Automatisches Upgrade auf SP1 blockieren

    Wer die Windows- und Software-Updates seines Unternehmens nicht per WSUS verwaltet, möchte unter Umständen trotzdem die Installation großer Updates wie Service Pack 1 für Windows Server 2008 R2 und Windows 7 erst nach einem ausführlichen Test auf speziell dafür abgestellten Maschinen durchführen.

    Das Blocker-Toolkit für Service Pack 1 kennt 3 Varianten, um die entsprechende Richtlinie zu setzenDafür gibt es ein SP1-Blocker-Toolkit vom Microsoft, das die automatische Installation von SP1 über Windows Update für 12 Monate blockiert, beginnend mit der allgemeinen Verfügbarkeit des Service Packs. Das Toolkit kann dafür verwendet werden, den Registry-Wert HKEY_LOCAL_MACHINE\­Software\­Policies\­Microsoft\­Windows\­WindowsUpdate\­DoNotAllowSP auf 1 zu setzen und damit die Installation zu verhindern. Enthalten sind drei Varianten:

    • Eine EXE-Datei SPBlockingTool.exe für die lokale Maschine – die Option /B setzt den Wert, /U löscht ihn und gibt damit die automatische Installation wieder frei.
    • Das Script SPReg.cmd, das den Registry-Wert auf Remote-Maschinen per reg.exe-Befehl setzt oder löscht. Die Parameter /B und /U sind die gleichen wie bei SPBlockingTool.exe.
    • Die GPO-Vorlage NoSPupdate.adm erlaubt die Einrichtung einer Gruppenrichtlinie in der Organisation, welche die automatische SP1-Installation blockiert.

    Den Registry-Schlüssel kann man mit gleicher Wirkung natürlich auch manuell setzen. Egal, welche Variante man wählt, hält die Wirkung aber immer nur 12 Monate an.

    Keine Kommentare