[English]In Windows 10 lassen sich Upgrade-Sperren (Blockaden), die durch Microsoft wegen bekannter Kompatiblitätsprobleme gesetzt wurden, per Gruppenrichtlinie deaktivieren. Hier einige Informationen dazu.
Anzeige
Das Thema hatte ich schon seit ca. einem Monat auf dem Radar, weil jemand mir auf Facebook den Hinweis 'den Registry-Keys zum Aufheben einer Upgrade-Blocker Regel kennst Du'?' gegeben hatte. Ich hatte mir dann den Wert DisableWUfBSafeguards notiert, das Thema aber zeitnah nicht weiter verfolgt. Dann hat Microsoft am 22. Oktober 2020 noch den Beitrag Opt out of safeguard holds zum Thema veröffentlicht, so dass ich das Thema jetzt mal hoch hole.
Worum geht es genau?
Bei Funktionsupdates gibt es immer wieder Maschinen, von denen Microsoft weiß, dass dort mit der neuen Windows 10-Version Kompatibilitätsprobleme mit Hard- oder Software auftreten. Dann werden als Safeguard holds bezeichnete Blockaden für diese Maschinen gesetzt. Der Nutzer bekommt dann die nachstehende Benachrichtigung angezeigt.
Diese Schutzmaßnahmen verhindern, dass einem Gerät mit einem bekannten Kompatibilitätsproblem ein neues Windows 10-Feature-Update unter Verwendung von Windows Update angeboten wird. Microsoft verwendet diese Sperren, um das Gerät und den Benutzer vor einem fehlgeschlagenen oder schlechten Update-Erlebnis zu schützen. Microsoft hebt diese Sperren auf, sobald ein Fix für das Kompatibilitätsproblem freigegeben und auf einem betroffenen Gerät verifiziert wurde. Weitere Informationen über solche Sperren finden Sie hier.
Anzeige
Die Upgrade-Sperre aufheben
Administratoren im Unternehmensumfeld können diese Upgrade-Sperre in Windows 10 aber über Gruppenrichtlinien deaktivieren. Es gibt dazu verschiedene Möglichkeiten, die Microsoft im Beitrag Opt out of safeguard holds beschreibt. Die einfachste Möglichkeit in Windows 10 Pro, Enterprise und Education besteht darin, die betreffende Gruppenrichtlinie zu aktivieren.
1. Rufen Sie gpedit.msc mit administrativen Berechtigungen auf und navigieren Sie im Gruppenrichtlinien-Editor zum Zweig:
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update > Windows Update für Unternehmen
2. Aktivieren Sie dann die Gruppenrichtlinie Deaktivieren von Sicherheitsvorkehrungen für Feature-Updates und lassen Sie die Richtlinie (z.B. durch einen Neustart oder den in einer administrativen Eingabeaufforderung ausgeführten Befehl gpupdate /force) aktualisieren.
Diese Richtlinie steht für Windows Update for Business (WUfB) mit Windows 10 Version 1809 oder höher zur Verfügung, sofern das Sicherheitsupdate vom Oktober 2020 installiert wurde.
Bleeping Computer hatte das Thema zeitnah in diesem Artikel aufgegriffen und weist darauf hin, dass man auch per Registrierungs-Editor zum Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
navigieren kann. Trägt man dort einen DWORD-32-Bit-Wert DisableWUfBSafeguards ein und setzt diesen auf 1, werden die Upgrade-Sperren von Windows Update umgangen.
Beachtet aber das Risiko, welches das Aufheben der von Microsoft gesetzten Upgrade-Sperre bietet. Es besteht keine Gewährleistung, dass das Upgrade funktioniert und es besteht die Gefahr, dass es im Anschluss zu Problemen mit Hard- und Software kommt. Microsoft hat diese Richtlinie nur eingeführt, damit Administratoren im IT-Bereich Tests zur Validierung der Kompatibilität durchführen können.
Nachdem ein Gerät eine neue Windows 10-Version installiert hat, wird die Gruppenrichtlinie Deaktivieren von Sicherheitsvorkehrungen für Feature-Updates auf "nicht konfiguriert" zurückgesetzt, auch wenn Sie zuvor aktiviert war. Microsoft tun dies, um sicherzustellen, dass der Administrator den Standardschutz von Microsoft vor bekannten Problemen für jedes neue Feature-Update bewusst deaktiviert.
Anzeige
Bevor hier jemand seine Zeit damit verschwendet wie ich letzte Woche: An Geräten, bei denen der Hinweis auf das bevorstehende Upgrade noch nie angezeigt wurde oder nicht mehr angezeigt wird, kann man diese und auch die anderen Einstellungen setzen wie man will ohne, dass sich etwas ändert. Das Media Creation Tool funktioniert dann übrigens auch nicht selbst wenn man damit nur eine ISO herunterladen will…
Und das /force bei gpupdate kann man in der Regel weglassen. Spart auch etwas Zeit! ;)
Leider scheint diese Lösung nur zu funktionieren, wenn man WUfB einsetzt. Ist ein WSUS im spiel, bringt die Einstellung nichts.