorge und verfolge ich auf dieser Seite: https://support.microsoft.com/de-de/help/4498140/windows-10-update-histo ...
Ich bin kein Freund mehr automatischer Updates, seit die mir einen Terminalserver zerschossen haben. Es ist echt Mist, wenn du keine cumulative Updates auf 2016 aufbringen kannst, weil die sich nicht mehr integrieren lassen.
Ich habe dann zwar irgendwann den Fehler gefunden (defektes Paket "Netzwerktreiber"), konnte es aber nur lösen, indem ich den Rechner aus einem anderen TS rausgeklont habe.
Gruß
bdmvg
2
