Windows 10/11 IoT updates/patches op airgapped systemen

Pagina: 1
Acties:

Vraag


  • E-razor1984
  • Registratie: Januari 2003
  • Laatst online: 08:53
Hoi medetweakers,

Ik/wij hebben de volgende situatie. Wij hebben diverse computers door het hele land staan om systemen te kunnen programmeren. Echter mogen deze systemen niet gekoppeld worden aan het internet (direct en/of indirect) (Airgapped systemen). Op deze computer draaien momenteel veelal Windows 10 IoT Enterprise LTSC 21H2 of Windows 11 IoT Enterprise LTSC 24H2.

Nu moeten er diverse van deze computers een paar keer per jaar gepatched worden, zijn er hier mensen die hier ervaring mee hebben en hoe zouden jullie dit aanpakken.

In het verleden heb ik wel eens WSUS offline update gebruikt om een "update stick" te maken echter is deze software sinds 2020 niet meer geupdate

Ik heb ook wel op de MS update catalog gekeken maar daar zie ik door de bomen het bos niet meer.

Iemand tips of ideeen?

Alle reacties


  • akimosan
  • Registratie: Augustus 2003
  • Niet online
Hiermee zou je een gepatchte ISO kunnen maken: GitHub - adavak/Win_ISO_Patching_Scripts: Win_ISO_Patching_Scripts · GitHub of gebruik de officiële iso's in MS download center voor als je een nieuwe machine wilt inrollen

Hier staat beschreven hoe in algemeen offline te patchen
How do I update a Windows 11 IoT Enterprise LTSC computer that is offline? - Microsoft Q&A


Hier staat beschreven hoe je de laatste checkpoint en LCU (latest cumulative update) kunt verkrijgen en toepassen:
How to Install a Windows 11 Update Offline using .MSU file » Winhelponline

Laatste cumulative update is van 06-2026, sorteer op grootte en pak de non-preview versie:

Microsoft Update-catalogus

Test het hele proces uiteraard even in een VM

  • eheijnen
  • Registratie: Juli 2008
  • Niet online
Voor Windows 10 worden geen publieke updates meer uitgegeven:
https://learn.microsoft.com/en-us/lifecycle/products/windows-10-iot-enterprise

Voor extended security support geldt ook nog het een en ander, en zou W10 22H2 de minimale versie zijn die security updates ontvangt en kost dit uiteraard geld per installatie. Over manuele downloads staat daar niets.
https://learn.microsoft.com/en-us/windows/whats-new/extended-security-updates

En dan is er nog:
Windows 10 Consumer Extended Security Updates (ESU). Dit is voor reguliere consumenten. Hierbij is de IOT versie niet genoemd.
https://www.microsoft.com/en-us/windows/extended-security-updates

Wie du mir, so ich dir.


  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 04-07 21:57

nelizmastr

Goed wies kapot

eheijnen schreef op woensdag 24 juni 2026 @ 06:21:
Voor Windows 10 worden geen publieke updates meer uitgegeven:
https://learn.microsoft.com/en-us/lifecycle/products/windows-10-iot-enterprise

Voor extended security support geldt ook nog het een en ander, en zou W10 22H2 de minimale versie zijn die security updates ontvangt en kost dit uiteraard geld per installatie. Over manuele downloads staat daar niets.
https://learn.microsoft.com/en-us/windows/whats-new/extended-security-updates

En dan is er nog:
Windows 10 Consumer Extended Security Updates (ESU). Dit is voor reguliere consumenten. Hierbij is de IOT versie niet genoemd.
https://www.microsoft.com/en-us/windows/extended-security-updates
Je mist een detail. IoT Enterprise is niet hetzelfde als IoT Enterprise LTSC 21H2. Die krijgt updates tot januari 2032.

https://learn.microsoft.com/en-us/lifecycle/products/windows-10-iot-enterprise-ltsc-2021

I reject your reality and substitute my own - R7 5800X3D - B550M PG Riptide - 32GB Ballistix DDR4-3600 @ C15 - RX7800XT - V750 Gold


  • E-razor1984
  • Registratie: Januari 2003
  • Laatst online: 08:53
nelizmastr schreef op donderdag 2 juli 2026 @ 21:51:
[...]

Je mist een detail. IoT Enterprise is niet hetzelfde als IoT Enterprise LTSC 21H2. Die krijgt updates tot januari 2032.

https://learn.microsoft.com/en-us/lifecycle/products/windows-10-iot-enterprise-ltsc-2021
Hey, het gaat inderdaad om deze versie van Windows 10. Waar kan ik deze updates vinden, want ik neem aan dat MS ergens moet kunnen verifieren dat het deze versie van windows betreft.

  • Illusion
  • Registratie: November 2000
  • Laatst online: 11:28

Illusion

(the art of)

truuk is zoeken op 21H2 LTSB (niet C, maar B )
https://www.catalog.updat...Search.aspx?q=21h2%20ltsb

die tip komt uit: https://www.reddit.com/r/...s_to_the_offline_install/

en dan de meeste recente/grote "cumulative update" pakken.

Soms ben ik er wel, en soms ook weer niet.


  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 04-07 23:00
Die computers zijn airgapped met een reden.
Is het introduceren van nieuwe software vanaf een USB stick dan wel een goed plan?

  • Illusion
  • Registratie: November 2000
  • Laatst online: 11:28

Illusion

(the art of)

jeroen3 schreef op vrijdag 3 juli 2026 @ 23:53:
Die computers zijn airgapped met een reden.
Is het introduceren van nieuwe software vanaf een USB stick dan wel een goed plan?
Dat ligt eraan of je bang bent voor dingen die erop komen, of dingen die ontsnappen naar de buitenwereld.
Als daar supersecret spul op staat, dat verder goed gebackupped is, dan is een usbstick een prima route lijkt me.

Soms ben ik er wel, en soms ook weer niet.


  • The_Doman
  • Registratie: Augustus 2005
  • Nu online
Je hebt ook nog dit tool:

Portable Update - How to update Windows in an isolated environment

Alleen bij Windows 11 IoT 24H2 bleef deze eindeloos/proberen de laatste cumulatieve update daarvoor binnen halen.
Handmatig de laatste cumulatieve 25h2 update binnenhalen via de Microsoft catalog en installeren werkte wel:
Microsoft Learn: How do I update a Windows 11 IoT Enterprise LTSC computer that is offline?

  • eheijnen
  • Registratie: Juli 2008
  • Niet online
Illusion schreef op vrijdag 3 juli 2026 @ 23:39:
truuk is zoeken op 21H2 LTSB (niet C, maar B )
https://www.catalog.updat...Search.aspx?q=21h2%20ltsb

die tip komt uit: https://www.reddit.com/r/...s_to_the_offline_install/

en dan de meeste recente/grote "cumulative update" pakken.
Volgens dit artikel is B niet meer van toepassing maar alleen C.
https://learn.microsoft.com/en-us/windows/whats-new/ltsc/overview

Wie du mir, so ich dir.


  • eheijnen
  • Registratie: Juli 2008
  • Niet online
nelizmastr schreef op donderdag 2 juli 2026 @ 21:51:
[...]

Je mist een detail. IoT Enterprise is niet hetzelfde als IoT Enterprise LTSC 21H2. Die krijgt updates tot januari 2032.

https://learn.microsoft.com/en-us/lifecycle/products/windows-10-iot-enterprise-ltsc-2021
En de 2019 (als je de link volgt onderaan) tot 2029.
TS heeft niet opgegeven om welke release het hier precies gaat.

Zo te zien zal @E-razor1984 nog iets meer moeten inventariseren welke releases er precies geïnstalleerd zijn. Wat ook nog van belang zou kunnen zijn: welke update is de laatste die is geïnstalleerd. Want buiten extended support kan het goed zijn dat deze installaties al langere tijd geen updates hebben gehad en ook feature updates missen. Feature updates kunnen ook nog eens het gedrag veranderen en dat is dan weer een andere vraag of dat invloed zou kunnen hebben op de eventuele toepassing(en).

En dan nog een andere kijk.
Zijn deze machines/installaties volledig afgezonderd (air-gapped) of maken ze deel uit van een netwerk dat air-gapped is. Als ze niet in een netwerk zijn opgenomen kun je je nog afvragen welke redenen er zijn om ze toch te updaten.

[ Voor 32% gewijzigd door eheijnen op 04-07-2026 08:09 ]

Wie du mir, so ich dir.


  • Blokker_1999
  • Registratie: Februari 2003
  • Laatst online: 04-07 16:07

Blokker_1999

Full steam ahead

@eheijnen maakt enkele goede punten. Als deze in een geisoleerd netwerk staan zou je alsnog met WSUS aan de slag kunnen door een WSUS server in datzelfde netwerk te zetten en updates te transfereren naar die WSUS server.

Als ze volledig geisoleerd staan is de noodzaak kleiner, maar ik kan me inbeelden dat als er file transfers gedaan worden met USB sticks, dat je ze alsnog veilig wenst te houden. Je zou ook gewoon de recentste roll-up update op USB sticks kunnen zetten en ze zo laten installeren, maar ook daar ga je eerst goed moeten kijken.

Want als je meer dan een paar maanden achter loopt kan het zijn dat er ook een servicing stack update noodzakelijk is, en je moet daarnaast ook zorgen dat je op de recentste feature release zit waar je mee mag werk. Die invenaris van welke versies je hebt is dus niet onbelangrijk.

Een echte one-click oplossing ga je evenwel niet vinden vrees ik, want je kan niet zomaar even heel Windows Update op een stickje zetten. En het feit dat ze ook niet indirect aan het internet mogen kunnen betekend ook dat je niet zomaar even Windows Server met WSUS in een VM kunt duwen, netwerk kabel tussen de airgapped systemen en een laptop met die VM kunt plaatsen en zo voor updates zorgen, want dan breek je letterlijk de airgap. Zelfs een USB stick is vaak al problematisch in air gapped netwerken.

No keyboard detected. Press F1 to continue.


  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 04-07 23:00
@eheijnen Ergens in de afgelopen tien jaar heeft microsoft besloten van LTSB naar LTSC te hernoemen.
Windows 10 gebruikt nog steeds B, alleen sales en docs zijn vernoemd
Ja dit is super verwarrend. Vooral omdat informatie over dit onderwerp ontzettend moeilijk te googlen is vanwege de enorme hoeveeleid informatie online over normale windows en enterprise versies.

  • Illusion
  • Registratie: November 2000
  • Laatst online: 11:28

Illusion

(the art of)

eheijnen schreef op zaterdag 4 juli 2026 @ 07:51:
Zo te zien zal @E-razor1984 nog iets meer moeten inventariseren welke releases er precies geïnstalleerd zijn. Wat ook nog van belang zou kunnen zijn: welke update is de laatste die is geïnstalleerd. Want buiten extended support kan het goed zijn dat deze installaties al langere tijd geen updates hebben gehad en ook feature updates missen. Feature updates kunnen ook nog eens het gedrag veranderen en dat is dan weer een andere vraag of dat invloed zou kunnen hebben op de eventuele toepassing(en).
De IoTs krijgen geen feature updates. Dat is het hele idee. Bedoeld voor embedded apparaten die 10 jaar exact hetzelfde moeten doen zonder stuk te gaan, met alleen security updates.
Je kan een 1908 dus ook niet updaten naar 21H2. En een 21H2 dus ook niet updaten naar iets nieuwers, dat vereist een nieuwe licentie.

Soms ben ik er wel, en soms ook weer niet.


  • mrmrmr
  • Registratie: April 2007
  • Niet online

mrmrmr

𓅓 𓂋 𓅓 𓂋 𓅓 𓂋

Je kan de laatste cumulative op een stick zetten vanaf de Update Catalog zoals @akimosan schrijft. Maar er blijven misschien nog wel wat andere updates over die daar niet in zitten.

Er zijn ook nog .NET updates, C runtime updates, database updates, Windows security platform, Office updates, Edge en andere browser updates. En drivers.

.NET, C runtime, driver updates zijn afhankelijk van wat al aanwezig is.

Ook: je hebt zonder internet/netwerk misschien DISM nodig om msu updates te installeren.

Wat je zou kunnen doen is een kopie trekken van de disk en die toegang geven tot internet en vervolgens Windows updates downloaden met een Windows Update tool. Eventuele geheimen kun je tevoren verwijderen. Dit geeft wel veel informatie over het systeem aan Microsoft c.s..

De andere optie is zoals aangegeven een update doen met de laatste ISO.

Je moet altijd eerst een image backup maken (ITIL backout) voordat je de update uitvoert zodat je terug kan naar het origineel.

  • eheijnen
  • Registratie: Juli 2008
  • Niet online
E-razor1984 schreef op vrijdag 3 juli 2026 @ 23:12:
[...]

Hey, het gaat inderdaad om deze versie van Windows 10. Waar kan ik deze updates vinden, want ik neem aan dat MS ergens moet kunnen verifieren dat het deze versie van windows betreft.
Zijn jullie van plan te abonneren op die extended updates voor die versies die geen kosteloze updates meer ontvangen?

Wie du mir, so ich dir.


  • E-razor1984
  • Registratie: Januari 2003
  • Laatst online: 08:53
eheijnen schreef op zaterdag 4 juli 2026 @ 23:10:
[...]

Zijn jullie van plan te abonneren op die extended updates voor die versies die geen kosteloze updates meer ontvangen?
Hi, dat is dus ook een beetje mijn vraag. Zitten hier nog extra kosten aan verbonden (die je eigenlijk al betaald als je een IoT LTSC Enterprise licentie neemt) of zijn deze updates ergen te vinden al dan niet op een microsoft server.

  • eheijnen
  • Registratie: Juli 2008
  • Niet online
E-razor1984 schreef op zaterdag 4 juli 2026 @ 23:15:
[...]

Hi, dat is dus ook een beetje mijn vraag. Zitten hier nog extra kosten aan verbonden (die je eigenlijk al betaald als je een IoT LTSC Enterprise licentie neemt) of zijn deze updates ergen te vinden al dan niet op een microsoft server.
Ja dat kost geld, en staat in die links uitgelegd die in mijn eerdere post staan (bedragen staan daar niet bij).
eheijnen in "Windows 10/11 IoT updates/patches op airgapped systemen"

Als jullie een leverancier hebben voor software licenties dan zou ik die eens eerst raadplegen. Anders kun je eens met MS bellen en daar advies inwinnen.
Hulp bij Microsoft Store-aankopen | Microsoft Support

Wie du mir, so ich dir.

Pagina: 1