[English]Kurze Information bzw. Warnung und gleichzeitig Nachfrage, ob das noch jemand passiert ist. Ein Administrator hat mich heute per Mail kontaktiert, weil in seinem Umfeld Windows 10 22H2-Clients am WSUS vorbei mit einem Update versorgt und automatisch auf Windows 11 24H2 umgestellt worden sind.
Anzeige
Eigentlich dachte ich, dass das Thema Zwangsupgrade von Windows 10 auf Windows 11 bei Clients, speziell in Firmenumgebungen, kein Thema sei und nicht vorkommt. Daher hat mich die Mail eines Lesers etwas verwundet.
Clients plötzlich auf Windows 11 24H2
Ein Leser ist als Administrator in einem Unternehmen tätig und setzt dort Clients mit Windows 10 22H2 ein. In einer Mail vom 12. März 2025 mit dem Betreff "Windows 10 Updates im Unternehmensumfeld installieren automatisch Windows 11" informierte er mich über eine eher negative Erfahrung mit dem März 2025-Patchday.
Der Leser schrieb, dass mit den Updates heute Nacht [gemeint sind die Updates zum Patchday am 11. März 2025] ist auch ein Upgrade reingekommen sei, welches Windows 10-Rechner dazu veranlasst ohne Bestätigung Windows 11 zu installieren.
Anzeige
Gemäß obigem Screenshot wurde Update KB5053598 ausgerollt. Das ist allerdings etwas merkwürdig, weil KB5053598 das kumulative Update vom 11. März 2025 für Windows 11 24H2 ist (siehe mein Blog-Beitrag Patchday: Windows 10/11 Updates (11. März 2025)).
Da in der Umgebung des Lesers ein WSUS zur Verwaltung der Client-Updates zum Einsatz kommt, hätte dieses Update nicht auf Windows 10-Clients ausgerollt werden dürfen. Der Leser schrieb mir dazu: "Leider hat unser WSUS die [Updates] initial nicht blockiert. Dies haben wir um kurz nach sieben nachgezogen."
Die Rechner, die bereits auf Windows 11 24H2 per Auto-Update aktualisiert wurden, muss die IT nun austauschen, um dort ein neues Windows 10-Installationsabbild aufzuspielen. Denn die Produktion des Unternehmens sei für Windows 11 GPO-technisch noch nicht vorbereitet, schrieb der Blog-Leser.
Frage: Ist das noch jemandem aus der Leserschaft passiert? Ich habe mal kurz eine Internetsuche bemüht, 2024 gab es den Microsoft-Q&A-Beitrag Why is my windows 10 pro system automatically forcing windows 11 "feature update" during automatic update restarts?, der etwas ähnliches (aber auf einem nicht verwalteten Windows 10 Pro-Client) beschreibt. Und Forbes hat im Januar 2025 das Thema Windows 10 Zwangsupgrade auf Windows 11 in diesem Artikel ebenfalls aufgegriffen.
Das Upgrade müsste man mit Richtlinien für das Target Feature-Update eigentlich verhindern können. Auf TensForum ist dieser Ansatz in diesem Artikel beschrieben.
Anzeige
Am WSUS vorbei? Das geht normalerweise nicht, wenn es korrekt konfiguriert wurde (Update-Quellen).
Sollte er als Chance nehmen sich langsam mit Win11 und den nötigen GPOs auseinander zu setzen, bis Oktober ist nicht mehr lang.
Ich stell aktuell auch Win10 22h2 Clients auf Win11 24h2 um, am WSUS vorbei ist hier aber nichts gelaufen. Allerdings haben wir auch eine 7 Tage Updatesperre drin um genau solche Probleme abzufedern.
Bis dato zum Glück nicht, aber da scheint der WSUS nicht richtig konfiguriert gewesen zu sein. Nur so als Annahme.
Mir ist aufgefallen, wenn man in den Einträgen vom Update in der registry einen abweichenden Eintrag hat, geht WU her und verbindet sich direkt mit dem Internet für die Updates und nicht über den konfigurierten WSUS.
z.B. TargetVersion usw. Löscht man diese Einträge, gehts wieder nur über WSUS.
Ganz spooky.
Die kommen regelmäßig. Wenn ich es richtig im Kopf habe, laufen die unter der Rubrik Upgrade, welche man auf dem WSUS auch nicht automatisch genehmigen sollte.
Die KB-Nummer mag zum kumulativen Update gehören, aber der Name des Upgrades "Windows 11, version 24H2 x64 2025-03B" kennzeichnet es als Inplace-Upgrade mit Patchstand März 2025. Microsoft veröffentlicht diese schon eine Weile jeden Monat mit einem neuen Patchstand. Unter Windows 10 gab es die nur als "Einmalversion" im WSUS.
Der "Fehler" des Lesers war offenbar, dass neben Updates auch Upgrades – und als solches ist es auch korrekt gekennzeichnet laut Screenshot – per Autoapproval genehmigt werden und somit wurde dieses Inplace-Upgrade an seine Clients ausgerollt.
Aber es steht doch: er hat es "declined".
wurde denn die anderen Upgrades (23H2 etc) declined?
Was ist mit dem "DualScan" Reg bzw GPO Setting?
Danke für die Ergänzung.
es kann auch sein, weil im WSUS das Funktionsupdate 24H2 auch für W10 zuschlägt, obwohl es eigentlich für W11 gedacht ist
in gemischten Umgebungen muß man daher höllisch aufpassen, wenn man dieses freigibt, daß es nur für bestehende W11-Clients verteilt wird
Hier nix Zwangsupgrade, da ich aber auch überall TPM deaktiviert habe wird das auch kaum gehen. Den den Zwang gibt MS sicher nicht auf.
Immer das gleiche Geheule, der WSUS kann überhaupt nichts dafür. Der Admin muss auch DisableDualScan aktivieren, dann wird nichts am WSUS vorbei installiert. Und falls man das nicht gemacht hat, hilft es auch keine automatische Genehmigungsregel für alles zu erstellen. Updates/Upgrades kann man einmal im Monat schon manuell freigeben.
https://www.escde.net/blog/windows-update-richtlinien-und-dual-scan
EDIT:
>Der Leser schrieb mir dazu: "Leider hat unser WSUS die [Updates] initial nicht >blockiert. Dies haben wir um kurz nach sieben nachgezogen."
Wieso soll der WSUS auch ein Update blockieren wenn es der Admin per Autoregel freigegeben hat? Ich glaube hier fehlt einfach ein bisschen Wissen um die eingesetzte Technik. Ja, das kam bei uns heute auch an, da wir Updates manuell freigeben, wurde dieses Update/Upgrade abgelehnt.
Also ich weiß nicht, ob es nötig ist, sich so abfällig aufzupludern.
MS ist mittlerweile mit seinen Empfehlungen weitergezogen, von "DisableDualScan" zur "scan source policy".
https://learn.microsoft.com/en-us/windows/deployment/update/wufb-wsus