彻底屏蔽windows 11更新服务器需五步:一、禁用wuauserv、usosvc、bits等核心服务;二、禁用windowsupdate及updateorchestrator下所有计划任务;三、在注册表新建windowsupdate\au项并设noautoupdate和donotconnecttowindowsupdateinternetlocations为1;四、用powershell创建防火墙规则阻止更新ip段及dns请求;五、修改hosts文件将更新域名指向127.0.0.1。
如果您尝试阻止Windows 11连接更新服务器,系统仍持续检查、下载甚至安装更新,则可能是由于多个服务、计划任务及网络策略共同维持着与Microsoft更新服务器的通信链路。以下是彻底屏蔽Win11更新服务器的操作步骤:
一、禁用Windows Update及相关核心服务
Windows Update服务(wuauserv)是系统连接微软更新服务器的主通道,而UsoSvc(Update Orchestrator Service)、BITS(Background Intelligent Transfer Service)和Update Orchestrator Service则承担协调、传输与部署功能。仅禁用单一服务无法阻断全部通信,必须全部停用并设为禁用启动类型,才能从进程层切断所有出站连接。
1、按下Win + R组合键,输入services.msc并回车,打开服务管理器。
2、在服务列表中找到Windows Update,右键选择“属性”。
3、将“启动类型”设为禁用;若状态为“正在运行”,点击“停止”按钮。
4、切换至“恢复”选项卡,将“第一次失败”“第二次失败”“后续失败”全部设为无操作,点击“应用”和“确定”。
5、重复步骤2–4,依次处理以下服务:UsoSvc、Background Intelligent Transfer Service(BITS)、Update Orchestrator Service。
二、禁用Windows Update相关计划任务
即使所有服务均已禁用,系统仍可能通过预设的计划任务在后台唤醒更新模块,并重建与更新服务器的连接。这些任务存在于任务计划程序库中,会定期触发网络请求,必须全部禁用以消除被动通信行为。
1、按下Win + R,输入taskschd.msc并回车,打开任务计划程序。
2、在左侧面板中依次展开:任务计划程序库 → Microsoft → Windows → WindowsUpdate。
3、在右侧任务列表中,右键单击Scheduled Start,选择“禁用”。
4、继续查找并禁用以下任务:Refresh Settings、sihclient、usoclient、RebootWarning。
5、如存在路径为Microsoft\Windows\UpdateOrchestrator下的任何任务,也一并右键禁用。
三、通过注册表强制屏蔽更新服务器访问
注册表中的AU策略项可向Windows Update客户端注入硬性指令,使其在初始化阶段即跳过服务器发现与连接流程。该设置作用于网络协议栈之上,能有效抑制DNS解析、HTTP请求等底层通信行为,是屏蔽服务器访问的关键策略层手段。
1、按下Win + R,输入regedit并以管理员身份运行注册表编辑器。
2、导航至路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows。
3、右键“Windows”项 → 新建 → 项,命名为WindowsUpdate。
4、右键新建的“WindowsUpdate” → 新建 → 项,命名为AU。
5、在“AU”右侧空白处右键 → 新建 → DWORD (32位) 值,命名为NoAutoUpdate。
6、双击NoAutoUpdate,将“数值数据”设为1,基数选十进制,点击“确定”。
7、继续在同一路径下,新建DWORD值名为DoNotConnectToWindowsUpdateInternetLocations,数值数据同样设为1。
四、配置防火墙规则阻止更新服务器域名与IP
Windows Defender 防火墙可在网络驱动层拦截出站连接,直接拒绝系统进程访问微软更新服务器的已知域名及IP段。此方法不依赖服务或策略状态,即使其他防护被绕过,防火墙规则仍持续生效,构成最后一道通信屏障。
1、以管理员身份运行PowerShell。
2、执行以下命令创建出站阻止规则:
3、New-NetFirewallRule -DisplayName "Block Windows Update Servers" -Direction Outbound -Action Block -Program "%SystemRoot%\system32\svchost.exe" -RemoteAddress 20.0.0.0/8,23.0.0.0/8,157.0.0.0/8,204.0.0.0/8 -Profile Any。
4、再执行命令阻止域名解析请求:
5、New-NetFirewallRule -DisplayName "Block WU DNS Queries" -Direction Outbound -Action Block -Protocol UDP -LocalPort 53 -Program "%SystemRoot%\system32\svchost.exe" -Profile Any。
6、关闭PowerShell窗口。
五、修改Hosts文件重定向更新服务器域名
Hosts文件位于操作系统网络栈最前端,可将Windows Update相关域名强制解析至本地环回地址(127.0.0.1),使所有HTTP/HTTPS请求在DNS解析阶段即失败,从而杜绝与远程服务器建立TCP连接的可能性。该方法轻量、即时生效,且不触发任何系统日志或警告。
1、使用记事本以管理员身份打开文件:C:\Windows\System32\drivers\etc\hosts。
2、在文件末尾另起一行,添加以下内容:
3、127.0.0.1 fe2.update.microsoft.com。
4、127.0.0.1 fe3.delivery.mp.microsoft.com。
5、127.0.0.1 www.windowsupdate.com。
6、127.0.0.1 update.microsoft.com。
7、保存文件,关闭记事本。
