Tags: Windows Server, Patch-Management
Microsoft forciert die Installation von Windows-Updates, damit Schwachstellen schnell geschlossen werden. Dies ist für Workstations nachvollziehbar, aber auf dem Server kann dies zu unerwünschten Resultaten führen. Eine ungünstige Rolle spielen dabei Update-Benachrichtigungen, die ungewollt einen Reboot auslösen können.
Je nach Konstellation können selbst Standardbenutzer Updates installieren und somit den Server ohne Administrator zu einem Neustart bewegen. Dies gilt besonders für RD Session Hosts, wo unter Umständen mehrere Benutzer von Datenverlusten betroffen sein können.
Die Benachrichtigungen sind penetrant und können nicht mit einem Klick auf das X geschlossen werden. So bleiben entweder das Schließen mit der ESC-Taste oder das Klicken auf die entsprechende Schaltfläche, um Updates anzuzeigen.
Daraufhin öffnet sich die App Einstellungen im Abschnitt für Windows Update. Ist der aktuelle User berechtigt, hier die Installation der Updates auszulösen, dann nimmt dieser Vorgang seinen üblichen Lauf, der meistens in einen Neustart mündet.
Um dies zu verhindern, gibt es in den Gruppenrichtlinien unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update die Einstellung Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten. Sie greift allerdings nur bis Windows 8.1 und Server 2012 R2.
Benachrichtigungen mit dem Aufgabenplaner ausschalten
Die Benachrichtigung über verfügbare Updates wird von geplanten Aufgaben ausgelöst. Deaktiviert oder löscht man diese Tasks, dann wird man auch die Benachrichtigungen los.
Finden kann man diese im Aufgabenplaner unter Microsoft => Windows => UpdateOrchestrator. Es handelt sich dabei um:
- MusUx_UpdateInterval
- USO_UxBroker_Display
- USO_UxBroker_ReadyToReboot
Benachrichtigungen mit einem Batch-Script deaktivieren
Anstatt interaktiv über die Aufgabenplanung kann man die Tasks mit einer Batch-Datei deaktivieren. Dazu führt man folgende Befehle in einer administrativen Eingabeaufforderung aus.
Das Problem mit dieser Lösung besteht darin, dass Microsoft selbst bei der gleichen Version von Windows Server verschiedene Namen für die Aufgaben verwendet. Sollte es auf einem System nicht alle dieser Scheduled Tasks geben, dann kommt es im obigen Script zu einer entsprechenden Fehlermeldung. Umgekehrt ignoriert es Aufgaben mit einer anderen Bezeichnung.
Benachrichtigungen per PowerShell deaktivieren
Ein anderer Ansatz besteht darin, die betreffenden Aufgaben unabhängig von ihrem Namen zu identifizieren. Ein gemeinsames Merkmal ist offenbar, dass sie als Aktion MusNotification.exe mit verschiedenen Parametern ausführen. Dies kann man sich in PowerShell zunutze machen, um die Tasks zu löschen.
Get-ScheduledTask -TaskPath "\Microsoft\Windows\UpdateOrchestrator\"|
where {$_.Actions.execute -like "*MusNotification*" -and $_.state -eq "Ready"} |
Unregister-ScheduledTask
Wer sich vor dieser relativ radikalen Maßnahme absichern möchte, kann die Aufgaben als Administrator vorher mit Export-ScheduledTask in eine Datei speichern:
Get-ScheduledTask -TaskPath "\Microsoft\Windows\UpdateOrchestrator\" |
where { $_.Actions.execute -like "*MusNotification*" -and $_.state -eq "Ready"} |
foreach {Export-ScheduledTask -TaskPath $_.TaskPath -TaskName $_.TaskName > `
($_.TaskName + ".xml")}
Die Aufgaben ließen sich bei Bedarf dann wieder mit Register-ScheduledTask und dem Parameter XML wiederherstellen.
Eine weitere Alternative bestünde darin, die geplanten Aufgaben über Group Policy Preferences zu löschen. Dies setzt aber wieder voraus, dass man die genauen Namen der Tasks kennt.
Fazit
Grundsätzlich sollte man die Möglichkeiten ausschöpfen, die Gruppenrichtlinien bieten, um das eigene Konzept der Update-Verteilung und den Zeitpunkt des Neustarts umzusetzen. Dies kann ein klassisches, regelmäßiges Wartungsfenster sein, das der Administrator beaufsichtigt.
Der Server kann sich auch selbst updaten und ausserhalb der Bürozeiten neu starten. Dies ist jedoch bei kritischen Systemen nicht empfehlenswert. Weitere Informationen, Aspekte und Möglichkeiten bietet Microsoft in diesem Beitrag.
Täglich Know-how für IT-Pros mit unserem Newsletter
Benjamin Bürk ist Senior Systems Engineer und betreut seit 2002 IT-Infrastrukturen von Unternehmen. Sein Schwerpunkt liegt im Aufbau und Betrieb von Server-Systemen und Microsoft 365-Umgebungen. Er ist ITIL4 Foundation, dreifach als MCSA sowie als MCSE Productivity zertifiziert..
// E-Mail, LinkedIn, Podcast //
Verwandte Beiträge
- Sicherheitseinstellungen für Windows Server mit Ansible konfigurieren
- Exchange 2019 CU14 verschiebt sich auf 2024, danach nur mehr ein CU
- Windows 10: Gruppenrichtlinie für optionale Updates, Integration von Copilot
- VMware vSphere 8 Update 2: ESXi Lifecycle Management Service, mehr KI-Rechenleistung, Integration mit Azure AD
- Microsoft bringt neue Gruppenrichtlinie für optionale Updates in Windows 11
Weitere Links