Что заставляет службу оркестратора обновлений повторно включаться в Windows 10?

tag-icon tag-icon windows-10 windows-registry windows-update services windows-services
Что заставляет службу оркестратора обновлений повторно включаться в Windows 10?

Следующие службы были успешно отключены, а их исполняемые файлы, которые их активируют, лишились разрешений безопасности в свойствах:

  1. Фоновая интеллектуальная служба передачи
  2. Обновление службы Orchestrator
  3. Центр обновления Windows Windows
  4. Обновление медицинской службы

Я также полностью отключил эти службы в Task Scheduler и в соответствующих настройках файла реестра и перезагрузил, чтобы подтвердить сохранение настроек файла реестра. Сам Task Scheduler, по сути, был полностью отключен и не может быть доступен даже на системном уровне MMC.

ОДНАКОСлужба оркестратора обновлений каким-то образом способна повторно активироваться каждый день и загружает пакет KB5008212 (или любой другой пакет, которого у меня нет), если он еще не загружен, поэтому удаление пакета не помогает.

Эта машина для тестирования, и я не хочу устанавливать пакет KB5008212. У меня всегда запущена консоль MMC системного/административного уровня, чтобы мне было проще просто обновить инструмент служб в компоненте управления компьютером, найти Update Orchestrator Service, отключить и остановить службу, а затем нажать Apply/OK.

Я протестировал, чтобы увидеть, что произойдет, если я не буду делать это каждый день. Когда он снова активировался, я оставил его в покое, и в конечном итоге, в течение нескольких дней, 4 службы, которые я перечислил выше, снова включатся и активируются одна за другой.

Я устал постоянно с этим бороться. Если сохраненные изменения реестра, разрешения активации безопасности для их файлов и отключенные настройки в службах в совокупности не могут этого сделать.

Я хочу знать, что именно будет происходить, и какая еще служба или задача отвечает за его повторную активацию.

решение1

*Обновлено для Windows 22H2

Простой ответ:Медицинская служба Центра обновления Windows(WaaSMedicSvc)

Отключить это можно двумя способами:

  1. Его обслуживание.Для этого вам нужно сделать это через реестр (всегда делайте резервную копию всех ключей реестра и сохраняйте их где-нибудь перед внесением изменений).

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc]
"Start"=dword:00000004
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,00,00,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

    Это отключает службу и устанавливает действие при сбое на «Не предпринимать никаких действий».

  2. Вам нужно отключить запланированную задачу для него. Вы можете сделать это, загрузив Execti.exe и запустив mmc.exe /s taskschd.msc внутри него, затем перейдя в Task Scheduler Library > Windows > WaasMedic, а затем отключить его. Или сделайте это через реестр здесь:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CEC0B91-4AE9-4E8A-ACB2-3B4C811F442C}]
"Hash"=hex:6f,ad,62,d5,2a,7b,61,a6,ea,0d,3e,20,80,1f,04,8f,b3,3e,4f,01,39,e6,85,f2,25,b9,a9,77,9f,64,be,2d

    Ваши конечные номера (0CEC0B91-4AE9-4E8A-ACB2-3B4C811F442C) могут отличаться, поэтому найдите основной раздел (\Tasks), нажав клавишу F3, и найдите:PerformRemediation

Вот и все. Я предлагаю, чтобы отключить все это, не намереваясь удалять что-либо навсегда, отключить все следующие службы и задачи:

Услуги:

Background Intelligence Transfer (BITS)
Update Orchestrator Service (can also disable its tasks)
Windows Update
Windows Update Medic Service

Если какие-либо из них по какой-то причине не позволяют вам отключить их, вы можете сделать это в реестре, назначив их Start на 4 (1=автоматически отложенный, 2=автоматически, 3=вручную, 4=отключено):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc]
"Start"=dword:00000004

Вот моя полная запись в реестре, которая позволит сделать все за один раз.

Windows Registry Editor Version 5.00

;; READ NOTE FIRST ABOUT EXECTI.EXE
;; system32\usoclient.exe may be renamed if needed (Orchestrator file)

;; UpdateOrchestrator\Schedule Scan

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{440D36C3-DA3F-4CD8-A99E-D698432D005A}]
"Hash"=hex:f6,1b,aa,e5,4a,a7,19,31,58,fa,96,7b,39,45,40,67,c1,2f,3c,ba,9f,9c,\
  90,28,3c,8a,2d,80,7e,ba,11,fd

;; WaaSMedic\PerformRemediation (update medic)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CEC0B91-4AE9-4E8A-ACB2-3B4C811F442C}]
"Hash"=hex:6f,ad,62,d5,2a,7b,61,a6,ea,0d,3e,20,80,1f,04,8f,b3,3e,4f,01,39,e6,\
  85,f2,25,b9,a9,77,9f,64,be,2d

;; use ExecTI.exe if possible to disable the Scheduled Task / triggers manually (it should change this anyhow), if not then use this.
;; THE CODE: 440D36C3-DA3F-4CD8-A99E-D698432D005A may be different. Search for "UpdateOrchestrator\Schedule Scan" in registry.

;; SERVICES

;; Windows Update Medic Service

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc]
"Start"=dword:00000004
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,00,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

;; Update Orchestrator Service

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc]
"Start"=dword:00000004
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,00,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

;; BITS

[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"Start"=dword:00000004
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,00,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

;; Update

[Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000004
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,00,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001
"AUOptions"=dword:00000002

;; Disable Maintenance Wake Up

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Maintenance]
"WakeUp"=dword:00000000

;; Windows Modules Installer (TrustedInstaller)
;; needs key permissions as administrator 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrustedInstaller]
"Start"=dword:00000004

;; change to 3 to put it back to manual (default). These components re-enables windows update and BITS components periodically.
;; failure actions is the Recovery tab under the service properties specified to "take no action"

Я рекомендую вам использовать SetACL, если вы хотите создать пакетный файл для автоматизации всего этого и одновременной остановки компонентов. SetACL получит разрешение необходимых ключей реестра для изменения TrustedInstaller и других на 4 (отключено).

Вот пример пакетного файла (disable_all.bat):

@echo off
SetACL.exe -on "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrustedInstaller" -ot reg -actn setowner -ownr n:Administrators
SetACL.exe -on "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrustedInstaller" -ot reg -actn ace -ace "n:Administrators;p:full"
regedit.exe /S disable_update_components.reg
TIMEOUT 1
sc config "WaaSMedicSvc" start= disabled
sc stop "WaaSMedicSvc"
TIMEOUT 1
sc config "UsoSvc" start= disabled
sc stop "UsoSvc"
TIMEOUT 1
net stop BITS
sc config "BITS" start= disabled
sc stop "BITS"
TIMEOUT 1
sc config "wuauserv" start= disabled
sc stop "wuauserv"
TIMEOUT 1
sc config "TrustedInstaller" start= disabled
sc stop "TrustedInstaller"

Если все остальное не помогает, вы можете просто переименовать system32\usoclient.exe или попробовать что-то вроде Wu10Man, чтобы посмотреть, поможет ли это (хотя, по сути, он делает все, что нужно), и просто оставить задачи/компоненты как есть.

Если вы хотите отменить какие-либо из этих изменений, просто измените «Start»=dword:00000004 на «Start»=dword:00000003

решение2

Я думал, что это скрытая служба, WaaSMedicSvcкоторую можно отключить в реестре, но это тоже не помогло. ( HKLM\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc, Start=4)

Я смотрел на Azure VMs, которые вы можете указать, чтобы не получать обновления. Единственное, что я смог найти, это то, что эти ключи reg (со времен XP) были фактически установлены: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate= 1 (включено)

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions= 3 (АвтообновлениеРежимЗагрузки)

Пока не тестировал их на своем W10 (не верил, что они что-то изменят, но кто знает).

Служба WaaSMedicSvcбыла установлена ​​на 3 (ручной режим)

ОБНОВЛЯТЬ:

Только что узнал, что есть еще задача расписания WaaSMedic:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\WaaSMedic

...может быть, это оно! MS действительно приложила немало усилий, чтобы защитить эту задачу, используя очень строгие разрешения, не может сделать это в графическом интерфейсе (это хороший знак :-P)

ОБНОВЛЕНИЕ 2: Задача расписания WaaSMedic тоже, похоже, не сработала :-(

Связанный контент