通过

操作系统更新

  • 项目
  • 适用于:
    ✅ Windows 11, ✅ Windows 10

联网设备面临着新安全威胁的挑战,更新是解决这一问题的重要工具。

Microsoft 安全响应中心 (MSRC) 是防御者社区的一部分,处于安全响应发展的前线。 MARC 的使命是保护客户免受 Microsoft 产品和服务中的安全漏洞的伤害。 通过使用 Windows IoT 企业版来构建解决方案,可以获得 Microsoft 安全响应中心对安全性的承诺。 请查看其安全更新指南 ,确保你的设备是最新的并且受到保护。

Windows 更新优势:

  • 通过关键安全软件更新使设备保持最新状态
  • 利用 Microsoft 经验证且可缩放的基础结构
  • 设备所有者可以轻松管理和控制更新

Windows IoT 企业版使你能够根据设备和组织要求管理和控制更新。

控制 Windows 更新

设备合作伙伴最常见的请求之一是控制 Windows IoT 企业版设备上的自动更新。 IoT 设备的特质是,因计划外更新等问题发生意外可能会造成糟糕的设备体验。

考虑如何控制 Windows 更新时应询问的问题:

  • 设备场景是否可接受工作流的任何中断?
  • 在部署之前如何验证更新?
  • 设备本身的更新用户体验是什么?

如果你的设备不允许用户体验中断,则应考虑将更新限制在特定时间、禁用自动更新或手动或通过受控制的第三方设备管理解决方案部署更新。

限制对更新的重启

你可以使用活动时间组策略、MDM 或注册表设置将更新限制为仅特定时间。

  1. 打开组策略编辑器 (gpedit.msc),导航到
    Windows 10:计算机配置\管理模板\Windows 组件\Windows 更新
    Windows 11:计算机配置\管理模板\Windows 组件\Windows 更新\管理最终用户体验
    然后打开“在使用时段关闭对更新的自动重启”策略设置。 启用该策略时,你可以设置使用时段的开始和结束时间。
  2. 设置“使用时段”窗口的“开始”和“结束”时间。 例如,将“使用时段”设置为从凌晨 2:00 开始到凌晨 4:00 结束。 这允许系统针对凌晨 2:00 到凌晨 4:00 之间的更新重启。

禁用 Windows 自动更新

安全性和稳定性是 IoT 项目成功的核心,Windows 更新提供更新以确保 Windows IoT 企业版具有最新的适用安全性和稳定性更新。 但是,你可能会遇到必须完全手动处理更新 Windows 的设备场景。 对于这种类型的情况,我们建议禁用通过 Windows 更新的自动更新。 在以前版本的 Windows 设备中,合作伙伴可以停止和禁用 Windows 更新服务,但这不再是禁用自动更新的受支持方法。 Windows 有多个策略,允许你以多种方式配置 Windows 更新。

要使用 Windows 更新完全禁用 Windows 的自动更新,请执行以下操作:

  1. 打开组策略编辑器 (gpedit.msc),导航到
    Windows 10:计算机配置\管理模板\Windows 组件\Windows 更新\配置自动更新
    Windows 11:计算机配置\管理模板\Windows 组件\Windows 更新\管理最终用户体验\配置自动更新。

  2. 将策略显式设置为“禁用”。 当此设置设为“禁用”时,必须手动下载并安装来自 Windows 更新的任何可用更新,可以在“设置”应用中的“更新与安全>Windows 更新”下执行此操作。

禁用对 Windows 更新用户体验的访问

在某些情况下,配置自动更新不足以保留所需的设备体验。 例如,最终用户可能仍然可以访问 Windows 更新设置,这将允许通过 Windows 更新进行手动更新。 可以配置组策略以通过设置禁止访问 Windows 更新。

要禁止访问 Windows 更新,请执行以下步骤:

  1. 打开组策略编辑器 (gpedit.msc),导航到

Windows 10:计算机配置\管理模板\Windows 组件\Windows 更新\\删除对所有 Windows 更新功能的访问权限
Windows 11:计算机配置\管理模板\Windows 组件\Windows 更新\管理最终用户体验\删除使用所有 Windows 更新功能的访问权限。 2. 将此策略设置为“启用”以阻止用户使用“检查更新”选项。 注意:任何后台更新扫描、下载和安装都会继续按配置进行工作。 此策略只是阻止用户访问手动检查设置。 使用上一节中的步骤还可以禁用扫描、下载和安装。

重要

请确保为设备制定精心设计的服务策略。 如果设备没有以其他方式获取更新,则禁用 Windows 更新功能会使设备处于易受攻击的状态。

完全关闭 Windows 更新

可以通过多种方式配置 Windows 更新。 通常,IoT 设备需要特别注意设备上使用的服务和管理策略。 如果服务策略是禁用所有 Windows 更新功能,则有两种可能的方法。 可以通过组策略注册表关闭更新。

注意

通过设置此策略,它还将停止从本地网络上的其他计算机执行更新。 要确认此行为,还可以关闭传递优化,它是用于从本地网络上的其他人处获取更新的子系统。

其他资源