彻底禁用Windows 10向Windows 11升级的综合解决方案

1. 问题背景与现象分析

近年来，大量企业级和专业用户反馈，尽管未主动申请升级，其Windows 10系统仍被自动安排下载Windows 11镜像文件，并在“设置”中显示“准备就绪，点击以安装”的提示。部分设备甚至出现PC Health Check工具频繁弹窗推荐升级、Windows Update服务预载Win11功能包等行为。

微软官方宣称升级需用户明确同意，但通过以下机制实现“软强制”：

• Windows Update推送“功能更新”标签为KB5005835或类似编号
• Windows Update Medic Service后台扫描兼容性并标记设备为“可升级”
• Start Menu和Settings注入Win11推广UI元素
• Connected User Experiences and Telemetry服务收集数据用于精准推送

2. 原生机制排查：为何组策略失效？

许多管理员使用本地组策略编辑器（gpedit.msc）配置“选择目标版本”或禁用“获取最新更新时包括功能更新”，却发现设置页仍显示升级选项。原因在于：

策略路径	实际作用范围	绕过方式
计算机配置 → 管理模板 → Windows组件 → Windows更新 → 针对预览版的选择加入	仅控制Dev/Beta通道	不影响正式功能更新
不自动重启具有登录用户的计算机	仅控制重启行为	不阻止下载
指定Intranet Microsoft更新服务位置	必须配合WSUS服务器	本地策略无效

3. 深层注册表干预：封锁升级触发器

关键注册表项位于HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate，需创建如下DWORD值：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"TargetReleaseVersion"=dword:00000001
"TargetReleaseVersionInfo"="21H2"

此配置将系统锁定在指定版本，即使微软推送新版本也不会自动匹配。若不存在该路径，需手动创建。

4. 服务级控制：终止后台准备进程

Windows 11升级依赖多个核心服务协同工作。应禁用以下服务：

1. Windows Update (wuauserv) — 下载主体
2. Background Intelligent Transfer Service (bits) — 分块传输
3. Update Orchestrator Service (UsoSvc) — 调度升级任务
4. Connected User Experiences and Telemetry (DiagTrack) — 推送决策依据

可通过命令行批量处理：

sc config wuauserv start= disabled
sc config bits start= disabled  
sc config UsoSvc start= disabled
sc config DiagTrack start= disabled

5. 组策略增强配置（适用于Pro/Enterprise版）

启用高级策略以覆盖默认行为：

策略名称：

“移除‘开始’菜单中的‘建议’区域”

路径：

用户配置 → 管理模板 → 开始菜单和任务栏

效果：

消除Win11升级快捷入口

6. 第三方工具辅助清理与拦截

推荐组合使用以下工具形成闭环防护：

工具名称	功能	部署方式
Winaero Tweaker	隐藏设置中的升级按钮	GUI操作
Windows Update Blocker	修改服务启动类型+防火墙规则	一键脚本
Hosts Editor + StevenBlack Hosts	屏蔽telemetry.microsoft.com等域名	DNS级拦截

7. 网络层防御：通过防火墙阻断通信

添加出站规则阻止关键主机：

netsh advfirewall firewall add rule name="Block Win11 Upgrade" dir=out action=block remoteip=23.45.8.13,23.63.113.88,134.170.30.50 enable=yes

这些IP属于Microsoft CDN节点，常用于分发大型更新包。

8. 可视化流程图：完整防御体系构建

graph TD A[用户发现升级提示] --> B{是否企业环境?} B -- 是 --> C[部署GPO+WSUS] B -- 否 --> D[本地组策略+注册表锁定] C --> E[禁用UsoSvc/bits服务] D --> E E --> F[运行Windows Update Blocker] F --> G[修改Hosts屏蔽 telemetry] G --> H[定期检查Windows Update历史] H --> I[确认无KB5005835类补丁]

9. 验证与持续监控机制

执行以下命令验证系统状态：

# 查看当前版本锁定情况
reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetReleaseVersion

# 检查服务状态
sc query wuauserv
sc query UsoSvc

# 列出最近安装的更新
wmic qfe list | findstr "5005835"

建议每周运行一次审计脚本，确保策略持久生效。