Microsoft rilascia aggiornamenti cumulativi mensili, ma non tutte le patch sono sicure da distribuire immediatamente. Alcuni aggiornamenti possono interrompere le applicazioni, interrompere i flussi di lavoro o causare problemi di stabilità sui dispositivi client. Gli MSP e gli amministratori IT hanno spesso bisogno di un modo per bloccare aggiornamenti specifici di Windows mantenendo il resto del ciclo di patch in orario. Ogni aggiornamento di Windows è identificato da un numero univoco della Knowledge Base (KB), che consente di individuare e bloccare solo la patch problematica.
Utilizzando strumenti come PowerShell, Criteri di gruppo, modifiche del registro e scripting RMM, puoi interrompere selettivamente i KB problematici senza sospendere completamente Windows Update. In questo modo gli endpoint vengono protetti con le correzioni più recenti, evitando che le patch note e sbagliate causino tempi di inattività.
Guida per bloccare un aggiornamento specifico di Windows senza mettere in pausa i cicli di patch
📌 Prerequisiti:
- I dispositivi devono essere dotati di Windows 10, Windows 11 o Windows Server 2016.
- Per bloccare o ritardare gli aggiornamenti, è necessario disporre dei diritti di amministratore sugli endpoint locali o remoti.
- PowerShell 5.1 o superiore deve essere disponibile per l’esecuzione di script per nascondere o deselezionare specifici aggiornamenti KB.
- L’accesso al Registro di Windows è necessario se vuoi configurare manualmente i blocchi degli aggiornamenti.
- Console gestione criteri di gruppo (GPMC) deve essere disponibile negli ambienti di dominio per applicare le regole di aggiornamento su scala.
- Opzionale: puoi utilizzare una piattaforma RMM come NinjaOne per distribuire gli script, applicare i criteri e segnalare gli aggiornamenti bloccati sui dispositivi client.
Metodo 1: Bloccare un aggiornamento specifico di Windows con PowerShell
Puoi utilizzare PowerShell per nascondere un singolo KB problematico in modo che non venga installato, consentendo a tutti gli altri aggiornamenti di procedere normalmente.
📌 Casi d’uso:
- Questo metodo consente di impedire l’installazione di una KB nota come problematica durante il ciclo di patch di un dato mese, senza dover sospendere gli aggiornamenti.
- Puoi utilizzare questa funzionalità per nascondere la KB in un secondo momento, dopo che Microsoft avrà rilasciato una correzione o dopo che i test effettuati l’avranno eliminata.
📌 Prerequisiti:
- Diritti di amministratore sull’endpoint o tramite RMM
- PowerShell 5.1 o superiore con accesso a Internet per installare il modulo PSWindowsUpdate
- Il numero KB esatto che vuoi bloccare
Ecco i passaggi per utilizzare PowerShell per bloccare uno specifico aggiornamento di Windows:
- Apri PowerShell e installa il modulo con questo comando:
Install-Module PSWindowsUpdate -Force
- Successivamente, utilizza questo comando per avere un elenco degli aggiornamenti in sospeso e confermare il numero KB:
Get-WindowsUpdate -MicrosoftUpdate
- Successivamente, utilizza questo codice per nascondere il KB specifico (sostituisci KB5000000 con il codice di tuo interesse) in modo che non venga installato:
Get-WindowsUpdate -KBArticleID KB5000000 | Hide-WindowsUpdate -Confirm:$false
- Per visualizzare gli aggiornamenti nascosti, utilizza questo comando:
Get-WindowsUpdate -IsHidden
- Per nasconderlo, utilizza questo comando:
Hide-WindowsUpdate -KBArticleID ‘KB5000000’ -MicrosoftUpdate -Hide:$false -Confirm:$false
Metodo 2: Come utilizzare lo strumento wushowhide.diagcab di Microsoft per bloccare aggiornamenti specifici
Lo strumento wushowhide.diagcab consente di bloccare manualmente aggiornamenti specifici di Windows senza mettere in pausa l’intero ciclo di patch. È buono per l’uso in singole macchine, ma non per l’automazione o la distribuzione su scala.
📌 Casi d’uso:
- Puoi utilizzare questa funzionalità per nascondere manualmente un aggiornamento problematico su un dispositivo indipendente.
- Si tratta di un’opzione leggera per i tecnici quando uno strumento RMM o i Criteri di gruppo non sono disponibili.
📌 Prerequisiti:
- Devi avere diritti di amministratore locale sull’endpoint.
- Scarica lo strumento wushowhide.diagcab da Microsoft.
Utilizza lo strumento wushowhide.diagcab attraverso questi passaggi:
- Scarica wushowhide.diagcab dal sito di Microsoft.
- Esegui lo strumento e segui le indicazioni sullo schermo per eseguire la scansione degli aggiornamenti disponibili.
- Seleziona l’aggiornamento problematico e sceglie “Nascondi aggiornamento” per bloccarlo.
Metodo 3: Bloccare gli aggiornamenti tramite GPO o registro (esempio di driver)
Se l’aggiornamento di Windows continua a proporre un driver indesiderato, puoi bloccarlo puntando al suo ID hardware. Puoi farlo tramite GPO o il Registro di sistema.
📌 Casi d’uso:
- Puoi usare questo metodo per evitare che Windows reinstalli automaticamente un driver problematico.
- Applica un blocco dei driver coerente su tutti gli endpoint gestiti.
📌 Prerequisiti:
- Diritti di amministratore e accesso alla Console di gestione dei Criteri di gruppo (per i dispositivi di dominio) o all’Editor del Registro di sistema (per i dispositivi autonomi)
- L’ID hardware del driver che vuoi bloccare, reperibile su Gestione periferiche > Proprietà del dispositivo > Scheda Dettagli > ID hardware
Per utilizzare i Criteri di gruppo per bloccare un aggiornamento specifico di Windows, procedi come segue:
- Apri l’ Editor Criteri di gruppo e vai su:
Configurazione del computer > Modelli amministrativi > Sistema > Installazione dei dispositivi > Restrizioni all’installazione dei dispositivi.
- Abilita Impedisce l’installazione di dispositivi che corrispondono a uno qualsiasi di questi ID. Per rimuovere il criterio, puoi impostarlo nuovamente su Non configurato o Disattivato.
- Aggiungi gli ID hardware del driver che vuoi bloccare.
Puoi eseguire il metodo del Registro di sistema eseguendo questo codice in PowerShell:
| New-Item -Path “HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions” -Force Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions” -Name “DenyDeviceIDs” -Value “PCI\VEN_8086&DEV_1234” |
Per annullare la modifica, procedere come segue:
- Apri l’Editor del Registro di sistema.
- Vai su: HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions
- Elimina la voce DenyDeviceIDs o rimuovi l’intera chiave Restrictions .
- Riavvia il computer per rendere effettive le modifiche.
⚠️ Attenzione: Assicurati di usare questo metodo con attenzione. Il blocco in base all’ID hardware impedisce a Windows di reinstallare correttamente il driver finché non viene rimosso il criterio o la voce del registro.
Metodo 4: Utilizzare il Registro per registrare o etichettare gli aggiornamenti bloccati
Puoi registrare i KB bloccati scrivendoli nel Registro di sistema. In questo modo i tecnici o gli strumenti RMM dispongono di un record locale da convalidare durante gli audit o i controlli di conformità.
📌 Casi d’uso:
- Mantieni un semplice registro locale dei KB bloccati su ciascun endpoint.
- Fornisci agli RMM una chiave affidabile da interrogare per i rapporti di conformità.
📌 Prerequisiti:
- Diritti di amministratore per creare o modificare le chiavi del Registro di sistema in HKLM
- Convenzioni di denominazione coerenti per le voci del Registro di sistema (ad esempio, i numeri KB come nomi di valori)
Ecco come utilizzare il Registro per registrare o etichettare gli aggiornamenti bloccati:
- Per creare una chiave di registro per contenere i KB bloccati, esegui questo comando:
New-Item -Path “HKLM:\SOFTWARE\Org\UpdateExclusions” -Force
- Quindi, aggiungi il numero KB che vuoi monitorare:
Set-ItemProperty -Path “HKLM:\SOFTWARE\Org\UpdateExclusions” -Name “KB5029263” -Value “Blocked”
- Ecco come registrare l’ultimo aggiornamento del blocco:
Set-ItemProperty -Path “HKLM:\SOFTWARE\Org\UpdateExclusions” -Name “LastUpdated” -Value (Get-Date).ToString(“u”)
- Per convalidare, puoi eseguire questa operazione nelprompt dei comandi :
reg query HKLM\SOFTWARE\Org\UpdateExclusions
Metodo 5: Utilizzare i criteri di Windows Update for Business (WUfB) per ritardare gli aggiornamenti (facoltativo)
Windows Update for Business consente di ritardare alcuni tipi di aggiornamenti tramite i Criteri di gruppo. Questo non blocca una singola KB, ma consente di sospendere intere categorie di aggiornamenti finché non si ha il tempo di testarli.
📌 Casi d’uso:
- In questo modo puoi ritardare gli aggiornamenti di funzionalità o qualità sui dispositivi per testarli prima di un’ampia distribuzione.
- Puoi utilizzare questa funzionalità per aggiungere un periodo di buffer per rilevare i problemi senza disabilitare Windows Update.
📌 Prerequisiti:
- È necessario disporre di Windows Pro, Enterprise o Education edition (WUfB non è disponibile su Home).
- Accesso alla Console per la gestione dei criteri di gruppo (GPMC).
Ecco come utilizzare i criteri di Windows Update for Business (WUfB) per impedire gli aggiornamenti per il momento:
- Apri l’ Editor criteri di gruppo.
- Vai a:
Configurazione del computer > Modelli amministrativi > Componenti di Windows > Windows Update > Windows Update for Business.
- Configura questi criteri:
- Seleziona quando ricevere gli aggiornamenti qualitativi
- Seleziona quando rivecere gli aggiornamenti delle funzionalità
- Imposta il numero di giorni per differenziare ogni tipo di aggiornamento in base alla tua strategia di patching.
⚠️ Cose da tenere d’occhio
| Rischi | Potenziali conseguenze | Possibilità di tornare alla configurazione precedente |
| Blocco della KB sbagliata | Può impedire l’applicazione di correzioni di sicurezza critiche | Disattiva la KB con PowerShell o wushowhide e consenti a Windows Update di installarla. |
| Uso eccessivo di ritardi WUfB o GPO | I dispositivi possono rimanere indietro con gli aggiornamenti cumulativi, lasciando delle lacune nella protezione. | Regola o disattiva il criterio per ripristinare il normale flusso di aggiornamenti. |
| Voci di registro non configurate correttamente | Può causare il malfunzionamento inaspettato di aggiornamenti o driver | Rimuovi o correggi le chiavi di registro e riavvia il dispositivo. |
Ulteriori considerazioni quando si bloccano aggiornamenti specifici di Windows
Verifica se un aggiornamento è stato sostituito da uno più recente
Alcuni KB bloccati possono essere sostituiti da rollup più recenti. Controlla gli aggiornamenti di ogni mese e, se necessario, blocca la nuova KB.
Reporting
Utilizza i registri degli eventi e i registri di Windows Update con il comando Get-WindowsUpdateLog per confermare che gli aggiornamenti vengono soppressi correttamente.
Strumenti di patch di terze parti
Fai attenzione ai conflitti se utilizzi anche WSUS, Intune o un software di patch management di terze parti. Questi strumenti possono escludere o bypassare i blocchi manuali.
Dipendenze
Alcuni aggiornamenti di Windows richiedono dei prerequisiti. Il blocco di un aggiornamento può ritardare gli altri fino all’installazione della dipendenza.
Quick-Start Guide
NinjaOne offre diversi modi per bloccare o controllare aggiornamenti specifici di Windows:
1. Opzioni di approvazione delle patch:
Puoi approvare o rifiutare preventivamente le patch a:
– Livello globale
– Livello di criterio– Livello di dispositivo
2. Metodi per bloccare aggiornamenti specifici:
Approvare o rifiutare manualmente le patch:
– Numero di KB (Knowledge Base)– ID patch
Imposta le patch su approvazione “manuale” per verificarle prima dell’installazione
– Utilizza l’opzione “Rifiuta” per bloccare patch specifiche
3. Controllo avanzato:
– Configura le approvazioni in ritardo (fino a 30 giorni per la maggior parte degli aggiornamenti, 365 giorni per gli aggiornamenti di funzionalità)– Utilizza Patch Intelligence AI per valutare automaticamente e bloccare potenzialmente le patch problematiche– Crea sovrascritture a livello di criteri per patch specifiche
4. Disinstallazione delle patch:
– Disinstalla le patch installate in precedenza che supportano il rollback– Impedisci l’installazione futura di patch specifiche
Risoluzione dei problemi relativi al blocco di aggiornamenti specifici di Windows
L’aggiornamento è ancora in fase di installazione
Verifica se la KB è stata sostituita da un rollup più recente o se è stata fornita tramite un altro pacchetto di aggiornamenti. Se necessario, blocca nuovamente il KB sostitutivo.
Hide-WindowsUpdate non funziona
Verifica che il modulo PSWindowsUpdate sia aggiornato e che PowerShell sia in esecuzione con diritti di amministratore.
Blocco ID dispositivo inefficace
Verifica che stai utilizzando l’ID hardware corretto. Esegui pnputil /enum-devices /connected per elencare gli ID e confermarne l’accuratezza.
Registro non applicabile
Ricontrolla il percorso del Registro di sistema, il tipo di dati e le autorizzazioni. Assicurati che la chiave sia creata in HKLM e non in HKCU.
Servizi NinjaOne per il blocco di aggiornamenti specifici di Windows
| Cosa può fare NinjaOne | Di cosa si tratta | Come aiuta |
| Script per nascondere KB specifici | Distribuisci i comandi nascosti di PowerShell tramite i criteri di automazione | Ciò consente di bloccare i KB mirati in scala su vari endpoint senza alcuno sforzo manuale. |
| Audit del registro | Controlla le chiavi di registro per i marcatori di aggiornamento bloccati | Conferma quali endpoint hanno delle esclusioni. |
| Etichettatura degli endpoint | Tag dispositivi con esclusioni temporanee | È facile individuare i sistemi che ostacolano una KB |
| Avvisi su aggiornamenti riclassificati | Attiva gli avvisi se un aggiornamento escluso viene installato dopo la sostituzione | Per fare in modo che le patch bloccate non rientrino attraverso i rollup. |
| Conformità dell’aggiornamento dei rapporti | I rapporti aggiornano lo stato rispettando le esclusioni | Gli MSP possono isolare gli aggiornamenti problematici senza interrompere l’igiene delle patch dell’intera organizzazione. |
Blocca gli aggiornamenti specifici e mantieni la stabilità, rispettando i cicli di patch
Il blocco di singoli aggiornamenti di Windows è essenziale quando è a rischio la stabilità o la compatibilità, soprattutto se gli aggiornamenti possono ostacolare gli strumenti e i flussi di lavoro utilizzati dai tecnici. Puntando su KB specifici invece di sospendere del tutto il patching, gli MSP e gli amministratori IT possono mantenere i dispositivi sicuri evitando i tempi di inattività dovuti ad aggiornamenti problematici e dannosi.
Argomenti correlati:
- 4 modi per disattivare facilmente gli aggiornamenti di Windows in Windows 10
- Come attivare o disattivare la visualizzazione delle notifiche di riavvio di Windows Update in Windows 10
- Come cancellare la cronologia degli aggiornamenti di Windows in Windows 10 e Windows 11
- Guida alla diagnosi dei problemi di aggiornamento di Windows con PowerShell
- Come attivare o disattivare l’ottimizzazione della consegna di Windows Update in Windows 11
