必须禁用windows update、bits、usosvc、waasmedicsvc四大服务并设启动类型为禁用、恢复操作为无;家庭版用注册表替代组策略,禁用scheduled start等计划任务,并精准修改failureactions二进制值防自愈。
禁用核心服务是基础,但只关 Windows Update 不够
光停掉 wuauserv 服务,系统过几天可能自己又把它设回“自动”,甚至重启后恢复。这是因为 Win10 后期版本(尤其是 1809 及以后)加了三层保险:BITS(后台传输)、UsoSvc(更新调度器)、WaaSMedicSvc(更新修复服务)。漏掉任何一个,都可能让更新偷偷下载或重装服务。
- 必须一并禁用这四个服务:
Windows Update、Background Intelligent Transfer Service、Update Orchestrator Service、Windows Update Medic Service - 每个服务都要做两件事:启动类型设为
禁用,且在“恢复”选项卡里把三次失败动作全设为无操作——否则系统检测到服务异常,会自动重启它 -
UsoSvc和WaaSMedicSvc在服务管理器里右键属性可能灰掉无法修改,这是正常现象,需进注册表改Start值为4(十六进制),路径分别是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc
组策略能锁死设置,但家庭版默认不支持 gpedit.msc
组策略不是可选项,而是关键加固层。它能让系统连“检查更新”这个动作都彻底禁止,比单纯关服务更底层。但 Win10 家庭版出厂没装组策略编辑器,直接运行 gpedit.msc 会提示“找不到”。这时候不能硬装第三方补丁,风险高;推荐用注册表等效替代。
- 专业版/企业版用户:运行
gpedit.msc→ 计算机配置 → 管理模板 → Windows 组件 → Windows 更新 → 启用删除对所有 Windows Update 功能的访问权限,再把配置自动更新设为已禁用 - 家庭版用户:跳过
gpedit.msc,直接走注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU,新建DWORD值NoAutoUpdate,设为1;再新建DoNotConnectToWindowsUpdateInternetLocations,也设为1,效果接近组策略 - 注意:组策略修改后必须重启才生效,且域环境下的组策略优先级远高于本地设置,加域设备要找管理员确认
任务计划程序里的 Scheduled Start 是隐藏触发点
很多人关完服务和策略,过两天发现更新又在后台跑,其实是被任务计划里的定时任务唤醒了。Win10 把更新检查逻辑拆成多个计划任务,藏在 Task Scheduler Library\Microsoft\Windows\WindowsUpdate 下,其中 Scheduled Start 是最常被忽略的入口。
- 运行
taskschd.msc→ 展开路径 → 找到Scheduled Start,右键选禁用 - 顺手检查同目录下有没有
AUClient、Interactive、Reboot类任务,一并禁用(名称带WindowsUpdate的基本都禁) - 别点“删除”,只点“禁用”——万一哪天想恢复更新,启用比重装快得多
注册表改 FailureActions 二进制值防自愈,容易手抖出错
服务被禁用后,系统仍可能通过 FailureActions 自动重启它。这个键是二进制数据,不是普通数值,直接双击编辑极易改错位置导致服务管理器异常。重点改的是偏移地址 0010 和 0018 行的第 5 字节(从左往右数第 5 个字节),必须由 01 改成 00,其他字节一个都不能动。
- 改前务必导出备份整个
Services项(文件 → 导出),否则改崩了可能无法进桌面 - 打开注册表时一定要用管理员权限,否则改完不生效
- 改完别急着关注册表,去服务管理器里刷新看对应服务是否显示“已禁用”且“状态”为空(不是“已停止”)——这才是真正锁死了
最麻烦的不是步骤多,而是每一步都有依赖关系:比如不先禁 BITS,UsoSvc 就可能反复复活;不改 FailureActions,重启后服务就自动回弹。顺序和完整性缺一不可。
