Скрипт обновлен 2024-02-21
724810

Решена задача:

Предотвратить возобновление запуска служб, отвечающих за обновления, после того, как администратор их выключил. При этом оставить возможность включить обновления в любой момент, когда администратор посчитает нужным и выключить их опять.

Решение:

Предотвратить запуск upfc.exe путем отъема у системы прав на его запуск.

Реализация:

Реализовано все набором скриптов, чтобы не пугать недоверчивого пользователя экзешниками. Содержимое архива:После установки в каталоге появится еще один файл, upfc.acl.bak, это исходный набор прав файла upfc.exe, для того чтобы вернуть все взад.

Как с этим работать:

Скачиваем архив, распаковываем в какой-нибудь удобный каталог поближе к корню диска цэ.
Запускаем install.ps1 с правами администратора. Как запускать неподписанные powershell скрипты, в интернете есть инструкции. Сперва надо включить политику, разрешающую запуск, потом в запущенной от имени администратора среде перейти в нужный каталог и набрать ./install.ps1
После этого обновления будут отключены и, по идее, сами не включатся.

Когда решаем обновиться (после проверки "на кошках"), запускаем от имени администратора allow_updates.cmd, идем в настройки, наблюдаем установку обновлений. После перезагрузки запускаем от имени администратора disallow_updates.cmd, живем дальше спокойно.

Когда решаем накатить отдельно скачанный пакет обновлений, запускаем от имени администратора allow_updates_local.cmd, устанавливаем изолированный пакет, после установки запускаем от имени администратора disallow_updates_local.cmd. Склонные к паранойе могут предварительно отключить сетевой адаптер.

Дата публикации архива - 2022-05-21Дальше лирика и обсуждения.

Когда начал осваивать десятку (в прошлом году) захотелось сделать так, чтобы служба обновлений управлялась админом легко и надежно, как в семерке. То есть, если админ выключил службу, он должен быть уверен, что она не включится. Погуглил по словам "как отключить обновления в Windows 10", не нашел ничего путного и решил сделать все сам.

Копал долго и глубоко. Разобрался с аудитом служб и процессов, разобрался с xpath в шедулере, докопался до WNF, разобрался с даклами и саклами файлов и служб. В общем, неплохо подтянул админские скиллы. А решение оказалось на поверхности. Причем нашел я его совершенно случайно, на шару. В какой-то момент подумал: "А почему бы не запретить системе доступ к upfc.exe?" И оно сработало. Куча программеров в микрософте сидели и упорно решали задачу как бы усложнить пользователю управление обновлениями, нагородили городушек из WaaSMedicAgent.exe, SIHClient.exe, upfc.exe, UsoClient.exe и четырех служб, а выключается это все одним простым телодвижением.

Как говорится, никогда не следует недооценивать предсказуемость тупизны. Вы спросите "Ну зачем же так грубо? Все-таки пацаны трудились." А я вам незамедлительно отвечу ©.

Во-первых, стратегическое решение затруднить остановку обновлений принял тупой и жадный менеджер, который решал задачу сокращения расходов на тестирование продукта. Продукта, который выпускает одна из богатейших компаний, продукта, который успешно продается по всему миру. Очень неплохого продукта. Когда акционеры пригласили его и попросили сократить расходы, ему следовало бы наоборот, потребовать увеличения расходов. Результаты этой экономии мы с вами видим регулярно.

Во-вторых, эта задача в принципе не может быть решена без заблокированного загрузчика и четкого разделения системных файлов на собственно системные и пользовательские. Как в Андроиде. То есть, архитектор, которому поставили эту задачу, не смог послать на хуй тупого менеджера. Тупой и жадный архитектор, который ссытся за свое место. А знаете, как они подстраховались на тот случай, если архитектор не справится? Написали в соглашении "Эта лицензия не предоставляет вам права ... изучать технологию..." и "Вы даете согласие на получение автоматических обновлений ... без каких-либо дополнительных уведомлений." Детский сад.

В-третьих, программистам для решения этой задачи следовало бы отказаться от использования штатных средств администрирования Windows, которыми вооружены тысячи сисадминов по всему миру.

Извините, накипело. Вернемся к нашим ваасам. Скрипт делает две вещи. Останавливает и выключает ненужные службы и запрещает доступ к файлу upfc.exe двум системным учеткам. Его надо запускать от имени TrustedInstaller, потому что к двум службам у встроенного администратора доступа нет. Для этого можно использовать NSudo, можно штатные средства. В предложенном варианте все штатно. Никаких посторонних экзешников, все вычитывается и проверяется, все действия прозрачны и их можно повторить руками.

Как проверить результат работы скрипта?
Первый способ прост и непритязателен. Подождать недельку и запустить query_services.cmd из архива. Убедиться, что службы остановлены и выключены. Применение:

Распаковываем архив куда-нибудь поближе к корню диска, запускаем powershell от имени администратора, переходим в каталог antiwaas, запускаемНу, или как кому удобно.

Замечания:

1. В Windows Server может не быть службы wscsvc. Или игнорируем ошибки, или правим proceed.cmd и query_services.cmd

2. BITS используется не только службой обновлений, но и другими программами, например Google Chrome. Скорее всего, ее можно оставлять включенной, но я не пробовал. Для этого правим proceed.cmd

3. upfc не восстанавливает службы DiagTrack и wscsvc, они тут просто за компанию.

4. Отменить все изменения можно запустив uninstall.cmd от имени администратора. Через какое-то время upfc запустится и восстановит запуск служб.

5. Догадается ли SFC /scannow проверить права доступа к upfc.exe, я не знаю.

6. Параноидальная проверка предполагает, что винда установлена в C:\Windows. Ммм. Это очевидно. Ну да ладно.

7. Теоретически на момент запуска скрипта upfc может быть запущен. Что будет в таком случае, я не знаю. На всякий случай стоит проверить в диспетчере задач и подождать, пока он завершится. Он не постоянно работает.

Даже не знаю, что еще написать. В общем, поставляется "как есть".

Речь не о том, чтобы отключать обновления, а о том, чтобы управлять их установкой.

После того, как прижучили Waas и upfc скриптом из стартпоста, обновлениями можно управлять.
ЗапуститьОстановитьНо это не точно
:)

Хм. Запуск BITS и wuauserv недостаточно, чтобы возобновить получение обновлений. Какой-то трафик идет, но центр обновлений говорит, что что-то пошло не так. Разберусь, отпишусь.

Оркестратор тоже надо запускать.

Сейчас обновил винду без полного анинсталла.
Запустил три службы (от администратора)Зашел в параметры - обновления и безопасность, винда скачала апдэйты, нижайше попросилась перезагрузиться, я милостиво позволил, после перезагрузки вырубил три службы обратно (от администратора)Проверил права на upfc.exe, ничего не изменилось. Права только у админа. Вот и все.
Единственное, пока не ясно, что будет, когда винда захочет обновить сам upfc.exe. Если справится самостоятельно - норм. После обновления надо будет сделать инсталл. Если не сможет - сделать анинсталл, обновиться, потом инсталл. Тоже норм.

Да, и с параноидальным фильтром я накосячил. Не учел, что если svchost нужной группы уже запущен, то новый процесс не создается. Сервис менеджер просто дает команду хосту подгрузить еще одну dll. Тот фильтр отрабатывает экзешники upfc, агенты и клиенты, а службы - только если вдруг какая-то из них будет запущена первой в своей группе. Аудит служб надо отдельно включать и отслеживать по отдельному коду события.

basename, дай, пожалуйста, модера. Я приведу в порядок стартпост, чтобы там актуальная информация была, и файлы для скачивания. Так ведь можно?

Решил подготовить себе новую сборку LTSC. Установил на виртуалку, дал обновиться, установил antiwaas из шапки. Все работает. Но надо помнить, что обновленная LTSC 21H2 остается все той же 21H2.
Надо будет проверить, будет ли работать скрипт под 22H2.

И еще дополнение, может, для кого-то не очевидно.
Скрипт install.ps1 надо запускать с повышением прав (от имени Администратора).
Прежде, чем его запускать, надо проверить GPO на тему запуска скриптовИ при необходимости разрешить их запускИли через GPO
Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell -> Turn on Script Execution

Обновление. Теперь блокируются:

upfc.exe
CompatTelRunner.exe
UsoClient.exe

Если будете обновляться с прошлой версии, ей надо сделать uninstall.