Вы установили Windows 11 25H2 и думаете, что компьютер принадлежит вам? Это опасная иллюзия. Современная система умеет перестраивать себя без вашего ведома и даже без перезагрузки. В этой статье мы не просто поставим обновления на паузу. Мы вырежем механизм автообновления с корнем, заблокируем скрытые триггеры и вернем вам полный контроль над вашим железом.
Господа читатели. Помогите и другим узнать больше. Поделитесь статьёй с друзьями в любых социальных сетях. Поставьте лайк и напишите комментарий. Это очень помогает алгоритмам Дзена. Спасибо.
🛡️ Хотите вернуть полный контроль над своим ПК? 👉 Подписывайтесь на канал «Настройки Windows» — разбираем скрытые механизмы системы без воды и маркетинга. 📌 Сохраните статью в закладки, чтобы не потерять инструкцию при следующем «улучшении» от Microsoft.
🛡️ Фонд цифровой тишины 🛡️
⚠️ Важные предупреждения перед началом
Внимательно прочтите этот блок. Мы вносим изменения на уровне ядра системы.
🛑 Вы снимаете броню. Отключая обновления, вы перестаете получать автоматические патчи безопасности. Вы становитесь своей собственной системой защиты.
🛑 Возможны конфликты. Некоторые компоненты (например, новый Outlook) могут запросить свежие библиотеки. Мы решим это вручную, если потребуется.
🛑 Требуется опыт. Если вы не умеете создавать точки восстановления, лучше остановитесь. Мы будем работать с реестром и службами.
🛑 Сопротивление системы. Windows запрограммирована на самовосстановление. Если сделать это наполовину, она «вылечит» себя и принудительно перезагрузит ваш ПК.
🛠️ Что понадобится для операции
- 💻 ОС: Windows 11 25H2 (OS build 26200.3847 и выше).
- ⚡ Инструмент: PowerShell 7.6.2 LTS (.NET 10.0). Запускаем строго через pwsh.exe от имени Администратора. Старая версия 5.1 не увидит новых механизмов защиты.
- 🔑 Права: Учетная запись с правами локального Администратора.
- ⏱️ Время: Около 30–40 минут. Не спешите, проверяйте каждый шаг.
- ☕ Топливо: Чашка крепкого кофе. Вам понадобится хладнокровие, когда система попытается вас обмануть.
ℹ️ На момент публикации (июнь 2026) Windows 11 25H2 находится в канале Release Preview. Официальный релиз для всех пользователей ожидается в октябре 2026. Все команды протестированы на сборках 26200.xxxx.
📋 Пошаговая инструкция
Мы пойдем по пути эскалации: от очистки кэша к службам, затем в реестр, групповые политики и, наконец, на сетевой уровень.
Шаг 0: Проверка прав, точка восстановления и зачистка следов
Прежде чем ломать, нужно убедиться, что у нас достаточно прав, создать страховку и вымести старый мусор. Многие жалуются, что после твиков Windows всё равно что-то подгружает. Это работает старый кэш.
Выполните в pwsh.exe:
# Проверяем права администратора
if (-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) {
Write-Warning "⚠️ Пожалуйста, запустите PowerShell от имени Администратора!"
return
}
# Проверяем, включено ли восстановление системы
$srEnabled = Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" -Name "RPSessionInterval" -ErrorAction SilentlyContinue
if ($srEnabled -and $srEnabled.RPSessionInterval -eq 1) {
powershell.exe -Command "Checkpoint-Computer -Description 'Before WU Disable' -RestorePointType 'MODIFY_SETTINGS'"
Write-Host "✅ Точка восстановления создана." -ForegroundColor Green
} else {
Write-Warning "⚠️ System Restore отключён. Создаём резервную копию реестра вместо точки восстановления."
reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" "$env:TEMP\RegistryBackup_$(Get-Date -Format 'yyyyMMdd_HHmmss').reg" /y | Out-Null
reg export "HKLM\SYSTEM\CurrentControlSet\Services" "$env:TEMP\ServicesBackup_$(Get-Date -Format 'yyyyMMdd_HHmmss').reg" /y | Out-Null
Write-Host "✅ Резервные копии реестра сохранены в $env:TEMP" -ForegroundColor Yellow
}
# Удаляем старые бэкапы кэша, если они остались с прошлых попыток
if (Test-Path C:\Windows\SoftwareDistribution.old) {
Remove-Item C:\Windows\SoftwareDistribution.old -Recurse -Force -ErrorAction SilentlyContinue
}
if (Test-Path C:\Windows\System32\catroot2.old) {
Remove-Item C:\Windows\System32\catroot2.old -Recurse -Force -ErrorAction SilentlyContinue
}
# Останавливаем службы и переименовываем папки кэша
Stop-Service -Name wuauserv -Force -ErrorAction SilentlyContinue
Stop-Service -Name cryptsvc -Force -ErrorAction SilentlyContinue
Rename-Item C:\Windows\SoftwareDistribution SoftwareDistribution.old -Force -ErrorAction SilentlyContinue
Rename-Item C:\Windows\System32\catroot2 catroot2.old -Force -ErrorAction SilentlyContinue
Start-Service -Name cryptsvc -ErrorAction SilentlyContinue
💡 Сначала мы проверяем, что у нас есть права на изменения. Затем создаём «сохранение» на случай, если что-то пойдёт не так (вызываем legacy PowerShell 5.1, так как в PS 7 нет cmdlet Checkpoint-Computer; если System Restore отключён — делаем бэкап реестра). После этого стираем «черновики» Microsoft — переименовав папки кэша, мы заставляем систему начать с чистого листа, который мы тут же заблокируем.
Шаг 1: Убийство гидры (Службы)
Windows Update — это не одна служба. Отрубишь одну голову, вырастут две другие. Мы парализуем их все одновременно.
$services = @("wuauserv", "UsoSvc", "DoSvc", "WaaSMedicSvc")
foreach ($svc in $services) {
Write-Host "🛑 Остановка и отключение: $svc" -ForegroundColor Red
Stop-Service -Name $svc -Force -ErrorAction SilentlyContinue
Set-Service -Name $svc -StartupType Disabled -ErrorAction SilentlyContinue
}
foreach ($svc in $services) {
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Services\$svc"
if (Test-Path $regPath) {
Set-ItemProperty -Path $regPath -Name "Start" -Value 4 -Force
}
}
Write-Host "✅ Службы обновлений парализованы." -ForegroundColor Green
💡 Значение 4 в реестре означает жесткое отключение. Мы бьем по «медику» (WaaSMedicSvc) одновременно с остальными, чтобы он не смог их «вылечить».
🔥 Секретный апгрейд (Уровень PRO): Одного отключения мало. Планировщик заданий умеет воскрешать WaaSMedicSvc. Найдите файл C:\Windows\System32\WaaSMedicSvc.exe, через «Свойства» → «Безопасность» смените владельца на себя и установите запрет (Deny) на «Чтение и выполнение» для групп SYSTEM и TrustedInstaller. После этого никакой скрипт Microsoft не сможет его запустить.
Шаг 2: Выжженная земля в реестре
Службы отключены, но настройки Windows всё ещё «помнят», что обновления нужны. Мы перепишем её внутренние инструкции.
$paths = @(
"HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate",
"HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU"
)
foreach ($path in $paths) {
if (-not (Test-Path $path)) { New-Item -Path $path -Force | Out-Null }
}
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "NoAutoUpdate" -Value 1 -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "AUOptions" -Value 1 -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name "DisableWindowsUpdateAccess" -Value 1 -Force
💡 Ключ DisableWindowsUpdateAccess = 1 полностью скрывает функционал обновлений из интерфейса, делая кнопку проверки неактивной или исчезнувшей.
Шаг 3: Гильотина для Hotpatching
В версии 25H2 Microsoft активно продвигает Hotpatching — внедрение кода в оперативную память на лету, без перезагрузки. Вы даже не узнаете, что в систему загрузили новый модуль телеметрии.
# Отключаем Hotpatching через официальный ключ политики WU
$wuPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"
if (-not (Test-Path $wuPath)) {
New-Item -Path $wuPath -Force | Out-Null
}
$existing = Get-ItemProperty -Path $wuPath -Name "DisableHotpatching" -ErrorAction SilentlyContinue
if ($null -ne $existing -and $null -ne $existing.DisableHotpatching) {
Set-ItemProperty -Path $wuPath -Name "DisableHotpatching" -Value 1 -Force
} else {
New-ItemProperty -Path $wuPath -Name "DisableHotpatching" -Value 1 -PropertyType DWord -Force | Out-Null
}
# Блокируем планировщик задач, который триггерит тихие обновления
Get-ScheduledTask -TaskPath "\Microsoft\Windows\UpdateOrchestrator\" | Disable-ScheduledTask -ErrorAction SilentlyContinue
💡 Мы ставим блок на уровне политик и отключаем задачи в «Планировщике», которые являются «будильниками» для тихих обновлений.
🔥 Секретный апгрейд (Заглушка UsoClient): Исполняемый файл UsoClient.exe может быть вызван другими процессами для тихой проверки. Переименуйте C:\Windows\System32\UsoClient.exe в UsoClient.exe.bak. На его месте создайте пустой текстовый файл, назовите его UsoClient.exe и установите атрибут «Только для чтения» + запрет доступа для системы.
Шаг 4: Крепость групповых политик (GPO)
Групповые политики имеют более высокий приоритет, чем обычный реестр. Мы настроим железные правила.
$gpoPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"
$auPath = "$gpoPath\AU"
Set-ItemProperty -Path $auPath -Name "NoAutoUpdate" -Value 1 -Force
Set-ItemProperty -Path $gpoPath -Name "SetDisableUXWUAccess" -Value 1 -Force
Set-ItemProperty -Path $gpoPath -Name "DisableWindowsUpdateAccess" -Value 1 -Force
Set-ItemProperty -Path $auPath -Name "NoAutoRebootWithLoggedOnUsers" -Value 1 -Force
Set-ItemProperty -Path $auPath -Name "NoAUAsDefaultShutdownOption" -Value 1 -Force
Set-ItemProperty -Path $gpoPath -Name "ManagePreviewBuilds" -Value 1 -Force
Set-ItemProperty -Path $gpoPath -Name "ManagePreviewBuildsPolicyValue" -Value 0 -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching" -Name "SearchOrderConfig" -Value 0 -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection" -Name "AllowTelemetry" -Value 0 -Force
# Принудительно применяем политики
gpupdate /force | Out-Null
Write-Host "✅ Политики применены." -ForegroundColor Green
💡 Мы запрещаем системе выходить в интернет за обновлениями, убираем кнопку из меню выключения, блокируем сырые Insider-сборки, автообновление драйверов и глушим «маяк» телеметрии. Команда gpupdate /force заставляет Windows немедленно применить новые политики без ожидания перезагрузки.
Шаг 5: Сетевая блокада
Даже если служба ожила, она не сможет связаться с сервером Microsoft. Мы отправим запросы в «черную дыру».
# Требуется запуск PowerShell от имени Администратора
$domains = @("windowsupdate.microsoft.com", "update.microsoft.com", "download.windowsupdate.com", "wustat.windows.com", "ntservicepack.microsoft.com")
foreach ($domain in $domains) {
New-NetFirewallRule -DisplayName "Block WU: $domain" -Direction Outbound -Action Block -RemoteAddress Any -RemotePort 80, 443 -ErrorAction SilentlyContinue | Out-Null
}
# Нулевой маршрут для IP-адресов серверов WU
# Если у вас несколько сетевых адаптеров, добавьте параметр IF <номер_интерфейса>
# Узнать номер: route print | Select-String "Interface List" -Context 0,10
$routeIPs = @("13.107.4.50", "20.70.246.20", "40.126.32.100")
foreach ($ip in $routeIPs) {
route add $ip mask 255.255.255.255 127.0.0.1 -p | Out-Null
}
💡 Команда route add с адресом 127.0.0.1 говорит системе: «Если ты ищешь этот IP-адрес Microsoft, ищи его у себя в зеркале». Для абсолютной гарантии опытные пользователи дополнительно прописывают эти домены в файл hosts, направляя их на 0.0.0.0.
⚠️ Важное предупреждение: IP-адреса 20.70.246.20 и 40.126.32.100 используются не только для Windows Update, но и для Azure, Office 365, OneDrive и Teams. Их блокировка может нарушить работу этих сервисов. Если вы активно пользуетесь облачными сервисами Microsoft — применяйте только блокировку по доменам через брандмауэр, не трогайте маршруты.
🔍 Проверка результата
Выполните эти команды:
1️⃣ Проверка служб:
Get-Service wuauserv, UsoSvc, WaaSMedicSvc | Select-Object Name, Status, StartType
Ожидаемый результат: Status — Stopped, StartType — Disabled.
2️⃣ Проверка политик:
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "NoAutoUpdate"
Ожидаемый результат: Значение равно 1.
3️⃣ Сетевой тест:
Test-NetConnection -ComputerName windowsupdate.microsoft.com -Port 443
Ожидаемый результат: TcpTestSucceeded : False.
4️⃣ Визуальная проверка: Откройте «Параметры» → «Центр обновления Windows». Вы должны увидеть надпись «Некоторые параметры управляются вашей организацией», а кнопки будут неактивны.
🔄 План «Б»: откат изменений
Если вам срочно понадобился драйвер или вы решили вернуть всё как было, запустите этот скрипт от администратора:
$services = @("wuauserv", "UsoSvc", "DoSvc", "WaaSMedicSvc")
foreach ($svc in $services) { Set-Service -Name $svc -StartupType Manual -ErrorAction SilentlyContinue }
$gpoPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"
$paths = @("HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate", "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU")
foreach ($path in $paths) {
Remove-ItemProperty -Path $path -Name "NoAutoUpdate" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path $path -Name "DisableWindowsUpdateAccess" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path $path -Name "DisableHotpatching" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path $path -Name "SetDisableUXWUAccess" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path $path -Name "NoAutoRebootWithLoggedOnUsers" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path $path -Name "NoAUAsDefaultShutdownOption" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path $path -Name "ManagePreviewBuilds" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path $path -Name "ManagePreviewBuildsPolicyValue" -ErrorAction SilentlyContinue
}
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching" -Name "SearchOrderConfig" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection" -Name "AllowTelemetry" -ErrorAction SilentlyContinue
Get-ScheduledTask -TaskPath "\Microsoft\Windows\UpdateOrchestrator\" | Enable-ScheduledTask -ErrorAction SilentlyContinue
Get-NetFirewallRule -DisplayName "Block WU: *" | Remove-NetFirewallRule -ErrorAction SilentlyContinue
# Удаляем нулевые маршруты
$routeIPs = @("13.107.4.50", "20.70.246.20", "40.126.32.100")
foreach ($ip in $routeIPs) {
route delete $ip | Out-Null
}
# Принудительно обновляем политики
gpupdate /force | Out-Null
Restart-Service CryptSvc -Force
Write-Host "✅ Откат выполнен. Рекомендуется перезагрузка." -ForegroundColor Green
💡 После выполнения рекомендуется перезагрузить компьютер для полного сброса кэша и политик.
⚠️ Важно: Если вы применяли «секретные апгрейды» (переименование UsoClient.exe или изменение ACL на WaaSMedicSvc.exe), этот скрипт их не откатит. Вам придётся вручную:
переименовать UsoClient.exe.bak обратно в UsoClient.exe,
восстановить права доступа через «Свойства» → «Безопасность» → «Дополнительно» → «Восстановить наследование».
❓ Вопросы и ответы
🤔 Мой компьютер теперь беззащитен перед вирусами?
Вы меняете один риск на другой. Да, нет автоматического патча от уязвимости нулевого дня. Но вы также не получите обновление, которое сломает совместимость или включит скрытую телеметрию. Ваша защита теперь — здравый смысл и хороший антивирус.
🤔 А как же драйверы? Перестанет работать видеокарта?
Windows Update — худший менеджер драйверов. Он часто ставит универсальные версии, вызывающие синие экраны. Скачивайте драйверы напрямую с сайтов производителей (Nvidia, AMD, ASUS). Вы контролируете процесс.
🤔 Почему нельзя использовать сторонние программы типа «Windows Update Blocker»?
Сторонние утилиты — это «черные ящики». В версии 25H2 с её активным Hotpatching простые утилиты прошлых лет оставляют лазейки. Мы сделали всё вручную, прозрачно и на уровне ядра.
🤔 В Центре обновлений всё равно крутится колёсико.
Это кэш интерфейса. Просто перезагрузите ПК. Интерфейс подхватит новые политики GPO.
🤔 Это законно?
Это ваш компьютер. Вы имеете полное право контролировать, какой код выполняется на вашем железе. Вы имеете право отказаться от «услуги», которую вам навязывают.
🎯 Финал и что дальше
🛠️ Теперь ваша система действительно принадлежит вам, а не корпорации.
Если этот гайд сэкономил вам нервы и время, поставьте 👍 лайк и подпишитесь на канал «Настройки Windows» — впереди еще больше жестких, но честных гайдов. Отправьте этот материал другу, чей компьютер вечно «тормозит из-за обновлений» — эта информация бесценна.
Обновления мертвы. Мы перерезали им горло, сожгли мосты и зацементировали двери. Вы чувствуете эту тишину? Никаких внезапных перезагрузок. Никаких «Настройка обновлений 30%».
Но не обольщайтесь. Windows всё ещё общается с сотнями серверов Microsoft через легальные порты. Она отправляет данные телеметрии, отчеты об ошибках и статус лицензии через порт 443, замаскированные под обычный HTTPS-трафик. Ни файл hosts, ни отключенные службы не остановят это. Сеть для системы — это океан, а мы закрыли только одну гавань.
Вам нужен не просто замок на двери. Вам нужен пограничник с автоматом, который стоит на мосту и проверяет каждый пакет данных, сверяя его со списком врагов.
Кто он — в статье №10:
Готовьтесь переписать правила сетевого мира.
#Windows11 #WindowsUpdate #НастройкиWindows #БезопасностьПК #Hotpatching #PowerShell #СистемныйАдминистратор #ОтключениеОбновлений #WaaS #Windows25H2 #ЛайфхакиWindows #Телеметрия #Кибербезопасность #СвойПК #ГрупповыеПолитики #РеестрWindows #Брандмауэр #ОптимизацияПК #Windows1125H2 #СоветыСисадмина #Приватность #УскорениеКомпьютера #БлокировкаТелеметрии #ITлайфхаки #ЯндексДзен #WaaSMedic #UsoClient #PowerShell7 #WindowsAsAService #ЦифровойСуверенитет
✴️ Дорогие друзья. Если статья оказалась полезна, одна СТЕЛЛА от вас = мощная реклама для сотен людей. Поддержите контент, чтобы проблемы и решения находились быстрее! ✴️
С уважением. Александр, канал "Настройки Windows" на Яндекс.Дзен