彻底封死windows 11更新包下载需四步:一、拒绝users组对softwaredistribution\download的全部权限;二、禁用bits服务并设恢复操作为无;三、注册表禁用delivery optimization下载模式并锁定缓存路径为只读;四、重命名原download文件夹、新建并设为只读。

如果您发现 Windows 11 在未获许可的情况下持续下载更新包,甚至绕过暂停设置强行获取补丁,则很可能是系统仍能正常访问其默认更新分发目录。以下是彻底封死系统更新包下载路径的多种技术手段:
一、修改 SoftwareDistribution 文件夹权限
该方法通过剥夺系统对核心更新缓存目录的写入与读取权限,使 Windows Update 无法创建、覆盖或执行任何下载内容,从文件系统层实现硬性拦截。
1、打开文件资源管理器,定位到 C:\Windows\SoftwareDistribution 目录。
2、右键单击其中的 Download 文件夹,选择“属性”。
3、切换至“安全”选项卡,点击“编辑”按钮。
4、在弹出的权限窗口中,选中“Users”组,将下方所有权限勾选框全部设为“拒绝”。
5、勾选“替换子容器和对象的所有者”,点击“应用”→“确定”完成强制权限重置。
二、禁用后台智能传输服务(BITS)
BITS 是 Windows 更新包下载的核心传输引擎,即使 Windows Update 服务被禁用,BITS 仍可独立拉取更新数据;关闭它可切断底层下载通道。
1、按 Win + R 输入 services.msc 并回车,打开服务管理器。
2、在列表中找到 Background Intelligent Transfer Service(显示名称可能为“后台智能传输服务”)。
3、右键该服务 → 属性 → 将“启动类型”设为 禁用。
4、若当前状态为“正在运行”,先点击“停止”按钮。
5、切换至“恢复”选项卡 → 将“第一次失败”“第二次失败”“后续失败”全部设为 无操作 → 点击“确定”。
三、重定向并锁定 Delivery Optimization 缓存路径
Delivery Optimization 默认启用 P2P 分发机制,会主动从其他设备或微软服务器下载更新片段;将其缓存目录指向无效路径并设为只读,可阻断所有分发行为。
1、按 Win + R 输入 regedit 并以管理员身份运行注册表编辑器。
2、导航至路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization。
3、若该路径不存在,依次右键新建项:DeliveryOptimization → 新建 DWORD (32 位) 值,命名为 DODownloadMode。
4、双击该值,基数选“十进制”,数值数据填入 0(表示禁用所有下载模式)。
5、在同一路径下,新建另一个 DWORD 值,命名为 CacheHostLocation,数值数据设为 C:\Windows\Temp\DO_LOCKED。
6、手动创建该路径下的空文件夹,并将其属性设为“只读”与“隐藏”。
四、删除并重建只读的 Download 文件夹
此方法利用系统在缺失 Download 子目录时无法初始化下载队列的机制,配合只读属性防止自动重建,形成稳定阻断点。
1、以管理员身份运行命令提示符或 PowerShell。
2、依次执行以下命令:
net stop wuauserv
net stop bits
ren C:\Windows\SoftwareDistribution\Download Download.old
mkdir C:\Windows\SoftwareDistribution\Download
attrib +r +h C:\Windows\SoftwareDistribution\Download
3、重启 Windows Update 服务:net start wuauserv。










