Tags: Internet Explorer, Gruppenrichtlinien, WSUS
Microsoft portiert den in Windows 8.1 enthaltenen Internet Explorer 11 auch auf Windows 7 und wird ihn als wichtiges Update automatisch installieren. Unternehmen, die keine Patch-Management-Lösung wie WSUS einsetzen, können mit Hilfe des Blocker Toolkits verhindern, dass der Browser gegen ihren Wunsch aktualisiert wird.
Normalerweise ist es durchaus erwünscht, wenn ein Hersteller ein Update seines Web-Browsers einspielt. Im Fall des Internet Explorer ist der Fall etwas komplizierter, weil er eine Systemkomponente ist, von der viele andere Programme abhängen, beispielsweise wenn sie ihn für das HTML-Rendering einbetten. Außerdem sind individuell entwickelte Web-Anwendungen oft noch auf eine bestimmte Version des IE zugeschnitten, so dass diese nach einem Browser-Update Probleme bereiten können.
Toolkit für Anwender ohne zentrales Patch-Management
In solchen Fällen werden Firmen erst die Kompatibilität ihrer Programme mit einer neuen IE-Version prüfen, bevor sie das Update auf die Rechner verteilen. Wenn sie Patches über WSUS verwalten, dann haben sie ohnehin die Kontrolle darüber, welche Updates installiert werden. Werden sie dagegen direkt von Windows Update bezogen, dann ist das Blocker Toolkit das geeignet Werkzeug, um IE11 von den PCs fernzuhalten.
Wie in früheren Versionen des IE-Blockers enthält das selbstextrahierende Download-Archiv ein Batch-Script und ein .adm-Template. Die Batch-Datei setzt dem Schalter /B den zuständigen Registry-Key DoNotAllowIE11 unter
HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup\11.0
auf den Wert 1, wenn man es in einer Eingabeaufforderung mit administrativen Rechten aufruft. Umgekehrt kann diesen wieder mit der Option /U auf 0 ändern, wenn man die Bahn für das IE11-Update freimachen will. Das Script lässt sich auch auf einen Remote-PC anwenden, wenn man seinen Namen vor den Schaltern angibt.
IE11-Update über GPO blockieren
Will man innerhalb einer Domäne eine größere Zahl von PCs vor dem automatischen Update auf den IE11 bewahren, dann kann man dies über Gruppenrichtlinien tun. Microsoft liefert zu diesem Zweck die erwähnte .adm-Datei mit. Das .adm-Format wurde jedoch schon unter Vista durch das XML-basierte ADMX ersetzt, so dass es schlecht in Windows-7-Umgebungen passt, für die der IE11-Blocker gedacht ist. Das gilt besonders dann, wenn man bereits einen zentralen Speicher für ADMX nutzt und kein Relikt aus der XP-Zeit mehr einsetzen will.
Eine Alternative bestünde darin, das .adm-Template nach ADMX zu konvertieren. Der Mangel an einer lokalisierten Sprachdatei führt jedoch zu dem unschönen Nebeneffekt, dass im GPO-Editor ein neuer Zweig mit der Bezeichnung Windows Components unter Computerkonfiguration => Richtlinien => Administrative Vorlagen auftaucht.
Die eleganteste Lösung besteht wahrscheinlich darin, wenn man den benötigten Registry-Eintrag über Group Policy Preferences auf die PCs verteilt. Zu beachten wäre dabei, dass es sich ausschließlich um eine Computer- und um keine Benutzereinstellung handelt.
Verfügbarkeit
Der Blocker Toolkit für den Internet Explorer 11 ist für den Einsatz auf Windows 7 und Server 2008 R2 gedacht. Es muss auch dann verwendet werden, wenn man mit früheren Versionen das Update auf IE9 oder IE10 verhindert hat, weil diese andere Registry-Schlüssel verwenden. Der IE11-Blocker kann kostenlos von Microsofts Website heruntergeladen werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft mustert 25 Gruppenrichtlinien für Windows Update aus
- Migration auf Edge: Internet Explorer mit Enterprise Mode weiternutzen
- Updates für Windows 10 aufschieben mit Gruppenrichtlinien
- Update Baseline: Microsofts empfohlene GPO-Einstellungen für Windows-Updates
- Microsoft Edge Chromium kommt ab Januar via Windows Update
Weitere Links