您好,
您观察到的 Windows Modules Installer Service(TrustedInstaller,服务名为 Windows Modules Installer)启动类型在“自动”和“手动”之间来回切换,并不是恶意进程,而是 Windows 自身的维护逻辑。 这个服务的启动类型在注册表路径 HKLM\SYSTEM\CurrentControlSet\Services\TrustedInstaller\Start 中定义,数值会在某些系统操作下被修改。
在 Windows Server 2019 以及 Windows 10/11 的较新版本中,TrustedInstaller 被设计为“按需启动”服务。 操作系统在执行组件存储一致性检查(例如 CBS Servicing、DISM、SFC)或在后台准备更新时,会临时将其启动类型切换为自动,以确保能够立即调用。 完成任务后,系统会恢复为手动。 这个行为在 20H2 之后更为频繁,因为微软在 Servicing Stack Updates(SSU)中引入了更严格的自检机制。
换句话说,您看到的“反复横跳”并不是外部进程强制修改,而是 Windows Servicing 框架自身在执行健康检查时动态调整服务配置。 即便您禁用了自动更新,操作系统仍会周期性地验证组件存储和更新堆栈的完整性,这会触发 TrustedInstaller 的启动类型变化。
如果您要保持严格的变更控制,可以通过组策略或本地策略确保 Windows Update 服务(wuauserv)保持禁用,同时在安全基线中允许 TrustedInstaller 按需启动。 不要尝试强制锁定其启动类型为“禁用”,否则会导致 SFC、DISM、以及手动安装 KB 补丁时失败。 微软官方文档明确指出 TrustedInstaller 是核心服务,必须保持可用。
因此,结论是:这种行为属于系统自检机制的正常现象,而不是隐藏的补丁下载或外部管理进程。 它不会绕过您手动部署补丁的策略,但会继续在后台维护组件存储的健康状态。
多米克配音。