Win10: Updates schalten sich wieder ein

Wir haben auf unseren Windows 10 Clienten den Windows Update Dienst gestoppt und deaktiviert.
Doch im Laufe des Betrieb über den Tag schalten sich die automatischen Updates wieder ein. Status ist dann “gestartet” und Starttyp auf “Manuell”.
Und durch die Imagelösung machen die PCs die Updates jeden Tag wieder und belegen die Bandbreite der Internetleitung.
Habt ihr das Problem auch bzw. schon ein Lösung dagegen?
Danke!

Hallo,
wir haben die Windows Updates über die Firewall gesperrt:

Das klappt eigentlich ganz gut.

Viele Grüße

Hallo Steffen,

in Windows 10 die Updates zu deaktivieren generiert ein
Sicherheitsrisiko - sogar wenn Du bei jedem Neustart ein sync durchführst.

Die Last auf der Internetleitung kannst Du sinnvoller begrenzen, indem
Du den Update accelerator in ipfire konfigurierst.
https://wiki.ipfire.org/configuration/network/update-booster

Wir haben zwar den Time for Kids Schulrouter, aber der hat natürlich
auch so eine Funktion. Die Updates laufen recht “geräuscharm” und
wenigstens unsere Rechner im “Festnetz” sind bei Kontrollen selten nicht
innerhalb der letzten 24 Stunden aktualisiert worden. Für die Notebooks
im WLAN ist das der engere Flaschenhals.

Gruß Jürgen

Mit Linux wär das nicht passiert

:grin:

Gruß aus Magdeburg

Alois

Hallo Steffen,

Wir haben auf unseren Windows 10 Clienten den Windows Update Dienst
gestoppt und deaktiviert.

welche Win10 Version?

Bis 1809 hab ich das getestet.
Du mußt folgende Dienste anhalten und den Starttyp auf deaktiviert stellen:

  • Windows update
  • intelligenter Hintergrundübertragungsdienst.
    Es müssen beide sein.

Bei 1903 soll das endgültige Abschalten so nicht mehr ausreichen: da
soll es sich wieder einschalten (also das was du beschreibst).

LG

Holger

Hallo Holger,
imaging und software as a service passen nicht gut zusammen. Man kann froh sein, wenn einem mit einem Image die Domänenaufnahme und die Aktivierung gelingt. Für Windows wird es zunehmend interessanter werden, OPSI einzusetzen, um sich mit diesen Probleme nicht im Halbjahrestakt selbst neu befassen zu müssen. “Mit Linux wär das nicht passiert.”
Gruß Jürgen

Hallo zusammen,

im aktuellen Windows 10 2004 schalten sich der Windows Update Dienst auch immer wieder auf aktiviert bzw. von Deaktiviert auf Manuell und läuft somit an.

Meine Lösung ist in lmn7 den Zugriff auf die Windows Update Server an der OPNSense mit ACLs zu sperren.
Man kann umgekehrt die Updateserver auch in eine Whitelist schreiben um Windows Updates ohne Benutzeranmeldung am Proxy zu aktivieren.

Hier eine Beschreibung:
https://wiki.linuxmuster.net/community/anwenderwiki:squidproxy:start#acl_whitelist_blacklist_generell

Viele Grüße
Klaus

Hi garblixa,

die Beschreibung verstehe ich leider nicht ganz: reicht es, die Domains in die Ausnahmeliste der grafischen Benutzeroberfläche von OPNsense einzutragen, oder müssen die restlichen Punkte der Anleitung auch noch abgearbeitet werden? ( „… kann man…“ oder „… muss man…“?)

LG,
Fritz

Ich hatte ebenfalls das Problem, dass sich die Updates automatisch wieder aktiviert hatten. Nervig.
Ich konnte das Problem aber auch bei der aktuellen Win10-Version mit einem kleinen Tool lösen:

Seitdem ist Ruhe…

LG
Ralf

Hallo zusammen,

@Cosmicos, danke für den Tipp.
Ich habe aber keine Windows-Clients, will aber trotzdem bestimmte Domäne in OPNsense eintragen, die ohne Proxy aufgerufen werden dürfen, z. B. für MS Teams. Teams kommuniziert nicht über einen Proxy, sondern will direkt mit MS-Servern verbunden sein. Ist ein Rechner in der Gruppe „noproxy“, dann startet Teams. Auf den anderen Rechnern, die nicht in der Gruppe "noproxy"sind, meckert es, dass es keine Verbindung aufbauen kann. Leider bin ich mit der Anleitung nicht ans Ziel gekommen. Daher meine Frage: Reicht es, die Domains in die Ausnahmeliste der grafischen Benutzeroberfläche von OPNsense einzutragen, oder müssen die restlichen Punkte der Anleitung auch noch abgearbeitet werden? Bzw., wie schaut eine Konfiguration von OPNsense aus, mit der „normale“ Linux-Clients ohne Proxy auf verschiedene, definierte Domains zugreifen können?

LG,
Fritz

Hallo Fritz,

meine Beschreibung im Wiki implementiert die Shallalist im Squid um einen URL Filter zu bekommen.
Die Ausnahmeliste, welche Du ansprichst ist dazu da, diesen Filter um eine eigene White/Blacklist zu ergänzen. Wie beschrieben funktioniert die eigene White/Blacklist aber nur, wenn diese vor der Shallalist zum Einsatz kommt. Deswegen muß die Reihenfolge wie nachfolgend im Wiki beschrieben geändert werden.
Sofern Du also die Shallalist nicht implementiert hast, wirst Du auch die White/Blacklist nicht brauchen. Der HTTP Protokoll Teil von MS Teams wird da auch so funktionieren mit z.B. einer Proxy Autokonfiguration am Client, oder manuell eingetragenem Proxy.

Für MS Teams wirst Du aber noch andere, nicht HTTP Protokolle, benötigen, welche dann nicht über Squid laufen können, sondern für welche Du Freigaben an der OPNsense brauchst. Ich würde dazu einen eigenen Alias in der OPNsense definieren, wo z.B. die Lehrer PCs, oder weitere PCs, welche Teams machen sollen mit der IP-Adresse drinnen stehen. für diesen Alias dann die MS Server für die nicht HTTP Protokolle in einer Firewall Regel definieren.

Viele Grüße
Klaus

Hallo,

wir hatten das Problem seit W10 1903 auch. Der von Holger beschriebene Weg reichte tatsächlich nicht aus, da sich die Dienste nach kurzer Zeit durch magische Microsoft-Hände wieder von „Deaktiviert“ auf „Automatisch“ stellten.

Über einen einfachen Schalter in den lokalen Gruppenrichtlinien kann man die Updates aber wirklich dauerhaft deaktivieren:

als pgmadmin / global-admin

  1. Entweder über das Suchfeld die „Gruppenrichtlinienverwaltung“ aufrufen oder gpedit.msc ausführen

  2. Unter „Richtlinien für den lokalen Computer“ zu
    Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update
    „Automatische Updates konfigurieren“
    navigieren.

  3. Rechtsklick „Bearbeiten“ / auf „Deaktiviert“ setzen / „OK / Übernehmen“

Zusätzlich haben wir noch in den Ethernet-Einstellungen des Windows (PC-Einstellungen/Netzwerk und Internet/Ethernet) die Ethernet-Verbindung auf „getaktet“ gesetzt. Dann lädt Windows auch keine Dateien im Hintergrund herunter.

Dann schreibt man ein neues Image.
Bei uns hat das zuverlässig geklappt.

Während des Updates auf v7 hat das unser Dienstleister allgemein über die Gruppenrichtlinien der Domäne eingerichtet.

Man muss nur darauf achten, dass man die Schalter immer wieder ausschaltet, bevor man ein neues Image schreibt. Und umgekehrt muss man sie natürlich erst einschalten, wenn man updaten will, aber das merkt man von selbst.

Grüße
Martin

Hi Klaus,

aha, danke für deine Erklärung. Habe jz nur flüchtig gesucht: hat jemand eine Anleitung, wie Freigaben in OPNsense entsprechend eingetragen werden müssen, damit z. B. MS Teams funktoniert?

LG,

Fritz

Hallo Fritz,

aha, danke für deine Erklärung. Habe jz nur flüchtig gesucht: hat jemand
eine Anleitung, wie Freigaben in OPNsense entsprechend eingetragen
werden müssen, damit z. B. MS Teams funktoniert?

ich denke, dieser Tread könnte helfen:

LG

Holger

Hi Holger,

danke für deine Antwort!
Leider (oder Gott sei Dank!):
Ich habe gar (kein Auto :slight_smile: ) keine Windows PCs (mehr), nur noch Linuxmuster mit Bionic-Muster-Clients.
Sind die Clients in der Gruppe „noproxy“(-> auf OPNsense), dann funktionsiert die MS Teams-App (für Linux!). Ich will aba nicht alle Clients in die Gruppe „noproxy“ stopfen. Daher soll OPNsense Anfragen der Teams-App an MS-Server direkt durch lassen. Alles andere soll über den Proxy-Dienst der OPNsense-Firewall abgewickelt werden (Möglichkeit, das Internet zu sperren, bleibt so erhalten, oder?).

Tipps?

LG,

Fritz

Hallo Fritz,

der Tipp steht oben in meinem Post :slight_smile:
Hier findest Du die benötigten nicht-HTTP Ports für Teams:
https://docs.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide#skype-for-business-online-and-microsoft-teams

Viele Grüße
Klaus