Forum: PC Hard- und Software Win10: Updates endgültig und sicher abschalten?


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Frank E. (Firma: Q3) (qualidat)


Lesenswert?

Wir betreuen einige elektronische Exponate in einem Museum, die auf PCs 
mit Win10 basieren. Diese Geräte werden morgens per WOL an- und abends 
durch ein Remote-Kommando wieder ausgeschaltet. Sie treiben z.B. 
Info-Systeme mit Touchscreens, steuern animierte Beleuchtungseffekte, 
bilden Audio- und Video-Abspielstationen (mit eigener GUI) usw.

Dass es sich um Windows-PCs handelt, ist nicht unsere Entscheidung, 
soviel vorab.

Fakt ist, dass diese Dinger immer im unpassendsten Moment meinen, 
irgendwelche blöden Update-Infos einzublenden, Fehlermeldungen im 
Nachgang von Updates zu produzieren (obwohl vorher alles einwandfrei 
lief) usw. Sicherheit und Updatens mögen für aktive Arbeitsplätze 
wichtig sein, hier nervt es einfach nur. Der Schaden ist jedenfalls 
größer als der mögliche Nutzen.

Frage nun: Gibts irgend ein Tool oder eine Anleitung, die es ermöglicht, 
einen PC mit Windows 10 definitiv auf einen Stand einzufrieren und 
diesen dabei trotzdem für Fernwartungszwecke (RDP und VNC) erreichbar zu 
halten?

Danke für Tips.

: Bearbeitet durch User
von Schlaumaier (Gast)


Lesenswert?

Ich würde einfach ein externe Server(chen) dazwischen schalten das alle 
Anfragen von / nach MS abfängt.

Vielleicht wäre es sogar sinnvoll Windows im Kiosk-Mode zu betreiben bei 
deiner Anwendung.

von JJ (Gast)


Lesenswert?

Wenn du den Windows Update service stoppst sollte Ruhe sein.
Aber bitte denke auf jeden Fall daran an einem Ruhetag sämtliche offenen 
Updates zu erzwingen.

von Thomas Z. (usbman)


Lesenswert?

die einfachste Lösung wäre in den Netzwerkeigenschaften auf getaktete 
Verbindung umzustellen. Dann lassen dich die Updates in Ruhe. Die kannst 
du ja immer noch manuell anwerfen falls das notwendig wird.

von Georg (Gast)


Lesenswert?

Frank E. schrieb:
> einen PC mit Windows 10 definitiv auf einen Stand einzufrieren und
> diesen dabei trotzdem für Fernwartungszwecke (RDP und VNC) erreichbar zu
> halten?

Irgendwo wird ja die Verbindung zum Internet über einen Router laufen - 
es gibt zahlreiche Möglichkeiten dort den Datenfluss zu begrenzen, z.B. 
auf bestimmte Protokolle oder bestimmte Client Computer Nennt sich 
Firewall. Vermutlich wird ja die Wartung von ganz bestimmten Systemen 
aus durchgeführt und nicht von einem Internetcafee in der Karibik, oder 
doch? Nach der Beschreibung brauchen die Geräte auch keinen Zugriff aufs 
allgemeine Internet.

Wenn die nötigen Daten, Videos usw. lokal gespeichert sind (sollte so 
sein) und auch die Wartung im Museum durchgeführt wird würde ich 
garnichts mit dem Internet verbinden.

Georg

von bingo (Gast)


Lesenswert?

Es gibt mehrere Möglichkeiten:

1. Update-und Telemetrie-Dienste abschalten:
-> Windows Verwaltungsprogramm -> Dienste, und dann
- Benutzererfahrung und Telemetrie deaktivieren
- Update-Orchestrator-Dienst deaktivieren
- Windows-Update deaktivieren

2. Die Netzwerkkarte de facto deaktivieren:
-> Netzwerk und Freigabecenter -> Adaptereinstellungen ändern, und dann
- Internetprotokoll Version 4, Häkchen entfernen
- Internetprotokoll Version 6, Häkchen entfernen

von Franz M. (elmo64)


Lesenswert?

Schaue dir das mal an: https://www.w10privacy.de/
damit deaktiviere ich nach jedem neuen aufsetzten einiges.

Vielleicht ist auch W10 Enterprise oder Education eine Option?

von Norbert (Gast)


Lesenswert?

Geil,
immer wenn man denkt so etwas gibt's doch gar nicht,
wird man eines Besseren belehrt.
Eine Windows Selbsthilfegruppe.
AWG - Anonyme Windows Geschädigte.

von realist (Gast)


Lesenswert?

Norbert schrieb:
> Geil,
> immer wenn man denkt so etwas gibt's doch gar nicht,
> wird man eines Besseren belehrt.
> Eine Windows Selbsthilfegruppe.
> AWG - Anonyme Windows Geschädigte.

Warum "Geschädigte"?
Die wollen doch nur nicht mehr auf dem Laufenden sein, das ist alles.

von ... (Gast)


Lesenswert?

Schoen zu sehen, keine der "loesungen" hier wird das Problem
dauerhaft beheben.

@ TO:
Such mal ein wenig weiter, dann wirst sogar hier im Forum
auch Funktionierendes finden.

von 100Ω W. (tr0ll) Benutzerseite


Lesenswert?

Kapp einfach die Internetverbindung der Maschinen.

von Thomas W. (dbstw)


Lesenswert?

Moin, -

100Ω W. schrieb:
> Kapp einfach die Internetverbindung der Maschinen.

Nicht so pfiffig. Wenn der Lizenzcheck nicht funktioniert, bleibt die 
Maschine mit eingeschraenkter Funktionalitaet stehen (von der 
eingeschraenkten Fernwartung nicht zu reden :-).

Umsteigen auf Win10 Enterprise und Education, dann kannst Du zumindest 
das Update ein Jahr verzoegern.

Gruesse

Th.

von Thomas W. (dbstw)


Lesenswert?

Selbstgespraeche ...

Thomas W. schrieb:
> Moin, -

> Nicht so pfiffig. Wenn der Lizenzcheck nicht funktioniert, bleibt die
> Maschine mit eingeschraenkter Funktionalitaet stehen (von der
> eingeschraenkten Fernwartung nicht zu reden :-).

90 Tage ist der Genuine Check. Man kann es umgehen, wenn die Maschine 
nicht mit dem Internet verbunden ist. Fernwartung ist dann schwierig.

Gruesse

Th.

von Nano (Gast)


Lesenswert?

Frank E. schrieb:
> Dass es sich um Windows-PCs handelt, ist nicht unsere Entscheidung,
> soviel vorab.

Und in 5 Jahren, wenn wieder eine Windows Neuanschaffung (z.b. Win 11) 
fällig ist, habt ihr wieder das gleiche Problem.

Ich würde sagen, Nägel mit Köpfen machen und auf Debian Linux umstellen,
sowie, eventuell notwendige Software dann ersetzen.

von Schlaumaier (Gast)


Lesenswert?

Kauft euch ne Beere, setzt ein Proxy auf, und sagt dem einfach er soll 
MS blockieren. Schon bildet sich MS ein es ist Offline und alles ist 
gut.

Dann muss die Beere nur noch ein VPN haben und das war's.

von Oliver S. (oliverso)


Lesenswert?

WSUS. Damit dann die Update-Zeitpunkte selber planen, und zu passender 
Zeit einspielen.

Oliver

von realist (Gast)


Lesenswert?

Schlaumaier schrieb:
> Schon bildet sich MS ein es ist Offline und alles ist gut.

Das geht zwar eine Weile gut, daß Windows sich "vertrösten" läßt, aber 
irgendwann will W10 den Lizenzcheck unbedingt machen und wenn es dann 
immer noch nicht funktioniert, funktioniert alles nur noch im 
eingeschränkten Modus. Verstehst du das unter "und alles ist gut"?

von realist (Gast)


Lesenswert?

Oliver S. schrieb:
> WSUS. Damit dann die Update-Zeitpunkte selber planen, und zu
> passender
> Zeit einspielen.
>
> Oliver

Das ist die vernünftigste Lösung.

von bingo (Gast)


Lesenswert?

realist schrieb:
> Das geht zwar eine Weile gut, daß Windows sich "vertrösten" läßt, aber
> irgendwann will W10 den Lizenzcheck unbedingt machen

Wenn kein Internet verfügbar ist, macht W10 das nicht.

von Thomas W. (dbstw)


Lesenswert?

bingo schrieb:
> realist schrieb:
>> Das geht zwar eine Weile gut, daß Windows sich "vertrösten" läßt, aber
>> irgendwann will W10 den Lizenzcheck unbedingt machen
>
> Wenn kein Internet verfügbar ist, macht W10 das nicht.

Die geforderte Fernwartung?

Gruesse

Th.

von Schlaumaier (Gast)


Lesenswert?

realist schrieb:
> Verstehst du das unter "und alles ist gut"?

Eigentlich ja, weil es löst das Problem den TO. ;) Weil er kann dann 
selbständig den Zeitpunkt bestimmen. Ist immer hin etwas.

Aber wenn ich mich recht erinnere kann man die Updates doch auf die 
Nacht verlegen. ?? Da sind doch einige Funktionen in W-10 drin. Müsste 
nachschauen. Jedenfalls hat mein W-10 neulich irgend so was mir erzählt.

Bin mir aber nicht mehr ganz sicher. Wenn ich recht habe, würde ich 
einfach ein Zeitscript laufen lassen was den Rechner jeden Morgen um 
X-Uhr neu startet.

Hab gegoogelt.

https://www.windows-faq.de/2017/03/30/installationszeit-neustartzeit-der-windows-10-updates-planen-und-die-nutzungszeit-einstellen/

Wenn man diese Funktion nutzt und Notfalls mit der Beere verknüpft solle 
man das Problem jedenfalls halbwegs im Griff haben.

von (prx) A. K. (prx)


Lesenswert?

Thomas W. schrieb:
>> Wenn kein Internet verfügbar ist, macht W10 das nicht.
>
> Die geforderte Fernwartung?

Werden ausgehende Verbindungen in Router oder Firewall blockiert, und es 
gibt auch keinen Proxy daran vorbei, dann gibt's kein Internet. 
Netzinterne Verbindungen sind davon nicht betroffen.

von Johannes S. (jojos)


Lesenswert?

Windows Embedded gibt es auch noch, heisst nur ständig anders und ist 
nur über Distris zu beziehen.

von Stephan S. (uxdx)


Lesenswert?

(prx) A. K. schrieb:
> Thomas W. schrieb:
>>> Wenn kein Internet verfügbar ist, macht W10 das nicht.
>>
>> Die geforderte Fernwartung?
>
> Werden ausgehende Verbindungen in Router oder Firewall blockiert, und es
> gibt auch keinen Proxy daran vorbei, dann gibt's kein Internet.
> Netzinterne Verbindungen sind davon nicht betroffen.

Das müsste man testen, ggf. w.o. die Update-Dienste deaktivieren.

von Georg A. (georga)


Angehängte Dateien:

Lesenswert?

Nano schrieb:
> Ich würde sagen, Nägel mit Köpfen machen und auf Debian Linux umstellen,
> sowie, eventuell notwendige Software dann ersetzen.

Wäre eine gute Idee, ist aber leider nicht immer möglich...

Neulich gabs beim Update von 17 identischen Notebooks (Seminarnotebooks, 
also wirklich alle gleiche HW und gleich eingerichtet) von 1903 auf 20H2 
bei genau einem ein Problem. 20H2 war zwar dann drauf, aber nachfolgende 
Updates gingen nicht mehr (0x8000ffff). Die Problembeseitung ging leider 
auch nicht mehr und lieferte mal wieder eine Super Anekdote. Der 
Rollback auf 1903 ging, aber jetzt will das NB nichts mehr mit 20H2 zu 
tun haben und bietet mir die Möglichkeit gar nicht mehr an.

von (prx) A. K. (prx)


Lesenswert?

Georg A. schrieb:
> aber jetzt will das NB nichts mehr mit 20H2 zu tun haben und bietet mir
> die Möglichkeit gar nicht mehr an.

Das nennt man künstliche Intelligenz. Beim ersten Mal Finger 
verbrannt...

: Bearbeitet durch User
von Christian R. (supachris)


Lesenswert?

Bei Windows 10 pro kann man doch in den lokalen Gruppenrichtlinien die 
Updates deaktivieren. Reicht das nicht? So hab ich das bei meinem HTPC 
gemacht. Da ist Ruhe und wenn ich mal Zeit habe, aktualisiere ich 
manuell.

Beitrag #6771549 wurde vom Autor gelöscht.
von Nano (Gast)


Lesenswert?

Georg A. schrieb:
> Nano schrieb:
>> Ich würde sagen, Nägel mit Köpfen machen und auf Debian Linux umstellen,
>> sowie, eventuell notwendige Software dann ersetzen.
>
> Wäre eine gute Idee, ist aber leider nicht immer möglich...
>
> Neulich gabs beim Update von 17 identischen Notebooks (Seminarnotebooks,
> also wirklich alle gleiche HW und gleich eingerichtet) von 1903 auf 20H2
> bei genau einem ein Problem. 20H2 war zwar dann drauf, aber nachfolgende
> Updates gingen nicht mehr (0x8000ffff). Die Problembeseitung ging leider
> auch nicht mehr und lieferte mal wieder eine Super Anekdote. Der
> Rollback auf 1903 ging, aber jetzt will das NB nichts mehr mit 20H2 zu
> tun haben und bietet mir die Möglichkeit gar nicht mehr an.

So etwas kenne ich.

Bei meiner alten Win 7 Installation habe ich immer regelmäßig und zügig 
ganz normal geupdated bis irgendwann ein Fehler kam, der dazu führte, 
dass ich nicht mehr updaten konnte. Und der Rollback funktionierte war, 
aber der Fehler trat dann gleich wieder auf, nach dem ich diesen 
Rollback dann versuchte upzudaten.

Das Problem war somit nicht auf normalem Wege lösbar.
Im Prinzip ging es nur mit Neuinstallation, aber da sowieso ein Wechsel 
zu Win 10 anstand, habe ich es dann gleich Win10 installiert.

von michael_ (Gast)


Lesenswert?

Schlaumaier schrieb:
> Hab gegoogelt.
>
> 
https://www.windows-faq.de/2017/03/30/installationszeit-neustartzeit-der-windows-10-updates-planen-und-die-nutzungszeit-einstellen/

Zwar im Prinzip noch gültig, aber 2017?

Zusätzlich kann man Update für 7 Tage hinausschieben.

von Manfred (Gast)


Lesenswert?

Schlaumaier schrieb:
> Ich würde einfach ein externe Server(chen) dazwischen schalten das alle
> Anfragen von / nach MS abfängt.

Schlaumaier schrieb:
> Kauft euch ne Beere, setzt ein Proxy auf, und sagt dem einfach er soll
> MS blockieren. Schon bildet sich MS ein es ist Offline und alles ist
> gut.

Schlau, wie Du nun mal bist, sagst Du uns gerne, was man einrichten muß, 
um M$ zu sperren.
Du hast bestimmt eine zuverlässige Tabelle, welche Namen und welche IPs 
Windowsupdate aufruft und stellst uns diese gerne zur Verfügung.

Oder war das wieder nur heiße Luft?

Frank E. schrieb:
> einen PC mit Windows 10 definitiv auf einen Stand einzufrieren und
> diesen dabei trotzdem für Fernwartungszwecke (RDP und VNC) erreichbar zu
> halten?

Kannst Du eingrenzen, wer Fernwartung macht bzw. aus welchem IP-Bereich 
die erfolgt?

Denke ich weiter: RDP und VNC sind für die Clients kommende 
Verbindungen, da müssen also vom Internet aus kommende Verbindungen 
zugelassen sein, ein nettes Risiko. Unsere Kunden (Sicherheitssysteme) 
ziehen generell den Stecker und lassen Internet nur zu, wenn eine 
Fernwartung abgesprochen ist.

In Deinem Fall denke ich, einen erwachsenen Router so einrichten zu 
können, dass die W10 keine Internetverbindungen aufbauen können, aber 
trotzdem erreichbar sind und ggfs. die Erreichbarkeit auf gewisse 
IP-Bereiche beschränkt ist.

Wenn ich oben lese mehrere PCs , die von extern per RDP zu erreichen, 
muß doch ein IT-Fachmann im Spiel sein.

von Mike (Gast)


Lesenswert?

michael_ schrieb:
> Zusätzlich kann man Update für 7 Tage hinausschieben.

Bei mir geht das sogar bis zu 35 Tagen.

von Schlaumaier (Gast)


Lesenswert?

Manfred schrieb:
> Du hast bestimmt eine zuverlässige Tabelle, welche Namen und welche IPs
> Windowsupdate aufruft und stellst uns diese gerne zur Verfügung.
>
> Oder war das wieder nur heiße Luft?

Nein habe ich nicht. Weil ich sie nicht brauche, und mir das zu unsicher 
ist. Ich würde es anders herum machen, wie jeder guter Admin.
Einfach gesagt ich würde nur den Seiten/Adressen Zugang zum Netz eben, 
den ich traue über den Proxy. Dieses Vorgehen ist in vielen Firmen 
üblich.

Aber ich habe gerade mal gegoogelt. Es gibt da ne feine Seite bei Heise.

https://www.heise.de/tipps-tricks/Windows-10-Automatische-Updates-deaktivieren-3971647.html

Bis einschließlich Win-7 weiß ich aus eigener Erfahrung das es meist 
reicht den Update-Dienst zu deaktivieren. K.a. ob es da bei Win-10 eine 
Hintertür gibt das der sich selbst wieder aktiviert.

von Helge (Gast)


Lesenswert?

Geräte ohne updates werden zum honeypot. Sowas darf nur am physisch 
getrennten Intranet hängen. Ich habe miterlebt, was passiert, wenn mans 
anders macht.

von Reinhard S. (rezz)


Lesenswert?

Thomas W. schrieb:
> bingo schrieb:
>> realist schrieb:
>>> Das geht zwar eine Weile gut, daß Windows sich "vertrösten" läßt, aber
>>> irgendwann will W10 den Lizenzcheck unbedingt machen
>>
>> Wenn kein Internet verfügbar ist, macht W10 das nicht.
>
> Die geforderte Fernwartung?

VNC & RDP klingt erstmal nicht nach einer Fernwartung via Internet.

Meine persönliche (laienhafte) Lösung wäre entweder eine passend 
konfigurierte Firewall oder halt die Dinger in ein eigenes LAN stecken 
samt Rechner, der in diesem und dem "normalen" LAN steckt zwecks 
Fernwartung.

: Bearbeitet durch User
von Εrnst B. (ernst)


Lesenswert?

Helge schrieb:
> Geräte ohne updates werden zum honeypot. Sowas darf nur am physisch
> getrennten Intranet hängen. Ich habe miterlebt, was passiert, wenn mans
> anders macht.


Frank E. schrieb:
> elektronische Exponate in einem Museum,

Da wird eine Slideshow, Videoplayer o.Ä. laufen, kein Webbrowser auf 
zweifelhaften Seiten oder Mailprogramm mit "alle Attachments 
ausführen"-Option. Insofern ist die Angriffsoberfläche da schon recht 
gering.


Der Thread-Titel ist halt ungünstig gewählt.
Stände da statt
>> "Win10: Updates endgültig und sicher abschalten?"
eher
>>"Win10: endgültig unsicher machen und Updates abschalten"
würde die Diskussion ob er auch überblicken kann was er da vorhat schon 
etwas eingehegt.

von A. H. (pluto25)


Lesenswert?

Natürlich ist es sinnvol W10 davon abzuhalten sich kaputt zu updaten. 
Aber niemand schein das zu können/wollen? Eine geniale Geschäftsidee 
etwas zu verkaufen,  es dann so lange zu beschädigen bis das neuere 
verkauft werden kann.

von Frank E. (Firma: Q3) (qualidat)


Lesenswert?

Ok, danke für die Tips. Langfristig scheint der Umstieg auf Linux wohl 
die bessere Wahl ... (meist werden in Processing geschriebene Programme 
verwendet, das sollte auch unter Linux laufen). Vorher werde ich mal 
wieder bei ReactOS vorbeisehen.

Kurzfristig versuche ich es mit den diversen Einstellungen ... 
inzwischen läuft das System wieder, war gestern nur frustig, weil es 
gerade stockte.

von (prx) A. K. (prx)


Lesenswert?

A. H. schrieb:
> Natürlich ist es sinnvol W10 davon abzuhalten sich kaputt zu updaten.

Die wahre Kunst ist, festzustellen, ob Systemupdates die Lage verbessern 
oder verschlechtern, und zwar mit Blick auf die Zukunft. Das ist eine 
echte Marktlücke, damit könntest du viel Geld verdienen.

von Jens M. (schuchkleisser)


Lesenswert?

realist schrieb:
> Das geht zwar eine Weile gut, daß Windows sich "vertrösten" läßt, aber
> irgendwann will W10 den Lizenzcheck unbedingt machen und wenn es dann
> immer noch nicht funktioniert, funktioniert alles nur noch im
> eingeschränkten Modus.

Mach ich irgendwas falsch das ich mehrere W10-Maschinen seit Jahren 
offline betreibe, ohne das die meckern???
Andere laufen auf einem LAN, der Router lässt nur die Fernwartung rein 
und erlaubt NTP, so hat die Kiste eine aktuelle Zeit und ist ansonsten 
zwar im LAN, kann aber nichts machen.

O&O kann mit ShutUp10 (Deutsche Freeware unter 
https://www.oo-software.com/de/shutup10) den Update deaktivieren (und 
noch einiges mehr) und dann klappt das m.E. auch ohne Routertricks.

Es gibt (gab?) auch irgendwo ein Programm, das den Aktivitätszeitraum 
immer aktualisierte, so das Windows meinte, jetzt wäre ein schlechter 
Zeitpunkt für Updates. So wurden wenigstens die automatischen 
Updateneustarts verhindert.

von Praktiker (Gast)


Lesenswert?

hallo

(prx) A. K. schrieb:
> Die wahre Kunst ist, festzustellen, ob Systemupdates die Lage verbessern
> oder verschlechtern, und zwar mit Blick auf die Zukunft. Das ist eine
> echte Marktlücke, damit könntest du viel Geld verdienen.


Das genau sollte aber Microsoft (deren Beauftragte) selbst leisten - 
klar alles kann man gar nicht abdecken da streng genommen jedes System 
anders ist, aber:

Die "Klopse" die sie sich immer wieder mal leisten (obwohl es schon 
wesentlich schlimmer Zeiten vor Win 10 gab - Win 98 empfinde wohl nicht 
nur ich zurückwirkend gesehen als traurigen Spitzenreiter) dürfen 
einfach nicht vorkommen - lieber das Update eine Woche später 
herausbringen dafür aber dann recht sicher sein das es bei mehr als 99% 
der Nutzer keine Probleme geben wird.

Aber so ganz unschuldig sind "wir" als Gesamtheit der Nutzer daran auch 
nicht:
Für viele (eher weniger hier, aber wir sind auch recht speziell) sind 
Updates ein Qualitätsmerkmal und werden sehr gerne gemacht bzw. gesehen 
aber auch "die" Massenmedien (damit meine ich nicht kleiner nur im Netz 
vorhandene Fachkundige Medien, sondern schon so was wie ARD ZDF und die 
Privaten TV Sender) tragen mit ihren immer wieder auftauchenden 
"Katastrophenmeldungen" und "Warnhinweise" ihren Teil bei das Updates 
heraus gehauen werden...

Praktiker

von realist (Gast)


Lesenswert?

Jens M. schrieb:
> Mach ich irgendwas falsch das ich mehrere W10-Maschinen seit Jahren
> offline betreibe, ohne das die meckern???

Ich muss meine Aussagen revidieren. Asche auf mein Haupt!
W10 kann man selbstverständlich offline laufen lassen. Auch dauernd...

von kleiner Admin (Gast)


Lesenswert?

Bau eine Firewall dazwischen, die den ausgehenden Verkehr komplett 
blockiert.

Für die Fernwartung verbindest Du Dich einfach per VPN mit der Firewall. 
Und dann per RDP oder VNC direkt mit den entsprechenden Computern.

Es muß auf der Firewall lediglich eine Regel existieren, die eine 
Verbindung vom VPN-Netz zum LAN der Rechner zuläßt.

So etwas leisten auch OpenSourceFirewalls, die auch auf 
leistungsschwacher Hardware laufen.

von Εrnst B. (ernst)


Angehängte Dateien:

Lesenswert?

Weil's thematisch schön zum unsicheren "Windows 10 Ausstellungsstück" im 
Museum passt:
https://xkcd.com/350/

von (prx) A. K. (prx)


Lesenswert?

Praktiker schrieb:
> Für viele (eher weniger hier, aber wir sind auch recht speziell) sind
> Updates ein Qualitätsmerkmal

Updates sind ein Qualitätsmerkmal eines Software-Herstellers, weil die 
Komplexität nicht fehlerfrei machbar ist und es wahrlich genug Spezln 
gibt, deren Einkommensmodell aus der Ausnutzung von Fehlern besteht. 
Aber neben dem Segen sind sie auch Fluch.

Der Fall eines Gerätes, das in keinem Netz hängt, ist heute nicht mehr 
so häufig. Selbst völlig isolierte Netze können zum Problem werden, 
sobald sich ein Servicetechniker mit seinem Laptop in dieses Netz 
einklinkt. Siehe vor wenigen Jahren in China, wo es viele Tankstellen 
und Geldautomaten betraf.

von Cyblord -. (cyblord)


Lesenswert?

Schlaumaier schrieb:
> Ich würde einfach ein externe Server(chen) dazwischen schalten das alle
> Anfragen von / nach MS abfängt.

Nennt sich Firewall. Obwohl ein Managed Switch wahrscheinlich schon 
reichen sollte.
Der Rechner muss einfach nur vom Internet abgetrennt werden.

von bingo (Gast)


Lesenswert?

probier mal, ob die Software mit Linux und Wine läuft 
https://wiki.ubuntuusers.de/Wine/

von Εrnst B. (ernst)


Lesenswert?

bingo schrieb:
> probier mal, ob die Software mit Linux und Wine läuft

Das macht ja mal überhaupt keinen Sinn, die Software ist in Processing 
geschrieben.

https://processing.org/
https://de.wikipedia.org/wiki/Processing

von Nano (Gast)


Lesenswert?

Helge schrieb:
> Geräte ohne updates werden zum honeypot. Sowas darf nur am physisch
> getrennten Intranet hängen.

Dann kannst du die Geräte gar nicht mehr fürs Internet nutzen.
Ein separates VLAN bzw. der Gastzugang ist dagegen ein IMO akzeptabler 
Kompromiss.
Dann kann man mit dem Handy während dem Frühstücken dann auch Youtube 
schauen.

> Ich habe miterlebt, was passiert, wenn mans
> anders macht.

Erzähl mal. Was passierte darauf genau?

von Nano (Gast)


Lesenswert?

Nano schrieb:
> Helge schrieb:
>> Geräte ohne updates werden zum honeypot. Sowas darf nur am physisch
>> getrennten Intranet hängen.
>
> Dann kannst du die Geräte gar nicht mehr fürs Internet nutzen.
> Ein separates VLAN bzw. der Gastzugang ist dagegen ein IMO akzeptabler
> Kompromiss.
> Dann kann man mit dem Handy während dem Frühstücken dann auch Youtube
> schauen.
>
>> Ich habe miterlebt, was passiert, wenn mans
>> anders macht.
>
> Erzähl mal. Was passierte darauf genau?

@Helge
Sry, war der falsche Thread.
Dachte das hier wäre der Handy Thread.

Kannst obiges Kommentar also ignorieren.


Ein Windows, dass nie mehr Updates erhält, sollte natürlich niemals mehr 
ins Internet. Da bin ich ganz deiner Meinung.

von realist (Gast)


Lesenswert?

Εrnst B. schrieb:
> Das macht ja mal überhaupt keinen Sinn, die Software ist in Processing
> geschrieben.

Ich hoffe, du meinst Wine?
Denn dass Processing sehr wohl unter Linux läuft, wurde schon 
geschrieben.

von Mucky F. (Gast)


Lesenswert?

Was ist mit OOshutup?

O&O ShutUp10 ermöglicht es Ihnen, selbst die Kontrolle darüber zu haben, 
welche Komfortfunktionen von Windows 10 Sie nutzen möchten und welche 
Datenweitergabe Ihnen zu weit geht.

https://www.oo-software.com/de/shutup10

von Εrnst B. (ernst)


Lesenswert?

realist schrieb:
> Εrnst B. schrieb:
>> Das macht ja mal überhaupt keinen Sinn, die Software ist in Processing
>> geschrieben.
>
> Ich hoffe, du meinst Wine?
> Denn dass Processing sehr wohl unter Linux läuft, wurde schon
> geschrieben.

Eben. Darum macht es keinen Sinn, Processing (und damit auch Java) unter 
Wine laufen zu lassen.

https://processing.org/download/

.tgz für Linux runterladen, entpacken, fertig.

von Manuel X. (vophatec)


Lesenswert?

Oliver S. schrieb:
> WSUS. Damit dann die Update-Zeitpunkte selber planen, und zu passender
> Zeit einspielen.
>
> Oliver

+1

Alles andere ist sinnfreis Gebastel mit dem man sich ggf. wieder andere 
Probleme rein holt.

Ein WSUS Server hat auch den Vorteil das man Updates erstmal gegenprüfen 
kann bzw deren ausrollen erstmal stoppen kann bis man sicher ist das 
alles weiter läuft.

Der einzige Nachteil an WSUS ist das man eine Windows Maschine dafür 
braucht.
Gibt zwar Möglichkeiten das ganze auf einem Linux Server laufen zu 
lassen, aber das ist auch wieder wie von hinten durchs Auge im Ohr zu 
pulen...

von Schlaumaier (Gast)


Lesenswert?

Praktiker schrieb:
> (prx) A. K. schrieb:
>> Die wahre Kunst ist, festzustellen, ob Systemupdates die Lage verbessern
>> oder verschlechtern, und zwar mit Blick auf die Zukunft. Das ist eine
>> echte Marktlücke, damit könntest du viel Geld verdienen.

In großen Firmen gibt es "vorab Systeme" die genau die 
Norm-Konfiguration der Firmen-Rechner hat. Da installieren die Admins 
dann die Updates drauf. Dann wird getestet und wenn das dann läuft wird 
über den Update-Server der Firma besagtes Update freigegeben.

Die Marktlücke ist leider keine. Der Grund ist, das bei JEDEN Update von 
MS einige Rechner Probleme bekommen. Ab so geschätzt 10.000 Stück 
weltweit, hört man dann im Netz davon. Aber diese besagten Rechner habe 
bestimmte Konfiguration  Einstellungen  Hardware die die Probleme 
auslösen.

Und das ist wie Schachspielen. Am der 4 Abweichungen sind die Anzahl der 
Möglichkeiten schon gigantisch.

Die Marktlücke wäre und die wird auch schon oft praktiziert, die System 
wieder ans laufen zu bringen OHNE sie neu aufzusetzen.  Wobei das eine 
Frage der Kosten=Zeit/Nutzen wäre.



Cyblord -. schrieb:
> Schlaumaier schrieb:
>> Ich würde einfach ein externe Server(chen) dazwischen schalten das alle
>> Anfragen von / nach MS abfängt.
>
> Nennt sich Firewall. Obwohl ein Managed Switch wahrscheinlich schon
> reichen sollte.
> Der Rechner muss einfach nur vom Internet abgetrennt werden.

JA + NEIN  von der Funktion her JA.

Das Problem ist. Läuft die Firewall auf den selben System was ich 
blockieren will, dann ist es 0 Problem für das System diese zu 
blockieren. Es gab vor einigen Jahren (können was mehr sein, man hat mir 
ja schon vorgeworfen das ich mich um ein paar Jahre oft vertue) Stress 
zwischen MS + den Sicherheitssoftware-Hersteller.  Das Endergebnis war, 
das MS eine Systemschnittstelle zur Verfügung stellte wo sich die 
Hersteller "einhängen" können.

Und genau DA liegt das Problem. Sende ich eine Info an dieser 
Schnittstelle vorbei, hilft die FIREWALL 0.nix.

Setze ich aber ein Server(chen, weil da reicht eine Beere) als 
Man-in-the-Middle ein, kann mir das Kernel des Windows-OS völlig egal 
sein. Der schickt nur Daten und ein Linux-System lässt sich wohl kaum 
von irgend welchen Anweisungen von MS beeindrucken. So hoffnungsvoll bin 
ich mal.

Ergo. Eine Firewall muss auf einen externen System mit fremden OS 
laufen, damit sie ihre voll Wirksamkeit entfaltet.

Und genau DAS habe ich gemeint.

von Manfred (Gast)


Lesenswert?

Frank E. schrieb:
> Ok, danke für die Tips. Langfristig scheint der Umstieg auf Linux wohl
> die bessere Wahl ...

Wenn man nicht Willens oder in der Lage ist, die Netzwerktopologie zu 
beschreiben und zu definieren, wer wann von wo auf was zugreifen soll, 
ist natürlich Windows schuld.

Das ganze Szenario dürfte mit einem Router (nicht Fritz!) zügig zu 
reglen sein - wenn man denn weiß, wer wann von wo auf was ...

Ein möglicher Weg wäre auch, Schlaumaier und Nano als Expertenteam 
anzuheuern, zu deren Unterstützung noch schuchkleisser und alles wird 
gut.

von Thomas W. (dbstw)


Lesenswert?

Manfred schrieb:
> Frank E. schrieb:
>> Ok, danke für die Tips. Langfristig scheint der Umstieg auf Linux wohl
>> die bessere Wahl ...
>
> Ein möglicher Weg wäre auch, Schlaumaier und Nano als Expertenteam
> anzuheuern, zu deren Unterstützung noch schuchkleisser und alles wird
> gut.

Rudi Ratlos als CEO!

Th.

von Soul E. (souleye) Benutzerseite


Lesenswert?

Manfred schrieb:

> Ein möglicher Weg wäre auch, Schlaumaier und Nano als Expertenteam
> anzuheuern, zu deren Unterstützung noch schuchkleisser und alles wird
> gut.

"michael_" hast Du vergessen ;-)

von Jens M. (schuchkleisser)


Lesenswert?

Ich mach da nur mit wenn Manfred der Teamleiter wird. :D

von kleiner Admin (Gast)


Lesenswert?

Schlaumaier schrieb:
> Läuft die Firewall auf den selben System was ich
> blockieren will,

Das ist Müll; zwar besser als nichts, aber nicht wirklich gut. Eine 
Firewall, die diesen Namen verdient, ist immer ein eigenes (gehärtetes) 
System, das auf eigener Hardware läuft. Selbst eine Firewall auf einer 
virtuellen Maschine ist ein Sicherheitsrisiko, da die Exploits des 
Hypervisors evtl. ausgenutzt werden könnten.

Geht übrigens auch hinter der geliebten Fritzbox... Und kostet fast 
nichts, FW-Software als OSS verwenden und einen alten Rechner, dem man 
eine zusätzliche Netzwerkkarte spendiert (100MBit reicht, <= 10 Euro). 
Und natürlich einige Stunden Einarbeitungszeit.

von Schlaumaier (Gast)


Lesenswert?

kleiner Admin schrieb:
> Geht übrigens auch hinter der geliebten Fritzbox... Und kostet fast
> nichts, FW-Software als OSS verwenden und einen alten Rechner, dem man
> eine zusätzliche Netzwerkkarte spendiert (100MBit reicht, <= 10 Euro).
> Und natürlich einige Stunden Einarbeitungszeit.

Kostet zu viel Strom. Deshalb habe ich ja eine Beere als alternative 
vorgeschlagen. Eine Beere 4.0 kostet ca. 60 Euro nackt und reicht völlig 
aus.

Die SD-Karte dazu bekomme ich sogar aktuell geschenkt wenn ich das will. 
Lt. Newsletter heut morgen. ;)

von Cyblord -. (cyblord)


Lesenswert?

Schlaumaier schrieb:
> Das Problem ist. Läuft die Firewall auf den selben System was ich
> blockieren will

Ich meinte damit auch eine Hardware-Firewall, darum auch mein Einwand 
mit dem Managed Switch, der schon ausreichen könnte weil man sowieso nur 
komplett abtrennen will.
Letzlich ist eine Firewall auch nichts anderes als ein Switch (Level 2) 
+ Router (Level 3) + Rules.

von kleiner Admin (Gast)


Lesenswert?

> kostet zu viel Strom

Scheint ja eine Museumslösung zu sein und dann ist das völlig egal - der 
Strom kommt aus der Steckdose...

> managed Switch

Wäre auch eine Möglichkeit, aber dann ginge nur "an" oder "aus" und man 
müßte sich remote auf den Switch verbinden können.
Wenn der Switch extra gekauft werden müßte, dann rentiert sich das 
vermutlich nicht.

von Jens M. (schuchkleisser)


Lesenswert?

kleiner Admin schrieb:
> aber dann ginge nur "an" oder "aus" und man
> müßte sich remote auf den Switch verbinden können.

Das würde dann aber bedeuten
- ich will was machen
- Einwählen auf den Switch
- Port von "blocked" auf "full" umschalten
- Einwählen auf die Maschine
- Feststellen, das die gerade gemerkt hat das sie Internet hat und jetzt 
gerade erst mal 49 Updates lädt und ungefragt installiert
- Gerade wenn man selber was machen will sind CPU, Festplatte und 
Netzwerk am Limit
- Na egal mach ich später
- entweder laufen lassen -> später Ärger weil irgendwas nicht klappt
- oder wieder sperren -> später Ärger weil irgendwas unterbrochen wurde

Nur mit einem Switch wird das nix.
Da muss ein Router bzw. eine Firewall mit Port- und/oder IP-Sperre rein.

von kleiner Admin (Gast)


Lesenswert?

Nun, es gibt Switches, die durchaus Level 3 Fähigkeiten haben. 😉

Ich gehe aber davon aus, daß das kein gangbarer Weg ist, weil es nur 
wenige Netzwerkadmins geben dürfte, die gerne "Externe" an den Switches 
herumkonfigurieren lassen.

Deshalb hatte ich ja vorgeschlagen:

kleiner Admin schrieb:
> Bau eine Firewall dazwischen, die den ausgehenden Verkehr komplett
> blockiert.
>
> Für die Fernwartung verbindest Du Dich einfach per VPN mit der Firewall.
> Und dann per RDP oder VNC direkt mit den entsprechenden Computern.
>
> Es muß auf der Firewall lediglich eine Regel existieren, die eine
> Verbindung vom VPN-Netz zum LAN der Rechner zuläßt.
>
> So etwas leisten auch OpenSourceFirewalls, die auch auf
> leistungsschwacher Hardware laufen.

von Jens M. (schuchkleisser)


Lesenswert?

kleiner Admin schrieb:
> durchaus Level 3

Das ist dann eher ein Router, der einen besseren Switch beinhaltet als 
es der normale Router tut. ;)

von (prx) A. K. (prx)


Lesenswert?

Jens M. schrieb:
> Das ist dann eher ein Router, der einen besseren Switch beinhaltet als
> es der normale Router tut. ;)

Layer 3 Switches sind längst ziemlich normal.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.