Параметры wsus в реестре windows 10

Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления.  Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS).

В корпоративной сети рекомендуется использование сервера WSUS, так как при этом достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания обновлений.

Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера.

Предварительная настройка

Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.

Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS  размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers.

Групповая политика

Теперь можно приступать к настройке клиента. Заходим на клиентский компьютер, нажимаем Win+R и набираем команду gpedit.msc. Открывается редактор локальной политики компьютера. За настройку обновлений отвечает раздел Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows.

Нам надо настроить следующие политики:

Указать размещение службы обновлений Microsoft в интрасети — задаем адрес или имя сервера обновлений, к которому будет выполняться подключение клиента, а также адрес сервера статистики. Можно указать один и тот же адрес для обеих задач.

Разрешить клиенту присоединение к целевой группе — указываем имя группы на сервере WSUS, к которой должен быть присоединен данный компьютер. В нашем случае это Workgroup.

Настройка автоматического обновления — здесь мы задаем режим загрузки и установки обновлений и расписание, по которому обновления будут устанавливаться. Если расписание не задано, то по умолчанию обновления будут устанавливаться ежедневно в 3 часа ночи.

Частота поиска автоматических обновлений — указываем частоту обращений к серверу для проверки на наличие обновлений. Теперь обращения к серверу WSUS будут происходить через заданный промежуток времени со случайным отклонением для проверки наличия разрешенных для установки обновлений.

Перенос запланированных автоматических установок обновлений — задаем время ожидания перед установкой обновлений в том случае, если плановая установка была пропущена по каким либо причинам.

Не выполнять автоматическую перезагрузку, если в системе работают пользователи — даем пользователю возможность выбора времени перезагрузки после установки обновлений. Если этот параметр не задан или отключен, то пользователю выдается уведомление и компьютер автоматически перезагружается через 5 минут.

Реестр

Теперь те же настройки произведем с помощью правки реестра.

Идем в раздел реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate. Если раздела нет — создаем его. В разделе создаем следующие ключи:

″WUServer″=http://192.168.0.1 — адрес сервера обновлений;
″WUStatusServer″=http://192.168.0.1 — адрес сервера статистики;
″TargetGroupEnabled″=dword:00000001 — размещать компьютер в целевой группе;
″TargetGroup″=″Workgroup″ — имя целевой группы для компьютера.

Далее в разделе HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU создаем ключи:

″NoAutoUpdate″=dword:00000000 — автоматическое обновление включено;
″AUOptions″=dword:00000004 — загружать и устанавливать обновления по расписанию;
″ScheduledInstallDay″=dword:00000001 — устанавливать обновления в 1-й день недели (воскресенье). Для ежедневного обновления нужно задать нулевое значение;
″ScheduledInstallTime″=dword:00000003 — устанавливать обновления в 03:00 часа;
″UseWUServer″=dword:00000001 — использовать для обновлений сервер WSUS.  Если задано нулевое значение, то обновление производится с Microsoft Update;
″DetectionFrequencyEnabled″=dword:00000001 — частота проверки обновлений включена;
″DetectionFrequency″=dword:00000012 — проверять наличие обновлений на сервере каждые 12 часов;
″RescheduleWaitTimeEnabled″=dword:00000001 — переносить пропущенную установку обновлений;
″RescheduleWaitTime″=dword:00000010 — запускать пропущенную установку обновлений через 10 минут после включения компьютера;
″NoAutoRebootWithLoggedOnUsers″=dword:00000001 — не перезагружать компьютер автоматически, если на нем работают пользователи.

Автоматизация настройки

Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
″WUServer″=″http://192.168.0.1″
″WUStatusServer″=″http://192.168.0.1″
″TargetGroupEnabled″=dword:00000001
″TargetGroup″=″Workgroup″

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″DetectionFrequency″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его.

Возможные проблемы

Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо произвести на клиенте следующие действия:

• выполнить в консоли cmd команду net stop wuauserv, чтобы остановить службу автоматического обновления;
• запустить regedit и перейти в ветку реестра HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate;
• удалить ключи PingID, AccountDomainSid, SusClientId, SusClientIDValidation (если есть);
• удалить всё содержимое папки %WinDir%SoftwareDistribution (неофициальная рекомендация);
• в консоли выполнить команду net start wuauserv, чтобы запустить службу автоматического обновления;
• в консоли выполнить команду wuauclt.exe /resetauthorization /detectnow и подождать, пока завершится регистрация рабочей станции на сервере WSUS (10-15 минут);
• если компьютер в консоли не появился, то выполнить команду wuauclt.exe /detectnow. Обычно одного повтора достаточно, но может потребоваться и больше;
• зайти в консоль управления WSUS и убедиться, что рабочая станция успешно зарегистрировалась.

В одной из предыдущих статей мы подробно описали процедуру установки сервера WSUS на базе Windows Server 2012 R2 / 2016. После того, как вы настроили сервер, нужно настроить Windows-клиентов (сервера и рабочие станции) на использование сервера WSUS для получения обновлений, чтобы клиенты получали обновления с внутреннего сервера обновлений, а не с серверов Microsoft Update через Интернет. В этой статье мы рассмотрим процедуру настройки клиентов на использование сервера WSUS с помощью групповых политик домена Active Directory.

Групповые политики AD позволяют администратору автоматически назначить компьютеры в различные группы WSUS, избавляя его от необходимости ручного перемещения компьютеров между группами в консоли WSUS и поддержки этих групп в актуальном состоянии. Назначение клиентов к различным целевым группам WSUS основывается на метке в реестре на клиенте (метки задаются групповой политикой или прямым редактированием реестра). Такой тип соотнесения клиентов к группам WSUS называется client side targeting (Таргетинг на стороне клиента).

Предполагается, что в нашей сети будут использоваться две различные политики обновления — отдельная политика установки обновлений для серверов (Servers) и для рабочих станций (Workstations). Эти две группы нужно создать в консоли WSUS в секции All Computers.

Совет. Политика использования сервера обновлений WSUS клиентами во многом зависит от организационной структуры OU в Active Directory и правил установки обновлении в организации. В этой статье мы рассмотрим всего лишь частный вариант, позволяющий понять базовые принципы использования политик AD для установки обновлений Windows.

В первую очередь необходимо указать правило группировки компьютеров в консоли WSUS (targeting). По умолчанию в консоли WSUS компьютеры распределяются администратором по группам вручную (server side targeting). Нас это не устраивает, поэтому укажем, что компьютеры распределяются в группы на основе client side targeting (по определенному ключу в реестре клиента). Для этого в консоли WSUS перейдите в раздел Options и откройте параметр Computers. Поменяйте значение на Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).

Теперь можно создать GPO для настройки клиентов WSUS. Откройте доменную консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групповая политика WSUS для серверов Windows

Начнем с описания серверной политики ServerWSUSPolicy.

Настройки групповых политик, отвечающих за работу службы обновлений Windows, находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows).

В нашей организации мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут отнесены к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Клиент WSUS должен просто скачать доступные обновления на диск, отобразить оповещение о наличии новых обновлений в системном трее и ожидать запуска установки администратором (ручной или удаленной с помощью модуля PSWindowsUpdate) для начала установки. Это значит, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без подтверждения администратора (обычно эти работы выполняются системным администратором в рамках ежемесячных плановых регламентных работ). Для реализации такой схемы зададим следующие политики:

• Configure Automatic Updates (Настройка автоматического обновления): Enable. 3 – Auto download and notify for install (Автоматически загружать обновления и уведомлять об их готовности к установке) – клиент автоматически скачивает новые обновлений и оповещает об их появлении;
• Specify Intranet Microsoft update service location (Указать размещение службы обновлений Майкрософт в интрасети): Enable. Set the intranet update service for detecting updates (Укажите службу обновлений в интрасети для поиска обновлений): http://srv-wsus.winitpro.ru:8530, Set the intranet statistics server (Укажите сервер статистики в интрасети): http://srv-wsus.winitpro.ru:8530 – здесь нужно указать адрес вашего сервера WSUS и сервера статистики (обычно они совпадают);
• No auto-restart with logged on users for scheduled automatic updates installations (Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователя): Enable – запретить автоматическую перезагрузку при наличии сессии пользователя;
• Enable client-side targeting (Разрешить клиенту присоединение к целевой группе): Enable. Target group name for this computer (Имя целевой группу для данного компьютера): Servers – в консоли WSUS отнести клиенты к группе Servers.

Примечание. При настройке политики обновления советуем внимательно познакомиться со всеми настройками, доступными в каждой из опций раздела GPO Windows Update и задать подходящие для вашей инфраструктуры и организации параметры.

Политика установки обновлений WSUS для рабочих станций

Мы предполагаем, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью сразу после получения обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически (предупреждая пользователя за 5 минут).

В данной GPO (WorkstationWSUSPolicy) мы указываем:

• Allow Automatic Updates immediate installation (Разрешить немедленную установку автоматических обновлений): Disabled — запрет на немедленную установку обновлений при их получении;
• Allow non-administrators to receive update notifications (Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях): Enabled — отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку;
• Configure Automatic Updates: Enabled. Configure automatic updating: 4 — Auto download and schedule the install. Scheduled install day: 0 — Every day. Scheduled install time: 05:00 – при получении новых обновлений клиент скачивает в локлаьный кэш и планирует их автоматическую установку на 5:00 утра;
• Target group name for this computer: Workstations – в консоли WSUS отнести клиента к группе Workstations;
• No auto-restart with logged on users for scheduled automatic updates installations: Disabled — система автоматически перезагрузится через 5 минут после окончания установки обновлений;
• Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: http://srv-wsus.winitpro.ru:8530, Set the intranet statistics server: http://srv-wsus.winitpro.ru:8530 –адрес корпоративного WSUS сервера.

В Windows 10 1607 и выше, несмотря на то, что вы указали им получать обновления с внутреннего WSUS, все еще могут пытаться обращаться к серверам Windows Update в интернете. Эта «фича» называется Dual Scan. Для отключения получения обновлений из интернета нужно дополнительно включать политику Do not allow update deferral policies to cause scans against Windows Update (ссылка).

Совет. Чтобы улучшить «уровень пропатченности» компьютеров в организации, в обоих политиках можно настроить принудительный запуск службы обновлений (wuauserv) на клиентах. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).

Назначаем политики WSUS на OU Active Directory

Следующий шаг – назначить созданные политики на соответствующие контейнеры (OU) Active Directory. В нашем примере структура OU в домене AD максимально простая: имеются два контейнера – Servers (в нем содержаться все сервера организации, помимо контроллеров домена) и WKS (Workstations –компьютеры пользователей).

Совет. Мы рассматриваем лишь один довольно простой вариант привязки политик WSUS к клиентам. В реальных организациях возможно привязать одну политику WSUS на все компьютеры домена (GPO с настройками WSUS вешается на корень домена), разнести различные виды клиентов по разным OU (как в нашем примере – мы создали разные политики WSUS для серверов и рабочих станций), в больших распределенных доменах можно привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные способы.

Чтобы назначить политику на OU, щелкните в консоли управления групповыми политиками по нужному OU, выберите пункт меню Link as Existing GPO и выберите соответствующую политику.

Совет. Не забудьте про отдельную OU с контроллерами домена (Domain Controllers), в большинстве случаев на этот контейнер следует привязать «серверную» политику WSUS.

Точно таким же способом нужно назначить политику WorkstationWSUSPolicy на контейнер AD WKS, в котором находятся рабочие станции Windows.

Осталось обновить групповые политики на клиентах для привязки клиента к серверу WSUS:

gpupdate /force

Все настройки системы обновлений Windows, которые мы задали групповыми политиками должны появится в реестре клиента в ветке HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate.

Данный reg файл можно использовать для переноса настроек WSUS на другие компьютеры, на которых не удается настроить параметры обновлений с помощью GPO (компьютеры в рабочей группе, изолированных сегментах, DMZ и т.д.)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
"WUServer"="http://srv-wsus.winitpro.ru:8530"
"WUStatusServer"="http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
"NoAutoUpdate"=dword:00000000 –


"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001


Также удобно контролировать применённые настройки WSUS на клиентах с помощью rsop.msc.

И через некоторое время (зависит от количества обновлений и пропускной способности канала до сервера WSUS) нужно проверить в трее наличие всплывающего оповещений о наличии новых обновлений. В консоли WSUS в соответствующих группах должны появиться клиенты (в табличном виде отображается имя клиента, IP, ОС, процент их «пропатченности» и дата последнего обновлений статуса). Т.к. мы политиками привязали компьютеры и серверы к различным группам WSUS, они будут получать только обновления, одобренные к установке на соответствующие группы WSUS.

В следующей статье мы опишем особенности одобрения обновлений на сервере WSUS. Также рекомендуем ознакомиться со статьей о переносе одобренных обновлений между группами на WSUS сервере.

Обновлено: 15.01.2022
Опубликовано: 08.05.2020

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

1. Задаем имя компьютера.
2. Настраиваем статический IP-адрес.
3. При необходимости, добавляем компьютер в домен.
4. Устанавливаем все обновления Windows.

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

В правой части открытого окна нажимаем Управление — Добавить роли и компоненты:

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Далее выбираем сервер из списка, на который будем ставить WSUS:

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services — в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Прописываем путь, где WSUS будет хранить файлы обновлений:

* в нашем примере был прописан путь C:WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства — Службы Windows Server Update Services:

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

… и ждем завершения настройки:

Откроется стартовое окно мастера настройки WSUS — идем далее:

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

… и дожидаемся окончания процесса:

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

… и среди компонентов на соответствующей странице выбираем .NET Framework 3.5:

Продолжаем установку и завершаем ее.

Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/ru-ru/download/details.aspx?id=45496 и скачиваем установочный пакет:

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры — кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров…:

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел Параметры — Автоматические утверждения:

Кликаем по Создать правило:

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

• Для тестовой группы применять все обновления сразу после их выхода.
• Для рабочих станций и серверов сразу устанавливать критические обновления.
• Для рабочих станций и серверов применять обновления спустя 7 дней.
• Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в Параметры — Компьютеры:

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

1. Для тестовой группы.
2. Для серверов.
3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Центр обновления Windows. Стоит настроить следующие политики:

Название политики	Значение	Описание
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений	Включить	Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений.
Настройка автоматического обновления	Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок.	Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки.
Указать размещение службы обновлений Microsoft в интрасети	Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 *	Настройка говорит клиентам, на каком сервере искать обновления.
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях	Включить	Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи	Включить	Позволит избежать ненужных перезагрузок компьютера во время работы пользователя.
Повторный запрос для перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 1440	Если перезагрузка была отложена, необходимо повторить запрос.
Задержка перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 30	Дает время перед перезагрузкой компьютера после установки обновлений.
Разрешить клиенту присоединяться к целевой группе	Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа	Позволяет добавить наши компьютеры в соответствующую группу WSUS.

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdate. Нам необходимо создать следующие ключи:

• WUServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
• WUStatusServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
• TargetGroupEnabled, REG_DWORD — значение 1
• TargetGroup, REG_DWORD — значение целевой группы, например, «Серверы».

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdateAU. Если он отсутствует, создаем вручную. После нужно создать ключи:

• AUOptions, REG_DWORD — значение 2
• AutoInstallMinorUpdates, REG_DWORD — значение 0
• NoAutoUpdate, REG_DWORD — значение 0
• ScheduledInstallDay, REG_DWORD — значение 0
• ScheduledInstallTime, REG_DWORD — значение 3
• UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

wuauclt.exe /detectnow

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры — Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.

Обновлено 04.04.2022

Добрый день уважаемые читатели, сегодня статья опять посвящена десятке, как вы помните с ее релиза уже прошло почти полтора года, и количество глюков связанных с новыми обновлениями, которые клепают сотрудники Microsoft, только растет и людей которые раньше с радостью переходили с 7 или 8 на свежую операционную систему, при этом хая старые версии, вынуждены признать, что десятка далека от идеала и переходят обратно на привычные себе ос. Сегодня мы с вами разберем вопрос как запретить обновления Windows 10, я конечно за установку обновлений безопасности, но например бывают случаи когда их установка только во вред, и требует обновления по верх нового обновления, которые выходят ой как не сразу.

Почему я могу выключить автоматическое обновление Windows 10 и выше

• В виду санкций, которые наложены на РФ, есть опасение, что в новом обновлении будет некая диверсия, с такой ситуацией уже столкнулись многие пользователи и администраторы, кто использует открытое программное обеспечение. Где после очередного обновления у людей ломалась система, или были всплывающие окна с некими призывами.
• Новое обновление принесло мне синий экран смерти, примером может служить синий экран whea uncorrectable error, согласитесь не очень круто когда закрывая очередной глюк MS вам создает другой
• Не работает какое либо из устройств, примерами могут служить случаи, что после обновления windows 10 не работает камера или Не работает звук на windows 10, я думаю у любого человека сразу отпадет желание, что либо обновлять, особенно у клиентов, зачем лишний геморрой.
• Перестали работать игры или программы, у моего приятеля например есть крутая мышка и например в anniversary update специальная утилита под нее работала, а уже в redstone не работает, а про игры я вообще молчу, особенно у тех людей кто привык ставить крякнутые версии.

Так, что как видите причин не любить десятку и запрещать ее обновления у народа есть.

Какие службы отвечают за обновление в Windows

Прежде, чем я вам покажу все методы, я хочу, чтобы у вас было больше знаний по устройству Windows, а именно я покажу, какие именно службы отвечают за весь процесс скачивания и установки обновлений:

1. Центр обновления Windows (Wuauserv)
2. dosvc
3. WaaSMedicSvc
4. Служба оркестратора обновления для Центра обновления Windows (UsoSvc)
5. Фоновая интеллектуальная служба передачи (BITS)

Как отключить обновления Windows через Windows Update Blocker

Да есть программа запрещающая обновление windows 10, Windows 11 и Windows Server, я если честно не сторонник таких вещей, если все можно реализовать штатными и встроенными средствами самой операционной системы, НО для пользователя это про чем правка реестра или манипуляции с редактором политик. Что вам необходимо, это скачать портативную версию данной утилиты, она полностью бесплатная.

Далее вы просто запускаете Wub_x64.exe. Все, что от вас требуется, это нажать на пункт «Disable Updates» и удостовериться, что проставилась галка «Protect Services Settings«. Как только это выполнено, смело нажимайте кнопку «Apply Now«.

Вы увидите, что статус службы стал красным, это будет означать, что вы полностью отключили обновление Windows 10 навсегда, как бы пафосно это не звучало.

Теперь, кто-бы не пришел к службе обновления Windows и попытался ее запустить, он будет получать ошибку, что отказано в доступе. Миссия выполнена.

Как отключить обновления Windows 10 (Выше) через реестр (Без отключения служб Windows)

Данный метод актуален на текущий момент апрель 2022 года, я протестировал его и на Windows 10 и на Windows 11. Хоть я и не сторонник того, чтобы люди лезли в реестр Windows, когда это можно обойти ,но плюс у данного метода, то что вы делаете свою систему сервером обновления, по сути он сам у себя будет их запрашивать. Так же вам не потребуется играться с автозапуском служб, редактировать на них права или запускать сторонний софт.

Чтобы отключить обновления Windows 10 этим методом, вам необходимо через текстовый редактор создать reg-файл, в котором будут меняться ключи реестра. Просто откройте блокнот Windows, вставьте в него текст, сохраните файл и отредактируйте его расширение с txt на reg.

Запускаем его и соглашаемся с применением изменений вносимых в реестр.

В результате у вас в разделе реестра «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft WindowsWindowsUpdate» появятся 4 ключа.

Чтобы откатить все запретные действия, просто удалите эти 4 ключа реестра:

• DoNotConnectToWindowsUpdateInternetLocations
• UpdateServiceUrlAlternate
• WUServer
• WUStatusServer

Из раздела реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft WindowsWindowsUpdateAU удалите параметр UseWUServer. При попытке установить обновление вы получите ошибку:

Как отключить обновления Windows через групповую политику (Массово)

Когда мы говорим, о корпоративных средах, то там все действия желательно делать централизовано на всех сразу, чтобы можно было покрыть нужной настройкой все компьютеры. Чаще всего корпоративная инфраструктура построена на базе домена Active Directory, в которой централизованным механизмом управления выступает групповая политика.

В своем примере я буду отключать обновления для Windows 10 и Windows Server, но все действия подойдут и для других версий. Откройте редактор групповой политики, выберите нужную организационную единицу, я буду это делать на уровне корня домена. Щелкаем правым кликом и создаем новую групповую политику.

Задаем нужное имя вашей GPO политики, в моем примере будет «Отключение обновления Windows».

Переходим в раздел:

Щелкаем правым кликом и создаем службу wuauserv. Выставляем настройки:

• Автозагрузка — Отключено
• Имя службы — wuauserv
• Действие службы — остановка службы
• Вход в систему — Нет изменений

Сохраняем, хоть мы и отключили автоматический запуск службы «Центр обновления Windows», которая отвечает за установку обновлений Windows, но ее при наличии прав в системе можно запустить, что может и попытаться сделать ОС. Чтобы этого не произошло в этой же политике перейдите в раздел:

Найдите там службы «Центр обновления Windows (wuauserv)». Откройте ее свойства. Выставите тип запуска «Запрещен» и далее кнопку «Изменить параметры». Тут вам необходимо отнять права на запуск ее у системы и администраторов компьютера.

В ACL выберите «СИСТЕМА» и оставьте права «Чтение«, так же поступите и с группой администраторов  и «ИНТЕРАКТИВНЫЕ«.

Сохраняем все изменения и просто теперь дожидаемся обновления политики или делаем это принудительно. После всех этих действий вы навсегда запретили обновление Windows 10 и других версий. Пользователь теперь даже при наличии самых больших прав не сможет изменить данную настройку, если открыть свойства службы, тут все будет не активно.

Если попытаться вручную запросить обновления, то вы получите ошибку:

Как отключить обновления в windows 10 (выше) и Windows Server через запрет службы

Да именно на всегда, пока вы явным образом не захотите сами их включить, ниже я вам подобрал все известные мне методы, некоторые из них простые другие по сложнее. Данный метод, я

Как вы знаете в операционных системах линейки Windows есть служба под названием Центр обновления Windows, именно наличие этого процесса заставляет вашу десятку получать свежие апдейты. Самый быстрый способ отключить работающую службу. Нажимаем волшебную комбинацию горячих клавиш Win+R и в открывшемся окне выполнить пишем services.msc

Спускаемся в самый низ и находим службу под названием Центр обновления Windows, как вы видите она работает и тип запуска у нее автоматический, это означает, что когда запускается система, служба стартует в месте с ней, нам это не нужно. Щелкаем по ней правым кликом и в начале останавливаем ее, затем переходим в свойства.

Находим поле тип запуска и выбираем там Отключена, это сто процентное запрещение, на старт службы.

Благодаря этому вам удалось отключить обновление windows 10, но есть еще маленький нюанс.

Открываем Панель управления > Администрирование > Планировщик заданий

Переходим в Библиотека планировщика > Microsoft > Windows > Windows Update и выключаем там 4 задания, через правый клик.

Должно получиться вот так.

Ниже мы рассмотрим второй метод как отключить автоматическое обновление windows 10.

Как отключить автоматические обновления Windows 10 через локальный редактор политик

Первым метод мы разобрали, расскажу еще про один, но он подойдет далеко не всем пользователям, так как работает он только в Windows 10 Pro и Enterprise, в виду того, что в них есть такой компонент как редактор локальной групповой политики. Он по сути помогает отключить обновления windows 10 в реестре, так как все изменяемые настройки в нем, это просто GUI интерфейс реестра Windows.

Снова нажимаем Win+R и вводим gpedit.msc.

Тут редактор редактор локальной групповой политики, содержит два раздела, на пользователя и на компьютер, нас будет интересовать второй. Переходим по пути:

Именно это пункт поможет отключить обновления windows 10 в реестре, щелкаем по нему двойным кликом. Ставим переключатель в положение Отключено, этим вы делаете запрет автоматического обновления Windows 10 навсегда.

для людей кто хочет все контролировать и сам создать нужные ключи в реестре, делаем следующее. Нужно запустить редактор реестра windows, переходим во в такую ветку:

тут вам через правый клик нужно создать DWORD 32 бита параметр в шеснадцатеричном виде со значением 1.

Вот это два самых действенных метода запретить обновления в windows 10 redstone, ниже я покажу еще пару дополнительных настроек, которые так же в той или иной степени дополнят первые методы.

Использование лимитного подключения

Операционная система Windows 10 имеет в себе такой функционал как лимитное подключение, благодаря ему можно сделать так, что она не будет загружать апдейты автоматически, если используется это подключение. Задав так для WiFi лимитное подключение (логично что в локальной сети это не прокатит), вы отключите установку апдейтов.

Нажимаем Win+I, у вас откроются Параметры Windows 10.

зайдите в Сеть и Интернет — Wi-Fi и ниже списка беспроводных сетей нажмите Дополнительные параметры. Ставим отключить ползунок на Задать как лимитное подключение.

Теперь десятка не будет автоматически загружать и устанавливать новые обновления до тех пор, пока ваше подключение к интернету значится как лимитное.

Если у вас еще остались вопросы о том как как запретить обновления в windows 10, то пишите их в комментариях.

Чтобы указать параметры обновления локальной машины, через сервер Windows Server Update Services (WSUS), на недоменных машинах или на компьютерах, где нет возможности выполнить настройки через групповую политику, можно использовать заранее заготовленный REG-файл, в котором будут указаны, все желаемые параметры. Этот REG-файл, содержит часть реестра Microsoft Windows, в котором определены настройки для клиента Windows Update. Эти значения параметров проще всего выгрузить с компьтера на котором уже выполнена настройка параметров обновления сервера, но если такой возможности нет, то ниже приведен пример такого файла.
В параметрах: WUServer и WUStatusServer указывается полный URL до сервера WSUS,с указанием

• протокола подключения, 
• краткого или полного имени сервера,
• порта подключения, который указывается через двоеточие

Например, http://wsus.userman.ru:8530

NoAUShutdownOption — Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows». Указывает, что для завершения установки по расписанию служба автоматического обновления будет ожидать перезагрузки компьютера любым вошедшим пользователем вместо автоматической перезагрузки компьютера.

Если этот параметр включен, служба автоматического обновления не будет автоматически перезагружать компьютер во время установки по расписанию, если на компьютере имеется вошедший пользователь. Вместо этого пользователю будет выведено уведомление о необходимости перезагрузки компьютера.

NoAutoRebootWithLoggedOnUsers — Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи. Указывает, что для завершения установки по расписанию служба автоматического обновления будет ожидать перезагрузки компьютера любым вошедшим пользователем вместо автоматической перезагрузки компьютера.
NoAutoUpdate — Автоматическое обновление Windows. При каждом подключении пользователя к Интернету Windows проводит поиск доступных обновлений для программного обеспечения и оборудования компьютера и автоматически загружает их. Это выполняется в фоновом режиме, и пользователь получает уведомление перед загрузкой или при готовности загруженных компонентов к установке в зависимости от настройки.  Если этот параметр включен, поиск обновлений Windows запрещен.
AUOptions — Настройка автоматического обновления. Этот параметр позволяет указать, разрешено ли автоматическое обновление на этом компьютере. необходимо выбрать один из вариантов настройки:
2 = Уведомлять перед загрузкой и установкой любых обновлений.
3 = (по умолчанию) Загружать обновления автоматически и уведомлять о готовности к установке
4 = Автоматически загружать и устанавливать обновления по указанному ниже расписанию.
5 = Разрешить локальным администраторам выбирать режим конфигурации, определяющий то, как служба автоматического обновления должна отправлять уведомления и устанавливать обновления. (Этот параметр отсутствует во всех версиях Windows 10.)
7 = Уведомлять об установке и уведомлять о перезапуске. (Только для Windows Server)
ScheduledInstallDay — Указывает по каким дням недели выполнять поиск обновлений. 0 — каждый день,  1..7 -воскресенье — суббота.
ScheduledInstallTime — Указывается время в который будет начинаться установка обновлений 
DetectionFrequencyEnabled — Указывает, что Windows будет проверять наличие доступных обновлений через интервал, указанный в параметре DetectionFrequency.
DetectionFrequency — Частота поиска автоматических обновлений. Указывает промежуток времени в часах для Windows между проверками доступных обновлений. Если этот параметр политики включен, Windows будет проверять наличие доступных обновлений с указанным интервалом, по умолчанию 1 раз в 22 часа (плюсминус 2 часа).
UseWUServer — сообщает, что в локальной сетиесть сервер обновлений, на котором находятся обновления, полученные из Центра обновления Майкрософт.

Ниже показан пример REG-файла, который можно использовать для настройки параметров обновления ОС на недоменных машинах через WSUS.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
"WUServer"="http://WSUS.userman.ru:8530"
"WUStatusServer"="http://WSUS.userman.ru:8530"

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
"NoAUShutdownOption"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:0000000c
"UseWUServer"=dword:00000001

текст скрипта в виде файла: 

wsus.zip
[513 b] (cкачиваний: 48)

. В скрипте обязательно поменять имя сервера WSUS на свой сервер.

Единожды запустив указанный REG-файл на каждой из машин с правами администратора, и перезапустив их — можно получить настроенные на сервер WSUS машины, даже есть они вне домена.

В качестве средства распространиения параметров, можно использовать другие средства, позволяющие выполнять задачи на удаленной машине, которые ранее уже были настроены.