[English]Hier im Blog wird immer wieder von Benutzern gefragt, wie sich Updates unter Windows 10 (Home und Pro) zur Installation blockieren lassen. Denn Microsoft hat dieses Funktionalität ja aus Windows 10 entfernt. Gibt es Probleme, installieren sich die Updates immer wieder, bis Nutzer das Problem in den Griff bekommen, das Update von Microsoft zurückgezogen oder vom Benutzer blockiert worden ist. Mit dem Windows Update Manager von David Xanatos gibt es aber ein Tool, um Updates unter Windows 10 gezielt auszublenden.
Anzeige
Das Problem: Updates ausblenden
Es gibt unter Windows häufiger Fälle, wo Updates arge Probleme bereiten und deinstalliert werden müssen. Oder es kommt zu einem Installationsfehler, so dass das Update scheitert. Dann stehen die Nutzer häufig vor dem Problem, dass das betreffende Update blockiert werden müsste. Die Optionen aus Windows 7/8.1, Updates nur auf Nachfrage herunterladen und installieren zu dürfen, hat Microsoft aus Windows 10 entfernt.
Updates lassen sich verzögern
Auch die Möglichkeit dieser Windows-Versionen, Updates unter Windows Update auszublenden, gibt es in Windows 10 mit Bordmitteln nicht mehr. Lediglich Windows 10 Enterprise bietet die Möglichkeit, über Gruppenrichtlinien diese alten Optionen einzustellen – was aber für den Großteil der Windows 10-Nutzer nicht hilft. Ähnliches gilt für die Verwaltung der Updates mittels WSUS, SCCM, Intune oder ähnliche Management-Lösungen, die in Firmenumgebungen zum Einsatz kommen.
Erweiterte Update-Optionen ab Windows 10 V1903
Nachdem der Update-Ärger zu groß wurde, hat Microsoft seinen Nutzern lediglich ab Windows 10 V1903 die Möglichkeit, Update-Installationen um einige Tage zu verzögern, bereitgestellt (siehe obiger Screenshot). Ich hatte dies im Artikel Windows 10 Home bekommt wohl ab V1903 Update-Pause beschrieben. Aber selbst da gab es schon Probleme (siehe Windows 10 V1903 und die ‚fehlenden' Update-Pausierungs-Optionen). Und die im Artikel Windows 10 Mai 2019 Update mit Update-Kontrolle beschriebene Möglichkeit, dass optionale Updates manuell vom Benutzer zum Download und zur Installation angestoßen werden müssen, funktioniert auch nicht immer – es gibt im Blog genügend Berichte, dass nach einer Update-Verzögerung die optionalen Updates ohne Nachfrage installiert wurden (Windows 10: Kontrolle bei Windows Update kaputt?). Alles in allem eine "wurstige Angelegenheit" und Zeit, das Heft selbst in die Hand zu nehmen.
Anzeige
Microsoft zieht WuShowHide zurück
Es gab von den Microsoft-Entwicklern das Tool wushowhide.diagcab, welches ich 2015 im Blog-Beitrag Windows 10-Tipp: Updates blocken vorgestellt habe. Dort sind auch die Schritte beschrieben, um per Assistent ein Update auszublenden und ausgeblendete Updates wieder zuzulassen. Dieser Ansatz hat aber einen Schönheitsfehler.
Die Beschreibung zum Blockieren von Treibern und die Hinweise auf wushowhide.diagcab gibt es zwar noch bei Microsoft unter KB3073930. Wer aber versucht, die Datei wushowhide.diagcab herunterzuladen, läuft auf einen Fehler 404. Microsoft hat den Download schlicht von seinen Servern entfernt.
Es gibt zwar noch eine Kopie bei Netzwelt, aber ich würde die Finger von Drittanbieterseiten lassen. Mir ist zudem in Erinnerung, mal einen Hinweis gelesen zu haben, dass wushowhide.diagcab bei neueren Windows 10-Builds nicht mehr zuverlässig funktioniert (dem wurde von Patch-Lady Susan Bradley auf askwoody.com aber widersprochen).
Ergänzung: Das Tool wurde wegen derSHA-1-Signierung zurück gezogen, inzwischen aber wieder SHA-2 signiert freigegebenen, siehe hier.
Nimm den Windows Update Manager (WuMgr)
Von Blog-Leser David Xanatos (das ist ein Nick), gibt es aber den Windows Update Manager (WuMgr), der eine saubere Verwaltung der Updates unter Windows 10 – auch in den Home-Versionen ermöglicht. Ich hatte das Tool mal unter seinem früheren Namen Windows Update MiniTool im Blog-Beitrag Windows 10: Updates per Tool steuern … beschrieben.
Das Tool fungiert nun unter neuem Namen Windows Update Manager (WuMgr) und ist kostenfrei auf GitHub herunterladbar. David erklärt den Unterschied zum Windows Update MiniTool so: WuMgr wurde von WU MiniTool inspiriert, setzt aber von .NET anstelle von C/C++ auf und ist Open Source. Es reicht, die Archivdatei herunterzuladen und zu entpacken. Dann kann WuMgr direkt über die Exe-Programmdatei gestartet werden – eine Installation ist nicht erforderlich. Das Tool fordert die notwendigen Administratorenrechte über die Benutzerkontensteuerung an und meldet sich mit nachfolgender Oberfläche.
Windows Update Manager (WuMgr), Zum Vergrößern klicken
Die Bedienung ist recht einfach: in der linken Spalte werden verschiedene Optionen im unteren Bereich angezeigt. In der rechten Spalte werden anstehende Updates aufgelistet. Über Kontrollkästchen lassen sich Update-Pakete markieren. Dann können die Updates über die Symbole in der linken Spalte verwaltet werden.
- Die erste Schaltfläche links ermöglicht eine Update-Suche.
- Die zweite Schaltfläche von Links ermöglicht den Download eines Update-Pakets
- Die dritte Schaltfläche von Links ermöglicht die Installation eines Update-Pakets
- Die vierte Schaltfläche von Links ermöglicht die Deinstallation eines Updates
- Die fünfte Schaltfläche von Links (durchgestrichenes Auge) ermöglicht das Ausblenden eines Update-Pakets
Die letzte Schaltfläche von links öffnet die betreffende Supportseite für das per Kontrollkästchen markierte Update. Über die Schaltflächen im oberen Bereich der linken Spalte kann auf Windows Update, auf installierte Updates, auf versteckte (ausgeblendete) Updates und den Update-Verlauf zugegriffen werden. Versteckte Updates lassen sich also auflisten, anwählen und dann über die Schaltfläche mit dem Auge wieder freigeben. Auf askwoody.com gibt es hier eine ausführlichere Anleitung (aber in Englisch).
An dieser Stelle aber noch zwei Bemerkungen – ich stehe seit langem mit David Xanatos im Austausch. Es gab/gibt den Update Manager for Windows auch als App im Microsoft Store. Hier habe ich aber mitbekommen, dass Microsoft schon mal App-Updates blockiert hat. War in der Vergangenheit keine sichere Bank.
Des weiteren leidet die Win32-Programmdatei wumgr.exe (zumindest in früheren Versionen) unter dem Problem, dass ein DLL-Hijacking möglich ist. Sprich: Wird die .exe-Datei gestartet, sucht sie standardmäßig im Programmordner nach bestimmten DLLs. Gelingt es einer Malware, DLL-Dateien mit dem gleichen Namen (wie die Windows-DLL-Pendants) sich in den Ordner der Win32-Programmdatei wumgr.exe zu kopieren, würden diese DLLs geladen. Da das Tool Administratorrechte anfordert, erlangen die DLLs der Malware ebenfalls administrative Berechtigungen.
Ich stehe mit David diesbezüglich seit 2019 in Kontakt, ohne das es eine Lösung gibt. Laut den Rückmeldungen von David werden die Abhängigkeiten, die zum DLL-Hijacking führen, direkt durch Microsofts .NET-Bibliotheken verursacht und er hat keinen Weg gefunden, diese Ladereihenfolge zu verändern, um den Zugriff auf die Windows-Ordner zu erzwingen. Ob es die Option nicht gibt, kann ich nicht beurteilen. Ergänzung: Beachtet meinen Kommentar weiter unten – mit der neuesten Version des Programmes bekomme ich kein eindeutiges Ergebnis mehr in meinem Testbett, weil MSE dazwischen funkt und DLLs eliminiert.
Das war der Grund, warum ich den WuMgr von David bisher hier im Blog nicht weiter vorgestellt habe. David hatte mal vorgeschlagen, einen .exe-Installer zu bauen, um das Problem zu umgehen. Aber das löst das DLL-Hijacking-Problem nicht wirklich, da es während der Installation immer noch die Schwachstelle gibt. Einen .msi-Installer scheint David nicht erstellen zu können.
Aktuell gibt es für Benutzer zwei Strategien, wie man das DLL-Hijacking-Thema etwas entschärfen kann. Kopiert die entpackten Dateien in einen separaten Ordner, der keine weiteren Dateien umfasst. Dann lässt sich mit einem Blick auf diesen Ordner erkennen, wenn plötzlich von einer Malware kopierte DLLs dort auftauchen. Weiterhin könnten die Schreibrechte auf diesen Ordner für das benutzte Standardkonto entzogen werden. Dann hätte die Malware keine Möglichkeit mehr, Dateien in den Ordner mit dem WuMgr zu kopieren. Damit schließe ich den Artikel ab – ihr habt die Kenntnis über den WuMgr und wisst auch über die potentiellen Risiken Bescheid.
Ergänzung: Etwas mulmig macht mich auch dieser Leserkommentar vom 2. Mai 2021, dass das Produkt Sandboxie von David Xanatos nicht mehr funktioniere. Mit Stand 4.5.2021 ist David Xanatos nicht mehr unter der mir bekannten E-Mail-Adresse erreichbar und hat auch nicht mehr auf frühere Mails geantwortet. Keine Ahnung, welchen Reim ich mir darauf machen soll.
Ähnliche Artikel
Windows 10: Update-Protokolldatei auslesen
Windows 10: Protokolldateien bei Upgrade-Fehlern analysieren
Windows Fehler entschlüsseln
Tipp: Windows Update Error Codes 0x8024xxxx dokumentiert
Windows 10: Upgrade-Fehler analysieren und beheben
Windows 10 Home bekommt wohl ab V1903 Update-Pause
Windows 10: Kontrolle bei Windows Update kaputt?
Windows 10 V1903 und die ‚fehlenden' Update-Pausierungs-Optionen
Windows 10-Tipp: Updates blocken
Potentielle Fehler in der Windows-Update-Datenbank – Teil 1
Potentielle Fehler in der Windows-Update-Datenbank – Teil 2
Anzeige
ist das tool hier auch auf anderen windows-en faehig? server-osen? oder nur win10? danke. mfg.
p.s. scheint auf servern zu klappen.
Unter Win7 läuft es – da brauche ich es aber nicht.
Wenn man sich mit PowerShell auskennt, braucht man dafür keine externen Tools.
Ich nutze dafür ein PS-Modul namens "PSWindowsUpdate".
Mehr dazu auf h**ps://www.powershellgallery.com/packages/PSWindowsUpdate/2.2.0.2
Nach der Installation des Moduls, das mit
Install-Module PSWindowsUpdate
angestoßen wird, erhält man nach Eingabe von
Get-Command -Module PSWindows*
eine Übersicht der verfügbaren Befehle.
Am interessantesten dürften diese beiden Befehle sein:
Hide-WindowsUpdate
Remove-WindowsUpdate
Bei Windows 10 Pro 20H2 kann man per Gruppenrichtlinie die Updates noch zurück stellen.
Qualitäts-Updates entweder 30 Tage zurück stellen, oder ab einem bestimmten Datum ganz weglassen.
Funktionsupdates habe ich mal den Versuch mit 365 Tage zurückstellen gemacht, hat geklappt. Sonst kann man sie ab einem bestimmten Datum auch ganz aussetzen.
Es wäre schön, wenn weniger bewanderten Usern eine genauere Anleitung dazu gegeben würde, gerne auch ein Link. Danke!
oh.
Ich bin auch nicht vom Fach. Ich habe es aus einem von günters büchern.
Admin Konto
Im Menü links auf Windows-System
Ausführen, dort gpedit.msc eingeben
Dann in der oberen Liste im linken Fenster runterscrollen bis windows-update, dort auf Windowos-Update für Unternehmen klicken.
Dann kannst Du dort bei funktionsupdates und qualitätsupdates nach Belieben schalten und walten. Allerdings rate ich dazu, gemachte Änderungen nicht zu vergessen :-)
Alles aus meiner Erinnerung, da im Standard-Benuzter-Konto gpedit.msc gesperrt ist.
Alternativ über entsprechende Einträge in der Registry, funktioniert auch in der Home-Version. Damit man sich nicht den Wolf klicken und suchen muss, kann man das ganze mittels Powershell:
##Feature-Update verzögern 365 Tage
Set-ItemProperty -type dword -Path "HKLM:\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings" -Name DeferFeatureUpdatesPeriodInDays -Value "365"
##Quality-Update verzögern 14 Tage
Set-ItemProperty -type dword -Path "HKLM:\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings" -Name DeferQualityUpdatesPeriodInDays -Value "14"
## Windows Update restart
Stop-Service -Name wuauserv
Start-Service -name wuauserv
oder cmd setzen:
##Feature-Update verzögern 365 Tage
REG ADD "HKLM\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings" /v "DeferFeatureUpdatesPeriodInDays" /t REG_DWORD /d "365" /f
##Quality-Update verzögern 14 Tage
REG ADD "HKLM\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings" /v "DeferQualityUpdatesPeriodInDays" /t REG_DWORD /d "14" /f
## Windows Update restart
net stop wuauserv
net start wuauserv
Powershell oder cmd natürlich mit Adminrechten öffnen.
Hallo Herr Born,
Meinen Sie die Interop Imports bzgl. DLL Highjacking oder gibts da noch was das ich beim überfliegen des Codes nicht gefunden habe?
Der Quellcode ist nicht relevant, da dort ein voll qualifizierter Pfad angegeben werden kann. In .NET Framework werden aber DLls von Windows geladen, die zuerst im Programm-Ordner gesucht werden. Suche im Blog nach Kanthak und DLL-Hijacking. Gibt von ihm ein Testbett, was ich zur Prüfung genutzt habe.
Schau dir den Beitrag AdwCleaner 8.0.6 schließt erneut DLL-Hijacking-Schwachstelle an. Da habe ich den Testansatz beschrieben.
Habe gerade nochmals das Testbett unter Windows 7 eingerichtet. Da lässt sich der WuMgr, je nach Testkonditionen, nicht mal mehr aufrufen, da sofort die Microsoft Security Essentials anspringen und die Bedrohung (eine DLL aus dem Testbett als Emotet) in Quarantäne schiebt. Wenn ich bestimmte DLLs raus lasse, startet der WuMgr aber problemlos – da hat David zwischenzeitlich wohl noch was geändert.
MSE alias Defender ist inzwischen genauso übel und bescheuert wie früher Avira: FALSE POSITIVES zuhauf! Kurz: der SCHROTT ist unbrauchbar.
Einzige Lösung bzw. Problembehebung: MSE deinstallieren bzw. Defender abschalten.
Mein Testbett^WMinenfeld kann jeder selbst bauen, der auf der Kommandozeile NMAKE.exe aufzurufen imstande ist: siehe https://skanthak.homepage.t-online.de/minesweeper.html
Unabhängig davon: wer Programme, die mit erhöhten Rechten laufen, immer noch mit dem ÜBLEN und UNSICHEREN Schrott namens .NET Framework frickelt, ist entweder völlig ahnungslos oder völlig verblödet.
Siehe https://skanthak.homepage.t-online.de/uacamole.html
Immer wieder bin ich begeistert, wie diplomatisch und zurückhaltend Herr Kanthak Kritik übt.
Ja, in der Tat.
Solche Kommentare sind das Ergebnis von Arroganz, Frust und mangelndem Respekt und das in geballter Form.
Da hilft nur eines: Ignorieren.
So unrelevant finde ich den Quellcode dann doch nicht, da man Vorkehrungen treffen kann nur entsprechend signierte Assemblies zu laden. Bei Interop Calls ist der Workarround allerdings recht aufwändig. Bleibt die Frage ob das lohnt, denn wer eine DLL in den Programmordner schieben kann, der kann auch gleich die Exe tauschen.
Da hast Du zwar Recht. Habe ewig keinen .NET-Code mehr produziert. Wenn ich aber nicht ganz daneben liege, werden aus den .NET-Objekten und vor allem aus der .NET-Laufzeitumgebung DLLs aus Windows geladen. Da aber die Standard-Suchpfade erst im Programm-Ordner nachsehen, geht das schief. Ob man da eine Signatur erzwingen kann, weiß ich nicht. Es gibt auch Möglichkeiten, die Ladereihenfolge anzugeben. Nur als ich das mit David Xanatos vor 1,5 Jahren andiskutiert habe, hieß es, dass er keine Möglichkeit gefunden habe, das zu regeln. Ich weise daher au8 den Sachverhalt hin, entscheiden muss jeder dann selbst.
Zum .exe tauschen: als Autor einer Malware wäre mein erstes Ziel, unter den Radar zu bleiben. Den WuMgr zu faken, ist aufwändiger, als eine DLL im Download-Ordnet zu platzieren und zu warten, bis irgend eine .exe aufgerufen wird, die unbemerkt die DLL lädt.
https://seclists.org/fulldisclosure/2017/Jul/11 enthält alle Informationen, was Microsoft wann wie beim .NET Framework (genauer: dessen "Common Language Runtime") verkackt hat und (was noch ÜBLER) ist NICHT beheben will.
Additiv: https://offsec.almond.consulting/UAC-bypass-dotnet.html
Für die anderen (unsäglichen) Schlampereien siehe https://skanthak.homepage.t-online.de/detour.html, https://skanthak.homepage.t-online.de/snafu.html, https://skanthak.homepage.t-online.de/minesweeper.html bzw. https://skanthak.homepage.t-online.de/sentinel.html, sowie https://skanthak.homepage.t-online.de/sloppy.html: kurz, wenn die ignoranten Frickler bei Microsoft ENDLICH die schon vor JAHREN veröffentlichten Sicherheitsempfehlungen ihrer eigenen Klitsche lesen, kapieren und umsetzen würden, dann wäre dieses Scheunentor schon längst zu.
Sie könnten sogar ihre eigenen (intern vorgeschriebenen) Werkzeuge wie den Application Verifier verwenden: siehe https://skanthak.homepage.t-online.de/verifier.html
Das Windows Update MiniTool von @stupid user ist auch weiterhin funktionales eigenständiges Tool und wurde zuletzt am 7. Januar 2020 für Windows 10 aktualisiert, siehe hier h**ps://www.majorgeeks.com/files/details/windows_update_minitool.html.
Unter Windows 7 SP1 bzw. Windows 8.1 funktioniert nach wie vor die Version vom 20. Dezember 2016 und kann hier h**ps://drive.google.com/file/d/0BwJH2CazcjsINFZFc1pVdk9mNHM.
Quelle: h**ps://forums.mydigitallife.net/threads/windows-update-minitool.64939/
Vom Mini Tool gibt es seit gestern (14.01.22) eine neue Version. Die GUI ist jetzt im Windows 11 Stil gehalten. Außerdem ist nun laut Changelog die Installation von Feature-Upgrades möglich und es wurden kleinere Verbesserungen vorgenommen. Auf der Majorgeeks-Seite gibt es die aktuelle Version zum runterladen.
Hallo,
"Lediglich Windows 10 Enterprise bietet die Möglichkeit, über Gruppenrichtlinien diese alten Optionen einzustellen –"
Welche Einstellung ist das denn genau?
Hallo Meinolf
Kann in Win 10 Enterprise nur einen "alten" Eintrag finden, der aber nicht zu wirken scheint:
"Zugriff auf Feature "Updates aussetzen" entfernen und "Windows Update in der Computerkonfiguration.
Das Setzen auf "Deaktiviert" führt leider nicht dazu, das die betreffende Option für die einzelnen Updates wieder verfügbar wäre. Es wird weiterhin nur "Deinstallieren" angeboten, vereinzelt auch "Reparieren" oder "Ändern" aber kein "Ausblenden" oder "Aussetzen".
Evtl. hat Microsoft diese Option lahmgelegt.
Es bleiben also offensichtlich nur die "harten" Maßnahmen übrig, also Automatische Updates deaktivieren, Updates im WSUS nicht genehmigen, Windows Updatedienst deaktivieren, wenn nur Treiber probleme machen = "Keine Treiber in Windows Updates einschließen" aktivieren.
Hallo Meinolf
Alternativ bleibt wohl nur, das Microsoft Troubleshooter-Tool "wushowhide.diagcab" zu verwenden. Auf der Microsoft-Downloadseite kann man es nicht mehr laden, aus dem Webseitenarchiv schon noch.
Habe das Tool am 31-10-2021 geladen und eingesetzt, hat einwandfrei funktioniert. Laden war nötig, da meine vorhandene Kopie des Tools aus 2016 nicht mehr funktionsfähig war.
Der Archiv-Link ist auf folgender Seite zu finden:
Ich habe WuMgr V1.1b heruntergeladen und gestartet, um lästige Office-2016-Updates abzuschalten. Office 2016 ist längst deinstalliert! Außerdem schlagen diese Updates immer fehl. Leider werden bei mir im WuMgr keine Kontrollkästchen zum Ankreuzen der einzelnen Updates angezeigt, womit auch die entsprechenden Schaltflächen ausgegraut sind. Getestet habe ich WuMgr auf 2 PCs, jeweils unter Windows 10 Pro, 64 Bit, 21H2.
Hat jemand einen Tipp, wie ich die Kontrollkästchen zu sehen bekomme?
Da gibts die aktuelle sha2 signierte Version, ist kürzlich von MS wieder veröffentlicht worden:
h**ps://download.microsoft.com/download/f/2/2/f22d5fdb-59cd-4275-8c95-1be17bf70b21/wushowhide.diagcab
Und hier den Technet Artikel dazu..
h**ps://social.technet.microsoft.com/wiki/contents/articles/53184.show-or-hide-updates-utility-fixing-automatic-installation-of-a-problematic-update-in-windows-10-version-1903.aspx