Обеспечение своевременной установки обновлений в рабочих группах. Настройка клиентов WSUS с помощью групповых политик Центр обновления windows реестр

Автоматическое обновление – важная функциональная особенность любой операционной системы. Благодаря ей компьютер вовремя получает важные апдейты, делающие систему более стабильной и безопасной. В Windows 7 функция активирована изначально. Это значит, что при наличии связи с серверами Microsoft, служба обновлений проверяет наличие свежих пакетов, загружает их и устанавливает. Обычно все процессы протекают фактически незаметно для пользователя, но, когда появляются постоянные предложения обновиться до 10-ки, это уже перебор.

Теоретически отключать автоматическую загрузку обновлений не стоит. Она полезна, потому как закрывает бреши в безопасности, оптимизирует работу ОС, добавляет в нее новые возможности (касаемо «десятки»). Также существует перечень поводов, по которым службу автообновления, следует отключить:

1. Пользователю не нравится, что во время обновления падает скорость интернета и/или подолгу нельзя выключить ПК.
2. На компьютере дорогой или лимитированный беспроводной интернет.
3. Проблемы после запуска обновлённой ОС.
4. Сбои в процессе инсталляции пакетов обновлений.
5. На системном томе недостаточно места для увеличения объема Windows 7, растущего с каждым апдейтом.

Виды

Все же перед тем, как отключить обновление Windows 7, подумайте, действительно ли это нужно. Помимо деактивации службы, её можно перевести в следующие режимы работы.

1. Полностью автоматический – операции протекают без вмешательства пользователя, лишь уведомляя последнего о завершении установки пакетов.
2. Поиск и загрузка свежих исправлений по расписанию, а инсталляцию пакетов осуществляет пользователь.
3. Автоматическая проверка с уведомлением пользователя о наличии обновлений.
4. Самообновление выключено. Всё осуществляется в ручном режиме.

Параметры выбираются в компоненте «Центр обновлений».

Способы отключения

Настройки любой Windows хранятся в её реестре. Получить доступ к ключу, отвечающему за настройки центра обновления, можно несколькими простыми и парой более сложных путей. Рассмотрим их все.

Изменение параметров Центра обновлений

Начнём с того, что настроим работу службы под себя. Для доступа к интерфейсу конфигурации нужно открыть «Центр обновлений» одним из приведённых способов.

Система

1. Через контекстное меню Моего компьютера вызываем его «Свойства».

1. В левом вертикальном меню кликаем по соответствующей ссылке, расположенной внизу окна.

1. Идём в «Панель управления».
2. Открываем раздел «Система, безопасность».

1. Вызываем одноимённый элемент.

Если элементы панели управления визуализируются в виде иконок, а не категорий, ссылка на элемент будет отображаться уже в главном окне.

1. Итак, после попадания в нужное окно кликаем «Настройка параметров».

1. Перемещаемся в секцию «Важные обновления» и выбираем подходящий вариант из выпадающего списка.

Полностью выключить получение апдейтов на компьютере с Windows 7 поможет только остановка сервиса.

Отключаем службу

Управление службами в «семерке» происходит посредством:

• прямого редактирования ключей реестра, что очень неудобно;
• посторонних программ для настройки ОС (пропустим этот вариант);
• оснастки консоли MMC;
• конфигурации системы;
• командной строки;
• редактора групповых политик (присутствует в Windows 7 Максимальная, Корпоративная).

Удаление сервиса из автозапуска

Отключение обновлений быстрее всего осуществляется через системный конфигуратор.

1. Выполняем «msconfig» в окне командного интерпретатора, который откроется после зажатия клавиш Win +R или клика по кнопке «Выполнить» в пуске.

1. Идём во вкладку «Службы».
2. Находим «Центр обновления Windows» (может быть Windows Update) и убираем стоящий возле неё флажок.

1. Сохраняем новые настройки.

До завершения текущего сеанса служба будет работать, исправно выполняя возложенные на неё задачи. Для применения новой конфигурации Windows 7 необходимо перезагрузить.

Воспользуемся оснасткой консоли MMC

Одноимённая оснастка системной консоли предоставляет доступ к управлению всеми сервисами на ПК. Запускается она так.

1. Открываем контекстное меню каталога «Мой компьютер».
2. Вызываем команду «Управление».

1. В левом вертикальном меню разворачиваем пункт «Службы и приложения». Далее кликаем по ссылке «Службы».

Более простым вариантом вызова этого же окна будет запуск команды «services.msc» через диалог «Выполнить».

1. Пролистываем список сервисов в самый конец и открываем «Свойства» службы центр обновления Windows.

1. В выпадающем списке «Тип запуска» выбираем «Отключена» вместо «Автоматически», дабы распрощаться с автоматическим обновлением навсегда. Если нужно отключить сервис сейчас, обязательно кликаем «Остановить». Сохраняем новые параметры кнопкой «Применить» и закрываем все окна.

Для применения настроек ПК в перезагрузке не нуждается.

Редактор групповой политики

Настроить любой системный параметр поможет ещё одна оснастка консоли MMC, именуемая редактором групповой локальной политики.

В домашней редакции «семерки» он недоступен!

1. Запускается инструмент путём запуска команды «gpedit.msc» через окно «Выполнить».

1. В подразделе «Конфигурация ПК» разворачиваем ветку «Административные шаблоны».

1. Открываем «Компоненты Windows» и ищем центр обновления.
2. В правой части окна находим параметр, название коего начинается с «Настройка автообновления».
3. Вызываем его настройки.

1. Перемещаем чекбокс в положение «Отключить» и кликаем «ОК» для закрытия окна с сохранением изменений.

Воспользуемся командной строкой

Через командную строку выполняются все те же операции, что и при помощи графического интерфейса, и даже больше, но в текстовом режиме. Главное, знать их синтаксис и параметры.

За вызов командной строки отвечает команда «cmd».

1. Открываем командный интерпретатор и выполняем её.

Решая проблемы безопасности вычислительной системы, приходится учитывать целый комплекс проблем, одна из которых – своевременное обновление операционных систем и программного обеспечения.

Введение

Для поддержания актуального состояния операционных систем и ПО информационной системы компании следует осуществлять их регулярные обновления. Эти действия могут выполняться с сайта Microsoft Update каждым клиентским компьютером или посредством использования сервера/серверов Windows Server Update Services (WSUS). Если мы говорим о корпоративной сети, то рекомендованный вариант – использование сервера WSUS. При работе с вышеупомянутой службой достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания исправлений системы и ПО, получаемых от Microsoft.

Хотелось бы дополнительно отметить, что на 23 марта 2011 года компания Microsoft анонсировала выход нового продукта «Windows Intune», одной из функций которого будет выполнение тех задач, за которые раньше отвечал WSUS.

Для обеспечения возможности обновления компьютеров клиентов необходимо:

1. Выполнить проектирование решения

2. Осуществить развертывание сервера/серверов WSUS;

3. Обеспечить регулярную синхронизацию сервера WSUS с ресурсом Microsoft Update;

4. Настроить параметры работы сервера/серверов WSUS;

5. Создать целевые группы и поместить компьютеры клиентов в целевые группы на сервере WSUS.

6. Настроить клиентов на использование серверов WSUS;

7. Обеспечить безопасность сервера/серверов WSUS.

В настоящей статье мы не рассматриваем этапы проектирования и развертывания, синхронизации, речь пойдет о настройке клиентов и обеспечении безопасности сервера WSUS.

Настройка клиентов сервера обновлений без использования групповых политик

Настройка клиентов на использование сервера WSUS возможна тремя способами:

1. Использование групповой политики;
2. Использование локальной политики компьютера;
3. Непосредственное внесение изменений в реестр станций клиентов.

Наилучшим способом является использование Объектов Групповой Политики см. рис. 1, привязанных к требуемому контейнеру AD (для Windows 2003) или AD DS (для Windows 2008), однако этот вариант возможен только в случае, если в организации развернута служба каталога Active Directory. Возможности групповой политики по настройке взаимодействия с сервером управления и по управлению процедурами обновления клиентов полностью обеспечивают потребности администратора. В чем мы можем удостовериться взглянув на рис. 1. Перечень доступных настроек достаточно широк.

Рис. 1. Параметры настройки клиента WSUS.

Если служба каталога в организации не развернута, то реализовать возможность взаимодействия клиента с WSUS можно либо посредством локальной политики, либо путем «прямого» внесения изменений в системный реестр рабочей станции, или сервера, актуальность состояния которого мы хотим обеспечить. В сущности, политика есть ни что иное, как интерфейс к реестру.

Обстоятельства, при которых рабочие станции и серверы не являются клиентами AD, могут возникать в целом ряде случаев, например:

· Использование службы каталога третьих фирм, однако, в качестве серверов приложений, файловых серверов, рабочих станций клиентов используются решения на базе операционных систем Microsoft;

· Необходимость построения «гостевой» зоны для предоставления доступа «внешних» пользователей, к сети Интернет;

· Не достаточная «зрелость» компании, ввиду которой централизованная служба каталога не развернута, или отсутствие потребности в указанной службе.

1. Необходимо размещение службы обновлений в интрасети и сервер статистики, а также распределить клиентов по группам.

В разделе реестра

потребуется указывать адрес, или имя сервера обновлений, к которому будет выполняться подключение клиента и номер порта, который избран для работы с сервером WSUS. По умолчанию подразумевается 80-ый порт.

«WUStatusServer»=http://192.168.1.100

Поскольку требуется помещение компьютеров клиентов в целевые группы, то мы должны указать в какую из целевых групп должен быть помещен компьютер:

«TargetGroupEnabled»=dword:00000001

В нашем варианте целевая группа называется «WSUS-Test-WKS». Для клиентов, имя целевой группы которых будет иным, в этом поле указывается другое значение. Параметр TargetGroupEnabled в данном случае обеспечивает управление помещением в группу со стороны клиента.

Для этого в разделе реестра

"TargetGroup"="WSUS-Test-WKS"

"TargetGroupEnabled"=dword:00000001

"WUServer"="http://192.168.1.100"

"WUStatusServer"="http://192.168.1.100"

"NoAutoUpdate"=dword:00000000

"AUOptions"=dword:00000004

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000009

"UseWUServer"=dword:00000001

"RescheduleWaitTime"=dword:00000001

" NoAutoRebootWithLoggedOnUsers"= dword:00000000

Обеспечив доставку и выполнение указанного файла, мы сможем настроить клиентов сервера WSUS, не прибегая к использованию групповых политик. Описание всех переменных реестра, которые могут быть использованы для работы с сервером обновлений и их возможных значений приводится в Windows Server Update Services 3.0 SP2 Deployment Guide.

Для обеспечения безопасности самого сервера обновлений имеет смысл выполнить ряд простых рекомендаций:

1. Если нам требуется обеспечить безопасный информационный обмен между клиентами и серверами и/или между серверами WSUS, то предусматривается возможность использования протокола SSL. См. раздел «Securing WSUS with the Secure Sockets Layer» в Windows Server Update Services Deployment Guide (). При отсутствии сетевого обмена между серверами перенос данных обеспечивается посредством внешнего носителя. Альтернативным способом защиты, при невозможности использования SSL, является применение протокола IPsec. См. «Overview of IPsec Deployment» http://go.microsoft.com/fwlink/?LinkId=45154.

2. Сервер WSUS, который синхронизируется с Microsoft Update, следует размещать за брандмауэром и предоставлять доступ к нему только тем узлам, которые действительно в этом нуждаются. См. раздел «Configure the Firewall» в Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

3. Что касается, файлового доступа, то не следует предоставлять избыточных разрешений на ресурсы, описание требований к правам доступа приводится в разделе «Before You Begin» в Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

4. Если сервер обновлений имеет доступ в Интернет (в ряде случаев этого может и не быть, например, выполняется синхронизация с другим сервером WSUS, который обладает такой возможностью), то его БД рекомендовано размещать на другом компьютере, доступ из вне к которому невозможен. См. «Appendix B: Configure Remote SQL» в the Windows Server Update Services Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=79983).

5. Для управления сервером WSUS, разумно использовать встроенную группу WSUS Administrators, которая будет создана при развертывании.

Леонид Шапиро.

Список литературы.

Anita Taylor Windows Server Update Services 3.0 SP2 Deployment Guide.

Anita Taylor Windows Server Update Services 3.0 SP2 Operations Guide

[i] DMZ - demilitarized zone

Здесь рассматриваются не все, а только основные параметры настройки клиента WSUS.

Указать путь к искомым серверам можно как с помощью адреса, что было сделано в приведенном примере, так и с помощью имени сервера, предусмотрев при этом возможность разрешения имени сервера в его IP-адрес.

Здесь приводится абстрактное имя тестовой группы.

Всем привет сегодня заметка больше для себя, а именно список серверов Обновлений Windows Update. Для чего это может пригодиться, ну например если вы получили ошибку Обновление не найдено при установке WSUS роли, или наоборот по какой то причине хотите их забанить, для экономии трафика, если у вас нет WSUS, так как не все обновления Windows хорошие и особенно в современных ее версиях, думаю нет смысла напоминать про ошибку , хотя этот список можно продолжать очень долго. Причина не важна, главное чтобы знать, что такое есть и с этим можно как то работать. Ниже я вам покажу методы запрета адресов сервера обновлений microsoft, как универсальный, подходящий для отдельного компьютера, так и для централизованного управления в рамках предприятия.

Почему не устанавливаются обновления Windows

Вот скриншот ошибки если у вас недоступен адрес сервера обновлений microsoft. Как видите ошибка мало информативна. Ее я получаю на сервере несущим роль WSUS, кто не помнит, что это такое, то это локальный центр обновлений для предприятий, для экономии трафика, и вот тут как раз не устанавливаются обновления Windows по причине, не доступности серверов Microsoft.

Что делать если не ставятся обновления Windows

• Первым делом вы должны проверить есть ли у вас интернет, так как его наличие обязательно для большинства людей, если конечно у вас не домен Active Directory и вы их скачиваете с вашего WSUS
• Далее если интернет есть, смотрим код ошибки, так как именно по нему нужно уже искать информацию о решении проблемы (из последних проблем могу привести пример, как решается Ошибка 0x80070422 или Ошибка c1900101), но список можно так же вести очень долго.
• Проверяем у себя на прокси сервере, нет ли запрета до вот таких адресов сервера обновлений microsoft.

Сам список серверов обновлений microsoft

1. http://windowsupdate.microsoft.com
2. http://*.windowsupdate.microsoft.com
3. https://*.windowsupdate.microsoft.com
4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
5. http://*.update.microsoft.com
6. https://*.update.microsoft.com
7. http://*.windowsupdate.com
8. https://activation.sls.microsoft.com/
9. http://download.windowsupdate.com
10. http://download.microsoft.com
11. http://*.download.windowsupdate.com
12. http://wustat.windows.com
13. http://ntservicepack.microsoft.com
14. https://go.microsoft.com/
15. http://go.microsoft.com/
16. https://login.live.com
17. https://validation.sls.microsoft.com/
18. https://activation-v2.sls.microsoft.com/
19. https://validation-v2.sls.microsoft.com/
20. https://displaycatalog.mp.microsoft.com/
21. https://licensing.mp.microsoft.com/
22. https://purchase.mp.microsoft.com/
23. https://displaycatalog.md.mp.microsoft.com/
24. https://licensing.md.mp.microsoft.com/
25. https://purchase.md.mp.microsoft.com/

Эта статья объединяет известные мне способы починки агента WSUS.

1. Первый скрипт самый простой, и, на самом деле, даже не для лечения используется, а для того, чтобы принудительно запустить проверку на обновление, ну и, заодно, чистит папку, в которой накапливаются дистрибутивы уже установленных обновлений:

wsus_detect_manual.cmd

net stop wuauserv && net stop bits && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow exit

2. Второй скрипт нужен для того, чтобы “оживить” неработающий сервис WSUS. В нем идет чистка от старых обновлений, после чего папки SoftwareDistribution и Catroot2 переименовываются, что при перезапуске сервиса приведет к их пересозданию. Затем системные dll библиотеки перерегистрируются.

fix_wsus_service.cmd

net stop bits
net stop wuauserv
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

net start bits
net start wuauserv
net start cryptsvc

wuauclt /detectnow

exit

3. Этот скрипт применяется в тех случаях, когда компьютер был недавно клонирован, или в тех, когда регистрации в WSUS у компьютера так и не произошло. Он отличается от предыдущего только предпоследней строчкой, в которой производится обнуление авторизации с перегенерацией идентификатора. Приведу только эту строчку:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo on
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow

5. Иногда, для того, чтобы все заработало нужно переустановить агента WSUS . Вначале нужно скачать latest Windows Update Agent , ну а затем установить соответствующую редакцию

для x32 версий Windows

windowsupdateagent30-x86.exe /wuforce

для x64 версий Windows

windowsupdateagent30-x64.exe /wuforce

Если вы счастливый обладатель Itanium – догадаетесь сами:-)

После установки агента нужно обязательно перезагрузиться.

6. Для “лечения” ошибок 0x80070005, т.е. ошибок доступа может пригодиться нижеприведенный скрипт. Он восстанавливает доступы для администраторов и системы к реестру и системным папкам.

Для выполнения этого скрипта понадобится майкрософтовская утилита subinacl.exe. Она входит в resource kit для Windows Server 2003, но пользоваться той версией, что входит туда не стоит, т.к. там неприятные ошибки. Следует скачать subinacl.exe версии 5.2.3790.1180 .

Restore_registry_and_system_permission.cmd

@echo off
REM Применять при ошибках 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /subdirectories %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=system=f

Все эти скрипты можно выполнять практически автоматически, в случае возникновения проблем. Если в результате проблема таки не решена, то приходится разбираться уже плотнее. И тут нам пригодится тот самый windowsupdate.log, который лежит в корне папки Windows. Если компьютер проблемный, то файл этот большого размера. Для простоты, желательно его удалить перед тем как запускать скрипты. Почти во всех скриптах предусмотрена команда его удаления, но не все так просто. Не смотря на остановку сервиса wuauserv, обычно, его продолжают держать открытые IE и т.п. Поэтому, есть хитрый способ. Запускаю

notepad.exe %windir%\windowsupdate.log

Выделяю весь текст, удаляю его и сохраняю вместо старого файла (не забыть в диалоге сохранения поменять тип файла на *.*, а то по умолчанию – *.txt)

Стоит заметить, что есть случаи, когда заставить клиента обновляться со wsus так и не получается. У меня есть прецеденты с парочкой Windows Server 2003 R2, которые мне побороть так и не удалось. Поэтому я их обновляю через интернет:-)

Свежие операционные системы типа Windows 7, Windows 2008 иногда “заводятся” с трудом. Для таких случаев, эмпирическим путем, был найден алгоритм типа:
1. Обновляемся первый раз с сайта microsoft с обновлением агента
2. Потом обновляем агента уже локально
3. А потом все начинает работать

Надеюсь, что плоды наших трудов кому-нибудь помогут.

Для простоты, выкладываю все эти скрипты в уже готовом виде:

С развитием интернета постоянное обновление операционной системы стало обычным явлением. Теперь разработчики могут исправлять и дорабатывать систему на протяжении всего срока её поддержки. Но частые обновления Windows 10 - это не всегда удобно. Именно поэтому хорошо бы уметь отключать их.

Причины отключения автоматического обновления

Причины могут быть самыми разными, причём только вы сами можете решить, насколько вам необходимо отключить обновления. При этом стоит учитывать, что вместе с улучшениями тех или иных возможностей поставляются важные исправления уязвимостей системы. И всё же ситуации, когда самостоятельные обновления стоит отключить, возникают довольно часто:

• платный интернет - порой обновление является весьма большим и его загрузка может дорого обойтись, если вы платите за трафик. В таком случае лучше отложить загрузку и скачать позже при других условиях;
• недостаток времени - после загрузки обновление начнёт устанавливаться в процессе выключения компьютера. Это может быть неудобно, если вам требуется быстро завершить работу, например, на ноутбуке. Но ещё хуже тут то, что рано или поздно Windows 10 потребует перезапустить компьютер, а если вы не сделаете этого, то через какое-то время перезапуск пройдёт принудительно. Всё это отвлекает и мешает работать;
• безопасность - хоть сами по себе обновления зачастую содержат важные правки системы, никто и никогда не может предусмотреть всего. В результате одни обновления могут открыть вашу систему для вирусной атаки, а другие просто нарушат её работу сразу после установки. Разумный подход в этой ситуации - обновляться через некоторое время после выхода очередной версии, предварительно изучив отзывы.

Отключение автоматического обновления Windows 10

Способов, как выключить обновление Windows 10, имеется немало. Некоторые из них весьма просты для пользователя, другие сложнее, а третьи требуют установки сторонних программ.

Отключение через центр обновлений

Использование центра обновления для отключения - не лучший вариант, хоть его и предлагают в качестве официального решения разработчики из Microsoft. Вы действительно можете выключить автоматическую загрузку обновлений через их настройки. Проблема тут заключается в том, что это решение так или иначе будет временным. Релиз крупного обновления Windows 10 изменит эту настройку и вернёт обновления системы. Но мы всё равно изучим процесс отключения:

После этих изменений незначительные обновления больше не будут устанавливаться. Но это решение не поможет вам навсегда избавиться от загрузки обновлений.