beidermachtvongreyscull
Goto Top

Theoretisches dauerhaftes Abschalten von Windows-Updates (Windows 10)

Moin Kollegen,

ich weiß, ich weiß, nur ein Wahnsinniger sperrt Windows-Updates, aber dennoch gibt es Gründe, Windows 10 auf einem bestimmten Stand festzusetzen.
Für mich zählen u.a. dazu die Cumulative Updates, die meist mehr im Gepäck haben, als nur reine Sicherheitsupdates.

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc /v Start /t REG_DWORD /d 4 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv /v Start /t REG_DWORD /d 4 /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc /v Start /t REG_DWORD /d 4 /f
c:\psexec64 -i -s schtasks /change /tn "microsoft\windows\WaaSMedic\PerformRemediation" /disable  
c:\psexec64 -i -s schtasks /change /tn "\Microsoft\Windows\WindowsUpdate\Scheduled Start" /disable  
c:\psexec64 -i -s schtasks /change /tn "\Microsoft\Windows\WindowsUpdate\sihpostreboot" /disable  
c:\psexec64 -i -s schtasks /change /tn "\Microsoft\Windows\WindowsUpdate\sih" /disable  
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\Schedule Scan" /f  
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\Schedule Retry Scan" /f  
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\WaaSMedic\PerformRemediation" /f  
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\Schedule Scan Static Task" /f  
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\UpdateModelTask" /f  
c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" /f  

Prinzipiell reicht oben stehender Code in einer Batch-Datei, um die entsprechenden Dienste, die mit Windows-Update zu tun haben, per Registry zu sperren (Zeilen 1-3)
und die übrigen Zeilen, um geplante Tasks entweder zu deaktivieren und/oder zu entfernen.

Der WaasMedicSvc und der UsoSvc rücken jedes Mal sonst den Update-Dienst gerade und fahren ihn wieder hoch.
Das sollte durch die Dienstsperrung und das Deaktivieren bzw. Löschen der geplanten Tasks der Vergangenheit angehören.

PSEXEC ist ein Tool aus der PSTools-Sammlung von Sysinternals und ist erforderlich, weil der Zugriff auf diese geplanten Tasks nicht mit Adminrechten möglich ist.

VG
bdmvg

Content-Key: 523730

Url: https://administrator.de/contentid/523730

Ausgedruckt am: 19.03.2024 um 14:03 Uhr

Mitglied: UweGri
UweGri 11.12.2019 um 00:15:11 Uhr
Goto Top
Mit der LTSC Version bist Du gut aufgestellt …
Mitglied: DerWoWusste
DerWoWusste 11.12.2019 um 14:55:10 Uhr
Goto Top
Besser ist es, eine falsche WSUS-Adresse zu setzen, denn wer weiß, wann MS den WaasMedic wieder anders managet.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 11.12.2019 um 16:08:29 Uhr
Goto Top
Muss ich mal ausprobieren.
Es kann durchaus sein, dass in kommenden Builds da ebenfalls etwas dran gedreht werden wird.

Vielleicht führen sie ja auch eine WSUS-Prüfung ein, so dass falsche WSUS-Adressen nicht greifen. Das wäre dann gruselig.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 11.12.2019 um 16:09:06 Uhr
Goto Top
Ich habe leider nur Pro und bräuchte dafür meines Wissens nach Enterprise.
Mitglied: DerWoWusste
DerWoWusste 11.12.2019 um 16:18:13 Uhr
Goto Top
Nein, da werden Sie nichts dran drehen können. Wenn der WSUS nicht da ist, ist er nicht da. Downtime gibt es immer mal face-smile
Mitglied: funcarver
funcarver 06.02.2020 um 15:34:08 Uhr
Goto Top
Ich bin gerade über diesen Fred gestolpert weil ich auf der Suche bin die Update Benachrichtigungen auf einem Terminalserver 2019 zu deaktivieren. Beim Server 2016 ging das noch recht einfach über die Aufgabenplanung.

Beim Server 2019 ist die aber anders, es gibt nur noch die Aufgabe USO_UxBroker, die die %systemroot%\system32\MusNotification.exe startet.

Diese Aufgabe lässt sich leider nicht deaktivieren, auch Löschen ist nicht möglich. Hat hier jemand eine Idee?

Grüße

Norbert
Mitglied: DerWoWusste
DerWoWusste 06.02.2020 um 16:56:56 Uhr
Goto Top
Du kannst per GPO einstellen, dass nur Admins diese Benachrichtungen bekommen. Die sollte es nicht stören.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 06.02.2020 um 17:43:48 Uhr
Goto Top
Hi,
die lässt sich mit

c:\psexec64 -i -s schtasks /delete /tn "Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" /f  

nicht löschen?
Mitglied: DerWoWusste
DerWoWusste 06.02.2020 um 18:15:56 Uhr
Goto Top
Ich kenne den Befehl, aber ich verstehe nicht, was Du denn willst. Willst Du gar keine Benachrichtigungen, dann schick ihn auf einen FakeWSUS, installier die Updates manuell und gut ist.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 06.02.2020 um 18:55:27 Uhr
Goto Top
Ich richtete meinen Kommentar an @funcarver.

Ich weiß, dass DU den Befehl kennst. Dein Name ist sehr aussagekräftig. face-smile
Mitglied: DerWoWusste
DerWoWusste 06.02.2020 um 22:04:37 Uhr
Goto Top
Sorry, ich habe euch beide durcheinandergebracht.
Mitglied: derdoctor
derdoctor 12.02.2020 um 07:56:27 Uhr
Goto Top
Hallo zusammen,

ich arbeite für ein Unternehmen wobestimmte Rechner 24/7 laufen müssen, daher wäre ein Neustart durch Updates unangebracht. Bislang hat bei Win7 das Unterbinden von Updates durch GPO's geholfen. Das wirkt bei Win10 nur noch bedingt. Daher habe ich auch mal mit diversen Möglichkeiten herumgespielt.
Im Grunde habe ich es ähnlich gelöst wie "beidermachtvongreyscull (Level 2)", ABER ich habe die Tasks nur deaktiviert, nicht gelöscht. Um im Falle das man die Dinger doch benötigt oder durch das löschen anderer Unsinn passiert nicht neu installieren zu müssen.

Da es aber wohl noch irgendeine Instanz gibt, die auch gelegentlich den deaktivierten WaaSMedic Task wieder hochzieht , der dann seinerseits wieder die anderen abgestellten Tasks aktiviert, habe ich noch im Ordner %windir%\System32\Tasks\Microsoft\Windows\WaaSMedic\ die Datei PerformRemediation in PerformRemediation.bak umbenannt und in dem Verzeichnis einen Ordner PerformRemediation angelegt damit das System nicht eine neue PerformRemediation Datei aus dem Hut zaubern kann.
Ich denke das es auch funktionieren würde wenn man dem System die Lesen und Ausführen Rechte auf die Datei entzieht.
Anyway, die Methode scheint ganz gut zu funktionieren. Ich habe das nun seit einigen Wochen eingestellt und alle Deaktivierten Tasks und Dienste blieben deaktiviert. Warten wir dann mal auf die 2003 Version von Windows.
Just my 5 Cent
Vielen Dank auch an DerWoWusste für viele gute Ideen in anderen Threads zu diesem Thema. Falscher WSUS kam nicht in Frage da ich schon Updates durchführen möchte nur eben dann wenn ich es will!

Gruß vom Doc
Mitglied: DerWoWusste
DerWoWusste 12.02.2020 um 08:36:59 Uhr
Goto Top
Falscher WSUS kam nicht in Frage da ich schon Updates durchführen möchte nur eben dann wenn ich es will!
Doc, du kannst doch die WSUS-Adresse umändern, sobald Du Updates durchführen willst - geht alles manuell oder per Skript in Sekunden.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 12.02.2020 um 11:03:51 Uhr
Goto Top
Hi,

es spricht nichts dagegen, es so wie @DerWoWusste vorschlägt zu machen.
Ich übertreibe mit meiner Lösung, da mir die Unart in Windows 10 nicht gefällt, sich "selbständig" zu machen.

Office-Updates installiere ich z.B. per Script:

$files = Get-ChildItem -Path "\\filer1\standardsoft$\Office_Updates\ofcx64\" -Recurse | sort-object -Property @{ Expression = 'LastWriteTime'; Ascending = $true }  | Where {$_.Extension -eq ".msp"}  
foreach ($file in $files)
{
   
   $datei = $file.FullName
   #$arglist = "/p  $($datei)  REINSTALL=ALL REINSTALLMODE=omus /qn REBOOT=ReallySuppress" 
   $arglist = "/p  $($datei) /qn REBOOT=ReallySuppress"  
   Write-Host $arglist
   Start-Process c:\windows\system32\msiexec.exe -Wait -ArgumentList $arglist

Ich lade die Updates über https://docs.microsoft.com/de-de/officeupdates/office-updates-msi bzw. https://docs.microsoft.com/de-de/officeupdates/msp-files-office-2016 runter, packe sie ins Verzeichnis und lasse das Script laufen.

Windows-Updates besorge und verfolge ich auf dieser Seite: https://support.microsoft.com/de-de/help/4498140/windows-10-update-histo ...

Ich bin kein Freund mehr automatischer Updates, seit die mir einen Terminalserver zerschossen haben. Es ist echt Mist, wenn du keine cumulative Updates auf 2016 aufbringen kannst, weil die sich nicht mehr integrieren lassen. face-smile
Ich habe dann zwar irgendwann den Fehler gefunden (defektes Paket "Netzwerktreiber"), konnte es aber nur lösen, indem ich den Rechner aus einem anderen TS rausgeklont habe.

Gruß
bdmvg