Procédure de blocage des mises à jour Windows sur Windows 2016/2019

Objectifs :

Permettre d’éviter les redémarrages des serveurs, et permettre d’éviter les messages d’erreur dans les journaux pour les serveurs non connecté à Internet.

On a le choix sur différentes méthodes chacune moins élégante que l’autre.

Méthode retenue -sconfig

Lancer dans une invite de commande en mode administrateur l’outil sconfig

On arrive alors sur cet écran

On choisit l’option 5

On tape « m » pour choisir l’option « manuelles ».

Méthode via le registre

MS donne une clef de registre pour désactiver les mises à jours à l’adresse https://docs.microsoft.com/fr-fr/security-updates/windowsupdateservices/18127152

Du coup on lance le script suivant pour changer la valeur

$AutoUpdatePath = « HKLM:SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU »

Set-ItemProperty -Path $AutoUpdatePath -Name NoAutoUpdate -Value 1

Mais en terme de résultat, cela ne bloque que la case à cocher pour les mises à jours des logiciels Microsoft. ( Dans les fait cela rentre en conflit avec d’autre clef de registre ).

Méthodes via les stratégies de groupe :

Windows + R, type gpedit.msc to open Local Group Policy Editor, the location is Computer configuration, policies, Administrative templates, Windows Components, Windows Update, in the right pane choose « Configure automatic updates » to disabled.

Inconvénient : Si on veut lancer ponctuellement les mises à jour il faut trouver le paramètre qui a été touché, puis ensuite il faut le désactiver et enfin après une commande gpupdate /force il faut lancer les mises à jour. A l’issue des mises à jour il faut reconfigurer les stratégies de groupe et revalider pour mettre à nouveau les mises à jour en pause.