HOWTO: 禁用 Windows 更新

        Windows as a Service 是大势所趋，满足了大多数用户的需求。在过去用户总是抱怨 Windows 更新周期过慢，现在 Windows 10 每半年就会推出一个功能更新，但也并不是所有的用户都感到满意，真是众口难调！之前抱怨 Windows 更新过慢的一些企业用户，反而现在又抱怨更新过快！gOxiA 倒认为，其实他们的抱怨不是因为更新过快，而是因为每半年一次的功能更新常会发生更新失败的问题，这就增加了 IT 维护成本。导致更新失败的原因确实很多，在企业中常见的是因为一些第三方安全软件导致的，所以 In-Place Upgrade 就极易失败。最终，IT 希望能禁用或推迟 Windows 10 的功能更新，但在实际操作中发现并不能彻底禁用功能更新补丁的推送，这主要是因为 Waas 策略导致的，要求客户端要获得持续的支持就必须更新到最新版本，所以在到达推迟更新的最后期限后 Windows 10 仍旧会接收功能更新。

        有不少 IT 人员来咨询是否有什么方案能解决这一问题？！网上也提供了很多种禁用更新的方法，但多少都有些瑕疵，其实我们完全可以借助微软 GPO 来实现禁用功能更新的需求。

        首先在企业内部部署 WSUS，使客户端接入到 WSUS 上接受企业的统一更新管理，这样企业 IT 可以利用 WSUS 的审批功能只允许每月的安全更新。

        虽然 Windows 客户端连接到 WSUS 上接受管理，但仍旧可以从微软官方获取更新，这就导致功能更新最终会被推送到系统上，尤其是“微软 Windows 10 易升”这样的工具。

        所以我们还需要阻断到微软更新服务器的连接，为此我们使用 GPO 来实现。在“计算机配置 /管理模板/Windows 组件/Windows 更新”中找到“不要连接任何 Windows 更新 Internet 位置”，将其设置为“已启用”。

        gOxiA 专门写了一个脚本，可通过 Github 获取。

https://github.com/goxia/ITSM/blob/master/W10_DisableOSUpgrade.bat