Windows Server 2022 (22H2): Windows Update se reactiva tras KB5046616/KB5044281 — causas y cómo deshabilitarlo sin romper soporte

Tras aplicar KB5046616 (o al hacer rollback a KB5044281) en Windows Server 2022 (22H2), el servicio Windows Update (wuauserv) pasa de Deshabilitado a Manual y se inicia solo. Aquí explico por qué ocurre, qué riesgos implica y las formas soportadas de evitar instalaciones no deseadas manteniendo el control total.

Índice

Resumen del escenario

Síntoma: tras instalar parches de seguridad, wuauserv cambia a inicio Manual y aparece Running aunque estuviera Disabled.
Ámbito: Windows Server 2022 (22H2), con o sin pertenencia a dominio (AD).
Pregunta: ¿es un bug? ¿Cómo dejar Windows Update permanentemente parado y deshabilitado salvo activación manual?

¿Es un error?

No se trata de un bug documentado. Determinadas actualizaciones críticas (cumulative updates, SSU, LCU, .NET, entre otras) requieren reactivar el cliente de Windows Update y servicios auxiliares durante la instalación para comprobar el estado del sistema, evaluar dependencias y completar la transacción. Por ello, el instalador puede:

colocar wuauserv en Manual o Trigger Start,
iniciarlo temporalmente,
crear/activar tareas de Update Orchestrator o WindowsUpdate para finalizar la operación.

Este comportamiento es esperado en parches de seguridad. Si necesitas que el servicio quede apagado tras el ciclo de actualización, tienes varias opciones para imponer el estado deseado sin salirte del soporte.

Soluciones por prioridad (de más a menos recomendadas)

A) Enfoque soportado (recomendado): controlar por directivas, no “matar” el servicio

La idea es mantener el componente en estado soportado pero sin descargas/instalaciones automáticas. Así evitas que futuras actualizaciones rompan tu configuración y eliminas la actividad no deseada.

Paso a paso

Abre GPMC (gpmc.msc) y crea/edita una GPO vinculada a la OU de servidores (o usa gpedit.msc si es equipo sin dominio).
Ve a Computer Configuration → Administrative Templates → Windows Components → Windows Update y define:
- Configure Automatic Updates → Enabled → Opción 2 – Notify for download and auto install (recomendado). Alternativa estricta: Disabled si tu política exige desactivar el cliente.
- (Si usas WSUS) Specify intranet Microsoft update service location → apunta a tu WSUS (WUServer y WUStatusServer).
- (Opcional) Remove access to use all Windows Update features y Do not connect to any Windows Update Internet locations para evitar consultas a Internet.
Forzar actualización de directivas: gpupdate /force.
Validar que no haya actividad automática: comprobar que no se descargan parches salvo que tú lo ordenes (WSUS/SCCM/ventanas de mantenimiento).

Tabla de políticas clave

Política	Ruta	Valor recomendado	Objetivo
Configure Automatic Updates	Computer Config → Admin Templates → Windows Components → Windows Update	Enabled (Opción 2) o Disabled	Evitar descargas/instalaciones automáticas
Specify intranet Microsoft update service location	Windows Update	URL de WSUS	Centralizar aprobaciones y control
Remove access to use all Windows Update features	Windows Update	Enabled	Ocultar/limitar UI de Windows Update
Do not connect to any Windows Update Internet locations	Windows Update	Enabled	Bloquear consulta a Microsoft en Internet

Ventaja: mantienes el sistema en un estado soportado, sin instalaciones sorpresivas y con gobierno total mediante WSUS/SCCM o con aprobación manual.

B) Forzar que el servicio quede deshabilitado con GPO Preferences

Si tu requisito es que wuauserv permanezca siempre deshabilitado, usa Preferences → Services para reimponer el estado en cada ciclo de GPO (≈90 min por defecto).

Paso a paso

En la GPO, ve a Computer Configuration → Preferences → Control Panel Settings → Services.
Nuevo → Service:
- Service name: wuauserv (Windows Update)
- Action: Replace
- Startup: Disabled
- Service action: Stop service
(Opcional) Repite para Update Orchestrator Service (UsoSvc).
Aplica filtrado de seguridad/Targeting si quieres limitar a cierto grupo de servidores.

Por qué “Replace”: a diferencia de Update, Replace sobrescribe por completo la definición del servicio y evita que cambios puntuales de un parche queden “pegados”.

C) Script de “post‑patch” (si no tienes GPO)

En entornos sin AD, puedes ejecutar un script administrativo tras cada ciclo de actualización (o programarlo al inicio) para parar y deshabilitar.

# Ejecutar en PowerShell como Administrador
Detener y deshabilitar Windows Update
Stop-Service wuauserv -ErrorAction SilentlyContinue -Force
sc.exe config wuauserv start= disabled

(Opcional) Orchestrator
Stop-Service UsoSvc -ErrorAction SilentlyContinue -Force
sc.exe config UsoSvc start= disabled

(Opcional) BITS y Delivery Optimization si los requieres apagados
Úsalos con cautela, ya que otras funciones dependientes podrían fallar.
Stop-Service BITS -Force
sc.exe config BITS start= disabled
Stop-Service DoSvc -Force
sc.exe config DoSvc start= disabled

Para reactivarlo manualmente (cuando vayas a parchear):

sc.exe config wuauserv start= demand
Start-Service wuauserv
(Opcional)
sc.exe config UsoSvc start= demand
Start-Service UsoSvc

Programar el script para asegurar reimposición tras reinicios:

# Guardar como C:\Scripts\Lock-WU.ps1 (crear carpeta si no existe)
schtasks /Create /TN "Lock-UpdateServices" /SC ONSTART /RL HIGHEST /RU SYSTEM ^
/TR "powershell.exe -NoProfile -ExecutionPolicy Bypass -File C:\Scripts\Lock-WU.ps1"

D) Endurecimiento adicional (intrusivo y no recomendado por soporte)

Si pese a lo anterior aún observas reactivaciones, puedes ir un paso más allá, sabiendo que puede romper el soporte y revertirse en futuras actualizaciones:

Deshabilitar tareas programadas en Task Scheduler:
- \Microsoft\Windows\WindowsUpdate\
- \Microsoft\Windows\UpdateOrchestrator\ (por ejemplo, Schedule Scan, Reboot, USO_UxBroker)
WaaSMedicSvc (Windows Update Medic Service): intenta reparar el cliente de Windows Update. No hay directiva oficial para deshabilitarlo. Tocar permisos/registro es una “trampa” frágil y no soportada.

Recomendación: evita esta ruta salvo que tengas un requisito regulatorio extremo. La opción A o B resuelve el 99 % de los casos con menor impacto.

Servicios y tareas implicados

Componente	Nombre de servicio/tarea	Rol	¿Puede reactivarse solo?	Estado recomendado (A)
Windows Update	`wuauserv`	Motor de actualización del sistema	Sí, durante parches	Manual, controlado por GPO
Update Orchestrator	`UsoSvc` y tareas USO	Orquestación de escaneos/instalaciones	Sí	Sin actividad con Opción 2
WaaS Medic	`WaaSMedicSvc`	Reparación del cliente WU	Sí	No tocar (informativo)
BITS	`BITS`	Transferencia en segundo plano	Sí, por dependencias	Manual, sin trabajos activos
Delivery Optimization	`DoSvc`	Optimización P2P de descargas	Puede activarse según política	Restringir por GPO si aplica

Diagnóstico y verificación rápida

Event Viewer → System: filtra por Service Control Manager para eventos:
- 7040: cambio de tipo de inicio (Disabled → Demand start).
- 7035/7036: orden de iniciar/detener servicio.
Event Viewer → Applications and Services Logs → Microsoft → Windows → WindowsUpdateClient → Operational: actividad de escaneo e instalación.
Estado del servicio: sc qc wuauserv sc query wuauserv Get-Service wuauserv | Format-List *
Tareas que reactivan: Get-ScheduledTask -TaskPath "\Microsoft\Windows\UpdateOrchestrator\" Get-ScheduledTask -TaskPath "\Microsoft\Windows\WindowsUpdate\"
Comprobación de GPO aplicada: gpresult /h C:\Temp\gpresult.html Revisa la sección de Configuración de Equipo → Plantillas Administrativas → Windows Update

Riesgos y buenas prácticas

Seguridad: mantener Windows Update permanentemente deshabilitado aumenta la exposición. Si necesitas control estricto, combina la Opción 2 (Notificar) con WSUS/SCCM y ventanas de mantenimiento.
Compatibilidad: algunos roles/funciones y productos (SCCM/Intune/Defender ATP, etc.) dependen del cliente de Windows Update. Deshabilitar agresivamente puede generar alertas o fallos en inventario y cumplimiento.
Soporte: cambios profundos (p. ej., manipular WaaSMedicSvc vía permisos/registro) son no soportados y pueden revertirse en la siguiente LCU.
Automatización: si tu estándar es “servicio deshabilitado”, institucionaliza la GPO Preference (B) más un script de red de seguridad (C) en tu post‑patch.

Guía detallada: aplicar la opción A con WSUS

En WSUS, asegura que los servidores están en el grupo correspondiente y que el Auto-Approval no fuerza la instalación sin supervisión.
En la GPO:
- Configure Automatic Updates → Opción 2 (Notificar).
- Specify intranet Microsoft update service location → http(s)://<tu-wsus>.
- Opcional: No auto-restart with logged on users para evitar reinicios en sesiones abiertas.
En los servidores, ejecuta wuauclt /detectnow o UsoClient StartScan solo cuando vayas a iniciar un ciclo controlado.
Comprueba cumplimiento desde WSUS/SCCM y programa la ventana de mantenimiento.

Preguntas frecuentes (FAQ)

¿Por qué vuelve a Manual si lo dejé en Disabled?
Porque el paquete de actualización reactiva temporalmente el servicio para realizar comprobaciones y/o completar la instalación. En cuanto aplica, tu GPO o script debe reimponer el estado deseado.

¿Pasa lo mismo en servidores fuera de dominio?
Sí. La lógica está en el instalador del parche. Usa el enfoque C (script + tarea programada) si no tienes GPO.

¿Puedo bloquear WaaSMedicSvc?
Técnicamente es posible con cambios de permisos/registro, pero no es recomendable ni soportado. Es mejor gobernar por políticas (A) o imponer por GPO Preferences (B).

¿Qué hay de BITS y Delivery Optimization?
No hace falta deshabilitarlos si aplicas Opción 2/WSUS. Solo apágalos si tienes un requisito concreto y asumiendo el impacto en otros procesos.

Checklist de implementación (resumen)

Definir estrategia: Notificar (A) o Deshabilitar persistente (B).
Aplicar GPO y validar con gpresult.
(Si aplica) WSUS configurado y grupos de destino correctos.
Crear GPO Preference para wuauserv y (opcional) UsoSvc.
Agregar script post‑patch (C) o tarea a inicio en equipos sin AD.
Verificar Event Viewer (7040, 7035, 7036) tras cada LCU.
Documentar el procedimiento de reactivación manual antes de cada ventana de mantenimiento.

Ejemplos de comandos útiles

# Mostrar configuración actual del servicio
sc qc wuauserv
sc query wuauserv

Forzar políticas ahora

gpupdate /force

Listar tareas relevantes

Get-ScheduledTask -TaskPath "\Microsoft\Windows\WindowsUpdate"
Get-ScheduledTask -TaskPath "\Microsoft\Windows\UpdateOrchestrator"

Deshabilitar una tarea concreta (ejemplo)

Disable-ScheduledTask -TaskName "USO\_UxBroker" -TaskPath "\Microsoft\Windows\UpdateOrchestrator"

Rehabilitar Windows Update para parchear

sc.exe config wuauserv start= demand
Start-Service wuauserv

Recomendación práctica final

Si puedes, no deshabilites el servicio: aplica Notify por GPO + WSUS/SCCM y decide tú cuándo descargar e instalar.
Si tu política exige servicio apagado, usa GPO Preferences (B) para reimponer el estado cada 90 min y añade el script post‑patch (C) como red de seguridad.
Evita medidas frágiles sobre WaaSMedicSvc o permisos del servicio: te sacan de soporte y se revierten con facilidad.

Apéndice: claves de registro (referencia rápida)

Útiles para auditoría o despliegues automatizados (no sustituye a GPO):

Clave	Valor	Propósito
`HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU`	`AUOptions` = `2`	Notificar descarga/instalación
`HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate`	`WUServer`, `WUStatusServer`, `UseWUServer`=1	Apuntar a WSUS
`HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate`	`DoNotConnectToWindowsUpdateInternetLocations`=1	Evitar consulta a Microsoft
`HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate`	`NoAutoUpdate`=1 (opcional)	Cliente de Windows Update desactivado por política

Recuerda: GPO prevalece y es el medio soportado para estandarizar estos valores.

Conclusión: que wuauserv pase a Manual y se inicie tras KB5046616/KB5044281 no es, por sí mismo, un fallo: es la mecánica de los parches de seguridad. Con las opciones descritas puedes elegir entre gobernar por notificación (modelo preferido) o imponer un estado “deshabilitado” persistente y auditable.