Windows Otomatik Güncelleme: Kapatma mı, Yönetme mi?

Windows Otomatik Güncelleme: Kapatma mı, Yönetme mi?

Sunucuda iş saatinde restart geldi, müşteri panelden yazıyor — "Windows otomatik güncellemeyi nasıl kapatırım?" sorusu klasik. Cevap çoğu zaman "kapatma" değil. Kapatmak (servisi disable, NoAutoUpdate=1) production sunucu için bir kaç ay sonra CVE birikimi, ransomware riski, Defender signature gecikmesi demek. Doğru terim "yönetilen / kontrollü güncelleme" — yani gecikme, zamanlama, bakım penceresi. Bu rehber sysadmin perspektifinden Windows 10 / 11 ve Windows Server için pause / active hours, Group Policy, Registry, WSUS, PSWindowsUpdate, Defender signature ve Patch Tuesday akışını anlatıyor.

Önce dürüst uyarı: aşağıdaki yöntemlerle güncellemeyi tamamen durdurmak teknik olarak mümkün, ama bunu yaparsanız her ay biriken CVE'lerin sorumluluğu sizdedir. Sunucu kapasitesine sahip olmak, güncelleme stratejisine sahip olmak demek değil; ikisini birlikte düşünün.

Niye "Kapat" Demek Yerine "Yönet" Demeliyiz?

Otomatik güncellemeyi tamamen kapatma isteğinin arkasında genelde 4 senaryo var:

Senaryo	Asıl Sorun	Doğru Çözüm
Üretim sunucusunda iş saatinde restart geldi	Restart zamanlaması	Active hours + scheduled install + maintenance window
Driver / uygulama bir patch ile bozuldu	Test eksikliği	Dev/staging'de önce, production'a 1 hafta sonra
Bant genişliği yetmiyor	Aynı anda her makine indirme	Delivery Optimization, WSUS local mirror, metered connection
Eski Windows 7/8 makinesinde sürekli uyarı	Desteksiz OS	KAPAT değil, yenileme; bu yazı Win 7/8 için değil

Hepsinin ortak özelliği: kapatmak değil, akışı kontrol etmek çözüyor. Tamamen kapatmak güvenlik açısından şu demek: WannaCry'a benzer SMB seviyesinde bir CVE çıktığında ay sonu yamayı manuel atana kadar saldırı yüzeyiniz açık. Defender signature da Windows Update servisi üzerinden gelir; servisi disable ederseniz Defender imzaları eskiir, yeni imzalı zararlılar yakalanmaz.

Windows 10 / 11 — Settings'ten Yönetim

Home / Pro / Enterprise'da Settings → Update & Security → Windows Update (Win 11'de Settings → Windows Update) ekranında pratik ayarlar:

1. Pause updates: 7-35 gün erteleme. Demo / sunum / tatil için pratik; süre dolunca otomatik devam. Sürekli pause önerilmez — birikmiş patch'ler tek seferde geldiğinde restart süresi katlanır.

2. Active hours: Yeniden başlatmanın yapılmayacağı saat aralığı; Win 10'da 18 saat, Win 11'de 18 saat veya "otomatik" (kullanım analizi). Mesai 09:00-18:00 ise 06:00-22:00 yapın; 24 saat seçmeyin, restart hiç olmaz, patch sürüncemede kalır.

3. Pro/Enterprise — Defer feature updates: Major sürüm güncellemesini 365 güne kadar, quality update'i 30 güne kadar erteler. Aynı ayar Windows Update for Business ile GPO ve Intune'dan yönetilebilir.

4. Metered connection: Mobil hotspot / sınırlı kotada faydalı; kritik yamalar iner, opsiyonel sürücü/feature update durur. Kalıcı sunucu çözümü değil.

Group Policy ile Profesyonel Yönetim (gpedit.msc)

Pro / Enterprise / Server'da gpedit.msc (yerel) veya gpmc.msc (domain GPO) doğru araç. Yol: Computer Configuration → Administrative Templates → Windows Components → Windows Update → Manage end user experience.

Policy	Pratik Anlamı
Configure Automatic Updates	2 (notify), 3 (auto download + notify install), 4 (scheduled), 5 (allow local admin)
Specify deadline for automatic updates and restarts	Kullanıcı reboot ertelese de N gün sonra zorunlu
Turn off auto-restart during active hours	Active hours koruması
No auto-restart with logged on users	Kullanıcı oturumdayken zorla restart yok
Specify intranet Microsoft update service location	WSUS sunucusu yönlendirmesi

Configure Automatic Updates = 4 (scheduled install day & time) production klasik tercihi — örn "Pazar 03:00". Değer 2 sysadmin onayı bekler, küçük ekibe uygun. Değer 3 indirir, install bildirim sonrası. GPO değişikliği sonrası gpupdate /force ile pushlayın; gpresult /h gp.html ile doğrulayın.

Registry: Home Edition Workaround

Windows 10 / 11 Home edition'da gpedit.msc yok. Kayıt defteri üzerinden aynı politikayı taklit edebilirsiniz, DİKKAT — yanlış key uzun vadede CVE birikimi anlamına gelir:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
  NoAutoUpdate (DWORD) = 1   # KAPALI (önerilmez)
  AUOptions    (DWORD) = 2   # Notify only
                       = 3   # Auto download + notify install
                       = 4   # Scheduled install (ScheduledInstallDay/Time ile)
                       = 5   # Allow local admin to choose
  ScheduledInstallDay   (DWORD) = 0..7   # 0=her gün, 1=Pazar, ..., 7=Cumartesi
  ScheduledInstallTime  (DWORD) = 0..23

PowerShell ile aynı ayar:

$path = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU"
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name "AUOptions" -Value 4 -Type DWord
Set-ItemProperty -Path $path -Name "ScheduledInstallDay"  -Value 1 -Type DWord  # Pazar
Set-ItemProperty -Path $path -Name "ScheduledInstallTime" -Value 3 -Type DWord  # 03:00

Yine söyleyelim: NoAutoUpdate=1 security riski; sadece ne yaptığını bilen sysadmin için.

Servis Disable — KESİN ÖNERİLMEZ

services.msc → "Windows Update" → Stop + Startup type: Disabled, ya da:

Stop-Service wuauserv
Set-Service wuauserv -StartupType Disabled

Bunu yapmayın — Windows Update servisi sadece OS yamalarını değil, Defender signature dağıtımını ve "Get Help"/Store altyapısının bir kısmını da taşır. Tek bir senaryoda makul: air-gapped (internete bağlı olmayan, izole) endüstriyel makineler. İnternete bakan herhangi bir Windows için disable etmek = haftalar içinde Defender körleşir, aylar içinde ciddi CVE birikir.

PowerShell ile Güncelleme Yönetimi (PSWindowsUpdate)

Microsoft yerleşik PowerShell modülü ile güncellemeleri komut satırından kontrol edebilirsiniz. PSWindowsUpdate topluluk modülü pratik standart:

# Kurulum (yönetici PowerShell)
Install-Module PSWindowsUpdate -Force

# Mevcut bekleyen güncellemeleri listele
Get-WindowsUpdate

# Sadece güvenlik yamalarını al, otomatik onay
Get-WindowsUpdate -Category "Security Updates" -AcceptAll -Install

# Belirli KB'yi yükle
Install-WindowsUpdate -KBArticleID KB5034441 -AcceptAll -AutoReboot

# KB geri alma
Remove-WindowsUpdate -KBArticleID KB5034441

# Update history
Get-WUHistory -MaxDate (Get-Date).AddDays(-30) | Format-Table Date, KB, Title, Result

Production sunucuda -AutoReboot yerine -IgnoreReboot kullanıp restart'ı maintenance window'a manuel almak daha güvenli. Birden çok sunucuda Invoke-Command ile remote çalıştırma:

$servers = "WEB-01","WEB-02","DB-01"
Invoke-Command -ComputerName $servers -ScriptBlock {
  Import-Module PSWindowsUpdate
  Get-WindowsUpdate -AcceptAll -IgnoreReboot
}

Windows Server: sconfig + WSUS

sconfig Server Core'da menü tabanlı, Desktop Experience'da da çalışır. "Windows Update Settings" üç mod sunar: Automatic, Download only, Manual. Production için Manual + sysadmin onayı pratik tercih.

WSUS (Windows Server Update Services) 50+ Windows makine olan kurumlarda merkezi update mirror'ı. Microsoft Update'ten patch'leri tek sunucuya indir, intranet client'lar oradan çeksin. Bant genişliği + approval kontrolü.

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" PostInstall CONTENT_DIR=D:\WSUS
Get-WsusServer | Get-WsusSubscription | Start-WsusSubscription

Console'da Products and Classifications seçimi (sadece kullandığınız Windows sürümleri + Office) disk alanını ciddi azaltır. Computer Groups ile dev / staging / production'a ayırın; önce dev'e onaylayın → 1 hafta gözlem → production. Client tarafı GPO: Specify intranet Microsoft update service location → http://wsus.sirket.local:8530.

50 makine altı için WSUS kurmaya değmez; PSWindowsUpdate + GPO scheduled install yeterli. Configuration Manager (SCCM) / Endpoint Manager WSUS'un üstüne paket dağıtımı + compliance reporting ekler — kurumsal lisans + ayrı sunucu ister.

Patch Tuesday ve Out-of-Band Yamalar

Microsoft her ayın 2. Salısı (Türkiye Çarşamba sabahı) güvenlik yamalarını yayınlar — Patch Tuesday.

Hafta	Yapılacak
Salı (yayın)	Dev/staging'de uygula, smoke test
Çarşamba-Cuma	İşlevsel test (web app, DB, yazılım)
Sonraki hafta	Production'a kademeli rollout

Acil durumda Microsoft Out-of-Band (OOB) yama yayınlar — actively exploited CVE için. CVSS 8+ ise haftalık test akışını beklemeyin, dev'de 1 saat smoke yeterli, hızlı uygulayın. KB ID'leri her ay değişir; Get-HotFix yüklü yamaları, Microsoft Update Catalog (catalog.update.microsoft.com) manuel KB indirme imkânı sağlar.

Defender Signature Güncellemeleri Ayrı Akışta

Microsoft Defender Antivirus signature dosyaları ana Windows Update kanalından ayrı, çok daha sık (günde 6-8 kez) güncellenir. Komut satırı:

# PowerShell modülü
Update-MpSignature
Get-MpComputerStatus | Select AntivirusSignatureLastUpdated, AntivirusSignatureVersion

# CLI eşdeğeri
& "C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate

GPO ile saatlik signature kontrolü: Computer Configuration → Administrative Templates → Windows Components → Microsoft Defender Antivirus → Signature Updates → Specify the interval to check for definition updates → 1 saat. Windows Update servisini kapatmış olsanız bile signature update yine WU altyapısını kullanır — yine kapatmayın diyoruz.

Bant Genişliği: Delivery Optimization ve Metered

5+ Windows makinenin aynı anda Microsoft sunucularından 2-3 GB feature update indirmesi ofis hattını boğar. Delivery Optimization P2P LAN cache: bir makine indirir, diğerleri ondan çeker. Settings → Windows Update → Advanced options → Delivery Optimization → Allow downloads from other PCs → PCs on my local network. GPO: Download Mode → 1 (HTTP + LAN) veya 2 (HTTP + Group). WSUS zaten LAN mirror'ı olduğu için DO ile birleştirmek ek tasarruf değil.

Metered connection GPO ile mobil hat üzerinden patch indirmeyi engeller; veri merkezi sunucusunda kullanmazsınız, sahaya yerleşik şube cihazları için.

Reboot Yönetimi ve Driver Disiplini

Patch sonrası restart kaçınılmaz — kernel-level değişiklik mount edilen Windows için reboot şart.

Pending restart kontrolü:

$key = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\RebootPending"
Test-Path $key   # True ise reboot bekliyor

Maintenance window: Task Scheduler veya Configuration Manager ile bakım penceresi. shutdown /r /t 600 /c "10 dakika icinde restart" kullanıcı uyarılı reboot. Cluster-Aware Updating (CAU): Failover Cluster ortamında düğümleri tek tek drain edip patch + restart yapan otomatik akış (Add-CauClusterRole); SQL Server AG, Hyper-V Cluster, File Server Cluster için kritik.

Driver güncellemeleri: Settings → Windows Update → Advanced options → Receive updates for other Microsoft products opsiyonel sürücüleri de kapsar. Production sunucuda kapalı tutun; Windows Update üzerinden gelen NIC / disk controller driver'ı test edilmemiş olabilir. VDS senaryosunda hipervizör tarafındaki virtio driver'ı altyapı tarafında güncel; sunucu üreticisinin (Dell EMC OpenManage, HPE iLO Smart Update Manager) firmware aracı driver/firmware işini WU'dan ayrı, kontrollü yapar.

Buyukweb Windows VDS Senaryosu

Buyukweb Windows VDS unmanaged — Administrator yetkisi ile teslim, güncelleme politikasını sizin yönetmeniz beklenir. Buyukweb sizin yerinize patch atmaz; "yönetilen Windows güncellemesi" hizmetimiz yok. Önerilen kurulum:

1. Snapshot / yedek önce. Buyukweb VDS panelinden Veeam altyapısıyla günlük otomatik yedek standartta gelir; major patch öncesi panelden manuel snapshot ekleyin. Patch bozarsa rollback dakikalar.
2. GPO scheduled install: Configure Automatic Updates = 4, ScheduledInstallDay = Pazar, Time = 03:00. Mesai dışında restart, web servisi en düşük trafikte etkilenir.
3. Active hours + Notify before restart: Pazar restart'ı kullanıcı 10 dakika önceden görsün.
4. Defender signature günlük: Güncelleme servisi açık kalsın, signature update ayrıca Update-MpSignature günlük scheduled task ile.
5. PSWindowsUpdate + remote Invoke-Command: Birden çok VDS yönetiyorsanız scripte alın.
6. Patch Tuesday + 1 hafta: Production VDS'i Salı'dan 1 hafta sonra patchleyin; varsa dev VDS'inizde önce.

Windows Web Hosting tarafında akış farklı: paneli Buyukweb yönetir, OS-level patch bizim sorumluluğumuz, kullanıcı IIS site'ı / ASP.NET app'i ile uğraşır. Yani Plesk Windows Hosting kullanıyorsanız bu yazıdaki Group Policy / Registry ayarlarına dokunmanız gerekmez.

Sık Yapılan Hatalar

1. Windows Update servisini disable bırakmak — birkaç ayda CVE birikimi, Defender signature körleşmesi.
2. GPO'yu test etmeden tüm sunuculara push — yanlış AUOptions değeri 200 makineyi anında etkiler. Önce dev OU'da test.
3. Snapshot / yedek almadan major patch — feature update (örn 22H2 → 23H2) bozulursa rollback günler.
4. Driver güncellemeleri otomatik bırakmak — uyumsuz NIC driver = mavi ekran. Üretici tool'undan kontrollü yapın.
5. Active hours = 24 saat — Windows ne zaman restart edecek bilemez, restart sürüncemede kalır, pending restart birikir.
6. NoAutoUpdate=1 + servisi disable + WSUS yok — sunucu CVE batağı; ay içinde public exploit'lere açık.
7. Patch Tuesday'i atlama disipline almama — düzensiz patch döngüsü = "Cuma 17:00'de acil yama" senaryosu.

Sıkça Sorulan Sorular

Windows otomatik güncellemesi tamamen kapatılır mı?

Teknik olarak evet (NoAutoUpdate=1 + servisi disable), ama önermiyoruz: Defender signature körleşir, CVE birikir, ransomware riski katlanır. "Kapat" yerine "geciktir + bakım penceresine al" pratik tercih.

Pause vs Disable farkı ne?

Pause Settings'ten 7-35 gün geçici erteleme; süre dolunca otomatik devam. Disable servisi kapatma; kalıcı, geri açana kadar patch gelmez. Pause günlük operasyon için OK; Disable production'da yapmayın.

WSUS kurmam gerekli mi?

50 Windows makine altı için gereksiz; PSWindowsUpdate + GPO scheduled install yeterli. 50+ makine, sınırlı internet, approval kontrolü varsa WSUS değer kazanır. SCCM ek paket dağıtımı + compliance için.

Patch Tuesday nedir, ne zaman?

Microsoft her ayın 2. Salısı (Pasifik saati) güvenlik yamalarını yayınlar; Türkiye Çarşamba sabahı. Akış: Salı dev/staging, hafta içi test, sonraki hafta production. Acil durumda Out-of-Band yama gelir, hızlı uygulayın.

Defender signature güncellemesi ayrı mı çalışır?

Signature dosyaları günde 6-8 kez güncellenir, feature/quality update'ten ayrı. Update-MpSignature ile manuel tetikleme, GPO'dan saatlik kontrol. Windows Update servisi kapatılırsa signature de aksar.

Buyukweb VDS'de güncelleme nasıl çalışıyor?

Buyukweb Windows VDS unmanaged — patch politikası sizde. Önerimiz: GPO ile Pazar 03:00 scheduled install, major patch öncesi panelden manuel snapshot, Defender signature günlük scheduled task. Buyukweb sizin yerinize patch atmaz. Plesk Windows Hosting farklı — orada OS-level patch Buyukweb tarafında.

Servis disable etmek riskli mi?

Çok riskli. Disable edilen Windows Update servisi patch'lerin yanında Defender signature dağıtımını da taşır. İnternete bağlı makine için yapmayın; air-gapped endüstriyel cihaz haricinde senaryo yok.

Feature update'i (büyük sürüm) erteleyebilir miyim?

Pro / Enterprise / Server'da evet — Windows Update for Business ile feature update 365 güne, quality update 30 güne kadar. Home edition'da bu kontrol yok; pause + metered connection yarım çözüm.

Reboot olmadan patch uygulanabilir mi?

Çoğu yamada hayır — kernel/driver değişikliği reboot ister. Hot-patching sadece Azure Edition'da, on-prem klasik Server'da yok. Cluster-Aware Updating ile küme servisi kesintisiz kalır ama node'lar yine restart eder.

---

Sonuç: "Windows otomatik güncelleme nasıl kapatılır?" sorusunun pratik cevabı çoğu zaman "kapatma — yönet" olmalı. Pause / active hours / GPO scheduled install / WSUS / PSWindowsUpdate disiplini kurun, Defender signature açık tutun, Patch Tuesday'i takip edin. Snapshot / yedek olmadan major patch atmayın.

İlgili Buyukweb Hizmetleri

• Windows VDS — KVM, Administrator, Windows Server preinstalled, ₺250/ay'dan
• Sanal Sunucu (VDS) — Alternatif VDS paket karşılaştırması
• Windows Web Hosting — Plesk Windows panel + IIS, Buyukweb yönetir
• Fiziksel Dedicated — Tam donanım kontrolü, kendi patch politikanız

Sorularınız için 0850 302 60 70 veya iletişim sayfası; Bursa Tier 3 veri merkezi, 17 yıllık altyapı tecrübesi, 7/24 Türkçe destek.