Bloquear a atualização KB5033373 no Windows Server 2016 (ocultar e impedir instalação)

Precisa impedir que a atualização KB5033373 volte a aparecer ou seja instalada no Windows Server 2016? Veja um passo a passo seguro para ocultá‑la, desfazê‑la (se já estiver instalada) e prevenir o reoferecimento — com alternativas para ambientes WSUS e via PowerShell.

Índice

Visão geral

Quando uma atualização cumulativa causa instabilidade em servidores de produção, a ação imediata costuma ser remover e bloquear o reoferecimento até que haja correção estável. No Windows Server 2016, a maneira mais direta e confirmada em Q&A de impedir que a KB5033373 seja instalada é usar o utilitário oficial da Microsoft Show or Hide Updates (wushowhide.diagcab) para ocultar a KB problemática. Veja como fazer, além de opções para WSUS e PowerShell.

Solução rápida (recomendada)

Ferramenta: Show or Hide Updates (wushowhide.diagcab) — utilitário da própria Microsoft que instrui o Windows Update a ocultar (não oferecer) determinadas atualizações.

Download oficial do utilitário

Baixe o arquivo diretamente do canal da Microsoft (mantenha uma cópia segura no repositório interno da sua equipe):

https://download.microsoft.com/download/f/2/2/f22d5fdb-59cd-4275-8c95-1be17bf70b21/wushowhide.diagcab

Dica: armazene o binário em um compartilhamento interno (somente leitura) para uso padronizado pelos administradores.

Passo a passo para ocultar a KB5033373

  1. Execute wushowhide.diagcab no servidor (sessão com privilégios administrativos).
  2. Clique em Next/AvançarHide updates.
  3. Marque KB5033373 na lista → Next/AvançarClose/Concluir.
  4. Abra Windows Update e verifique novamente por atualizações; a KB não deverá mais ser exibida.
  5. Para reverter futuramente, rode a ferramenta novamente e use Show hidden updates.

Se a KB5033373 já foi instalada

Quando a atualização já está presente e causa impacto, desinstale e, em seguida, oculte antes da próxima verificação:

Desinstalar com WUSA (modo silencioso)

cmd
wusa /uninstall /kb:5033373 /quiet /norestart
  • /quiet evita prompts; /norestart impede reinicialização automática. Programe a janela de reinício.
  • Após a remoção, execute o wushowhide.diagcab e oculte a KB para impedir que retorne.

Alternativa avançada com DISM (quando WUSA não atende)

Em raros casos, pode ser necessário remover o pacote via DISM. Primeiro, identifique o pacote:

cmd
dism /online /get-packages | findstr 5033373

Depois, remova usando o nome completo do pacote retornado:

cmd
dism /online /remove-package /packagename:<Nome-Completo-Do-Pacote> /quiet /norestart

Atenção: valide em um servidor de homologação antes de aplicar em produção.

Ambientes corporativos com WSUS

O wushowhide.diagcab atua quando o cliente fala diretamente com o Windows Update público. Em cenários gerenciados pelo WSUS, a prática recomendada é controlar a oferta da KB no servidor WSUS:

  • Recusar (Decline) a KB5033373 no WSUS ou não aprovar (Unapproved) para os grupos afetados.
  • Se usar grupos de computadores, crie um grupo “Bloquear KB5033373” e negue/retire a aprovação apenas nele.
  • Revise Auto-Approval Rules para garantir que a KB não seja aprovada automaticamente.
  • Sincronize e Forçe o detect now nos clientes (via wuauclt /detectnow ou UsoClient StartScan em versões mais novas).

Resumo: Em WSUS, o caminho certo é gerenciar a aprovação da atualização; o wushowhide não substitui governança via WSUS.

Alternativa via PowerShell (sem diagcab)

Se não quiser usar a ferramenta de diagnóstico, uma opção comum é o módulo PSWindowsUpdate (comunitário e amplamente utilizado). Avalie suas políticas de segurança antes de adotá-lo.

powershell
Install-Module PSWindowsUpdate -Scope AllUsers
Import-Module PSWindowsUpdate

Ocultar a KB

Hide-WindowsUpdate -KBArticleID KB5033373 -HideStatus:\$true

Verificar se está oculta

Get-WindowsUpdate -IsHidden

Desocultar (se necessário)

Hide-WindowsUpdate -KBArticleID KB5033373 -HideStatus:\$false </code></pre>

<p><em>Observações:</em> execute em janela elevada; em servidores isolados, use um repositório interno (PSGallery interno) para cumprir requisitos de conformidade.</p>

<h2>Como confirmar que a KB5033373 está bloqueada</h2>
<ul>
  <li><strong>No Windows Update:</strong> após ocultar, clique em <em>Check for updates</em>; a KB não deve mais aparecer.</li>
  <li><strong>Histórico de atualizações:</strong> verifique se não há novas tentativas de instalação com falha.</li>
  <li><strong>PowerShell:</strong> confira presença/ausência:
    <pre><code>powershell
Lista atualizações instaladas que contenham 5033373
Get-HotFix | Where-Object {$_.HotFixID -match '5033373'}

Se usar PSWindowsUpdate, liste pendências visíveis

Get-WindowsUpdate -MicrosoftUpdate </code></pre>

  </li>
  <li><strong>Logs:</strong> gere e analise o <code>WindowsUpdate.log</code> (no Server 2016 ele é montado a partir de ETLs):
    <pre><code>powershell
Get-WindowsUpdateLog

Boas práticas e governança

  • Mitigação temporária: ocultar uma atualização de segurança deixa o servidor potencialmente exposto. Use a ocultação apenas para estabilização enquanto investiga a causa e monitora correções subsequentes.
  • Reedição de KB: se a Microsoft republicar a KB com nova revisão, pode ser necessário ocultá-la novamente.
  • Registro formal: crie um ticket e registre na CMDB a justificativa, o escopo (servidores afetados) e a data de revisão.
  • Janela de manutenção: planeje desinstalações e reinicializações em horários de menor impacto; coordene com times de aplicativos e banco de dados.
  • Homologação: valide sempre em ambiente de testes antes de alterar o estado de patches em produção.
  • Backout plan: documente claramente como reverter o bloqueio (desocultar/reativar aprovação no WSUS).

Comparativo de métodos

MétodoQuando usarPrósContras
wushowhide.diagcabServidores que consultam o Windows Update diretamenteOficial, rápido, não requer módulos extrasRequer interface gráfica; não funciona em WSUS
WSUS (Decline/Unapprove)Ambientes gerenciados corporativosGovernança central, rastreabilidadeDepende de processos/fluxos no WSUS
PSWindowsUpdateServidores Core/automatização sem GUIScriptável, funciona em larga escalaMódulo não Microsoft; avaliar conformidade
WUSA/DISM (desinstalar)Quando a KB já está instaladaRemoção confiávelExige reinício; pode impactar dependências

Procedimento completo sugerido (runbook)

  1. Identificar impacto: registrar sintomas, eventos e o horário do problema.
  2. Confirmar instalação: Get-HotFix ou wmic qfe para verificar presença da KB5033373.
  3. Desinstalar (se presente): wusa /uninstall /kb:5033373 /quiet /norestart.
  4. Programar reinício: janela controlada com comunicação aos stakeholders.
  5. Bloquear reoferecimento:
    • Sem WSUS: wushowhide.diagcabHide updates → selecione KB5033373.
    • Com WSUS: recusar/não aprovar a KB para os grupos afetados.
    • Sem GUI: Hide-WindowsUpdate -KBArticleID KB5033373 -HideStatus:$true.
  6. Validar: nova verificação no Windows Update; confirmar que a KB não aparece; health check do serviço.
  7. Monitorar: acompanhar event logs e estabilidade por 24–72h.
  8. Reavaliar: a cada nova Patch Tuesday ou reedição da KB, revalidar e ajustar (ocultar novamente, se necessário).

Perguntas frequentes (FAQ)

O wushowhide.diagcab funciona em Windows Server 2016?

Sim. Ele usa a infraestrutura de solução de problemas do Windows para esconder ofertas específicas do Windows Update no cliente.

Funciona em Server Core?

O .diagcab é interativo e requer componentes de interface; em instalações Core, prefira a abordagem PowerShell (PSWindowsUpdate) ou gerencie pelo WSUS.

É melhor pausar todas as atualizações?

Não em servidores. Pausar tudo aumenta a exposição. Prefira bloquear apenas a KB problemática e seguir aplicando demais correções.

O que acontece se a Microsoft relançar a KB?

Revisões podem mudar o identificador interno. Monitore e, se necessário, oculte novamente. Em WSUS, a nova revisão exigirá nova ação (não aprovar/recusar).

O Get-HotFix não mostra a KB5033373. E agora?

Algumas cumulativas podem não aparecer no Get-HotFix como você espera. Use dism /online /get-packages para identificar o pacote ou confira o WindowsUpdate.log gerado via Get-WindowsUpdateLog.

Checklist de segurança antes de ocultar

  • Existe mitigação compensatória para a vulnerabilidade incluída na KB? (hardening, IDS/IPS, WAF, regras temporárias)
  • O ambiente possui backups e ponto de restauração recente (se aplicável)?
  • Você já testou a desinstalação em homologação?
  • aprovação de mudança (Change Management) com plano de comunicação e janela de manutenção?
  • Está documentado na CMDB quais servidores tiveram a KB ocultada, por quanto tempo e com data de revisão?

Erros comuns (e como evitar)

  • Esquecer de ocultar após desinstalar: a KB reaparece e é reinstalada. Solução: sempre oculte antes de executar nova verificação.
  • Tentar usar wushowhide com WSUS: não tem efeito no pipeline do WSUS. Solução: controle via aprovação no WSUS.
  • Remover sem janela de reinício: serviços críticos podem ficar inconsistentes. Solução: planeje e comunique o restart.
  • Depender de pausa global de updates: aumenta a superfície de ataque. Solução: bloqueie apenas a KB problemática.

Scripts e comandos úteis

Forçar detecção e relatório rápido

cmd
wuauclt /detectnow
wuauclt /reportnow

Listar atualizações instaladas (linha de comando clássica)

cmd
wmic qfe list brief | find "5033373"

Enumerar atualizações ocultas (PSWindowsUpdate)

powershell
Get-WindowsUpdate -IsHidden | Select Title,KB,Size,IsHidden

Planejamento para reintrodução segura da KB

Bloquear a KB é um stop‑gap. Para voltar à conformidade sem arriscar estabilidade:

  1. Monitorar lançamentos subsequentes; aguardar quando houver Known Issues resolvidos ou revisões.
  2. Testar a KB revisada em ambientes de QA com carga e cenários reais.
  3. Aplicar gradualmente (piloto → lote 1 → lote 2), com telemetria e plano de rollback.
  4. Remover ocultação (ou aprovar no WSUS) apenas após validação de estabilidade.

Resumo executivo

Para impedir a instalação da KB5033373 no Windows Server 2016: (1) oculte a atualização com o utilitário oficial wushowhide.diagcab — solução rápida e direta; (2) se a KB já estiver instalada, desinstale com wusa e bloqueie o reoferecimento; (3) em ambientes gerenciados via WSUS, recuse/não aprove a KB para os grupos afetados; (4) quando necessário, utilize PowerShell com PSWindowsUpdate para automação e para servidores sem GUI. Mantenha a ocultação como medida temporária, registre a decisão e reavalie periodicamente para voltar à conformidade com patches.


Apêndice: política e GPO (opcional)

Se seu processo exigir controle provisório enquanto a equipe investiga, uma alternativa é ajustar a política de atualização para “Notificar para download e instalação” (GPO Configure Automatic Updates). Isso reduz a chance de instalação automática indesejada, mas não substitui o bloqueio explícito da KB:

Computer Configuration
 └─ Administrative Templates
    └─ Windows Components
       └─ Windows Update
          └─ Configure Automatic Updates = 2 (Notify)

Use com cautela e com data de revisão definida, evitando prolongar a exposição a outras correções importantes.


Checklist rápido (copie para seu runbook)

  • [ ] Confirmar presença da KB5033373 (Get-HotFix / wmic qfe)
  • [ ] Se instalada: executar wusa /uninstall /kb:5033373 e agendar reinício
  • [ ] Ocultar com wushowhide.diagcab ou recusar no WSUS
  • [ ] Validar que a KB não é mais oferecida
  • [ ] Registrar decisão na CMDB e abrir tarefa de reavaliação
  • [ ] Monitorar reedições e aplicar quando estabilizadas

Referência operacional (arquivo do utilitário)

Mantenha este endereço sob controle interno (mirror/verificação de integridade):

wushowhide.diagcab
Origem: Microsoft
URL direta: https://download.microsoft.com/download/f/2/2/f22d5fdb-59cd-4275-8c95-1be17bf70b21/wushowhide.diagcab

Dica: para integridade, guarde também o hash do arquivo em seu repositório:

powershell
Get-FileHash .\wushowhide.diagcab -Algorithm SHA256

Conclusão

Bloquear a KB5033373 no Windows Server 2016 é simples e seguro quando feito com método: utilize o wushowhide para ocultar, wusa/dism para remover se necessário, e WSUS para governança corporativa. Documente, monitore e reintroduza a correção assim que estabilizada para manter o equilíbrio entre segurança e disponibilidade.

Índice