Jump to content

Windows 10 Updates verhindern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Danke für die Info. Windows 10 hast ein LTSC oder IoT im Einsatz damit keine grossen Upgrades gefahren werden?

Habe ja auch gezwungenermassen unfreiwillig ein paar solcher Krücken im Einsatz. Einen Scanserver übrigens auch mehrfach, allerdings aus anderem Grund (NTLM). Ich persönlich würde den Rechner nicht ins Hauptnetz nehmen. Aber wurde ja schon hinlänglich breit geschlagen. Habe dafür einen allfälligen Lösungsatz.

 

Da Du mit VmWare arbeitest, könntest Du das ganze entkoppeln

- VM1 hat die Verbindung zum Scanner aber nicht ins Netzwerk

- VM2 hat die Verbindung ins Netzwerk aber nicht zum Scanner

 

Für die Scans verwendest Du eine Platte die für beide VM's mit einem Physical Shared Controller angebunden ist. Wichtig hierbei ist, dass die Indexdienste auf der Platte auf beiden Seiten deaktiviert werden, da es ansonsten Theater gibt weil beide VM's gemeinsam schreiben könnten und NTFS ja kein Cluster-Filesystem ist. Schon gar nicht wenn sie voneinander nichts wissen. Ist zwar für ein solches Laufwerk nicht schlimm, aber dennoch nervig. Optimalerweise haben auch nur Benutzer von VM1 Schreibzugriff und die Ordner werden z.Bsps. in der Nacht per Script geleert. Müssen die beiden VM's "kommunzieren" bzw. beide schreiben, kann man das z.bsp. mittels einem Lock-File/Kommunikations-File und Scripts die per Aufgabe gestartet werden, erschlagen (oder einem eigens programmierten Dienst). Ist ziemlich primitiv und je nach Aufgabe auch etwas aufwendiger wenn zeitnahe Nutzerinterkation gefordert ist, funktioniert aber. Im Endeffekt macht VmWare für ihr VMFS auch nichts anderes, wenn auch technisch ausgefeilter ;)

 

Klappt aber auch nur, wenn die Software nicht noch irgendwleche User-Verwaltung bewerkstelligen muss damit nicht jeder ide Scans sieht. Auch wenn das auch über definierte Zielordner auf dem Scanner gelöst werden kann.

 

 

vor 42 Minuten schrieb Sunny61:

Wenn Du anstatt der Übermittlungsoptimierung einen falschen WSUS konfigurierst, bist Du IMHO auf der sicheren Seite.

Nope das reicht schon länger nicht mehr aus. Man muss den Medical Service deaktivieren, die Übermittlungsoptimierung, den regulären Update Service und die Aufgabe wo mir jetzt der Name grad spontan nicht einfällt aber einfach zu finden ist, welche den Status des Medical Services überwacht. Ansonsten klappt das nicht zuverlässig. Ich sperre zusätzlich die Kommunikation per Windows-Firewall. Am besten per Script ein und ausschalten. In der Nacht läuft jeweils das Auschalt-Script, sollte man vergessen das gaze wieder zu deaktivieren nach einer Update-Runde. Der Medical Service überwacht z.Bsp. auch ob wirklich svchost.exe hinterlegt ist, man kann das also auch nicht ohne weiteres verbiegen. Mittlerweile ändere ich die svchost.exe für die Update-Dienste auf einen eigenen Hardlink damit ich zuverlässig die Kommunikation der Update-Dienste per Firewall unterbinden/erlauben kann, damit bei Industrie-Steuerungen zuverlässig ein selber bestimmtes Update-Fenster erzwungen werden kann, gleichzeitig bei einer Fernwartung aber z.Bsp. keine Updates über die Rechner der Servicetechniker gezogen werden. Bei IoT wäre das wohl einfacher, aber bis das in der Industrie durch ist.... die nehmen lieber Pro.....

 

 

Ansonsten: Ich wüsste nicht wie man als Kleinfirma einen grossen Hersteller dazu überreden kann, LTSC oder IoT zu verwenden. Machen die wenigsten. Da heisst es dann, kaufen sie doch die Maschine irgendwo anders. Machen wir nicht solange die grossen das nicht haben wollen. Manchmal hilft der Gang zur GL und Erklärung der Sachlage dann klappts vielleicht, aber meist auch dann nicht. So nach dem Motto, wir ändern nichts das funktioniert, wir prüfen das in Zukunft. Solange also kein gorsser Kunde das Messer ansetzt, ist denen alles egal ;)

bearbeitet von Weingeist
Link zu diesem Kommentar

Ich glaube nicht, dass er durch eine reguläre GPO deaktivierbar ist. Habe damals nichts dergleichen gefunden. MS will das ja auch gar nicht regulär verhinderbar machen sondern nur mit erhöhtem Aufwand.

Daher per Reg-Tweak welcher per GPO bzw. GPP erreicht werden kann. Die genau benötigten Rechte weiss ich grad nimmer auswendig. Entweder Admin, System oder Trusted Installer. Soweit ich mich erinnere warens reine Admin-Rechte.

 

Allerdings nicht per GUI sondern wirklich per Registry. Aber eben, der zugehörige Task/Aufgabe muss auch deaktiviert werden, sonst ist das Teil schnell wieder online. ;)

Der Task ist: \Microsoft\Windows\WaasMedic\PerformRemediation (nur zu sehen mit Admin-Rechten, sonst ist er unsichtbar)

Link zu diesem Kommentar

Ich hatte jetzt folgendes gemacht:

 

Auf Scanserver per -lokaler- GPO in "Computerkonfiguration" -> "Administrative Vorlagen" -> "Windows-Komponenten" -> "Windows Update" den Wert "Automatische Updates konfigurieren"
deaktiviert!
Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Übermittlungsoptimierung/ Download Mode auf "Deaktiviert"
In der Registry  um den Windows Update Medic-Dienst zu beenden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc
Rechts den Wert "Start" auf "Hexadezimal" "4"
In Dienste Dienst "Windows Update" deaktiviert
Außerdem noch den Dienst "Update-Orchestrator-Dienst" deaktiviert.

vor einer Stunde schrieb Weingeist:

Der Task ist: \Microsoft\Windows\WaasMedic\PerformRemediation

 

Das gucke ich mir morgen noch an!

Danke!

Link zu diesem Kommentar
vor 15 Stunden schrieb Weingeist:

\Microsoft\Windows\WaasMedic\PerformRemediation (nur zu sehen mit Admin-Rechten, sonst ist er unsichtbar)

 

So, ich habe das durchgearbeitet.

Danke dir nochmal für den Hinweis!

 

Um diese "PerformRemediation" in der Aufgabenplanung zu deaktivieren braucht man die Microsoft PSTools.

Ansonsten geht das nicht wegen unzureichender Rechte.

 

Ich habe meine Anleitung jetzt nochmal vervollständigt.

Vielleicht kann das mal jemand gebrauchen, der das Gleiche vorhat:

 

Zitat

Stand 01.02.2023

Auf PC per -lokaler- GPO in "Computerkonfiguration" -> "Administrative Vorlagen" -> "Windows-Komponenten" -> "Windows Update" den Wert "Automatische Updates konfigurieren"deaktiviert!


Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Übermittlungsoptimierung/ Download Mode auf "Deaktiviert"
In der Registry dahin gehen um den Windows Update Medic-Dienst zu beenden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc
Rechts den Wert "Start" auf "Hexadezimal" "4"


Außerdem noch den Dienst "Update-Orchestrator-Dienst" deaktiviert.

 

PSTools von Microsoft downloaden.
Dann folgendes ausführen:
[Pfad zu psexec]psexec -i -s schtasks /change /tn "microsoft\windows\WaaSMedic\PerformRemediation" /disable
Beispiel:
e:\PSTools\psexec.exe -i -s schtasks /change /tn "microsoft\windows\WaaSMedic\PerformRemediation" /disable
Die Meldung "Error Code 0" bedeutet erfolgreiche Ausführung.
Aufgabenplanung öffnen und dann gucken ob folgender Task deaktiviert ist:
\Microsoft\Windows\WaasMedic\PerformRemediation (nur zu sehen mit Admin-Rechten, sonst ist er unsichtbar)

 

 

Link zu diesem Kommentar

Die ganzen GPO's welche den Updatedienst deaktivieren/steuern sollen sind nur beschränkt tauglich wenn man wirklich auf auf die Steuerbarkeit angewiesen ist. Das Verhalten wurde innerhalb der verschiedenen W10 Builds mehrfach geändert, die Auswertung bzw. Einstellungen ignoriert etc. damit es den Admins zu viel wird mit den ganzen Änderungen und die Updates Ihren Weg an den Admins vorbei auf die Kisten finden. Sei es via anderen PC's, Online via MS an (fast) allen Verhinderungs-Einstellungen vorbei.

 

Daher ist es auch viel einfacher überall die identischen Builds einzusetzen, dann reagieren wenigstens alle gleich.

 

Bezüglich dem Task: Ja dann werden Systemrechte benötigt, das geht noch. Lästiger wirds mit dem Zeugs das TI-Rights benötigt. Allgemein ist es bei solchen Tweaks zu empfehlen, das ganze per Script und Gegenscript zu lösen und sauber zu dokumentieren oder eben per GPO setzen (mit Doku der Ursprungswerte). Auch schaue ich immer, dass die ursprüngliche Rechte erhalten bleiben, also lieber dem eigenen Script die entsprechenden Rechte verschaffen als die benötigten Zugriffs-Rechte der Hives an sich zu überschreiben.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...