Bestimmte Updates Auf Windows 10 Rechner Nicht Zulassen

Berechnen Sie die optimale Strategie, um bestimmte Windows 10-Updates auf Ihrem Rechner zu blockieren, basierend auf Ihrer Systemkonfiguration und Sicherheitsanforderungen.

Wichtig: Das Blockieren von Windows-Updates kann Sicherheitsrisiken bergen. Dieser Leitfaden zeigt sichere Methoden auf, die die Systemstabilität erhalten, während unnötige oder problematische Updates vermieden werden.

Warum bestimmte Windows 10-Updates blockieren?

Windows 10-Updates dienen primär der Sicherheit und Stabilität, können aber in bestimmten Szenarien problematisch sein:

• Kompatibilitätsprobleme: 27% der Unternehmen berichten von Anwendungsausfällen nach Windows-Updates (Quelle: Gartner IT Operations Study 2022)
• Bandbreitenverbrauch: Ein kumulatives Update kann bis zu 3,5 GB Datenvolumen verbrauchen
• Ungewollte Änderungen: Updates können Standardanwendungen ändern oder neue “Features” einführen
• Testumgebungen: Entwickler benötigen oft stabile Umgebungen ohne automatische Änderungen
• Embedded-Systeme: Industrielle Steuerungssysteme dürfen nicht unerwartet aktualisiert werden

Offizielle Methoden zum Update-Management

Microsoft bietet mehrere unterstützte Wege, um Updates zu kontrollieren:

1. Windows Update für Unternehmen (WUfB)

Die professionelle Lösung für Unternehmen mit folgenden Optionen:

Funktion	Windows 10 Pro	Windows 10 Enterprise
Update-Pausierung (bis 35 Tage)	✓	✓
Auswahl des Branch (Current/Deferred)	✓ (begrenzt)	✓ (vollständig)
Qualitätsupdate-Verzögerung	Bis 30 Tage	Bis 365 Tage
Feature-Update-Verzögerung	Bis 365 Tage	Bis 730 Tage
Update-Ringe (Pilotgruppen)	✗	✓

Konfiguration:

1. Öffnen Sie Einstellungen > Update und Sicherheit > Erweiterte Optionen
2. Wählen Sie unter “Ein Update pausieren” den maximalen Zeitraum (35 Tage)
3. Für Enterprise: Nutzen Sie die Gruppenrichtlinienvorlagen für feinere Kontrolle

2. Metered Connection (Gemessene Verbindung)

Eine einfache Methode für Privatnutzer, die jedoch nicht alle Update-Typen blockiert:

1. Gehen Sie zu Einstellungen > Netzwerk und Internet > Wi-Fi (oder Ethernet)
2. Klicken Sie auf Ihre Verbindung und aktivieren Sie “Als gemessene Verbindung festlegen”
3. Windows wird kritische Sicherheitsupdates weiterhin herunterladen, aber optionale Updates blockieren

Einschränkung: Diese Methode blockiert keine Sicherheitsupdates. Für vollständige Kontrolle sind andere Methoden erforderlich.

3. Gruppenrichtlinien-Editor (gpedit.msc)

Für Pro- und Enterprise-Versionen verfügbar:

1. Drücken Sie Win + R, geben Sie gpedit.msc ein und drücken Sie Enter
2. Navigieren Sie zu: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update
3. Wichtige Richtlinien:
   • “Automatische Updates konfigurieren” – Aktivieren und Option 2 (Benachrichtigung) oder 3 (Automatischer Download, manuelle Installation) wählen
   • “Automatische Updates verzögern” – Konfigurieren Sie Verzögerungen für Qualitäts- und Feature-Updates
   • “Updates von mehr als einem Standort herunterladen” – Deaktivieren, um Bandbreite zu sparen

Erweiterte Methoden für Techniker

1. Windows Update-Dienst deaktivieren

Warnung: Dies blockiert alle Updates und sollte nur temporär verwendet werden.

1. Öffnen Sie die Dienste-Konsole (services.msc)
2. Suchen Sie den “Windows Update”-Dienst
3. Klicken Sie mit der rechten Maustaste > Eigenschaften
4. Wählen Sie unter “Starttyp” die Option “Deaktiviert”
5. Klicken Sie auf “Stoppen” und dann auf “Übernehmen”

Sicherheitsrisiko: Diese Methode entfernt alle Sicherheitsupdates. Nur verwenden, wenn Sie manuell kritische Patches installieren.

2. Update-Registrierungsschlüssel anpassen

Für fortgeschrittene Benutzer, die spezifische Update-Verhalten steuern möchten:

1. Öffnen Sie den Registrierungseditor (regedit)
2. Navigieren Sie zu: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
3. Erstellen Sie folgende DWORD-Werte (falls nicht vorhanden):
   • SetUpdateServiceUrl = 1 (um Update-Server umzuleiten)
   • UpdateServiceUrlAlternate = “http://127.0.0.1” (lokaler Server)
   • DeferQualityUpdatesPeriodInDays = 30 (Qualitätsupdates verzögern)
   • DeferFeatureUpdatesPeriodInDays = 180 (Feature-Updates verzögern)
4. Starten Sie den Computer neu

3. WSUS (Windows Server Update Services)

Die Enterprise-Lösung für zentrale Update-Kontrolle:

Vorteil	Nachteil
Vollständige Kontrolle über genehmigte Updates	Erfordert Server-Infrastruktur
Testgruppen vor der Bereitstellung	Komplexe Einrichtung
Bandbreitenoptimierung (lokaler Cache)	Laufende Wartung erforderlich
Compliance-Berichterstattung	Nur für Windows Pro/Enterprise

Offizielle WSUS-Dokumentation: Microsoft WSUS Guide

Spezifische Updates blockieren

Manchmal müssen Sie nur bestimmte problematische Updates blockieren:

1. Über die Update-Verlaufsliste

1. Gehen Sie zu Einstellungen > Update und Sicherheit > Updateverlauf anzeigen
2. Klicken Sie auf “Updates deinstallieren”
3. Suchen Sie das problematische Update (z.B. KB5001330)
4. Klicken Sie auf “Deinstallieren”
5. Verstecken Sie das Update mit dem offiziellen Microsoft-Tool

2. Mit wushowhide.diagcab

Das offizielle Microsoft-Tool zum Ausblenden von Updates:

1. Laden Sie das Tool von der Microsoft-Website herunter
2. Führen Sie wushowhide.diagcab aus
3. Wählen Sie “Hide updates”
4. Markieren Sie die Updates, die Sie blockieren möchten
5. Klicken Sie auf “Weiter” und folgen Sie den Anweisungen

3. Über die Registrierung (für spezifische KBs)

Blockieren Sie bestimmte Knowledge Base-Updates dauerhaft:

1. Öffnen Sie den Registrierungseditor
2. Navigieren Sie zu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
3. Erstellen Sie einen neuen DWORD-Wert mit dem Namen des Updates (z.B. KB5001330)
4. Setzen Sie den Wert auf 1
5. Starten Sie den Windows Update-Dienst neu:

   net stop wuauserv
   net start wuauserv

Risikomanagement und Best Practices

1. Risikobewertung durchführen

Vor dem Blockieren von Updates sollten Sie folgende Faktoren bewerten:

• Sicherheitsrisiko: Blockieren Sie niemals kritische Sicherheitsupdates (markiert als “Sicherheit” oder “Kritisch”)
• Anwendungskompatibilität: Testen Sie Updates in einer Sandbox-Umgebung wie Microsofts Windows VMs
• Compliance-Anforderungen: Viele Branchenvorschriften (z.B. ISO 27001, HIPAA) erfordern aktuelle Sicherheitsupdates
• Support-Status: Windows 10 20H2 erreichte das Ende des Supports am 10. Mai 2022 – nutzen Sie unterstützte Versionen

2. Empfohlene Blockierungsstrategien nach Szenario

Szenario	Empfohlene Aktion	Risikostufe
Entwickler-Workstation	Feature-Updates 180 Tage verzögern, Qualitätsupdates 30 Tage
Industrielle Steuerung	Alle automatischen Updates deaktivieren, manuelle Prüfung
Büro-PC mit kritischen Anwendungen	Qualitätsupdates 14 Tage verzögern, Feature-Updates testen
Heim-PC mit begrenzter Bandbreite	Gemessene Verbindung + manuelle Installation
Server-Umgebung	WSUS mit Testring und 30-tägiger Verzögerung

3. Alternative Update-Quellen

Für Systeme, die keine direkten Microsoft-Updates erhalten sollen:

• WSUS Offline Update: wsusoffline.net – Lädt Updates für Offline-Installation herunter
• Microsoft Update Catalog: catalog.update.microsoft.com – Manuelle Auswahl einzelner Updates
• Drittanbieter-Tools:
  • PatchMyPC (für Anwendungsupdates)
  • Ninite (für Softwarepakete)
  • Chocolatey (Paketmanager für Windows)

Rechtliche und Compliance-Aspekte

Das Blockieren von Updates kann rechtliche Konsequenzen haben:

1. Datenschutzbestimmungen (DSGVO/GDPR)

Artikel 32 der DSGVO verlangt:

“…die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen…”

Praktische Implikationen:

• Regelmäßige Sicherheitsupdates sind verpflichtend für personenbezogene Daten
• Dokumentieren Sie alle abgelehnten Updates mit Begründung
• Führen Sie alternative Sicherheitsmaßnahmen ein (z.B. Netzwerksegmentierung)

2. Branchenstandards

Standard	Anforderung	Auswirkung auf Update-Politik
ISO 27001	A.12.6.1 – Management von technischen Schwachstellen	Regelmäßige Sicherheitsupdates erforderlich
PCI DSS	Requirement 6.2 – Installieren Sie kritische Sicherheitsupdates	Monatliche Updates für Zahlungssysteme
HIPAA	§164.308(a)(5)(ii)(B) – Schutz vor böswilliger Software	Sicherheitsupdates innerhalb von 30 Tagen
NIST SP 800-40	Patch-Management-Richtlinie	Risikobasierte Update-Strategie

3. Microsoft-Lizenzbedingungen

Abschnitt 3 der Windows 10-Lizenzbedingungen besagt:

“The software periodically checks for system and app updates… Updates may not include all features… You may obtain updates only from Microsoft or authorized sources.”

Interpretation:

• Microsoft erlaubt das Verzögern, aber nicht das dauerhafte Blockieren von Updates
• Modifizierte Update-Quellen (außer WSUS) können gegen die Lizenz verstoßen
• Enterprise-Kunden haben mehr Flexibilität durch Volume-Lizenzvereinbarungen

Langfristige Strategien für Update-Management

1. Windows 10 LTSC (Long-Term Servicing Channel)

Die stabile Version für spezielle Anwendungsfälle:

• Vorteile:
  • 10 Jahre Support pro Version
  • Keine Feature-Updates, nur Sicherheitsupdates
  • Ideal für Embedded-Systeme und industrielle Steuerungen
• Nachteile:
  • Keine neuen Funktionen
  • Nur für Enterprise-Kunden verfügbar
  • Kein Microsoft Store oder Cortana

Aktuelle LTSC-Version: Windows 10 2021 LTSC (Support bis 12. Januar 2032)

2. Virtualisierung und Containerisierung

Isolieren Sie veraltete Systeme in virtuellen Umgebungen:

• Hyper-V-Isolation: Führen Sie Windows 10 in einer VM mit deaktivierten Updates aus
• Docker-Container: Für Legacy-Anwendungen mit festen Abhängigkeiten
• Azure Virtual Desktop: Zentrale Verwaltung mit kontrollierten Update-Zyklen

3. Automatisierte Testumgebungen

Implementieren Sie einen mehrstufigen Update-Prozess:

1. Phase 1: Automatisiertes Testen in einer isolierten Umgebung (z.B. mit AutoIt oder Selenium)
2. Phase 2: Bereitstellung für eine kleine Pilotgruppe (5-10% der Systeme)
3. Phase 3: Vollständige Bereitstellung nach 14-tägiger Beobachtung
4. Phase 4: Dokumentation und Rollback-Plan für den Fall von Problemen

Häufige Probleme und Lösungen

1. Windows Update bleibt bei “Auf Updates wird geprüft” hängen

Lösungen:

1. Windows Update-Dienst neu starten:

   net stop wuauserv
   net stop cryptSvc
   net stop bits
   net stop msiserver
   ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
   ren C:\Windows\System32\catroot2 catroot2.old
   net start wuauserv
   net start cryptSvc
   net start bits
   net start msiserver

2. Windows Update Problembehandlung ausführen (msdt.exe /id WindowsUpdate)
3. Manuellen Update-Check über den Microsoft Update Catalog durchführen

2. Updates werden trotz Deaktivierung installiert

Mögliche Ursachen und Lösungen:

Ursache	Lösung
Gruppenrichtlinien werden überschrieben	Überprüfen Sie die Vererbung in gpedit.msc mit gpresult /h report.html
Drittanbieter-Software (z.B. Treiber-Updater)	Deinstallieren oder Update-Funktionen deaktivieren
Malware oder Adware	Vollständigen Systemscan mit Windows Defender Offline durchführen
Windows Update Medic Service (WaaSMedic)	Dienst deaktivieren (Vorsicht: kann Systeminstabilität verursachen)

3. Fehlercodes bei Updates

Häufige Windows Update-Fehler und ihre Bedeutungen:

Fehlercode	Bedeutung	Lösung
0x80070002 / 0x80070003	Datei nicht gefunden	SoftwareDistribution-Ordner zurücksetzen
0x80070020	Prozess wird bereits ausgeführt	System neu starten und erneut versuchen
0x80070057	Ungültiger Parameter	Registrierung auf Beschädigung prüfen
0x80073712	Beschädigte Komponentenspeicher	DISM /Online /Cleanup-Image /RestoreHealth ausführen
0x80244022	Netzwerkproblem	Proxy-Einstellungen prüfen oder VPN deaktivieren

Zukunft: Windows 11 und Update-Strategien

Mit der Einführung von Windows 11 hat Microsoft das Update-Modell weiterentwickelt:

1. Wichtige Änderungen in Windows 11

• Kleinere, häufigere Updates: Kumulative Updates alle 4 Wochen statt monatlich
• Komponentenbasierte Servicing: Einzelne Treiber und Komponenten können unabhängig aktualisiert werden
• Striktere Hardwareanforderungen: TPM 2.0 und Secure Boot sind obligatorisch
• 22H2 als letztes großes Update: Windows 11 folgt nun einem jährlichen Feature-Update-Zyklus

2. Update-Kontrolle in Windows 11

Neue Optionen für Update-Management:

• Update-Pausierung: Bis zu 5 Wochen (statt 35 Tage in Win10)
• Genauere Verzögerungsoptionen: Separate Steuerung für Qualitäts- und Feature-Updates
• Automatische Wartungszeiten: Konfigurierbare aktive Stunden (bis zu 18 Stunden/Tag)
• Cloud-basierte Update-Orchestrierung: Für Unternehmen mit Intune

3. Migrationsstrategie von Windows 10 zu 11

Empfohlener Zeitplan für Unternehmen:

Phase	Zeitraum	Aktion
1. Bewertung	0-3 Monate	Hardware-Kompatibilität prüfen, Pilotgruppe auswählen
2. Pilotbereitstellung	3-6 Monate	Testgruppe (5-10% der Systeme) migrieren
3. Schulung	4-8 Monate	Benutzerschulungen und Support-Dokumentation
4. Hauptbereitstellung	8-18 Monate	Phasenweise Migration (20% pro Quartal)
5. Abschluss	18-24 Monate	Letzte Systeme migrieren, Windows 10 Support-Ende (14.10.2025) abwarten

Fazit und Empfehlungen

Das Blockieren von Windows 10-Updates sollte immer eine durchdachte Entscheidung sein, die Sicherheitsrisiken gegen operative Anforderungen abwägt. Hier sind unsere abschließenden Empfehlungen:

Für Privatnutzer:

• Nutzen Sie die integrierte Update-Pausierung (bis 35 Tage)
• Richten Sie eine gemessene Verbindung ein, wenn Bandbreite begrenzt ist
• Deinstallieren Sie problematische Updates und verstecken Sie sie mit dem offiziellen Tool
• Führen Sie mindestens monatlich Sicherheitsupdates durch

Für Unternehmen:

• Implementieren Sie WSUS oder Microsoft Intune für zentrale Kontrolle
• Nutzen Sie die Windows 10 Enterprise-Funktionen für verzögerte Updates
• Richten Sie Testumgebungen für Update-Validierung ein
• Dokumentieren Sie alle Abweichungen von Standard-Update-Politik für Compliance
• Erwägen Sie Windows 10 LTSC für kritische Systeme, die Stabilität benötigen

Für industrielle/embedded Systeme:

• Deaktivieren Sie alle automatischen Updates
• Nutzen Sie Windows 10 IoT Enterprise für langfristigen Support
• Implementieren Sie Netzwerkisolation für zusätzliche Sicherheit
• Führen Sie jährliche Sicherheitsaudits durch, um kritische Patches manuell zu identifizieren

Letzter Rat: Unabhängig von Ihrer Strategie sollten Sie immer:

• Regelmäßige Backups durchführen (mindestens wöchentlich)
• Ein Rollback-Verfahren für problematische Updates haben
• Sicherheitsupdates priorisieren – selbst wenn Sie Feature-Updates blockieren
• Ihre Update-Strategie mindestens jährlich überprüfen

Weiterführende Ressourcen

Offizielle Quellen für vertiefende Informationen:

• Microsoft Windows Update Dokumentation – Umfassende technische Anleitungen
• CISA Alerts (US-CERT) – Kritische Sicherheitswarnungen
• NIST Cybersecurity Framework – Risikomanagement-Standards
• Microsoft Security Response Center – Aktuelle Sicherheitsupdates
• SANS Institute – Schulungen zu sicheren Update-Strategien