应通过Windows Defender防火墙设置四类出站阻止规则:一、阻止svchost.exe中Windows Update实例;二、阻止SoftwareDistribution目录下wuauclt.exe等进程;三、阻止微软更新域名对应IP段的80/443端口通信;四、启用全局默认出站阻止并手动放行必要应用。
如果您发现Windows 10在2026年仍持续尝试连接微软更新服务器并触发自动下载与安装,即使已禁用服务或组策略,可能是系统通过网络通道绕过本地限制。以下是利用Windows Defender防火墙实施出站阻断的具体步骤:
一、创建阻止Windows Update服务进程的出站规则
该方法通过拦截svchost.exe中承载Windows Update功能的实例,切断其向外发起HTTP/HTTPS请求的能力,确保服务即使启用也无法联网获取更新包。
1、按下 Win + R,输入 control,回车打开控制面板。
2、点击“系统和安全”→“Windows Defender 防火墙”→“高级设置”。
3、在左窗格点击“出站规则”,右键空白处选择“新建规则”。
4、选择“程序”,点击“下一步”。
5、选择“此程序路径”,输入:C:\Windows\System32\svchost.exe,点击“下一步”。
6、选择“阻止连接”,点击“下一步”。
7、勾选“域”、“专用”、“公用”全部网络类型,点击“下一步”。
8、输入名称:Block_WU_Svchost_Outbound,描述可选填,点击“完成”。
二、创建阻止更新缓存目录关联进程的出站规则
SoftwareDistribution文件夹是Windows Update下载内容的临时存储位置,其下的子进程(如wuauclt.exe、usoclient.exe)会主动建立外联。单独封锁该路径可增强阻断精度,避免影响其他svchost宿主服务。
1、在“出站规则”界面右键→“新建规则”。
2、选择“程序”,点击“下一步”。
3、选择“此程序路径”,输入:C:\Windows\SoftwareDistribution\Download\wuauclt.exe,点击“下一步”。(若该路径不存在,跳过此步)
4、选择“阻止连接”,点击“下一步”。
5、勾选全部网络配置文件,点击“下一步”。
6、命名为:Block_WU_Download_Process,点击“完成”。
三、创建阻止微软更新域名的出站规则
该规则直接拦截DNS解析后的IP通信,覆盖所有使用标准HTTP(S)协议访问微软更新基础设施的流量,包括Windows Update、Microsoft Store及后台智能传输服务(BITS)调用。
1、在“出站规则”界面右键→“新建规则”。
2、选择“自定义”,点击“下一步”。
3、在“协议和端口”页,协议类型选“TCP”,远程端口设为“80,443”,点击“下一步”。
4、在“作用域”页,“远程IP地址”选“下列IP地址”,点击“添加”。
5、分别添加以下域名对应的目标地址段(需手动解析后填写):update.microsoft.com、windowsupdate.com、fe2.update.microsoft.com、sls.update.microsoft.com。
6、点击“下一步”,选择“阻止连接”,再点击“下一步”。
7、勾选全部网络类型,点击“下一步”。
8、命名为:Block_MS_Update_Domains,点击“完成”。
四、启用全局出站默认阻止策略(高阶防护)
此步骤将防火墙默认出站行为设为“阻止”,仅放行明确授权的应用,从根本上杜绝未被识别的更新相关进程外联可能,适用于对系统控制要求极高的场景。
1、在“高级安全Windows Defender防火墙”窗口左窗格,右键“出站规则”,选择“属性”。
2、在“出站连接”下拉菜单中,选择:阻止。
3、点击“确定”,系统将提示需要管理员确认,点击“是”。
4、立即手动创建放行规则,允许浏览器、邮件客户端等必要程序联网,否则将导致全部网络应用中断。
