Windows Update auf Windows 10 Client dauerhaft deaktivieren

[Eleu]

Guten Morgen,

die Überschrift sagt eigentlich schon, worum es mir geht.

Hintergrund ist folgender:

Bei autarken Maschinen, werden für das Bedienen und Beobachten, unter Anderem auch Industrie PC`s eingesetzt, die mit Windows Betriebssystemen ausgestattet sind. Natürlich versucht man bei Maschinen der neueren Generation, auch das neuste Windows - Betriebssystem (Aktuell ja Windows 10 Prof oder Enterprise) zu verwenden. Mit einer NIC ist so ein IPC oftmals mit dem Internet verbunden (Z.B. über Proxy), damit von außen eine Fernwartung durchgeführt werden kann.

So weit so gut und in der Vergangenheit, bei älteren Windows Betriebssystemen kein Problem, doch nun hat Microsoft ja dieses automatische Installieren von Updates in Windows 10 integriert. Es lässt sich jedenfalls nicht so einfach abschalten und deshalb wende ich mich daher jetzt an euch.

Der Industrie PC ist in keiner Domäne.

Ich habe zu dem Thema diesen Link gefunden und habe, lokal auf dem IPC, im Editor für lokale Gruppenrichtlinien unter Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update "Keine Verbindung mit Windows Update-Internetadressen herstellen" aktiviert (Siehe Bild) 

https://blog.bartlweb.net/2010/03/wsus-ohne-activedirectory-konfigurieren/  

Nun, ich habe schon viel probiert. Wenn ich den Windows-  Update Dienst einfach nur manuell deaktiviere, schaltet er sich irgendwann automatisch wieder ein und er zieht sich ein Update runter, was dazu führt, das man irgendwann den Industrie PC neu booten muss und das ist bei Produktionsmaschinen eben ein Problem. 

Das schlimmste aber was bei MS Updates passieren kann, dass diese mit der Software auf dem IPC nicht kompatibel ist und dann die Maschine gar nicht mehr läuft.

Habt ihr vielleicht noch ein paar Tipps für mich?

Gruß

Eleu

Bearbeitet 8. Februar 2019 von Eleu

[äymm]

Wenn das Ding hinter nem Proxy kockt, könnte man AFAIK doch einfach die entsprechenden MS Updateadressen blockieren. Die Liste müsste man halt halbwegs aktuell halten

[Eleu]

vor 1 Stunde schrieb äymm:

Wenn das Ding hinter nem Proxy kockt, könnte man AFAIK doch einfach die entsprechenden MS Updateadressen blockieren. Die Liste müsste man halt halbwegs aktuell halten

Hallo äymm,

es scheint mit den Einstellungen zu gehen. Allerdings muss man einen alternativen WSUS angeben. Hab mir da einfach eine IP ausgedacht, die nicht verwendet wird. Wenn man dann ein Update manuell anstößt, wird ein Fehler gemeldet.

Wenn das ausreicht, ist es ja gut.

Die Variante, die du vorschlägst, ist natürlich besser. Dann könnte man Sicherheitspatches laden, insofern diese keinen Neustart des IPC`s erfordern. Oder vllt. vereinbart zu ganz bestimmten Zeitpunkten, wenn keine Produktion ansteht?

Ist aber auch eine Frage, ob Sicherheitspatches Probleme machen können, bzgl. Software - Kompatibilität?

Das das passieren kann, kann man hier z.B. nachlesen:

https://support.industry.siemens.com/cs/de/de/view/109755177

Nach dem Neustart funktioniert dann die Maschine nicht mehr. Dann geht nur noch Image zurück laden, falls vorhanden  

Gruß

Eleu

Bearbeitet 8. Februar 2019 von Eleu

[Maniska]

vor 20 Stunden schrieb Eleu:

Ist aber auch eine Frage, ob Sicherheitspatches Probleme machen können, bzgl. Software - Kompatibilität?

Für so was bieten Hersteller i.d.R Komatibilitätslisten an. D.H. der Hersteller testes die neuen MS Updates selbst mit seiner Software und gibt die Updates entweder als Unbedenklich frei oder warnt, dass es mit KBxxxxxxx Probleme gibt.

Bei Datev z.B. schaut das so aus. Musst mal gucken ob dein Hersteller so was auch anbietet.