Система навязывает апгрейд, хотя ваше железо или корпоративные стандарты этого не требуют. Включите одну штатную политику — и Windows 10 перестанет предлагать миграцию, сохраняя канал безопасности. Без сторонних утилит, без правки реестра вслепую. 🛑
Что изменилось в апреле 2026 года
На 29.04.2026 актуальная сборка Windows 10 22H2 — 19045.7184 (KB5082200 от 14 апреля). Это финальная ветка потребительской версии. Расширенные обновления безопасности (ESU) доступны до 13 октября 2026 года. 📅
Важно: блокировка предложения обновления не отключает ежемесячные quality updates. Вы остаётесь на 22H2, продолжаете получать заплатки безопасности, но система перестаёт сканировать серверы на предмет feature update. Это официальный сценарий, задокументированный в Microsoft Learn.
Windows 11 в 2026 году существует в двух актуальных ветках: 24H2 (сборка 26100) и 25H2 (сборка 26200). Если ваша инфраструктура не готова к миграции, политика целевой версии позволяет зафиксировать текущее состояние без риска случайного апгрейда. 📊
Как работает механизм на уровне агента
Агент обновлений wuauserv формирует HTTPS-запрос к серверам Microsoft. В заголовках передаётся конфигурация железа, текущая сборка и список разрешённых политик. Политика Select the target Feature Update version добавляет в запрос параметр целевой версии. 🔍
Сервер Microsoft видит флаг, фильтрует ответ и не возвращает метаданные для Windows 11. Агент просто не видит предложения. Это не эмуляция, не обход. Это штатная фильтрация на стороне клиента и сервера. Вы используете архитектуру по назначению.
Нюанс: параметр ProductVersion в реестре был добавлен в 2023 году. Старые инструкции, пропускающие этот ключ, приведут к игнорированию политики. Указание только TargetReleaseVersionInfo недостаточно. 📜
Точная настройка через gpedit.msc
Запускайте. Каждый шаг проверен на сборках 19045.7184 и новее. ⚙️
Нажмите Win + R, введите gpedit.msc, нажмите Enter.
Если окно не открывается — проверьте редакцию через winver. Домашняя версия не поддерживает локальный редактор групповых политик.
Перейдите по пути:
Computer Configuration → Administrative Templates → Windows Components → Windows Update → Windows Update for Business
В русской локализации: «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Центр обновления Windows» → «Центр обновления для бизнеса». 🗂️
Найдите политику:
Select the target Feature Update version
Русский вариант: «Выбор целевой версии функционального обновления».
Дважды кликните, переключите в Enabled (Включено). 🔄
Заполните параметры строго по формату:
- Product version: введите Windows 10
- Target release version: введите 22H2
- Убедитесь, что галочка применения к устройствам Windows 10 активна.
Нажмите Apply, затем OK.
Важно: не закрывайте окно сразу. Система должна зафиксировать изменения в локальной базе политик.
Закройте редактор. Политика записана, но ещё не активирована в агенте. 💾
Мгновенное применение и первичная верификация
Ждать 90 минут для применения политик — роскошь. ⚡ Применяем вручную.
Откройте командную строку с правами администратора, выполните:
gpupdate /force
Дождитесь сообщения об успешном обновлении. Перезагрузите машину. Агент WU считывает целевую версию только при старте службы.
Проверка: после входа откройте «Параметры» → «Система» → «Центр обновления Windows». Баннер с предложением апгрейда должен отсутствовать. В списке доступных обновлений останутся только ежемесячные патчи. 📱
Аудит: три уровня проверки
Доверять интерфейсу настроек — наивно. Проверяем на уровне системы. 🔎
Уровень 1: через gpresult
Выполните в консоли:
gpresult /r /scope computer
Найдите раздел «Примененные объекты групповой политики». Там должна отображаться ваша локальная или доменная политика. Если её нет — она не применилась.
Уровень 2: через реестр
Политика всегда отражается в реестре. Откройте regedit, перейдите по пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Проверьте наличие трёх параметров:
- ProductVersion (REG_SZ, значение Windows 10)
- TargetReleaseVersion (REG_DWORD, значение 1)
- TargetReleaseVersionInfo (REG_SZ, значение 22H2) 📋
Внимание: в старых инструкциях часто пишут Product. Это ошибка. С 2023 года используется именно ProductVersion. Указание неверного имени параметра приведёт к игнорированию политики.
Уровень 3: через журнал агента
Откройте «Просмотр событий» → «Журналы приложений и служб» → Microsoft → Windows → WindowsUpdateClient. Ищите события с кодом 1 или 31. В описании будет указан статус сканирования. Если в списке найденных обновлений нет Feature Update — блокировка активна. 📖
Почему политика может «не прилипнуть»: чек-лист
Иногда система игнорирует настройку. Это не баг, это архитектурное перекрытие. 🛠️
Доменная политика имеет приоритет. Если компьютер в AD, локальная настройка может быть переопределена. Проверьте через gpresult /h C:\temp\gpreport.html. Откройте отчёт, найдите раздел «Windows Update for Business». Если там указано «Переопределено» — ищите конфликтующую политику в домене.
Intune или MECM управляют обновлениями. В 2026 году многие компании перевели парк на облачное управление. Intune использует OMA-URI, MECM — кольца обновлений. Они имеют приоритет над локальным gpedit. Проверьте порталы управления. ☁️
Кэш обновлений повреждён. Агент может закешировать старый ответ сервера. Очистите кэш:
net stop wuauserv
net stop bits
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
net start wuauserv
net start bits
gpupdate /force
Предупреждение: очистка кэша безопасна, но первое сканирование займёт больше времени. Не прерывайте процесс. 🧹
Отсутствует ключ ProductVersion. Если вы скопировали инструкцию 2022 года, там может не быть этого параметра. Без него политика не сработает. Добавьте вручную.
Масштабирование в доменной среде
Настройка одного ПК — это демо. Реальная работа начинается, когда нужно заблокировать предложение на 500+ узлов. 🌐
Откройте Group Policy Management на контроллере домена.
Создайте новый GPO: кликните правой кнопкой по домену или OU → «Create a GPO in this domain, and Link it here». Назовите его понятно: Block_Win11_FeatureUpdate_2026.
Кликните правой кнопкой → «Edit». Пройдите по стандартному пути в Windows Update for Business. Включите политику, задайте Windows 10 и 22H2. Закройте редактор. 🖥️
Настройте Security Filtering: оставьте только Authenticated Users или конкретные группы компьютеров.
Настройте WMI Filter (опционально): создайте фильтр SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0.%" AND ProductType="1". Это гарантирует применение только к клиентским ОС.
Примените к тестовому OU. Подождите репликации. Проверьте через gpupdate /force на клиенте.
Нюанс: не разворачивайте политику на весь домен сразу. Всегда начинайте с 5–10 машин. Ошибка в политике обновлений может остановить критические патчи. 🔒
Альтернатива: прямая правка реестра
Редактор групповых политик может быть недоступен на повреждённых системах. В этом случае используйте прямое редактирование реестра. 📝
Запустите regedit от имени администратора. Перейдите в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows. Если раздел WindowsUpdate отсутствует, создайте его.
Внутри создайте три параметра:
- ProductVersion (тип «Строковый параметр», значение Windows 10)
- TargetReleaseVersion (тип «Параметр DWORD (32 бита)», значение 1)
- TargetReleaseVersionInfo (тип «Строковый параметр», значение 22H2)
Закройте редактор реестра. Примените изменения через gpupdate /force или перезагрузку.
Лайфхак: для быстрого развёртывания создайте .reg файл. Скопируйте содержимое в текстовый документ, сохраните с расширением .reg и запустите от имени администратора. 💾
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ProductVersion"="Windows 10"
"TargetReleaseVersion"=dword:00000001
"TargetReleaseVersionInfo"="22H2"
Интеграция с WSUS и гибридными средами
Если инфраструктура использует локальный сервер обновлений, блокировка предложения требует дополнительной настройки. 🖧
Откройте консоль Windows Server Update Services. Перейдите в Options → Products and Classifications. Вкладка Products. Снимите галочку с Windows 11. Сохраните изменения.
Запустите синхронизацию сервера. Клиенты, получающие обновления через WSUS, не увидят предложение. Метод надёжен для изолированных сетей без прямого доступа к интернету.
Нюанс: в гибридных средах часть машин может получать обновления из интернета, а часть через WSUS. Настройте блокировку на всех узлах. Иначе свободные клиенты начнут предлагать апгрейд, создавая путаницу в поддержке. 🌍
Откат конфигурации и подготовка к миграции
Блокировка временна. Когда инфраструктура будет готова, политику нужно отключить. 🔙
Откройте gpedit.msc. Найдите Select the target Feature Update version. Переключите в Not Configured. Нажмите OK. Выполните gpupdate /force и перезагрузите систему.
Агент обновлений перечитает конфигурацию. При следующем сканировании система запросит список доступных feature updates. Баннер появится в течение 24 часов, если серверы подтверждают совместимость.
Важно: перед снятием блокировки проверьте аппаратные требования. TPM 2.0, Secure Boot, поддерживаемые процессоры. Если система не соответствует требованиям, предложение не появится, даже при разрешённой политике. ⚠️
Архитектурные ограничения и реальные сценарии отказа
Политика блокирует только предложение через Windows Update. Она не предотвращает ручную установку с ISO или флешки. Для полного контроля используйте AppLocker или политики ограничения программного обеспечения. 🚫
Запретите запуск setup.exe из сторонних источников. Настройте правило пути для C:\$WINDOWS.~BT\. Файлы предварительной загрузки не должны запускаться без явного разрешения администратора.
Некоторые приложения сторонних разработчиков интегрируются с агентом обновлений. Антивирусы, DLP-системы, ERP-клиенты могут принудительно предлагать апгрейд. Проверяйте журналы стороннего ПО при аномальном поведении. 🔍
Финальный чек-лист перед завершением
Если все пункты закрыты — вы успешно изолировали систему от нежелательного функционального апдейта. ✅
- Политика Select the target Feature Update version включена.
- Параметры ProductVersion, TargetReleaseVersion, TargetReleaseVersionInfo соответствуют вашей сборке.
- Выполнен gpupdate /force и перезагрузка.
- В реестре присутствуют три ключа с точными значениями.
- В Центре обновления отсутствует баннер миграции.
- Ежемесячные quality updates продолжают приходить и устанавливаться.
- Конфликтов с Intune/MECM/доменными GPO не выявлено.
Теперь вы управляете циклом, а не цикл управляет вами. 🔄
Вопрос для технической дискуссии
Целесообразно ли сохранять Windows 10 через ESU и политики блокировки в 2026 году, если поддержка заканчивается в октябре, а Windows 11 24H2/25H2 уже стабилизировала ядро, поддерживает legacy-приложения через изолированные контейнеры, а требования к безопасности стали строже? Опишите ваш выбор конфигурации, укажите конкретные метрики стабильности или проблемы совместимости, с которыми вы столкнулись при миграции или отказе от неё. 🔥
Материал носит технический характер. Автор не несёт ответственности за последствия применения инструкций в производственных средах без предварительного тестирования.
#групповыеполитики #windows10 #windows11 #обновления #блокировка #gpedit #реестр #sysadmin #it #инструкция #техно89 #яндексдзен #безопасность #корпоративнаясреда #activedirectory #wsus #администрирование #апдейты #миграция #22h2 #24h2 #политикиобновлений #контрольверсий #стабильность #совместимость #профи #инфраструктура #управление #intune #esupdates