关闭Windows 11自动更新需五步:一、注册表设置NoAutoUpdate=1;二、禁用Windows Update、UsoSvc、BITS服务;三、禁用任务计划中WindowsUpdate和UpdateOrchestrator下所有相关任务;四、组策略禁用自动更新及更新访问权限,并配置无效更新服务器;五、防火墙出站规则阻断关键更新域名的80/443端口通信。
如果您尝试关闭 Windows 11 自动更新,但设置后仍持续下载或强制重启,则可能是由于多种机制并行触发更新行为。以下是解决此问题的步骤:
一、验证并修正注册表禁用策略
注册表中若存在冲突键值(如同时存在启用与禁用指令),或路径创建不完整,将导致 NoAutoUpdate 策略失效。必须确保策略路径与数值严格符合系统读取规范。
1、按 Win + R 输入 regedit,以管理员身份运行注册表编辑器。
2、导航至 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows。
3、确认该路径下存在名为 WindowsUpdate 的项;若不存在,右键 Windows → 新建 → 项 → 命名为 WindowsUpdate。
4、在 WindowsUpdate 项下,新建项并命名为 AU。
5、在 AU 项右侧空白处右键 → 新建 → DWORD (32 位) 值 → 命名为 NoAutoUpdate。
6、双击 NoAutoUpdate,将“数值数据”设为 1,基数选择十进制,点击确定。
7、关闭注册表编辑器,重启计算机使更改生效。
二、禁用 Windows Update 服务及其依赖项
仅禁用 Windows Update 服务不足以阻止更新,UsoSvc(Update Orchestrator Service)和 BITS 服务同样参与更新调度。必须同步禁用全部三项核心服务。
1、按 Win + R 输入 services.msc,回车打开服务管理器。
2、依次找到以下三项服务:Windows Update、Update Orchestrator Service、Background Intelligent Transfer Service(BITS)。
3、对每一项执行:右键 → 属性 → 启动类型设为 禁用 → 点击“停止”按钮 → 切换至“恢复”选项卡 → 将“第一次失败”“第二次失败”“后续失败”全部设为 无操作 → 点击应用并确定。
三、清除任务计划程序中的残留触发任务
Windows 11 使用多个计划任务驱动更新流程,包括 Schedule Start、Reboot Required Notification 和 AUScheduledInstall。任一未禁用的任务都可能绕过其他限制重新激活更新。
1、按 Win + R 输入 taskschd.msc,回车打开任务计划程序。
2、在左侧导航栏依次展开:任务计划程序库 → Microsoft → Windows → WindowsUpdate。
3、在右侧任务列表中,右键以下全部任务并选择“禁用”:Schedule Start、AUScheduledInstall、Reboot Required Notification、usoclient。
4、继续展开 Microsoft → Windows → UpdateOrchestrator,禁用其中所有显示为启用状态的任务。
四、通过组策略双重锁定更新权限(专业版/企业版适用)
组策略可覆盖注册表与服务设置,实现策略级封锁。需同时禁用自动更新行为与用户界面访问权限,防止系统通过设置界面重置策略。
1、按 Win + R 输入 gpedit.msc,以管理员身份运行本地组策略编辑器。
2、导航至:计算机配置 → 管理模板 → Windows 组件 → Windows 更新 → 管理最终用户体验。
3、双击“配置自动更新”,选择“已禁用”,点击确定。
4、返回上一级目录,双击“删除使用所有 Windows 更新功能的访问权限”,选择“已启用”,点击确定。
5、再次导航至:计算机配置 → 管理模板 → Windows 组件 → Windows 更新 → Windows 更新代理设置。
6、双击“指定 intranet Microsoft 更新服务位置”,勾选“已启用”,并在“设置目标服务器名称”中输入 空白字符或无效地址(如 127.0.0.1),点击确定。
五、使用防火墙阻断更新域名通信
当系统绕过本地策略直接连接微软更新服务器时,可通过出站规则强制拦截关键域名请求,切断更新源通道。
1、打开“控制面板” → “系统和安全” → “Windows Defender 防火墙” → “高级设置”。
2、在左侧面板点击“出站规则”,右键 → “新建规则”。
3、选择“程序” → 下一步 → 选择“所有程序” → 下一步。
4、选择“阻止连接” → 下一步 → 勾选“域”“专用”“公用” → 下一步。
5、命名规则为“Block Windows Update Domains”,点击完成。
6、双击刚创建的规则 → 切换至“协议和端口”选项卡 → 点击“自定义” → 在“远程端口”中选择“范围”,填入 80, 443 → 确定。
7、切换至“作用域”选项卡 → 在“远程 IP 地址”中点击“下列 IP 地址” → 点击“添加” → 分别填入以下域名对应IP(需提前解析):windowsupdate.com、update.microsoft.com、delivery.mp.microsoft.com、fe2.update.microsoft.com。
