Updates über WSUS deinstallieren

Das Deinstallieren von Updates ist eine Form der Genehmigung. Anstatt sie für die Installation zuzulassen oder abzulehnen, kann man sie für die Entfernung freigeben.

Diese Aufgabe kann man daher relativ einfach über die GUI der WSUS-Konsole erledigen. Die größte Herausforderung besteht darin, angesichts der sehr beschränkten Filteroptionen die betreffenden Updates in der langen Liste von Updates zu finden.

Wenn man diese Hürde genommen hat, dann markiert man die unerwünschten Updates und sieht dann in den Detailinformationen des unteren Abschnitts unter Entfernbar nach, ob die Updates eine Deinstallation unterstützen.

Ist das der Fall, dann führt man in deren Kontextmenü den Befehl Genehmigen aus. Im danach angezeigten Dialog öffnet man das Drop-down-Menü der zutreffenden Computergruppe und aktiviert die Option Zur Entfernung genehmigt.

Wenn man ein Datum festlegen möchte, ab dem die Clients die betreffenden Updates sofort entfernen, dann öffnet man den Dialog für die Genehmigung der Updates erneut und führt für die gleiche Computergruppe den Befehl Stichtag aus.

Verzichtet man auf eine solche Deadline, dann entfernt der Client die unerwünschten Updates erst dann, wenn neue Updates für die Installation ausstehen.

Nach erfolgreicher Genehmigung ändert sich der Status des Updates in der Übersicht auf Entfernen, wenn man die Aktion auf alle Computer angewandt hat. Führt man sie jedoch nur auf eine Gruppe aus, dann zeigt die Konsole in der Spalte Genehmigung Vermischt an.

Updates mit PowerShell deinstallieren

Nachdem das Cmdlet Approve-WsusUpdate alle Genehmigungs­optionen bietet, kann es Updates auch für die Deinstallation konfigurieren.

Wie üblich, verbindet man sich im ersten Schritt mit dem WSUS-Server:

$wsus = Get-WsusServer -Name wsus.contoso.com -PortNumber 8530

Die Parameter Name und PortNumber können entfallen, wenn man den Befehl lokal auf dem Server ausführt.

Danach referenziert man das betreffende Update anhand seiner ID. Dabei handelt es sich um eine GUID, die man leider nicht über $wsus.SearchUpdates() erhält, wenn man etwa nur die KB kennt. In diesem Fall muss man die GUID im Update Catalog nachschlagen oder dieses Script dafür nutzen:

$kb = Read-Host -Prompt "Nach welcher KB suchen?" $uc = Invoke-WebRequest -Uri "https://www.catalog.update.microsoft.com/Search.aspx?q=$kb" $uc.Links | where onClick -Like "*goToDetails*"| foreach {$_.innerText + ";" + $_.id -replace '_link',''} | ConvertFrom-Csv -Delimiter ";" -Header "Bezeichnung","ID"| Out-GridView -PassThru | Format-List

Hat man die UpdateId gefunden, dann übergibt man sie folgendem Befehl:

$u = Get-WsusUpdate -UpdateServer $wsus -UpdateId "<GUID>"

Anschließend prüft man, ob das Update die Deinstallation unterstützt:

$u.Removable

Trifft das zu, dann gibt man im nächsten Schritt die Namen aller Computergruppen aus:

$wsus.GetComputerTargetGroups()

Im abschließenden Kommando, mit dem man das Entfernen genehmigt, setzt man für den Parameter TargetGroupName die gewünschte Computergruppe ein:

$u | Approve-WsusUpdate -Action Uninstall -TargetGroupName "IT"

Ruft man nun erneut

Get-WsusUpdate -UpdateServer $wsus -UpdateId "<GUID>" | select Approved

auf, dann sollte das Ergebnis Uninstall lauten.

Zusammenfassung

WSUS bietet die Möglichkeit, unerwünschte Updates auf einer größeren Zahl von Rechnern zu entfernen. Dazu muss man diese für die Deinstallation genehmigen.

Am einfachsten funktioniert dies über die WSUS-Konsole, sobald man dort die betreffenden Updates gefunden hat. PowerShell erfordert dafür mehrere Schritte, bietet aber Vorteile beim Filtern der Updates.