Precisa impedir que a atualização KB5033373 volte a aparecer ou seja instalada no Windows Server 2016? Veja um passo a passo seguro para ocultá‑la, desfazê‑la (se já estiver instalada) e prevenir o reoferecimento — com alternativas para ambientes WSUS e via PowerShell.
Visão geral
Quando uma atualização cumulativa causa instabilidade em servidores de produção, a ação imediata costuma ser remover e bloquear o reoferecimento até que haja correção estável. No Windows Server 2016, a maneira mais direta e confirmada em Q&A de impedir que a KB5033373 seja instalada é usar o utilitário oficial da Microsoft Show or Hide Updates (wushowhide.diagcab
) para ocultar a KB problemática. Veja como fazer, além de opções para WSUS e PowerShell.
Solução rápida (recomendada)
Ferramenta: Show or Hide Updates (wushowhide.diagcab
) — utilitário da própria Microsoft que instrui o Windows Update a ocultar (não oferecer) determinadas atualizações.
Download oficial do utilitário
Baixe o arquivo diretamente do canal da Microsoft (mantenha uma cópia segura no repositório interno da sua equipe):
https://download.microsoft.com/download/f/2/2/f22d5fdb-59cd-4275-8c95-1be17bf70b21/wushowhide.diagcab
Dica: armazene o binário em um compartilhamento interno (somente leitura) para uso padronizado pelos administradores.
Passo a passo para ocultar a KB5033373
- Execute
wushowhide.diagcab
no servidor (sessão com privilégios administrativos). - Clique em Next/Avançar → Hide updates.
- Marque KB5033373 na lista → Next/Avançar → Close/Concluir.
- Abra Windows Update e verifique novamente por atualizações; a KB não deverá mais ser exibida.
- Para reverter futuramente, rode a ferramenta novamente e use Show hidden updates.
Se a KB5033373 já foi instalada
Quando a atualização já está presente e causa impacto, desinstale e, em seguida, oculte antes da próxima verificação:
Desinstalar com WUSA (modo silencioso)
cmd
wusa /uninstall /kb:5033373 /quiet /norestart
- /quiet evita prompts; /norestart impede reinicialização automática. Programe a janela de reinício.
- Após a remoção, execute o
wushowhide.diagcab
e oculte a KB para impedir que retorne.
Alternativa avançada com DISM (quando WUSA não atende)
Em raros casos, pode ser necessário remover o pacote via DISM. Primeiro, identifique o pacote:
cmd
dism /online /get-packages | findstr 5033373
Depois, remova usando o nome completo do pacote retornado:
cmd
dism /online /remove-package /packagename:<Nome-Completo-Do-Pacote> /quiet /norestart
Atenção: valide em um servidor de homologação antes de aplicar em produção.
Ambientes corporativos com WSUS
O wushowhide.diagcab
atua quando o cliente fala diretamente com o Windows Update público. Em cenários gerenciados pelo WSUS, a prática recomendada é controlar a oferta da KB no servidor WSUS:
- Recusar (Decline) a KB5033373 no WSUS ou não aprovar (Unapproved) para os grupos afetados.
- Se usar grupos de computadores, crie um grupo “Bloquear KB5033373” e negue/retire a aprovação apenas nele.
- Revise Auto-Approval Rules para garantir que a KB não seja aprovada automaticamente.
- Sincronize e Forçe o detect now nos clientes (via
wuauclt /detectnow
ouUsoClient StartScan
em versões mais novas).
Resumo: Em WSUS, o caminho certo é gerenciar a aprovação da atualização; o wushowhide
não substitui governança via WSUS.
Alternativa via PowerShell (sem diagcab)
Se não quiser usar a ferramenta de diagnóstico, uma opção comum é o módulo PSWindowsUpdate (comunitário e amplamente utilizado). Avalie suas políticas de segurança antes de adotá-lo.
powershell
Install-Module PSWindowsUpdate -Scope AllUsers
Import-Module PSWindowsUpdate
Ocultar a KB
Hide-WindowsUpdate -KBArticleID KB5033373 -HideStatus:\$true
Verificar se está oculta
Get-WindowsUpdate -IsHidden
Desocultar (se necessário)
Hide-WindowsUpdate -KBArticleID KB5033373 -HideStatus:\$false </code></pre>
<p><em>Observações:</em> execute em janela elevada; em servidores isolados, use um repositório interno (PSGallery interno) para cumprir requisitos de conformidade.</p>
<h2>Como confirmar que a KB5033373 está bloqueada</h2>
<ul>
<li><strong>No Windows Update:</strong> após ocultar, clique em <em>Check for updates</em>; a KB não deve mais aparecer.</li>
<li><strong>Histórico de atualizações:</strong> verifique se não há novas tentativas de instalação com falha.</li>
<li><strong>PowerShell:</strong> confira presença/ausência:
<pre><code>powershell
Lista atualizações instaladas que contenham 5033373
Get-HotFix | Where-Object {$_.HotFixID -match '5033373'}
Se usar PSWindowsUpdate, liste pendências visíveis
Get-WindowsUpdate -MicrosoftUpdate </code></pre>
</li>
<li><strong>Logs:</strong> gere e analise o <code>WindowsUpdate.log</code> (no Server 2016 ele é montado a partir de ETLs):
<pre><code>powershell
Get-WindowsUpdateLog
Boas práticas e governança
- Mitigação temporária: ocultar uma atualização de segurança deixa o servidor potencialmente exposto. Use a ocultação apenas para estabilização enquanto investiga a causa e monitora correções subsequentes.
- Reedição de KB: se a Microsoft republicar a KB com nova revisão, pode ser necessário ocultá-la novamente.
- Registro formal: crie um ticket e registre na CMDB a justificativa, o escopo (servidores afetados) e a data de revisão.
- Janela de manutenção: planeje desinstalações e reinicializações em horários de menor impacto; coordene com times de aplicativos e banco de dados.
- Homologação: valide sempre em ambiente de testes antes de alterar o estado de patches em produção.
- Backout plan: documente claramente como reverter o bloqueio (desocultar/reativar aprovação no WSUS).
Comparativo de métodos
Método | Quando usar | Prós | Contras |
---|---|---|---|
wushowhide.diagcab | Servidores que consultam o Windows Update diretamente | Oficial, rápido, não requer módulos extras | Requer interface gráfica; não funciona em WSUS |
WSUS (Decline/Unapprove) | Ambientes gerenciados corporativos | Governança central, rastreabilidade | Depende de processos/fluxos no WSUS |
PSWindowsUpdate | Servidores Core/automatização sem GUI | Scriptável, funciona em larga escala | Módulo não Microsoft; avaliar conformidade |
WUSA/DISM (desinstalar) | Quando a KB já está instalada | Remoção confiável | Exige reinício; pode impactar dependências |
Procedimento completo sugerido (runbook)
- Identificar impacto: registrar sintomas, eventos e o horário do problema.
- Confirmar instalação:
Get-HotFix
ouwmic qfe
para verificar presença da KB5033373. - Desinstalar (se presente):
wusa /uninstall /kb:5033373 /quiet /norestart
. - Programar reinício: janela controlada com comunicação aos stakeholders.
- Bloquear reoferecimento:
- Sem WSUS:
wushowhide.diagcab
→ Hide updates → selecione KB5033373. - Com WSUS: recusar/não aprovar a KB para os grupos afetados.
- Sem GUI:
Hide-WindowsUpdate -KBArticleID KB5033373 -HideStatus:$true
.
- Sem WSUS:
- Validar: nova verificação no Windows Update; confirmar que a KB não aparece; health check do serviço.
- Monitorar: acompanhar event logs e estabilidade por 24–72h.
- Reavaliar: a cada nova Patch Tuesday ou reedição da KB, revalidar e ajustar (ocultar novamente, se necessário).
Perguntas frequentes (FAQ)
O wushowhide.diagcab funciona em Windows Server 2016?
Sim. Ele usa a infraestrutura de solução de problemas do Windows para esconder ofertas específicas do Windows Update no cliente.
Funciona em Server Core?
O .diagcab
é interativo e requer componentes de interface; em instalações Core, prefira a abordagem PowerShell (PSWindowsUpdate) ou gerencie pelo WSUS.
É melhor pausar todas as atualizações?
Não em servidores. Pausar tudo aumenta a exposição. Prefira bloquear apenas a KB problemática e seguir aplicando demais correções.
O que acontece se a Microsoft relançar a KB?
Revisões podem mudar o identificador interno. Monitore e, se necessário, oculte novamente. Em WSUS, a nova revisão exigirá nova ação (não aprovar/recusar).
O Get-HotFix
não mostra a KB5033373. E agora?
Algumas cumulativas podem não aparecer no Get-HotFix
como você espera. Use dism /online /get-packages
para identificar o pacote ou confira o WindowsUpdate.log
gerado via Get-WindowsUpdateLog
.
Checklist de segurança antes de ocultar
- Existe mitigação compensatória para a vulnerabilidade incluída na KB? (hardening, IDS/IPS, WAF, regras temporárias)
- O ambiente possui backups e ponto de restauração recente (se aplicável)?
- Você já testou a desinstalação em homologação?
- Há aprovação de mudança (Change Management) com plano de comunicação e janela de manutenção?
- Está documentado na CMDB quais servidores tiveram a KB ocultada, por quanto tempo e com data de revisão?
Erros comuns (e como evitar)
- Esquecer de ocultar após desinstalar: a KB reaparece e é reinstalada. Solução: sempre oculte antes de executar nova verificação.
- Tentar usar
wushowhide
com WSUS: não tem efeito no pipeline do WSUS. Solução: controle via aprovação no WSUS. - Remover sem janela de reinício: serviços críticos podem ficar inconsistentes. Solução: planeje e comunique o restart.
- Depender de pausa global de updates: aumenta a superfície de ataque. Solução: bloqueie apenas a KB problemática.
Scripts e comandos úteis
Forçar detecção e relatório rápido
cmd
wuauclt /detectnow
wuauclt /reportnow
Listar atualizações instaladas (linha de comando clássica)
cmd
wmic qfe list brief | find "5033373"
Enumerar atualizações ocultas (PSWindowsUpdate)
powershell
Get-WindowsUpdate -IsHidden | Select Title,KB,Size,IsHidden
Planejamento para reintrodução segura da KB
Bloquear a KB é um stop‑gap. Para voltar à conformidade sem arriscar estabilidade:
- Monitorar lançamentos subsequentes; aguardar quando houver Known Issues resolvidos ou revisões.
- Testar a KB revisada em ambientes de QA com carga e cenários reais.
- Aplicar gradualmente (piloto → lote 1 → lote 2), com telemetria e plano de rollback.
- Remover ocultação (ou aprovar no WSUS) apenas após validação de estabilidade.
Resumo executivo
Para impedir a instalação da KB5033373 no Windows Server 2016: (1) oculte a atualização com o utilitário oficial wushowhide.diagcab
— solução rápida e direta; (2) se a KB já estiver instalada, desinstale com wusa
e bloqueie o reoferecimento; (3) em ambientes gerenciados via WSUS, recuse/não aprove a KB para os grupos afetados; (4) quando necessário, utilize PowerShell com PSWindowsUpdate
para automação e para servidores sem GUI. Mantenha a ocultação como medida temporária, registre a decisão e reavalie periodicamente para voltar à conformidade com patches.
Apêndice: política e GPO (opcional)
Se seu processo exigir controle provisório enquanto a equipe investiga, uma alternativa é ajustar a política de atualização para “Notificar para download e instalação” (GPO Configure Automatic Updates). Isso reduz a chance de instalação automática indesejada, mas não substitui o bloqueio explícito da KB:
Computer Configuration
└─ Administrative Templates
└─ Windows Components
└─ Windows Update
└─ Configure Automatic Updates = 2 (Notify)
Use com cautela e com data de revisão definida, evitando prolongar a exposição a outras correções importantes.
Checklist rápido (copie para seu runbook)
- [ ] Confirmar presença da KB5033373 (
Get-HotFix
/wmic qfe
) - [ ] Se instalada: executar
wusa /uninstall /kb:5033373
e agendar reinício - [ ] Ocultar com
wushowhide.diagcab
ou recusar no WSUS - [ ] Validar que a KB não é mais oferecida
- [ ] Registrar decisão na CMDB e abrir tarefa de reavaliação
- [ ] Monitorar reedições e aplicar quando estabilizadas
Referência operacional (arquivo do utilitário)
Mantenha este endereço sob controle interno (mirror/verificação de integridade):
wushowhide.diagcab
Origem: Microsoft
URL direta: https://download.microsoft.com/download/f/2/2/f22d5fdb-59cd-4275-8c95-1be17bf70b21/wushowhide.diagcab
Dica: para integridade, guarde também o hash do arquivo em seu repositório:
powershell
Get-FileHash .\wushowhide.diagcab -Algorithm SHA256
Conclusão
Bloquear a KB5033373 no Windows Server 2016 é simples e seguro quando feito com método: utilize o wushowhide para ocultar, wusa/dism para remover se necessário, e WSUS para governança corporativa. Documente, monitore e reintroduza a correção assim que estabilizada para manter o equilíbrio entre segurança e disponibilidade.