ingviowarr:
JordanM
Цитата:
Очень своевременная находка. У меня тоже практически получилось обуздать 1809 LTSC, и ещё среди последних нескольких оставался вопрос, что же восстанавливает некоторые ветки реестра.
Причём, это касается не только системы обновления, но и Cortana, Store, разрешение OneDrive коннекта в Cloud (хоть последних двух как бы и нет, но по факту разрешения коннекта система восстанавливает, что не не есть хорошо).
Так вот, друзья, мой опыт говорит, что в этой редакции поделия без отбирания прав в определённых ветках реестра уже не обойтись. Этому придётся научиться, кто этого раньше не делал. В частности это совершенно необходимо:
1) Для отключения некоторых задач Планировщика
В зависимости от настроек, к-во таких неотключаемых задач из общего списка "к отключению" может оказаться разным. Например, встречаются такие:
BackgroundUploadTask Microsoft\Windows\SettingSync\BackgroundUploadTask
Schedule Scan Microsoft\Windows\UpdateOrchestrator\Schedule Scan
Schedule Scan Static Task Microsoft\Windows\UpdateOrchestrator\Schedule Scan Static Task
UpdateModelTask Microsoft\Windows\UpdateOrchestrator\UpdateModelTask
USO_UxBroker Microsoft\Windows\UpdateOrchestrator\USO_UxBroker
2) Для блокирования нескольких основных папок накопления и слива диагностических данных - очистка и последующее отбирание прав записи с ЗАПРЕТОМ (имеет больший приоритет, чем отсутствие прав)
C:\ProgramData\Microsoft\Diagnosis\
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore\
3) Для запрета восстановления уже правильно настроенных параметров ГП / Реестра по путям
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Onedrive]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore]
После некоторого простоя машины некоторые ключи реестра, в указанных выше ветках, система возращает обратно, поэтому также необходимо блокирование.
Отбирание прав (в целом) - означает их перенастройку с добавлением своей учётки, прежде всего в качестве Владельца с полными правами, также добавление себя любимого в общий список, отключение Наследования с перенастройкой существующих системных записей, установка прав только на Чтение. Причём, важно не удалять существующие системные записи, а оставлять им возможность прочитать ваши настройки, собственно, отключения тех или иных параметров.
------------
Так вот ветка [HKLM\SYSTEM\Waas\Upfc] , в отличие от описанных выше, действительно заблокирована от изменения прав жесточайшим образом. Но цепочку воздействия на систему этого "ИНИЦИАТОРА" (как бы я его назвал) можно всё равно разорвать, по моим представлениям.
JordanM
Цитата:
| в 1809 появился такой подлый файлик upfc.exe (в процессах виден как Updateability From SCM) который с заданой переодичностью восстанавливает службы и целые ветки реестра для того что бы Windows переодически проверяла наличие обновлений. |
Очень своевременная находка. У меня тоже практически получилось обуздать 1809 LTSC, и ещё среди последних нескольких оставался вопрос, что же восстанавливает некоторые ветки реестра.
Причём, это касается не только системы обновления, но и Cortana, Store, разрешение OneDrive коннекта в Cloud (хоть последних двух как бы и нет, но по факту разрешения коннекта система восстанавливает, что не не есть хорошо).
Так вот, друзья, мой опыт говорит, что в этой редакции поделия без отбирания прав в определённых ветках реестра уже не обойтись. Этому придётся научиться, кто этого раньше не делал. В частности это совершенно необходимо:
1) Для отключения некоторых задач Планировщика
В зависимости от настроек, к-во таких неотключаемых задач из общего списка "к отключению" может оказаться разным. Например, встречаются такие:
BackgroundUploadTask Microsoft\Windows\SettingSync\BackgroundUploadTask
Schedule Scan Microsoft\Windows\UpdateOrchestrator\Schedule Scan
Schedule Scan Static Task Microsoft\Windows\UpdateOrchestrator\Schedule Scan Static Task
UpdateModelTask Microsoft\Windows\UpdateOrchestrator\UpdateModelTask
USO_UxBroker Microsoft\Windows\UpdateOrchestrator\USO_UxBroker
2) Для блокирования нескольких основных папок накопления и слива диагностических данных - очистка и последующее отбирание прав записи с ЗАПРЕТОМ (имеет больший приоритет, чем отсутствие прав)
C:\ProgramData\Microsoft\Diagnosis\
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore\
3) Для запрета восстановления уже правильно настроенных параметров ГП / Реестра по путям
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Onedrive]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore]
После некоторого простоя машины некоторые ключи реестра, в указанных выше ветках, система возращает обратно, поэтому также необходимо блокирование.
Отбирание прав (в целом) - означает их перенастройку с добавлением своей учётки, прежде всего в качестве Владельца с полными правами, также добавление себя любимого в общий список, отключение Наследования с перенастройкой существующих системных записей, установка прав только на Чтение. Причём, важно не удалять существующие системные записи, а оставлять им возможность прочитать ваши настройки, собственно, отключения тех или иных параметров.
------------
Так вот ветка [HKLM\SYSTEM\Waas\Upfc] , в отличие от описанных выше, действительно заблокирована от изменения прав жесточайшим образом. Но цепочку воздействия на систему этого "ИНИЦИАТОРА" (как бы я его назвал) можно всё равно разорвать, по моим представлениям.