Windows Update dauerhaft deaktivieren

Update 08.10.2021

Aufgrund mehrfacher Nachfrage habe ich einen größeren Absatz zum Rückgängig machen des Update Blocks hinzugefügt.

Update 07.02.2019

Heute habe ich den Artikel noch einmal grundlegend überarbeitet. Der nun beschriebene Weg funktioniert bei mir nun seit über einem Monat wieder einwandfrei und sorgt dafür, dass der Windows Update Dienst nicht einmal mehr unter Dienste aufgeführt wird.

Update 06.11.2018

Der hier beschriebene Weg funktioniert aktuell leider nicht mehr. Ich suche bei Gelegenheit nach einer neuen Möglichkeit und werde den Beitrag entsprechend aktualisieren.

——-

Direkt zur Lösung

Hintergrund

Microsoft hat es den Windows Nutzern einfach gemacht und kümmert sich dankenswerter Weise seit Windows 10 um die Aktualisierung seines PCs. Abgesehen von ein paar Ausnahmen funktioniert das Ganze auch weitestgehend gut. Es kommt zwar immer mal wieder zur Unzeit vor, dass ein Rechner ein gefühlt stundenlanges Update durchführt, dies ist aber alles noch zu verkraften.

Problematisch wird es nun allerdings auf Systemen, auf denen unter keinen Umständen Updates installiert werden dürfen. Ein Beispiel hierfür ist etwa die Windows 10 Enterprise LTSB 2016 Version mit aktiviertem Schreibfilter „Unified Write Filter (UWF)“.
Zur Erklärung: Ist dieser Schreibschutz aktiviert, werden sämtliche Änderungen am System in ein Overlay (wahlweise im RAM oder auf HDD) gespeicher. Bei jedem Neustart werden sämtliche Änderungen verworfen. Ist das Overlay jedoch voll, wird das System träge und friert irgendwann ein.

Während es in der LTSB 2015er Version noch so war, dass Windows Updates automatisch deaktiviert wurden sobald der UWF aktiviert wurde (sehr sinnvoll), ist dies ab der 2016er Version nicht mehr so. Dies hat zur Folge, dass man ein Gerät neu installiert, fertig konfiguriert, UWF aktiviert und nach ein paar Wochen versucht, das Gerät täglich Updates in Hülle und Fülle zu laden, so dass das Overlay binnen kürzester Zeit gefüllt ist.
Der gewiefte Systemadmin kommt recht schnell auf die Idee „Na dann deaktiviert man den Windows Update Dienst vor dem Aktivieren des UWF.“. Generell stimme ich dem natürlich absolut zu, nur leider hat hier Microsoft einen Riegel vorgeschoben und prüft regelmäßig, ob der Dienst aktiviert ist und schaltet ihn im Zweifel wieder ein.

Aktuelle Lösung (07.02.2019)

Im Vergleich zur vorherigen Lösung (siehe unterhalb) wird in der aktuellen Variante nicht mehr der Dienstpfad umgeschrieben, sondern einfach dafür gesorgt, dass das System (Windows selbst) keinen Zugriff mehr auf den entsprechenden Registrierungsschlüssel hat. Da dieser Weg vorsieht, dem System die Berechtigungen für den entsprechenden Registrierungsschlüssel zu entziehen, bin ich ganz guter Dinge, dass diese Lösung länger Bestand hat.

Vorgehen

Öffnet zunächst den Registrierungseditor („Windows Taste + R“ -> „regedit“).

Navigiert zu dem Schlüssel „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv“ und öffnet mit einem Rechtsklick darauf die Berechtigungseinstellungen.

Wählt anschließend zunächst die Option „Erweitert“ und ändert den Besitzer von „SYSTEM“ auf euren Benutzer die Gruppe „Administratoren“. Schließt anschließend alle offenen Dialoge und öffnet die Berechtigungseinstellungen von „wuauserv“ erneut.

Setzt hier für alle Benutzer außer den „Administratoren“  die Berechtigung für „Vollzugriff“ und „Lesen“ auf „Verweigern“.

Nach einem anschließenden Neustart ist in der Diensteübersicht nichts mehr von Windows Update zu sehen.

Der Versuch ein Update anzustoßen, wird daraufhin mit dieser Fehlermeldung quittiert.

Um Windows Updates wieder durchführen zu können, genügt es, die vorgenommen Berechtigungsänderungen an der Registrierung wieder rückgängig zu machen.

Updates wieder aktivieren

Da es häufiger angefragt wurde, hier einmal eine Anleitung um den Windows Updatedienst wieder verfügbar zu machen.

Normales Vorgehen

Öffnet zunächst den Registrierungs-Editor mit Administrator Rechten. Zum Beispiel durch drücken des Windows Start Knopfes, blindem eintippen von „regedit“ -> „Als Administrator ausführen“ wählen

Navigiert wieder zu dem Schlüssel „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv“ und öffnet mit einem Rechtsklick darauf die Berechtigungseinstellungen.

Entfernt die Haken „Verweigern“ für euren User SYSTEM

Nach eine Neustart sollte der Windows Update Dienst wieder normal ausgeführt werden können. Sollte eurem Benutzeraccount die Rechte fehlen den Registrierungsschlüssel zu editieren oder der Windows Update Dienst sich nach einem Neustart immer noch nicht ausführen lassen, folgt bitte dem weiteren Vorgehen.

Bei Problemen

Ich konnte in den letzten Jahre mehrmals beobachten, dass dem eigenen Benutezraccount die Berechtigung zum Editieren der Registrierungsberechtiung für den Schlüssel gefehlt hat. Ich habe keine genaue Ursache gefunden, vermute aber, dass hier in der Zwischenzeit ein „lokales“ Windows Konto zu einem „online“ Konto migiert wurde. Hierdurch kann sich die SID des Users geändert haben und er ist nicht mehr Besitzer des Schlüssel.

Erneute Übernahme des Schlüssel Besitzes

Öffnet wie zuvor den Registrierungseditor und navigiert zu dem Schlüssel „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv“ und öffnet mit einem Rechtsklick darauf die Berechtigungseinstellungen.

Wählt hier nun die Option „Erweitert“. Anschließend kann unter „Besitzer“ entweder das aktuelle Benutzerkonto oder auch die Gruppe „Administratoren“ ausgewählt werden. Zusätzlich sollte auf jeden Fall die Option „Alle Berechtigungen für untergeordnete Objekte durch vererbbare Berechtigungen von diesem Objekt ersetzen“ gesetzt werden.

Schließt anschließend die Eigenschaften des Registrierungsschlüssels und versucht Ihn erneut wie unter „Normales Vorgehen“ beschrieben. Sollte die Übernahme des Besitzes hier scheitern, hilft nur noch der „Holzhammer“.

Holzhammer

Sollte es dem eigenen Benutzerkonto trotz Administrationsrechten nicht möglich sein den Besitzer des Schlüssel zu ändern, so bleibt noch die Option den Registrierungs-Editor als „SYSTEM“ Nutzer zu starten. Hierzu benötigt man zunächst das Tool „psexec“ der Windows Sysinternals Suite.

Ladet euch das Tool direkt von Microsoft herunter und entpackt es in einen Ordner eurer Wahl.

Öffnet zunächst die Windows Eingabeaufforderung mit Administrator Rechten. Zum Beispiel durch drücken des Windows Start Knopfes, blindem eintippen von „cmd“ -> „Als Administrator ausführen“ wählen

Navigiert über „cd …“ in den Pfad in dem ihr die Windows Sysinternals entpackt habt

Öffnet nun den Registrierungseditor über den Befehl „psexec -i -d -s regedit“

Mit dem so geöffneten Registrierungseditor, sollten sich auf alle Fälle die Ordnerberechtigungen wie in „Erneute Übernahme des Schlüssel Besitzes“ beschrieben zurück setzen lassen.

bisherige Lösung

Lange Rede, kurzer Sinn:
Die einzige mir bekannte Option, Windows Updates dauerhaft und tatsächlich zu unterbinden, ist es, den Startaufruf des Windows Updates Dienstes so zu modifizieren, dass das Starten des Dienstes fehlschlägt.

Hierzu ist das Bearbeiten der Registrierung notwendig und wie immer gilt, das Bearbeiten der Registrierung erfolgt auf eigene Gefahr.

Manuell

  1. Öffnet hierzu den Registrierungseditor („Windows Taste + R“ -> „regedit“)
  2. Navigiert zu dem Schlüssel „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv“
  3. Öffne den Wert „ImagePath“ und löscht den Inhalt
  4. Fertig

per Skript

Hier das Ganze auch noch zum Kopieren in eine Eingabeaufforderung oder Skriptdatei:

net stop wuauserv
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv /v ImagePath /t REG_EXPAND_SZ /d "" /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv /v FailureActions /t REG_BINARY /d 80510100000000000000000003000000140000000000000060ea000000000000000000000000000000000000 /f

Ergänzend wird hierin vorher noch versucht, den Updatedienst zu beenden und über den Wert „FailureActions“ definiert, so dass im Fehlerfall nicht versucht wird den Dienst erneut zu starten.

Um den Windows Updates Dienst wiederherzustellen, kann übrigens folgende Zeile verwendet werden:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv /v ImagePath /t REG_EXPAND_SZ /d "%systemroot%\system32\svchost.exe -k netsvcs" /f
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv /v FailureActions /t REG_BINARY /d 80510100000000000000000003000000140000000100000060ea000000000000000000000000000000000000 /f
Tobias Wintrich
Tobias Wintrich

Fachinformatiker/Systemintegration
Bäcker aus Leidenschaft

Artikel: 28

65 Kommentare

  1. Hallo,
    funktioniert leider nicht oder nicht mehr.
    Ich habe das ganze mit einer Batchdatei als Admin ausgeführt.
    Die Batchdatei zum Deaktivieren hat auch den Eintrag in der Registry bei ImagePath entsprechend gelerrt. 3 Tage später musste ich nun feststellen, dass der Rechner anscheinend wieder neu gestartet wurde, und Updates ausgeführt wurden. Bei ImagePath in der Registry hat sich leider auch wieder „C:\WINDOWS\system32\svchost.exe -k netsvcs -p“ eingetragen.
    PC 1:
    Windows 10 Pro 64bit
    Winver: 1803 (Build 17134.285)

    PC2:
    Windows 10 Pro 64bit
    Winver: 1803 (Build 17134.345)

    • Hallo Max,

      ich versuche das ganze nochmal nachzustellen. Zurzeit bin ich auf Windows 10 Pro 64 Bit Build 17134.345. Ich habe die Zeile gerade nochmal ausgeführt und meinen PC neu gestartet. Bisher hat der Schlüssel gehalten und der Windows Update Dienst lässt sich nicht mehr ausführen. Ich werde es die nächsten Tage noch beobachten ob sich der Schlüssel wieder zurücksetzt.

      Eventuell könntest du noch versuchen, nach setzten des Schlüssels direkt einen Neustart auszuführen. Ich könnte mir noch vorstellen, dass ein noch laufender Windows Updateprozess von Zeit zu Zeit eine Überprüfung seiner Parameter durchführt und dabei Schlüssel automatisch korrigiert. Durch einen direkten Neustart, sollte sich das unterbinden lassen.

      Tobias

  2. Hallo,
    leider muss ich Max zustimmen. Auch bei mir hat sich wohl nach einigen Tagen, ohne das ich es bemerkt habe, der Pfad wieder in die Registry eingeschrieben. Ich hatte nach setzen des Schlüssel einen Neustart ausgeführt.
    Sehe jetzt als einzigen Ausweg die Batchdatei in den Aufgabenplaner zu setzen und ein bis zwei mal pro Tag ausführen zu lassen.
    Wenn ich kein Touch Tablet hätte, hätte ich Win10 schon lang durch Win7 ersetzt.

    • Hallo Zusammen,

      ich habe gerade auch nochmal den Status meines Windows Update Dienstes überprüft und siehe da, er hat sich auf magische Weise ebenfalls wieder aktiviert. Dabei ist mir auch ein neuer Dienst ins Auge gefallen, den es vorher an dieser Stelle nicht gegeben hat. Der „Windows Update Medic Service“ sorgt wohl dafür einen defekten Windows Update Dienst wieder zu reparieren.
      Bisher konnte ich Ihn aber auch noch nicht bei der Arbeit beobachten, wenn man den Update Dienst beschädigt und anschließend „Windows Update Medic Service“ manuell startet so ändert sich erst einmal nichts.

      Ich versuche eine alternative Möglichkeit zu finden, bis dahin, markiere ich den Beitrag als nicht mehr funktionierend.

      Tobias

  3. Hallo,
    Also ich habe jetzt eine etwas unkonventionelle Lösung für das Problem gefunden. Diese funktioniert nun seit fast 3 Wochen einwandfrei.
    Ich habe mir den obigen „Update Ausschalt Script“ in eine .bat Datei gelegt und in der Aufgabenplanung einen Task angelegt, der mir diese .bat Datei einmal pro Stunde automatisch ausführt wenn der Rechner an ist bzw. sofort wenn er hochgefahren wird.

    Ralf

  4. Hallo Ralf, in der Hoffnung das Deine Lösung noch funktioniert, würdest Du mir bitte Deine Lösung im Detail erläutern ? Bin nicht wirklich Profi in diesen Dingen und würde mich über Unterstützung freuen.
    Wie sieht konkret die .bat aus und wo muss die abgelegt werden ?
    Wie erstelle ich die Stündliche Aufgabe ?

    LG Dieter

  5. Ist es heutzutage so, das Microsoft ein besonderes Augenmerk darauf legt, welche Lösungen sich so manche User zurecht basteln, und Microsoft diese am Ende bewusst blockiert?

    Gibt es nach aktuellem Stand eigentlich für Microsoft auch die Möglichkeit (im System selbst) nachzuvollziehen (im Hintergrund) was der User im System alles anstellt und ändert?

    • Hallo Didi,

      vorweg gesagt, ich verteufele keine großen Firmen wie Microsoft, weil Sie uns Ihre aktuellen Updates aufzwingen möchten. Ich gehe sogar davon aus, dass es für über 95% aller Windows Nutzer absolut Sinnvoll ist Sicherheitsupdates automatisch aufs System übertragen zu bekommen. Generell halte ich es sogar für Ihr gutes Recht so vorzugehen, da auch niemand von uns gezwungen ist Ihre Produkte zu nutzen und wir Ihren Bedingungen bei jeder Installation zustimmen.

      Nun zur eigentlichen Frage. Ich habe keine gesicherten Belege, gehe aber davon aus, dass Microsoft es mitbekommt auf welche Art versucht wird, ein Update zu blockieren. Ich vermute, dass wenn Windows Update (oder ein beliebiger anderer Dienst) auf einem Gerät nicht gestartet werden kann, ein entsprechendes Fehlerprotokoll an Microsoft gesendet wird. Wenn es nun darin heißt, dass der Pfad zum Dienst nicht gefunden werden kann, wird im nächsten Windows Update (oder über die Magie des Windows Update Medic Dienstes) eine Funktion eingespielt werden, die genau auf diesen Fehler reagiert und Ihn behebt indem es den Pfad in der Registrierung neu setzt.
      Lustiger Weise hat man bei der Einrichtung eines aktuellen Windows Systems nicht mehr die Option zu wählen, dass keine Fehlerprotokolle an Microsoft übertragen werden, man hat nur die Auswahl zwischen einem kompletten und einem eingeschränkten Protokoll.

      Ich teste zurzeit ein modifiziertes Vorgehen der bisherigen Anleitung. Zusätzlich zum Überschreiben des Dienstpfades habe ich nun dem User „System“ den Zugriff auf den Registrierungsschlüssel verweigert. Bisher hält das Vorgehen seit über 3 Tagen stand und der Windows Update Dienst wird nicht einmal mehr in der Dienstübersicht aufgeführt. Sollte es auch noch 2 weitere Wochen halten, würde ich meine Anleitung nochmal updaten.

      Tobias

        • Hallo,

          ja es hat nunmehr tatsächlich wieder seit 30 Tagen standgehalten und es wurden keine Anstalten mehr unternommen Updates zu installieren.

          Ich hab den Artikel gerade nochmal überarbeitet. Nach diesem Vorgehen sollte es auch bei dir wieder funktionieren.

          Tobias

  6. Hallo Tobias,
    war länger nicht mehr auf dieser Seite und habe heute die weitere Entwicklung des Beitrages gelesen.

    OK, wenn dieses Vorgehen so funktioniert, dann werde ich dies auch mal so versuchen. Obgleich das ständige Überschreiben der Registry prinzipiell bis heute funktioniert.
    Aber die Lösung, dem User “System” den Zugriff auf den Registrierungsschlüssel zu verweigern, ist natürlich der elegantere Weg.

    Danke für die Bemühungen.
    Ralf

  7. Hallo Tobias,

    habe nun die modifizierte Vorgehensweise getestet – und sie funktioniert prima 🙂

    Noch eine Frage……
    Ich hatte mir vor der Veränderung eine Sicherung des Wuauserv Schlüssels gemacht. Und ich wollte eine Sicherung nach der Veränderung machen. Letzteres geht mal nicht, weil da gar nichts mehr drin steht.
    Ziel wäre es, per Mausklick (+Neustart) den Update ein bzw. auszuschalten. Wenn ich aber den vorher gesicherten Wuauserv Schlüssel zurück spielen möchte, kommt der Fehler „…..verfüge nicht über genügend Rechte……“

    Gibt es keine Möglichkeit die zwei verschiedenen Schlüssel zu speichern und bei Bedarf einzupflegen? Oder muss ich die ganze Prozedur „Besitzer, Berechtigung….“ immer „händisch“ machen?

    Letztendlich wollen wir Updates ja nicht grundsätzlich verweigern, sondern nur selbst bestimmen welches Update und wann es stattfinden soll…..

    Ralf

    • Hallo Ralf,

      ich musste ein wenig tüfteln, denke aber eine Möglichkeit gefunden zu haben, die Berechtigung Vollzugriff für SYSTEM auf dem Schlüssel per PowerShell Script zu aktivieren und auch wieder zu verweigern.

      Diese Zeilen in einem PowerShell Script verbieten System dem Zugriff:
      $acl = Get-Acl HKLM:\SYSTEM\CurrentControlSet\Services\wuauserv
      $rule = New-Object System.Security.AccessControl.RegistryAccessRule(„SYSTEM“,“FullControl“,@(„ObjectInherit“,“ContainerInherit“),“None“,“Allow“)
      $acl.RemoveAccessRuleAll($rule)
      $rule = New-Object System.Security.AccessControl.RegistryAccessRule(„SYSTEM“,“FullControl“,@(„ObjectInherit“,“ContainerInherit“),“None“,“Deny“)
      $acl.AddAccessRule($rule)
      $acl |Set-Acl HKLM:\SYSTEM\CurrentControlSet\Services\wuauserv

      Im Gegenzug dazu erlauben diese Zeilen den Zugriff wieder:
      $acl = Get-Acl HKLM:\SYSTEM\CurrentControlSet\Services\wuauserv
      $rule = New-Object System.Security.AccessControl.RegistryAccessRule(„SYSTEM“,“FullControl“,@(„ObjectInherit“,“ContainerInherit“),“None“,“Deny“)
      $acl.RemoveAccessRuleAll($rule)
      $rule = New-Object System.Security.AccessControl.RegistryAccessRule(„SYSTEM“,“FullControl“,@(„ObjectInherit“,“ContainerInherit“),“None“,“Allow“)
      $acl.AddAccessRule($rule)
      $acl |Set-Acl HKLM:\SYSTEM\CurrentControlSet\Services\wuauserv

      Eventuell könntest du die Zeilen bei dir kurz gegenprüfen und Bescheid geben ob es damit auch bei dir funktioniert. Sollte es bei dir klappen würde ich den Artikel noch um die Scriptzeilen ergänzen.

      Tobias

  8. Hallo Tobias,
    leider hat es nicht geklappt. (Win 10/32 1809)
    Das Script bringt folgende Fehlermeldung:

    PS C:\WINDOWS\System32> D:\Update-Ein.ps1
    Es ist nicht möglich, eine Methode für einen Ausdruck aufzurufen, der den NULL hat.
    In D:\Update-Ein.ps1:3 Zeichen:1
    + $acl.RemoveAccessRuleAll($rule)
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : InvalidOperation: (:) [], RuntimeException
    + FullyQualifiedErrorId : InvokeMethodOnNull

    Es ist nicht möglich, eine Methode für einen Ausdruck aufzurufen, der den NULL hat.
    In D:\Update-Ein.ps1:5 Zeichen:1
    + $acl.AddAccessRule($rule)
    + ~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : InvalidOperation: (:) [], RuntimeException
    + FullyQualifiedErrorId : InvokeMethodOnNull

  9. Nachtrag:
    Ich habe versucht den Schlüssel wuauserv in der Regestry händisch auf „system“ wieder zurück zu setzen. Habe aber keinerlei Zugriff darauf. Als Besitzer ist da wohl jetzt gar niemand mehr eingetragen. Der Versuch jegwelchen Besitzer einzutragen wird mit „Besitzer kann nicht eingetragen werden“ quittiert.

    Wenn ich Bilder hochladen könnte, würde ich dir zeigen wie der Schlüssel und seine Besitzer momentan aussehen. Ist eigentlich alles leer. Das Zurück spielen meiner Sicherung vom Schlüssel den ich vorher gemacht habe ist leider auch nicht möglich

    • Hallo Ralf,

      hast du regedit bzw. das Powershell Script mit der Option „als Administrator ausführen?“ gestartet? Auch wenn dein eigener Nutzeraccount Administratorenberechtigungen hat, kann dieser Schritt erforderlich sein.

      Tobias

  10. Hallo Tobias,

    Danke, Danke, Danke:-)

    Die vorhergehende Lösung hatte sich jetzt nämlich leider auch in Luft aufgelöst (hatte immerhin einige Monate gehalten), und nach deiner neuen Beschreibung ist wieder alles suuupeerrr 😀

    LG Angelika

  11. Hallo Tobias,

    also es ist jetzt alles super. Das / die Script(s) funktionieren prima. Danke für die Hilfe.

    WICHTIG an alle:
    Nach jeder Ausführung des Scripts (Update einschalten / ausschalten) einen Neustart durchführen – vorher greift die Änderung nicht.

  12. Super geil, danke!!
    Mein PC musste immer 3-4 mal neu starten, bis ich mich anmelden konnte. Windows hat versucht Updates zu installieren, was jedes mal aufs Neue fehl schlug. Die Anleitung hat mir sehr geholfen!

  13. Hallo, habe seit spät Sommer 2018 die Version 1709 Build 16299.611 am laufen und mit den beschriebenen Möglichkeiten erfolgreich bis heute jedes Update verhindert. Leider killed jedes Update ab 1803 meinen Apache den ich unter Win10 seit Jahren am laufen habe.

  14. Mal schauen, ich habe es etwas anders probiert. „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc“, nur bei „Start“ den Wert von 3 auf 4 geändert bewirkt, dass der Dienst auf Starttyp „Disable“ gestellt wird. Um das System zu hindern ihn wieder zu aktivieren habe ich die Berechtigung bezüglich „Start“ bearbeitet, die Vererbung in absolute Werte gewandelt, dem System die Berechtigungen entzogen und dem Administrator Vollzugriff gewährt. Ich hoffe es funktioniert auch so und dass ich nichts übersehen und mich selbst ausgesperrt habe ;-).

  15. Ich danke recht herzlich dafür, dass man sich hier so viele Gedanken gemacht hat.
    Die Anleitung scheint einwandfrei zu funktionieren – der Dienste-Prozess ist verschwunden.

    Nun habe ich mich daran gehalten und allen Benutzern außer den Administratoren den Zugriff verweigert („Setzt hier für alle Benutzer außer den “Administratoren” die Berechtigung für “Vollzugriff” und “Lesen” auf “Verweigern”.“).
    Leider wird mir (Admin) nun grundsätzlich der Zugriff auf den Pfad verweigert – wie kann ich das wieder rückgängig machen und was habe ich falsch gemacht?
    Irgendwann möchte ich den Update-Service ja wieder nutzen.

    • Hallo Schattengestalt,

      ich hab versucht das Problem nachzustellen und selbst wenn ich allen Benutzern inkl. meinem den Zugriff verweigere, so ist es bei mir anschließend nach einem Neustart immer noch möglich den Ordner zu sehen und die Berechtigungen wieder anzupassen.

      Hast du Regedit mit der Option „Als Administrator ausführen“ gestartet? Falls nicht wäre das mein erster Tipp. Als nächstes könntest du versuchen mit den Powershell Script Zeilen aus meinem Kommentar den Zugriff für deinen Benutzer wieder herzustellen. Hierbei wäre dann aber der Benutzer „SYSTEM“ durch deinen eigenen Benutzeraccount zu ersetzen.

      Ich hatte mit Ralf (aus den Kommentaren) ebenfalls Zeitweise das Problem, dass er keinen Zugriff mehr auf den Ordner hatte. Wir konnten zusammen nicht klären wie das ganze passiert ist. Ich habe nicht mehr 100% im Kopf wie wir es gelöst hatten, ich weiß noch dass wir eine gute Stunde zusammen an seinem PC herum gedoktort haben und es im Endeffekt über ein als System User ausgeführtes Skript wieder hinbekommen haben. Sollten also die vorherigen Tipps nicht funktionieren, geb mir nochmal Bescheid und ich versuche das ganze nochmal zusammenzufassen (eventuell brauchen wir hierzu 1 bis 2 Anläufe bis wir es wieder haben).

  16. Hallo Tobias,

    Ein Neustart half nicht, regedit als Administrator starten auch nicht. Die Rechte über RegOwnership.exe zurückzuholen geht wohl auch nicht, da es sich um einen Ordner, keinen Schlüssel handelt.

    Die Fehlermeldung beim Eintragen eines Benutzers oder Besitzers lautet:
    Die Berechtigungsinformationen für „wuauserv“ wurden nicht gespeichert.
    Zugriff verweigert.

    ############

    Den Script aus den Kommentaren habe ich ausprobiert:

    $acl = Get-Acl HKLM:\SYSTEM\CurrentControlSet\Services\wuauserv
    $rule = New-Object System.Security.AccessControl.RegistryAccessRule(“SYSTEM”,”FullControl”,@(“ObjectInherit”,”ContainerInherit”),”None”,”Deny”)
    $acl.RemoveAccessRuleAll($rule)
    $rule = New-Object System.Security.AccessControl.RegistryAccessRule(“SYSTEM”,”FullControl”,@(“ObjectInherit”,”ContainerInherit”),”None”,”Allow”)
    $acl.AddAccessRule($rule)
    $acl |Set-Acl HKLM:\SYSTEM\CurrentControlSet\Services\wuauserv

    Fehlermeldung:
    Es ist nicht möglich, eine Methode für einen Ausdruck aufzurufen, der den NULL hat.
    In Zeile:3 Zeichen:1
    + $acl.RemoveAccessRuleAll($rule)
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : InvalidOperation: (:) [], RuntimeException
    + FullyQualifiedErrorId : InvokeMethodOnNull

    Es ist nicht möglich, eine Methode für einen Ausdruck aufzurufen, der den NULL hat.
    In Zeile:5 Zeichen:1
    + $acl.AddAccessRule($rule)
    + ~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : InvalidOperation: (:) [], RuntimeException
    + FullyQualifiedErrorId : InvokeMethodOnNull

    #########

    Das Ausführen der Powershell als System (psexec, whoami als Bestätigung) hat ebenfalls nicht funktioniert. Selber Fehlercode.

    Das Bearbeiten der Berechtigungen über regedit mit Systemberechtigungen (psexec) funktionierte ebenfalls nicht.

    ########################
    ########################

    Ich habe mich weiter herumprobiert.
    Mit Systemrechten (psexec) habe ich am wuauserv-Ordner nicht an den Berechtigungen herumgeschraubt, sondern den Besitzer „System“ hinterlegt.
    Unter anderen Benutzerstufen ging dies nicht.
    Danach successive von System -> Admin -> ‚Benutzer‘ geändert.
    Daraufhin habe ich (um nichts kaputt zu machen) als normaler Benutzer die Berechtigungen wie von dir empfohlen angepasst.

    Die mögliche Fehlerursache (Diagnose aus Sicht eines absoluten Laien):
    Ich habe beim ersten Mal „Administrator“ statt dem Benutzer als Besitzer eingetragen. Eventuell habe ich mich dann ausgesperrt, als ich dem „Ersteller-Besitzer“ die Berechtigungen entzogen habe, da das ja gleichzeitig der Administrator war?
    Andererseits lässt sich dem Ersteller-Besitzer kein Zugriff (mehr) entziehen.

    Wie dem auch sei – ich habe wieder Zugriff und das System nicht (Windows Update wird nicht angezeigt). Falls du auf den Hintergrund kommst, würde ich mich freuen, man versteht ja immer gerne, was da vor sich geht.

  17. Hallo mal wieder,

    Ein Tipp zu der ganzen Angelegenheit:
    Dank Glasswire habe ich bemerkt, dass sich ein Prozess namens „culauncher.exe“ kräftig downloadete.
    Es handelt sich hierbei um einen Prozess, der „die Zuverlässigkeit von Windows Update verbessern soll“. Der Prozess landet mit allen anderen Updates auf dem PC, scheint aber noch recht neu zu sein (die Hilfeseite von Windows ist einen Monat alt).

    Ich habe das Ganze nachverfolgt: Erstmalig wurde der Prozess aktiviert, als ich Windows Update manuell „deaktivierte“.
    Jetzt wollte er wohl gerade etwas downloaden – den Internetzugang habe ich ihm entzogen.

    Vermutlich kann man die .exe-Datei auch löschen oder deaktivieren, allerdings befürchte ich, dass sie wieder neu geschrieben wird.
    Insofern das als Hinweis, woher Microsoft seine Neuigkeiten über unsere Computer bezieht.

  18. Die Sperre hat funktioniert, jetzt wollte ich aber wieder ein Update manuell machen und der Dienst Windows Update startet nicht mehr, es kommt Zugriff verweigert und Fehler 5. Dabei hab ich bei wuauserv Benutzer wieder auf SYSTEM gesetzt und überall wieder auf zulassen. Daraufhin erscheint Windows Update wieder unter Dienste aber der Zugriff auf das Starten ist verweigert. Was kann ich tun?

    • Hallo Holger,

      Für mich hört es sich zunächst so an, als hätte das System wieder Zugriff auf den Dienst, Ihre aktuelles Benutzerkonto aber noch nicht. Können den aktuell bereits wieder Updates installiert werden? Im Standard steht der Windows Update Dienste auf Starttyp Manuell und wird nur bei der Suche oder Installation von Updates aktiv. Wenn Diese bereits wieder funktioniert, müsstest du nicht Zwangsweise nach der Ursache suchen, warum der Dienst nicht händisch gestartet werden kann.

      Wenn es nicht funktioniert, hätte ich noch diese Ideen:
      – Wurde die Berechtigungen für die Gruppen „Benutzer“ und „Administratoren“ auch wieder auf den Ursprungszustand gebracht (Benutzer -> „Lesen“, Administratoren -> „Lesen und Vollzugriff“)? Wichtig ist auch, dass bei keinem der beiden noch ein Haken bei „Verweigern“ gesetzt ist.
      – Hast du versucht das Dienste MMC explizit „als Administrator“ zu starten? Ein weg dazu wäre „Windows-Taste“ -> „Dienste“ eintippen -> Rechtsklick auf „Dienste“ -> „Als Administrator ausführen“.

      Gruß,
      Tobias

      • Hallo, beides überprüft, ohne Erfolg. Der Windows Update Dienst kann weder händisch noch dem „normalen“ Update Dienst in den Einstellungen gestartet werden. Starte ich die Update Suche, steht da einfach ewig „Es wird nach Updates gesucht…“ und die neumodischen „Ladeanzeige-Punkte“ springen rum.

        • Ich hatte ein ähnliches Problem und konnte es (siehe oben) lösen, indem ich mich als System ausgab und den Besitzer des jeweiligen Ordners geändert habe: Erst System, dann Administrator und dann Benutzer.

          Mit den Rechten alleine kam ich nicht mehr rein, auch wenn die Zugriffsrechte für alle Gruppen (System, Admin, Benutzer) bestanden.
          Leider kann ich dir nicht sagen, warum es nicht funktionierte, aber vielleicht hilft es dir weiter.

  19. Humm sieht nach einem interessanten Werkzeug aus. Dürfte wohl die komfortable Version der internen „Windows Funktionen aktivieren / deaktivieren sein.
    Ob damit aber wirklich auch dauerhaft das Update ausschalbar ist (wie auf der Herstellerseite beschrieben)? Und soll wohl auch „nur“ bis Win10 1909 funktionieren.

    OB Tobias hier was weis / herausfinden kann wie O&O das Update ausschaltet?

    • Seltsam, dass man als einziger von mittlerweile 20 Personen die hier einen Kommentar hinterlassen haben:
      – die Stelle nicht findet an der der Registrierungsstelle beschrieben ist.
      – meint, den Autoren aufgrund der eigenen Unfähigkeit beschimpfen zu müssen.

      Tipp für die Zukunft:
      Ein wenig mehr Höflichkeit hat noch keinem geschadet.

  20. Guten Morgen Tobias
    Habe soeben Deine Anleitung zum „Abstellen“ der Windowsupdates umgesetzt und unter
    Dienste kommt das Windows Update immer noch, jedoch Deaktiviert.
    N.B. Den Schlüssel wuauserv existierte nicht, somit habe ich einfach einen angelegt.

    Danke für Infos
    Mit freundlichen Grüssen
    M. Bucher

  21. hi, habe erst jetzt WIn 10 installiert u. natürlich gleich das „lästige Update“ dank deiner Infos entfernt ! Vielen Dank, TOP !!!

    michaela

  22. So, ich wollte auch mal wieder hier vorbei schauen und einen Kommentar hinterlassen.
    Die von Tobias vorgestellte Methode zum abschalten des Windows Zwangsupdate tut auch noch unter Windows 20H2 🙂 PRIMA !

    Noch ein Wort zu Adobe Flash, welches ja zum Anfang 2021 in Windows abgeschaltet wurde. In allen aktuellen Browsern tut dies auch wirklich nicht mehr. Wer aber ein Standalone Programm hat welches Flash benötigt (in meinem Fall YoWindow), der sollte das Windows Update mit dem Namen „Adobe Update“ von Ende 2020 deinstallieren. Dann geht das Windows integrierte Flash wieder – zumindest war es bei mir so.

  23. Hallo Zusammen,
    nachdem Windows Update mir viel Lebenszeit geraubt hat hoffe ich, dass mir in der Zukunft das erspart bleibt.
    Weis jemand auf welche IP zugegriffen wird, wenn MS Updates durchführt.
    Ich habe ein PiHole im Hintergrund zu laufen und würde zusätzlich, falls MS uns wieder überlistet sicherstellen dass kein Update geladen werden kann. So würde ich glaube von Windows eine Meldung bekommen und wüßte Bescheid und kann Vorkehrungen treffen.

    Nette Grüße aus Berlin

  24. Hallo Tobias,
    danke für Dein Vortrag, der ist sehr hilfreich. Wie kann ich das wieder rückgängig machen?
    Jetzt bin ich nicht der IT Experte und irgendwas machen und lege mein System lahm.

    Danke für deine wertvolle Zeit
    Marko aus Berlin

    • Generell kann man es Rückgängig machen wenn man die Schritte „Rückwerts“ ausführt. Wenn es dabei Probleme gibt, helfe ich aber auch immer gerne. Am besten meldest du dich dazu dann über das Kontaktformular.

  25. Hallo zusammen. Nachdem diese Methode lange zeit funktioniert hat tut sie es nun nicht mehr. Der Update-Dienst wird nachwievor nicht aufgeführt. Trotzdem hat Windows es hinbekommen mein System wieder kaputt zu updaten (Habe ein 3DVision-System welches offensichtlich nicht mehr vom letzten windows-build unterstützt wird. Nach dem Update war die 3D Option komplett verschwunden, trotz beibehaltener Treiber). Falls jemand mehr Ahnung als ich davon hat wie Windows dieses Kunststück hinbekommen hat und wie ich es zukünftig umgehen kann, wäre ich sehr dankbar.

    • Hallo Marcel, bist du nach dem Update von 2019 vorgegangen oder nach der älteren Variante? Nach der neuen soltle der Windows Update Dienst garnicht mehr innerhalb der Windows Dienste auftauchen.

  26. Ja ich bin nach der 2019er Version vorgegangen und der Update-Dienst wird auch garnicht mehr angezeigt. Lediglich der Windows Update Medic Service ist noch in der Liste. Nachdem ich gestern mein System von einem älteren Image wiederhergestellt hab und alles wieder funktionierte, ist heute bereits das nächste Zwangsupdate in der Leitung. Verhindern kann ich es lediglich indem ich den Rechner direkt ausschalte. Leider ist das aber ja auch keine Dauerlösung 🙁

  27. Ja also irgendwie ist das doch kein großes Problem, man stoppt das mit einer Batch, also „net stop wuauserv“, lässt die beim start des PC los, und mit dem Windows eigenem Dienstprogramm unter höchster Priorität alle paar Minuten ausführen! Wo ist das Problem?
    Ich meine ich bin kein Programmierer, und das frisst keine Ressourcen, der PC macht ständig was, das stört überhaupt nicht, wenn der das permanent macht! Ja die Verbindung noch auf getaktet setzen, dann nervt Windows auch nicht zu sehr. … Ich meine wenn da immer einer mit allen Mitteln das Licht einschaltet, und mann muss es manuell jedesmal wieder mal wieder ausschalten, dann baut man irgendwie einen Zeitschalter ein, der es von allein ausschaltet, ob es nun an ist oder nicht. Und wenn alle Zehn Minuten nicht reichen, dann macht man es eben jede Minute. Oder meint ihr, das das nicht geht?

    Also ich meine so wie so, Win10 und diese Hartnäckigkeit zeigt doch schon, du bist für die völlig offen, du kannst denen im Prinzip den Zugang nicht abschalten, wenn du im Net bist, Damit muss man sich abfinden, das ist NSA Software. Leider offenbaren sie sich durch den Update Quatsch ganz offensichtlich, Das hätten sie nicht tun sollen, denn so weiß es auch der Bekloppteste mittlerweile.
    Du weißt doch gar nicht was für eine Adresse dafür verantwortlich ist!
    Vielleicht „google.com“? Ich meine willst du die sperren? Oder YouTube? Facebook? Jede Adresse vielleicht die auf einem US Server liegt?
    Das kannst du vergessen!
    Die schalten ein, und wenn es nicht geht, gibt es sofort einen Fehlerbericht, und die spielen ein neues Skript bei dir ein!
    Also sie schalten ein, und du schaltest aus, denn du sitzt ja am Schalter!
    Ist das OK für euch!? Ich meine ihr seid ja die Experten! Was haltet ihr davon?

  28. Hallo zusammen,

    da ich mich leider beim „Ausschalten“ schon mal ausgesperrt hatte (also Berechtigung auf wuauserv verloren), würden mich die genauen Schritte zu „Um Windows Updates wieder durchführen zu können, genügt es, die vorgenommen Berechtigungsänderungen an der Registrierung wieder rückgängig zu machen.“ interessieren. Die einzelnen Schritte per Text würden mir da extrem helfen.
    Danke.

    • Hallo Herr Böhme,

      die Frage wurde mittlerweile schon etwas häufiger erstellt. Generell reicht tatsächlich das rückwertige Vorgehen indem man die Berechtigungen soweit wieder herstellt, dass das „SYSTEM“ wieder zugriff auf den Registrierungsschlüssel und (wichtig) sämtliche Unterschlüssel erhält. Ich konnte bisher 3 Fälle selbst beobachten bei denen es Probleme gab. Hier schien es, als hätte sich die UUID des Nutzerkontos geändert, dem der Besitz des Schlüssel übertragen wurd (eventuell durch migration von einem lokalen zu einem Microsoft-Online Konto). Dadurch fehlte dem angemeldeten Nutzer die Berechtigung dem „SYSTEM“-User wieder zugriff zu geben. Hier war die Wiederherstellung etwas schwieriger, aber nicht unmöglich.

      Ich setze mich morgen Abend nochmal dran und schreibe einen passenden Artikel zum sicheren wieder verfügbar machen des Windows Update Dienstes.

  29. Hallo zusammen,
    gibt es den o. a. Artikel schon?
    Mir würde auch eine Aufzählung der nötigen Schritte reichen.
    Danke und Grüße

  30. @Staalkopff
    Deine Lösung hatte ich ja bereits im Oktober 2018 so angewendet und hier eingebracht.
    Allerdings, als Tobias mit seiner Lösung der Entziehung der Rechte kam, fand ich diese bessser.

    Und das „Einschalten / Ausschalten“ der Updates ist komfortabel via .bat Script möglich das ich zwischenzeitlich in eine .com umgewandelt habe (welche Defender allerdings als Virus ansieht LOL).

  31. Das ist ja eine tricky Lösung! Vielen Dank für die Veröffentlichung deiner Erfahrungen!

    Ich habe WinXP auf einem Netbook laufen und Win7 auf dem PC. Aber seit kurzen auch ein Zweit-PC mit Win10. Bevor ich auf dem neuen PC Win7 (oder evtl. Linux) installiere, hatte ich erstmal gesucht ob nicht doch noch jemand eine Lösung fand diese fürchtliche Zwangsfremdverwaltung seitens MS zu unterbinden.

    Von den gefundenen Vorschlägen sieht deine Lösung am vielversprechendsten aus.

    Vielleicht kann man diese Methode ja auch dazu benutzen andere Dienste auszuschalten, die mir ein Dorn im Auge sind und seit Win10 auf normalen Weg nicht mehr deaktivierbar sind.

  32. Mal sehen, ob’s funktioniert. Bislang hat Winvolldoof alle Update-Ausschlüsse vollständig ignoriert. Microsoft übernimmt dankenswerterweise die Pflege der PCs? Microsoft ist übergriffig und übernimmt vollständig die Kontrolle über meinen Rechner. Hatte ich früher noch die Möglichkeit zu einer sinnvollen Installation, nimmt mir Microsoft immer mehr die Möglichkeit, meinen Rechner selbst zu verwalten! Schlimmer noch, es werden ungefragt Dinge installiert, die ich gar nicht will und so mein Rechner zugemüllt. Es wird jetzt wirklich Ueit, auf Linux zu wechseln. Das geht gar nicht mehr.

  33. Hallo Zusammen,

    Ich habe leider keine Ahnung von scripten, könnte mir jemand helfen wie ich diesen Schritt mit den Berechtigungen „wuauserv“ und „MaintenanceDisabled“ in ein Script bekomme?
    Und weils so schön ist auch ein Script das mir das wieder retour stellt?

    Bei mir geht es nur darum Windows via Internet zu aktivieren, wir verwenden Win10IoT LTSC 2019 mit vorgefertigten Images, die Win Aktivierung per Telefon ist allerdings bei vielen Rechnern ziemlich mühsam! Nach Aktivierung haben die Rechner keinen Internet Zugang und bekommen Updates nur Periodisch.
    Um aber sicherzustellen das alle Rechner mit identischem Build bzw Versionsstand rauszuschicken haben wir bis Dato nicht per Internet aktiviert.

    Die beschriebene Lösung hier inkl der AutoMaintenanceDisable scheint für mich (uns=Unternehmen) eine passende Lösung zu sein.

    Vielen Dank
    LG

  34. Hallo Tobias, vielen lieben Dank für die ausführliche Dokumentation; bei mir erscheint unter Diensten immer noch ‚Windows Update‘, aber dahinter mit der Meldung.
    Wollte das nur berichten und hoffe, dass es funktioniert.
    VG,
    Max

  35. Vielen Dank, jetzt läuft Windows hoffentlich lange genug, dass ich meine Daten sichern und der Kiste anschließend Linux Mint verpassen kann. Windows Update verursachte nach dem Neustart einen Bluescreen, wodurch die Reparatur das Update wieder deinstallierte. Nach dem Reboot wurde das Update aber prompt wieder installiert, sodass nach dem nächsten Neustart wieder Bluescreen und Reparatur folgten.
    Was ist denn aus Microsoft geworden? Alle paar Monate ein neues nutzloses Feature wie Searchhighlights oder Äktivitäten, das den Arbeitsplatz weiter zur Kirmes umgestaltet und nebenbei noch mehr Bandbreite frisst, die man für besseres hätte Nutzen können (der Strom für die Server die den Mist hosten ganz zu schweigen). Nach jedem Browserupdate im Edge ein neues Popup das mir die neuste Datensammlung von Microsoft verkauft, ein neuer Button den ich nicht wollte und eine neue Leiste die einfach da ist. Ich habe so die Nase voll.

  36. Hallo,
    hatte das Update deaktiviert, da immer ein Bluescreen nach dem CU gekommen ist. Hat auch gut funktioniert. Allerdings wurde das .NET Framework Update dennoch heute installiert. Das hat sogar ohne Fehler geklappt. Arbeiten nicht alle Updates gleich?

Schreibe einen Kommentar zu DonnieAntworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert