Met Windows 10 heeft Microsoft gebruikers grotendeels beroofd van de mogelijkheid om zelf te bepalen welke updates en upgrades op het systeem worden geïnstalleerd. In het volgende artikel presenteren we de situatie nog eens, geven we tips over hoe je sommige beperkingen kunt omzeilen en introduceren we ook tools die gebruikers bijna weer de vrijheid geven die ze onder Windows 10 gewend zijn.
Inhoudsopgave
Addendum 05/2019: Innovaties sinds Windows 10 versie 1903
Met de upgrade naar Windows 10 versie 1903 heeft Microsoft de besturing van Windows Update veranderd.
- Feature upgrades worden niet langer automatisch geïnstalleerd. Pas als de ondersteuning voor de momenteel gebruikte Windows-versie is verlopen, zal Windows 10 proberen de upgrade zelf te installeren.
- Updates kunnen nu in het algemeenmaximaal 35 dagen worden opgeschort in zowel de Home- als de Pro-editie .
Updates en upgrades tot Windows 10 versie 1809
Met Windows 10 heeft Microsoft de distributie van updates bijna automatisch gemaakt. In principe is er geen mogelijkheid voor de gebruiker om de distributie van updates te beïnvloeden. Dit veranderde pas met de Windows 10 Fall Creators Update naar versie 1709 (zie hieronder).
In Windows 10 zijn alle opties met betrekking tot Windows Update samengevat onder Instellingen – Update en beveiliging – Windows Update.
Daar zit niets meer verborgen dan “Controleren op update”. Als Windows 10 updates vindt, worden ze over het algemeen direct geïnstalleerd. De enige uitzondering is als Windows 10 (vanaf de Professional-editie) in een bedrijfsnetwerk met de Windows Server Update Service (WSUS) of System Center Configuration Manager (SCCM) van updates wordt voorzien.
Extra functies zijn te vinden achter het item “Geavanceerde opties”. Deze betreffen echter alleen de mogelijkheid om vóór een geplande herstart te worden geïnformeerd, om met Windows Update ook updates voor andere Microsoft-producten op te halen of om het type verzending van updates te wijzigen. De insider builds, d.w.z. “pre-release versies met nieuwe functies”, kunnen ook worden gestart of beëindigd na deelname aan het insiderprogramma, dat u verandert in een bètatester voor vernieuwingen in Windows 10.
Functie-upgrades
Microsoft maakt sinds Windows 10 onderscheid tussen updates en upgrades. Updates zijn updates die vooral beveiligingsproblemen verhelpen en worden meestal direct na de maandelijkse patchdag op de 2e dinsdag van een maand geleverd via Windows Update. Upgrades zijn door Microsoft bedoeld om nieuwe of gewijzigde functies van het besturingssysteem op te nemen en onderstrepen het voornemen van Microsoft om Windows 10 steeds weer van nieuwe of gewijzigde functies te voorzien zonder een nieuwe Windows op de markt te brengen. Deze upgrades worden daarom vaak feature upgrades genoemd. Er zijn geen optionele updates meer met Windows 10, zoals het geval was met Windows 7 of Windows 8.x.
Alleen voor upgrades van Windows 10 Professional (alle behalve de Home Edition) biedt Microsoft de optie om deze te resetten, die via Windows Update onder Instellingen kan worden geactiveerd.
Het effect hiervan is dat de upgrades 4 maanden buiten het systeem blijven voordat ze worden geïnstalleerd. Als in een bedrijfsnetwerk een WSUS of SCCM wordt gebruikt, kan de distributie nog eens 8 maanden worden vertraagd.
Gebruikers van de Home Edition van Windows 10 hebben echter geen mogelijkheid om de distributie van upgrades te voorkomen wanneer deze worden uitgebracht.
Onder Windows 10 kunnen updates en upgrades gewoon worden geblokkeerd: Met de gratis tool StopUpdates10 kunnen gebruikers van Windows 10 met één klik alle updates en upgrades tegenhouden, zonder handmatig met het systeem te hoeven rommelen. De tool werkt ook voor Windows 10 Home en kan net zo makkelijk Windows Update weer activeren.
Een andere dergelijke tool, waarvoor geen reclame nodig is en die net zo makkelijk te gebruiken is, is de Windows Update Blocker.
Voor gebruikers van de Professional Edition van Windows 10 vanaf versie 1709 is de functie “Updates opschorten” te vinden in de instellingen onder Windows Update -> Geavanceerde opties. Hiermee kun je updates op het apparaat maximaal 35 dagen opschorten.
Zodra u de functie echter weer deactiveert, moeten er eerst nieuwe updates op het systeem worden toegepast voordat een hernieuwde opschorting mogelijk is.
In de geavanceerde opties vindt u ook de optie om functie-updates (grote versie-updates zoals de Fall Creators Update) of kwaliteitsupdates uit te stellen. Schakel je over naar “Semi-Annual Channel”, dan worden grote functie-updates pas na ongeveer 4 maanden geleverd (voorheen Current Branch for Business), terwijl “Semi-Annual Channel (Targeted)” ze zo snel mogelijk accepteert en installeert. Microsoft heeft de verschillende termen en wat ze betekenen uitgelegd in het artikel Updating Windows10 in the Enterprise.
Bovendien hebt u in het onderstaande selectieveld de mogelijkheid om functie-updates, die ook een functie-upgrade omvatten, maximaal 365 dagen en kwaliteitsupdates maximaal 30 dagen op te schorten.
Groepsbeleid en register
Het gedrag van Windows Update kan ook voor Windows 10 binnen de perken worden aangepast via groepsbeleid of registervermeldingen. Hiermee wordt echter door Windows 10 Home – in tegenstelling tot andere verklaringen op het net – sinds de definitieve versie geen rekening meer gehouden! De volgende opmerkingen gelden daarom alleen voor Windows 10 Professional of hoger.
Het groepsbeleid kan worden opgeroepen via gpedit.msc of het oude Configuratiescherm – Administratieve hulpmiddelen en is te vinden onder Computerconfiguratie – Administratieve sjablonen – Windows-onderdelen – Windows Update aanpassen.
Microsoft heeft de mogelijkheden van configuratie via groepsbeleid gedocumenteerd, vele werken echter niet meer onder Windows 10. Microsoft biedt voor Windows 10 nieuwe administratieve sjablonen als download aan, die weer zijn samengevat in een tabel om te downloaden.
De volgende instellingen van de GPO’s kunnen ook onder Windows 10 vanuit de Professional-editie rechtstreeks via het register in het pad
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\MicrosoftWindowsWindowsUpdate
kan worden ingesteld
Automatische updates configureren
Dit bekende beleid biedt verschillende mogelijke instellingen wanneer het wordt geactiveerd, maar slechts twee ervan werken goed onder Windows 10.
Punt 2: waarschuwen voor downloaden en installeren
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsWindowsUpdate
REG_DWORD: AUOptions met de waarde 2
REG_DWORD:ScheduledInstallDay met de waarde 0 (staat voor dagelijks)
REG_DWORD:ScheduledInstallTime met waarde 3 (staat voor 3 uur ’s nachts)
Punt 3: Automatisch downloaden maar verwittigen voor installatie
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\MicrosoftWindowsWindowsUpdate
REG_DWORD: AUOptions met waarde 3
REG_DWORD:ScheduledInstallDay met de waarde 0 (staat voor dagelijks)
REG_DWORD:SchuduledInstallTime met de waarde 3 (staat voor 3 uur ’s nachts)
Alle updates blokkeren
Als het beleid “Automatische updates configureren” is gedeactiveerd en niet is geactiveerd en geconfigureerd zoals voorheen, worden alle automatische updates geblokkeerd en moeten ze handmatig worden geïnstalleerd.
Dit kan via het register onder
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\MicrosoftWindowsWindowsUpdate
REG_DWORD: NoAutoUpdate met de waarde 1
kan worden ingesteld.
Upgrades resetten
Vertraagt functie-upgrades (zie hierboven).
Register:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsUpdate.
REG-DWORD: DeferUpgrade met de waarde 1
Geef het interne pad op voor de Microsoft update service
Register:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\MicrosoftWindowsWindowsUpdate.
Reg-SZ entry met WUServer en WUStatusServer elk met pad naar de server alsmede de subsleutel AU met de REG-DWORD entry UseWUServer en de waarde 1.
Beslis zelf
In vergelijking met de voorgangers van Windows 10 heeft de gebruiker vrijwel geen keuze meer welke updates worden geïnstalleerd, wat soms – ook door voortdurende problemen met updates – voor frustratie zorgt.
Microsoft biedt onder Windows 10 een – weliswaar omslachtige – oplossing om updates te blokkeren. Om de update te blokkeren, moet deze eerst worden gedeïnstalleerd en vervolgens moet de probleemoplosser“Updates weergeven of verbergen” worden uitgevoerd. Windows Update zal dan de probleemupdate niet meer downloaden. U kunt echter het hulpprogramma voor probleemoplossing gebruiken om de update te deblokkeren. De tool“Updates weergeven of verbergen” wordt beschreven in het kennisbankitem KB3073930 en kan daar ook voor Windows 10 worden gedownload.
Stuurprogramma-updates voorkomen
U kunt wel bepalen of Windows Update op stuurprogramma-updates controleert en deze zelf installeert. Als dat om verschillende redenen niet gewenst is, kan dat via het register onder
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\MicrosoftWindowsWindowsUpdate
met het DWORD-item ExcludeWUDriversInQualityUpdate en de waarde 1. Eventueel moet eerst de sleutel “WindowsUpdate” worden aangemaakt.
De vermelding ExcludeWUDriversInQualityUpdate moet ook worden toegevoegd aan de
in HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\MicrosoftWindowsWindowsUpdate
ingevoerd worden!
Windows 10 Pro eigenaren kunnen de waarde ook instellen via de lokale Group Policy -> Administrative Templates -> Windows Components -> Windows Update door “Do not include drivers in Windows updates” te activeren.
De probleemoplossingsassistent voor apparaten en hardware meldt ook dat de optie is ingeschakeld.
Automatische herstart na installatie van updates in Windows 10 voorkomen
Met Windows 10 versie 1607 Anniversary Update heeft Microsoft gebruikstijden geïntroduceerd waarin niet opnieuw wordt opgestart na een update. Deze zijn in te stellen via “Instellingen – > Update en beveiliging -> Gebruikstijd wijzigen”.
Voor gebruikers van versie 1607 blijft er dus maar één klein hulpmiddel over. De reboot blocker draait op de achtergrond en past elk uur de gebruikstijd aan, zodat Windows nooit uit zichzelf kan rebooten.
Windows Update MiniTool
In de gemeenschap is een hulpmiddel ontwikkeld dat de gebruiker veel meer vrijheid geeft. De gratis en direct te starten Windows Update MiniTool, die voor alle Windows-versies kan worden gebruikt, kan met NoAutoUpdate – zoals hierboven beschreven – het updatemechanisme via het register volledig blokkeren, zelfs onder Windows 10 Professional. Zet daarvoor “Automatische updates” op “Uitgeschakeld”.
Via de knop met de draaiende cirkel zoekt de tool dan via de Windows Update Client van het besturingssysteem naar updates voor het systeem en toont geïnstalleerde en nog niet geïnstalleerde updates. Zo kan de gebruiker bepalen welke updates op het systeem zijn geïnstalleerd.
De overige functieknoppen bieden het laden, installeren en verwijderen van geïnstalleerde updates en het verbergen van ongewenste updates. De tool is echter geen update downloader zoals bijvoorbeeld WindowsOfflineUpdate, want met Windows Update MiniTool worden de patches direct via de functie van het besturingssysteem gedownload en geïnstalleerd.
Conclusie
Vanuit het oogpunt van Microsoft is het verstandig om alle beveiligingsrelevante updates direct op de systemen toe te passen om bekende beveiligingslekken te dichten. Toch is het meer dan vervelend dat de gebruiker hier elke beslissingsbevoegdheid wordt ontnomen, vooral omdat Microsoft in het verleden ook onder Windows 10 gebrekkige en problematische updates heeft geleverd. Met Windows 10 Home is de gebruiker hulpeloos overgeleverd aan de genade van Microsoft als het gaat om updates. De Professional-versie van Windows 10 biedt tenminste iets meer mogelijkheden, al is men momenteel afhankelijk van software van derden voor de selectieve installatie van updates. Concluderend kunnen we alleen maar hopen dat Microsoft met de volgende functie-upgrade verbeteringen aanbrengt en de gebruiker meer opties geeft.
Sinds Windows 10 versie 1903 hebben echter alle bezitters van Windows 10 en dus ook in de Home Edition nu de mogelijkheid om updates algemeen op te schorten voor maximaal 35 dagen. Daarnaast worden feature-upgrades niet meer automatisch geïnstalleerd zolang er nog ondersteuning is voor de gebruikte Windows-versie.