Windows 7 - Update Black Liste

[Bolko]

heute wird schon wieder ein neues update für Win 7 (und 8.1) Nutzer eingeblendet, das einem Win 10 schmackhaft machen soll!
[...]
ich bin es so leid......

Die Updates kann man mit folgenden Scripten ausblenden:
(speichern als "c:\Program Files\Updates-ausblenden\Updates-ausblenden2.vbs")

Dim hideupdates(12)
hideupdates(0) = "KB3035583"
hideupdates(1) = "KB2952664"
hideupdates(2) = "KB2977759"
hideupdates(3) = "KB2990214"
hideupdates(4) = "KB3012973"
hideupdates(5) = "KB3014460"
hideupdates(6) = "KB3021917"
hideupdates(7) = "KB3022345"
hideupdates(8) = "KB3068708"
hideupdates(9) = "KB3080149"
hideupdates(10) = "KB3123862"
hideupdates(11) = "KB3133977"

set updateSession = createObject("Microsoft.Update.Session")
set updateSearcher = updateSession.CreateupdateSearcher()

Set searchResult = updateSearcher.Search("IsInstalled=0 and Type='Software'")

For i = 0 To searchResult.Updates.Count-1
  set update = searchResult.Updates.Item(i)
  For j = LBound(hideupdates) To UBound(hideupdates)-1
    if instr(1, update.Title, hideupdates(j), vbTextCompare) > 0 then
      update.IsHidden = True
    end if
  Next
Next

.

Obiges Script startet man aber nicht direkt, sondern über Bande mit folgendem Script:
(speichern als "c:\Program Files\Updates-ausblenden\Updates-ausblenden1.cmd")

@echo off

reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v enabled /t REG_DWORD /d 1 /f

echo Bitte warten...Updates werden gesucht und ausgeblendet...
"c:\windows\syswow64\wscript.exe" "c:\Program Files\Updates-ausblenden\Updates-ausblenden2.vbs"

reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v enabled /t REG_DWORD /d 0 /f

Dabei beachten:

a)
"c:\windows\syswow64\wscript.exe" gilt für die 64-Bit Version.
Man könnte ebensogut auch "c:\windows\system32\wscript.exe" schreiben oder auch nur wscript.exe

Ich habe es aber mal möglichst genau festgelegt.

b)
Den Speicherort "c:\Program Files\Updates-ausblenden\Updates-ausblenden2.vbs" muss man anpassen, je nachdem, wo man sein Script gespeichert hat.

c)
Der Befehl:

reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v enabled /t REG_DWORD /d 1 /f

Ändert einen Registry-Eintrag, der den Windows-Scripting-Host einschaltet, damit das vbs-Script funktioniert.
Bei mir ist der Windows-Scripting-Host nämlich standardmäßig ausgeschaltet, um den Locky-Ransom-Schädling zu blockieren.

Der Befehl:

reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v enabled /t REG_DWORD /d 0 /f

schaltet den Windows-Scripting-Host nach Beendigung des vbs-Scriptes wieder aus (wegen Locky).

Das vbs-Script führt eine eigene Update-Suche durch und blendet in der gefundenen Update-Liste dann die unerwünschten Updates aus.
In der Liste stehen die Win10-Upgrade-Updates und die CEIP/Telemetrie-Updates drin.
Jeder kann da aber auch eigene unerwünschte Updates reinschreiben.

Einfach eine zusätzliche Zeile reinschreiben mit der gewünschten KB-Nummer und dabei die Zahl in Klammern jeweils um 1 erhöhen.
also Beispiel:
hideupdates(11) = "KB1234567"

Außerdem muss ganz oben im Script der Befehl:
Dim hideupdates(12)
in Klammern die Gesamtzahl der unerwünschten Updates enthalten, also Index des letzten Updates plus 1, da die Zählung bei 0 beginnt.


Anleitung:

1. Das nomale Windows-Update-Fenster schließt man (wichtig!), denn sonst behält dieses Fenster die Update-Liste unverändert bei.

2. Das Script-Dupel starte ich dann über einen Link auf dem Desktop:
Befehl:
"C:\Windows\SysWOW64\cmd.exe" /c "C:\Program Files\Updates-ausblenden\Updates-ausblenden1.cmd"

ausführen in:
"C:\Program Files\Updates-ausblenden"

Eigenschaft, Erweitert,
[x] Als Administrator ausführen (anhaken)

Wenn dieses Script durchgelaufen ist, dann öffnet man wieder das Windows-Update-Fenster und die unerwünschten Updates sind jetzt ausgeblendet (Start, Systemsteuerung, System und Sicherheit, Windows Update, Nach Updates suchen).

Anstatt das Script-Dupel manuell zu starten kann man es auch in der Aufgabenplanung als neue Aufgabe eintragen, etwa täglich ausführen oder beim Start des Computers etc.

Dabei beachten:
Das vbs-Script nicht direkt starten lassen, sondern über die "Updates-ausblenden1.cmd" und die "Updates-ausblenden1.cmd" wiederum auch nicht direkt starten, sondern mittels Umweg über :

"C:\Windows\SysWOW64\cmd.exe" /c "C:\Program Files\Updates-ausblenden\Updates-ausblenden1.cmd"

(
also Startbefehl ist :
"C:\Windows\SysWOW64\cmd.exe"

und Parameter ist :
/c "C:\Program Files\Updates-ausblenden\Updates-ausblenden1.cmd"
)

weil sonst der Windows-Scripting-Host-Start-Befehl nicht funktioniert.

Also 1. cmd starten, darin 2. das cmd-Script und innerhalb dieses cmd-Scriptes dann das eigentliche 3. vbs-Script.

 

[autoshot]

Wow, vielen Dank Bolko für die ausführliche Anleitung!

 

[Lars_SHG]

Ja, da hat sich jemand richtig Mühe gegeben, Respekt!

 

[DonChiChi]

Welche Updates kann man den jetzt Installieren ,bzw sollte man nicht Installieren vom Mai ? Mtech hat sich ja schon lange nicht mehr gemeldet.

 

[Bolko]

Welche Updates kann man den jetzt Installieren[...] vom Mai ?

Alle, außer das kumulative IE-Update (KB3148198)...(da dieses die lokal benutzen Dateien in die Browser-History einträgt und die History hochgeladen wird)...

Sicherheitsupdates sind für gewöhnlich wichtig und sauber genug, um sie zu installieren.
Es sei denn, jemand findet etwas anderes heraus und schreibt das dann irgendwo hin, wo es auch andere lesen können...
Solange das nicht der Fall ist, kann man alles installieren, was nicht in der Black-List steht.

Wenn man bezüglich persönlicher Daten besonders kritische Systeme betreibt und Microsoft nicht mehr vertraut, dann sollte man evtl. gar nichts mehr updaten, sondern Windows für solche Sachen gar nicht mehr benutzen.

Dank eines Hinweises von "LieberNetterFlo" hab ich eine große Excel-Datei gefunden mit allen Updates inkl. Infos bzgl. superseded Updates etc.
(
Microsoft Security Bulletin Data
http://go.microsoft.com/fwlink/?LinkID=245778
https://www.microsoft.com/en-us/download/details.aspx?id=36982
)

Diese Excel-Tabelle habe ich geöffnet, wollte sie für meine Bedürfnisse anders sortieren und Peng, Microsoft-Excel 2007 stürzt reproduzierbar ab.
Excel 2003 schafft es noch ohne Absturz, ist aber sau-langsam.

Überraschenderweise funktioniert die Neusortierung etc aber mit "FreeOffice 2016" wesentlich besser (absturzfrei und schnell) als mit dem originalen Microsoft Excel.
Microsoft scheint auf dem absteigenden Ast zu sein...

 

[DonChiChi]

Danke für die Antwort Bolko.

 

[Bolko]

Frage:

Wie blockiert man folgende IP-Adresse:
134.170.30.202

?????

Die habe ich sowohl in der hosts-Datei, als auch in der Router-Firewall eingetragen, aber trotzdem wird diese Adresse nicht blockiert, sondern umgeleitet auf:
https://www.microsoft.com/de-de/windows/apps-and-games

Wieso das und wieso funktioniert die Blockierung nicht?

Was ist an dieser IP-Adresse so besonderes, dass die üblichen Blockierungen nicht mehr funktionieren?
Welchen Trick hat Microsoft da nun angewendet, um die aktive Telemetrie-Blockade (Router-Firewall) trotzdem zu umgehen?

 

[PongLenis]

Was genau hat es eigentlich mit KB3078667 auf sich? Hab überall nur das gefunden:
Behebt Systemfehler aufgrund von Arbeitsspeicherverlust in der dwm.exe

Was ist die Quelle für die Annahme der Windows 10 Update-Vorbereitung?

 

[Fabian_otto]

wie ist das mit plex und handbrake im eingangspost zu verstehen ? " Da ohne dieses Update viele Programme Probleme mach können. (z.B.: PLEX, Handbrake, usw.)"

da ist gar keine updatenummer vor dem bindestrich erwähnt. hat sich das erledigt?

 

[Bolko]

...
da ist gar keine updatenummer vor dem bindestrich erwähnt. hat sich das erledigt?

Falsche Leseweise...
Nicht "vor dem Bindestrich", sondern "unterhalb davon"...

"Bedingt sauber"... Folgendes:
...

..obwohl ich sowieso kein Handbrake benutze, sondern nur über ein selbstgeschriebenes Programm erzeugte Scripte...

Dazu müssten die Erläuterungen zu den Patches mal etwas ausführlicher sein...
von Seiten Microsofts...
von Seiten der "Blocker" wie "Mtechlerin"...
denn dazu liegen auch mir keinerlei Erkenntnisse vor...

Deklaration ohne Begründung.

 

[Fabian_otto]

danke für die erläuterung zu später stunde. aber was haben die updates "2999226, 3118401" mit plex zu tun?

 

[Bolko]

...aber was haben die updates "2999226, 3118401" mit plex zu tun?

Das müsste Mtechlerin beantworten...

...Konsistenz...
...Ableitbarkeit...
...Überprüfbar...

"Gibt es eine zweite Quelle"

 

[Casa Deliziosa]

Frage:

Wie blockiert man folgende IP-Adresse:
134.170.30.202

?????

Die habe ich sowohl in der hosts-Datei, als auch in der Router-Firewall eingetragen, aber trotzdem wird diese Adresse nicht blockiert, sondern umgeleitet auf:
https://www.microsoft.com/de-de/windows/apps-and-games

Wieso das und wieso funktioniert die Blockierung nicht?

Hallo Bolko,

vielen Dank für deine Anleitung zum Ausblenden der Updates, sehr nice.

Zu deiner Frage: Ich denke mal mit meinem beschränktem Wissen & lt. tracert ( siehe Shot), das M$ die Firewall nur für eigene Ports und Dienste aufmacht, du wie du aber schon schreibst mit NSA SW & (eventueller) HW ( meine Fritzbox, scheint es zu blocken), diese Ports/ Adressen nicht blocken kannst.

​Gruß Casa

 

[Benji96]

[...]

Ah, danke! Endlich mal eine Methode außer mit PowerShell, die Updates ausblendet. Weswegen ich zu dieser Methode gegangen bin, ist, dass das Ausblenden über die PowerShell erstens sehr lange dauert, und zweitens komischerweise auch nicht alle Updates ausblendet, auch wenn sie sehr offensichtlich noch in der Liste drin sind.

Problem bei dieser Methode, bei mir und Windows 8: Ich habe die Anweisung genau befolgt, und sogar das Ordner/Namensschema beibehalten, und nur für 8 die Updates umgeändert: Wenn ich das Skript laufen lasse, lasse ich ihn erstmal die zwei neuen Update Clients installieren, damit er mir alle Updates anzeigt, bevor ich das laufen lasse.
Allerdings blendet er dabei restlos alle Updates aus, die mit dem vorherigen Update Client gefunden werden, und die neuen nach dem zweiten Update Client rührt er nicht an. Kann es sein, dass es einen Fehler in Deinem Skript gibt, und er stattdessen wirklich alle Updates ausblenden soll?

 

[PongLenis]

Was genau hat es eigentlich mit KB3078667 auf sich? Hab überall nur das gefunden:
Behebt Systemfehler aufgrund von Arbeitsspeicherverlust in der dwm.exe

Was ist die Quelle für die Annahme der Windows 10 Update-Vorbereitung?

@Mtechlerin oder irgendwer anders vielleicht eine Info dazu?

 

[Bolko]

Allerdings blendet er dabei restlos alle Updates aus...

Du hast recht.
Danke für die Fehlermeldung.

In der inneren Schleife hatte ich ubound als obere Grenze benutzt, allerdings war das um 1 zu groß, denn ubound liefert die Anzahl der Elemente statt den höchsten Index.
Da die Zählung bei 0 beginnt hatte das zur Folge, dass beim Stringvergleich teilweise außerhalb des Arrays zugegriffen wurde und dann hat der Stringvergleich falsche Werte zurückgeliefert.

Oben im Script ist es jetzt verbessert. ( For j = LBound(hideupdates) To UBound(hideupdates)-1 )

Außerdem habe ich noch das Bitlocker-Update (KB3133977) mit in die Liste aufgenommen.

 

[Benji96]

@Bolko Aah, wunderbar. Danke, jetzt läuft es richtig. Endlich mal eine gute Alternative zur relativ unzuverlässigen PowerShell.

 

[Bolko]

Endlich mal eine Methode außer mit PowerShell, die Updates ausblendet.

Meinst du das:

PowerShell 5.0 (Windows Management Framework 5.0)
Win7AndW2K8R2-KB3134760-x64.msu
https://www.microsoft.com/en-us/download/details.aspx?id=50395

Windows Update PowerShell Module (PSWindowsUpdate.zip)
https://gallery.technet.microsoft.c...8dff796b0bc/file/41459/43/PSWindowsUpdate.zip

auspacken nach:
%WINDIR%\System32\WindowsPowerShell\v1.0\Modules

Powershell öffnen und eintippen:

Set-ExecutionPolicy Unrestricted

$KBList = "KB3035583","KB2952664","KB2977759","KB2990214","KB3012973","KB3014460","KB3021917","KB3022345","KB3068708","KB3080149","KB3123862","KB3133977"

Hide-WUUpdate -KBArticleID $KBList

Set-ExecutionPolicy Restricted

oder meinst du sowas (braucht die PSWindowsUpdate.zip nicht):

#Requires -RunAsAdministrator
$updatearray = @("KB3035583","KB2952664","KB2977759","KB2990214","KB3012973","KB3014460","KB3021917","KB3022345","KB3068708","KB3080149","KB3123862","KB3133977")
$updates = ((New-Object -Com "Microsoft.Update.Session").CreateUpdateSearcher()).Search("IsInstalled=0 and Type='Software'") 
$updates.Updates | %{ 
   foreach ($item in $updatearray)
   {
     If($_.Title -like "*$item*")
     { 
       $_.IsHidden = $true 
     } 
   }
}

(hideUpdates.ps1)

 

[Benji96]

@Bolko Das Erste, mit dem Powershell-Modul, und das hat zwar einige Updates blockiert, aber nur einen Bruchteil. Viele Updates sind hinterher dann noch in der Liste zu finden. Hast Du dazu etwa eine Idee?

 

[Bolko]

...Powershell-Modul, und das hat zwar einige Updates blockiert, aber nur einen Bruchteil....

Mir ist aufgefallen, dass inzwischen folgende Updates (aus der Black-List) gar nicht mehr aufgelistet werden, weder als verfügbar, noch als ausgeblendet, weder beim normalen Windows-Update-Dialog, noch via Powershell-Script (Get-WUList):
KB2990214
KB3012973
KB3014460
KB2977759
KB3022345

Ebenso stehen diese Upates auch nicht mehr in der "Microsoft Security Bulletin Data" (Excel-Tabelle), auch nicht als superseded. Die KB-Artikel sind aber vorhanden.
Wurden diese Updates zurückgezogen oder warum tauchen die nicht mehr in der Update-Liste auf?