Как отключить планировщик заданий windows 10 через реестр

Многие из приложений-оптимизаторов, а также те приложения, которые следят за актуальностью версий установленного на ПК программного обеспечения, создают во встроенном планировщике заданий соответствующие задачи, выполняющиеся даже когда запланировавшие их приложения неактивны. Если такая самодеятельность вам не по нраву или созданная задача не была удалена после деинсталляции приложения, вы можете удалить ее из планировщика самостоятельно как минимум тремя способами.

Через сам планировщик заданий

Начнем с самого очевидного и простого способа.

Открываем штатный планировщик выполненной в окошке Run (Win + R) заданий командой taskschd.msc и в левой колонке нажмите мышкой по родительскому каталогу «Библиотека планировщика заданий». Именно в ней сохраняют свои задания сторонние приложений.

Отыщите в средней колонке задание, имя которого указывает на создавшую его программу, нажмите по нему правой кнопкой мыши и выберите «Удалить».

Также можно нажать «Удалить» в правой колонке управления элементами.

В командной строке

Удалить запланированную задачу можно с помощью командной строки.

Это менее удобный способ, к тому же вам нужно знать точное название задачи.

Удаление выполняется в запущенной от имени классической командной строке с использованием консольной утилиты schtasks.exe, распложенной в папке System32.

Команда удаления выглядит следующим образом:

schtasks /Delete /TN «путь/имя-задачи» /F

Задача будет тут же удалена.

Путь указывать не нужно, если запись задачи располагается в корневом каталоге «Библиотека планировщика заданий».

Удаление задач с помощью командной строки чаще всего находит применение в скриптах.

В PowerShell

Аналогичным целям может служить и консоль PowerShell, в которой предусмотрен ряд командлетов, предназначенных как раз для взаимодействия с запланированными в taskschd.msc задачами.

Команда удаление задания выглядит так:

Unregister-ScheduledTask -TaskName «имя-задачи» -Confirm:$false

Если задание располагается не в корне, в команду добавляется строка -TaskPath «путь-к-папке», путь указывается относительный, обратные слеши справа и слева удалять не нужно, смотрите скриншот ниже.

В редакторе реестра

Наконец, избавиться от запланированной задачи можно, удалив соответствующий ей ключ реестра.

Откройте редактор реестра командой regedit и разверните ветку:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree

Подраздел Tree содержит дочерние подразделы с именами расположенных в корне планировщика заданий.

Кликните по выбранной папке ПКМ и выберите «Удалить».

В результате задача будет удалена также из планировщика.

Источник

По умолчанию Windows 10 устанавливает апдейты в автоматическом режиме. При этом операционная система не дает простых инструментов для полноценного управления этим процессом, однако рабочие способы все же есть. Из этой статьи вы узнаете, как отключить обновления Windows 10.

Зачем может понадобиться отключение обновления Windows 10

Стоит ли отключать обновления Windows 10

Зачем может понадобиться отключение обновления Windows 10

Стоит ли отключать обновления Windows 10

Зачем может понадобиться отключение обновления Windows 10

Остановка апдейтов системы может быть востребована в разных ситуациях. При этом в одних случаях целесообразно навсегда отключить обновления Windows 10, в других — на некоторое время.

В настройках Windows 10 нет кнопки отключения обновлений, но их можно приостановить

Экономия трафика и ресурсов ПК

Обновления имеет смысл отключать, если у вас лимитное или медленное интернет-подключение, устаревшее оборудование, которое едва тянет саму систему, или мало свободного места на накопителе. Например, стоит отключить обновления Windows 10 на ноутбуке с накопителем объемом 32 гигабайта, так как на нем все равно не хватит места для установки апдейтов (но стоит хотя бы попытаться освободить побольше места на накопителе, следуя нашим советам). Отключение обновлений следует рассматривать лишь как временное решение до тех пор, пока вы не исправите вышеуказанные проблемы.

Предотвращение изменения настроек и обновления драйверов

Автоматические обновления Windows 10 могут затрагивать настройки системы и драйверы, поэтому апдейты лучше отключить, если это вызывает неудобства. Особенно это касается ситуаций, когда пользователю нужна конкретная версия драйвера, а система скачивает и устанавливает последнюю актуальную.

Предотвращение возникновения ошибок

Хотя обновления призваны повысить производительность, безопасность и стабильность системы, иногда они могут нести и различные баги. Так, в 2021 году обновление KB5004945 «сломало» принтеры. Казусы встречаются и при установке новых драйверов для компьютерного оборудования, например, видеокарт. Но не стоит отключать центр обновления Windows 10 навсегда. Можно устанавливать апдейты через некоторое время, когда будет ясно, что все протестировано и безопасно.

Как отключить автоматическое обновление Windows 10

Ниже вы найдете способы, как полностью отключить обновления Windows 10. Для надежности можно воспользоваться сразу несколькими способами, ведь система может самостоятельно через некоторое время вновь активировать службы и восстанавливать настройки.

Отключение службы

Самый очевидный способ — отключение службы обновления, однако стоит отметить, что ОС со временем все равно может откатить внесенные изменения. Также рекомендуется создать точку восстановления системы.

Метод с отключением службы обновления Windows 10 подойдет в том числе для домашней версии операционной системы

Как отключить службу обновления Windows 10 в пошаговом режиме:

Нажмите сочетание клавиш Win + R и введите команду services.msc.
Найдите службу «Центр обновлений Windows» (находится в конце списка, можно отсортировать по имени, кликнув на заголовок столбца) и откройте ее через двойной клик.
Находясь на вкладке «Общие», выберите «Отключена» в поле «Тип запуска», затем нажмите на кнопку «Остановить».

Чтобы предотвратить запуск службы обновления Windows 10, нужно выбрать пользователя без прав администратора

Теперь нужно поменять настройки входа в систему, чтобы предотвратить автоматический запуск службы. Для этого:

Перейдите на вкладку «Вход в систему» и выберите «С учетной записью», затем нажмите «Обзор».
Кликните по кнопке «Дополнительно».
Нажмите кнопку «Поиск» и выберите учетную запись «Гость». Нажмите «ОК».
Удалите пароль для записи «Гость» на вкладке «Вход в систему» и нажмите «ОК».

Редактор локальной групповой политики

Домашняя версия Windows 10 с ошибкой «Не удается найти gpedit.msc»

Полностью и навсегда отключить обновление Windows 10 можно и через редактор локальной групповой политики. Это серьезный инструмент, который недоступен на домашней версии операционной системы (см. «Как узнать, какая версия Windows установлена на компьютере». Если вы попытаетесь его вызвать, то появится ошибка. Ограничения можно обойти, однако стабильность работы не гарантируется.

Пытаясь отключить обновления домашней версии Windows 10 с помощью редактора локальной групповой политики, вы столкнетесь с таким сообщением

Владельцам домашней версии Windows 10 нужно подготовить BAT-файл (создайте текстовый документ в «Блокноте» и затем поменяйте расширение на bat) со следующим содержанием:

@echo off
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >find-gpedit.txt
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>find-gpedit.txt
echo Ustanovka gpedit.msc
for /f %%i in (‘findstr /i. find-gpedit.txt 2^>nul’) do dism /online /norestart /add-package: «C:\Windows\servicing\Packages\%%i»
echo Gpedit ustanovlen.
pause

Запустите получившийся файл от имени администратора и дождитесь окончания установки. Возможно, потребуется перезагрузить ПК.

Профессиональная версия Windows 10

Если у вас Windows 10 Pro или выше, можно сразу приступить к отключению обновлений.

Нажмите сочетание клавиш Win + R и введите команду gpedit.msc.
В открывшемся окне перейдите по пути: Конфигурация компьютера > Административные шаблоны > Компоненты Windows.
Кликните два раза на «Центр обновления Windows», затем выберите пункт «Настройка автоматического обновления» и задайте статус «Отключено».

Способ отключения обновлений windows 10 с помощью редактора локальной групповой политики лучше использовать на профессиональной версии операционной системы

Чтобы изменения вступили в силу, рекомендуется проверить наличие обновлений Windows 10 через параметры системы (Win + I).

Отключить обновления Windows 10 через реестр

На Pro-версии системы вместо редактора локальной групповой политики можно воспользоваться реестром (подробнее о способе читайте в документации Microsoft). Изменение параметров системного реестра может привести к неполадкам, поэтому все действия вы выполняете на свой страх и риск.

Нажмите сочетание клавиш Win + R и введите команду regedit.
Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU.
Создайте параметр NoAutoUpdate (REG_DWORD) со значением 1.

Планировщик заданий (не рекомендуется)

Еще один способ, как отключить обновления на компьютере c Windows 10, предполагает использование планировщика заданий. Однако с ним могут возникнуть проблемы, о чем мы расскажем далее. Сделайте следующее:

Отключение обновлений Windows 10 с помощью планировщика заданий — не самый простой способ

Нажмите сочетание клавиш Win + R и введите команду taskschd.msc.
В открывшемся окне перейдите по пути: Библиотека планировщика заданий > Microsoft > Windows > UpdateOrchestrator.
Отключите задания на обновления. Они могут называться по-разному: Update Assistant, Update Assistant CalendarRun или UpdateModelTask.

Если у вас выскакивает ошибка «Учетная запись пользователя, под которой выполняется работа, не имеет разрешения на отключение этой задачи», то решить эту проблему довольно сложно. Можно воспользоваться PSExec и инструкцией (на английском) в блоге пользователя Mike Howell для получения прав от имени системы, чтобы попробовать отключить обновления Windows 10 в планировщике уже с этими правами. Для Windows 8.1 может сработать следующее решение, описанное на ресурсе answers.microsoft.com.

Сторонний софт

Отключить обновления Windows 10 можно через специальную программу — DWS (Destroy Windows Spying). Основное ее предназначение — убирать всю «слежку» из операционной системы. Но с обновлениями она тоже справляется.

Программа DWS — радикальный способ отключить обновления Windows 10, сперва лучше воспользуйтесь другими методами

Важно! Используйте программу на свой страх и риск, так как большинство ее действий необратимы и их невозможно отменить даже через восстановление системы.

Параметры Windows

Чтобы перестать получать обновления Windows на определенное время, можно воспользоваться параметрами системы. Это самый простой и безопасный способ. В теории его можно использовать и на постоянной основе, периодически продлевая срок приостановки. Но, скорее всего, это быстро надоест или вы просто забудете. Чтобы приостановить обновления выполните следующие шаги:

Windows 10 не дает навсегда отключить обновления, но их можно приостановить

Откройте параметры Windows через сочетание клавиш Win + I.
Перейдите в пункт «Обновления и безопасность».
Нажмите на строку «Приостановить обновления на 7 дней» или откройте «Дополнительные параметры», чтобы задать срок самостоятельно.
В разделе «Приостановка обновлений» нажмите на «Выберите дату» и установите желаемый срок.

Как сделать лимитное интернет-соединение

Если у вас слабый интернет, то вместо того, чтобы отключать центр обновления Windows 10, можно задать в настройках лимитное интернет-подключение для предотвращения перерасхода трафика. По умолчанию Windows не скачивает обновления через такие подключения. Учитывайте, что и другие программы и сервисы тоже могут приостановить свою работу из-за этого.

Чтобы избежать перерасхода трафика, можно настроить лимитное подключение, а не отключать обновления Windows

Откройте параметры Windows через сочетание клавиш Win + I, затем перейдите в пункт «Сеть и интернет».
Выберите Ethernet или Wi-Fi (в зависимости от типа подключения к сети) в левой части окна.
Откройте текущее проводное подключение или перейдите в свойства Wi-Fi сети.
Активируйте ползунок «Задать как лимитное подключение».

Стоит ли отключать обновления Windows 10

Отключать обновления Windows 10 не рекомендуется. Обновления содержат исправления ошибок, улучшения безопасности, новые функции и возможности, которые могут значительно повысить производительность и удобство использования системы. Оставляя систему без обновлений, вы подвергаетесь риску заражения вредоносными программами и становитесь уязвимы для хакерских атак.

Операционная система Windows предупреждает о последствиях отключения обновлений

Если вы столкнулись с какими-либо проблемами, связанными с обновлениями, вместо полного отключения временно приостановите их до тех пор, пока проблемы не будут устранены. Как вариант, можно вручную проверять наличие обновлений и устанавливать в удобное время.

Это тоже интересно:

Как переустановить Windows 10: на ПК, ноутбуке, с флешки
Почему не стоит обновляться до Windows 11, даже если сильно хочется
Полезные команды для Windows, которые стоит знать каждому

Источник

Уровень сложностиСредний

Время на прочтение14 мин

Количество просмотров16K

Привет, Хабр!

Многие передовые компании в области информационной безопасности в конце 2022 подвели итоги года по самым популярным техникам MITRE ATT&CK, используемым атакующими. Один из таких отчетов по обнаруженным угрозам был предоставлен RedCanary, а другой Лабораторией Касперского, согласно которым одной из наиболее популярных техник закрепления в системе является Scheduled Task(T1053.005) или, говоря русским языком, запланированная задача. На сегодняшний день существует много известных способов проведения данной техники: стандартная оснастка Task Scheduler от Microsoft, утилита schtasks, а также Poweshell командлеты, которые в свою очередь опираются на RPC-функции и др.

В данной статье хочу рассказать вам о нестандартном способе проведения техники Scheduled Task с помощью удаленного реестра (Remote Registry). После чего я представлю возможный вариант детектирования данного способа и попытаюсь раскрыть все сложности, с которыми придется столкнуться в процессе.

Предлагаю начать и сперва ознакомиться с тем, что собой представляет Scheduled Task.

Что такое Scheduled Task

Task Scheduler или Планировщик задач — служба в Windows, которая позволяет автоматизировано выполнять запланированные задачи на устройстве по заранее заданному триггеру (время, наступление определенного события и т.п.). Это одна из самых «древних» служб в Windows: впервые данный компонент появился в Windows 95, а в текущем виде он представлен в Windows Vista. Таким образом, за десятки лет активного использования Scheduled Task появилось достаточное количество способов и инструментов для работы с запланированными задачами.

Данная техника привлекает злоумышленников тем, что запланированные задачи являются легитимными в операционной системе Windows. Это позволяет замаскировать вредоносные действия, а сам функционал планировщика задач не будет отключен администраторами, так как на нем строится работа всей системы. Так, например, запланированные задачи повышают надежность системы, обеспечивая ее бесперебойную работу за счет выполнения обслуживающих задач, таких как, очистка диска, дефрагментация, проверка на ошибки. Также Scheduled Task позволяет повысить производительность системы путем выполнения задач по типу резервного копирования или обновлений в наиболее оптимальное время, которое соответствует определенному триггеру. Еще один плюс — снижение человеческого фактора и рабочей нагрузки на администраторов системы.

Теперь давайте разберемся, где и как запланированные задачи хранятся в памяти системы.

Представление запланированных задач в памяти

При планировании задачи стандартными утилитами (schtasks, оснастка Task Scheduler, командлеты Powershell) создание определенных ключей реестра и xml файла на диске можно отследить с помощью Process Monitor или Sysmon (примеры Sysmon событий будут дальше в статье).

Рисунок 1 — Изменение реестра при создании запланированной задачи

Рассмотрим подробнее какие ключи реестра при этом задействованы:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks — содержит список подразделов, представляющих запланированную задачу. Каждая задача имеет уникальный идентификатор GUID, который выступает в качестве имени ключа в реестре;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree — представляет собой структуру планировщика заданий Windows. Здесь хранятся метаданные для регистрации задачи в системе;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}— содержит все настройки задачи;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\{Plain\Logon\Boot}\{GUID}— ветка реестра, которая выбирается в зависимости от того, по какому триггеру будет запускаться задача:
- Plain — по заранее заданному расписанию;
- Logon — при входе пользователя;
- Boot — при загрузке системы.

На рисунке 2 и 3 представлен пример хранения параметров задачи в ключах реестра перечисленных выше.

Рисунок 2 — Пример метаданных задачи в реестре

Рисунок 3 — Пример параметров задачи в реестре

Также при создании задачи формируется файл в формате xml с параметрами запланированной задачи по пути C:\Windows\System32\Tasks.

Рисунок 4 — Создание xml-файла с описанием задачи

Само содержимое xml-файла с параметрами задачи вы можете увидеть под спойлером.

XML с параметрами задачи

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2023-02-27T13:08:20</Date>
    <Author>USER</Author>
    <URI>\spawn</URI>
  </RegistrationInfo>
  <Triggers>
    <TimeTrigger>
      <StartBoundary>2023-02-27T20:10:00</StartBoundary>
      <Enabled>true</Enabled>
    </TimeTrigger>
  </Triggers>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\windows\system32\cmd.exe</Command>
    </Exec>
  </Actions>
  <Principals>
    <Principal id="Author">
      <UserId>USER</UserId>
      <LogonType>InteractiveToken</LogonType>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>
</Task>

Перейдем к самому интересному и посмотрим как же можно создать запланированную задачу, не используя при этом специально предназначенные для этого утилиты.

Создание задачи с помощью реестра

Для удаленного подключения к реестру можно использовать графический интерфейс regedit.exe или из командной строки утилиту reg.exe.

Рисунок 5 — Интерфейс GUI Registry Editor

# Удаленное редактирование реестра с помощью reg.exe
REG ADD \\<REMOTE_COMPUTER>\HKLM\...

Для того чтобы изменять требуемые ветки реестра, нам необходима учетная запись SYSTEM, по крайней мере по умолчанию только она обладает нужными правами. Но удаленно подключиться под SYSTEM не получится.

Рисунок 6 — Права по умолчанию на изменение веток реестра, связанных с запланированными задачами

Тогда возникает вопрос как удаленно из-под SYSTEM редактировать реестр, если подключиться под ней нельзя? Тут можно предложить несколько вариантов. Первый — ,заполучив SYSTEM, добавить права на редактирование другой учетной записи и уже все действия осуществлять от ее имени. Второй вариант — использовать psexec из пакета от Sysinternals или от Impacket, также можно использовать smbexec и подобные ей. Еще один из способов повысить привилегии до SYSTEM это использование различных «картошек» (например, RoguePotato, JuicyPotatoNG, RasmanPotato и др.). Либо прибегнуть к атаке Silver Ticket для создания TGS билета с SYSTEM в PAC, но для этого нужен NTLM-хеш учетной записи устройства.

Предположим, что тем или иным способом мы получили возможность удаленно редактировать реестр. Тогда, чтобы не испытывать сложности при создании требуемых веток в реестре и заполнении ключей, мы можем создать задачу локально, а далее перенести ее на удаленную машину.
Пример экспортированной задачи приведен ниже под спойлером.

Пример экспортированной задачи

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\remoteregistry1053]
"SD"=hex:01,00,04,80,88,00,00,00,98,00,00,00,00,00,00,00,14,00,00,00,02,00,74,\
  00,04,00,00,00,00,10,18,00,9f,01,1f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,10,14,00,9f,01,1f,00,01,01,00,00,00,00,00,05,12,00,00,00,00,\
  10,18,00,ff,01,1f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,\
  24,00,89,00,12,00,01,05,00,00,00,00,00,05,15,00,00,00,fb,65,0e,da,0c,ec,58,\
  4f,d2,95,df,b7,3a,38,00,00,35,00,7d,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,fb,65,0e,da,0c,ec,58,4f,d2,\
  95,df,b7,01,02,00,00
"Id"="{B24EFFF8-2161-46E8-917D-1FF04C433EBE}"
"Index"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B24EFFF8-2161-46E8-917D-1FF04C433EBE}]
"Path"="\\remoteregistry1053"
"Hash"=hex:9b,ea,c8,ba,7a,d1,d4,6c,6f,66,2c,07,83,ff,e9,35,2c,7c,ef,0b,cf,48,\
  22,de,4d,65,02,c3,3f,dc,e0,6f
"Schema"=dword:00010002
"Date"="2022-11-04T21:33:12.6610933"
"Author"="DOMAIN\USER"
"URI"="\\remoteregistry1053"
"Triggers"=hex:17,00,00,00,00,00,00,00,01,07,0b,00,00,00,04,00,80,13,62,a9,95,\
  f0,d8,01,01,e7,d4,7b,7a,01,00,00,80,d3,cb,d3,5e,f1,d8,01,38,21,41,42,48,48,\
  48,48,88,f6,c6,53,48,48,48,48,0e,00,00,00,48,48,48,48,41,00,75,00,74,00,68,\
  00,6f,00,72,00,00,00,48,48,00,00,00,00,48,48,48,48,00,48,48,48,48,48,48,48,\
  00,48,48,48,48,48,48,48,01,00,00,00,48,48,48,48,1c,00,00,00,48,48,48,48,01,\
  05,00,00,00,00,00,05,15,00,00,00,fb,65,0e,da,0c,ec,58,4f,d2,95,df,b7,3a,38,\
  00,00,48,48,48,48,1e,00,00,00,48,48,48,48,53,00,45,00,41,00,5c,00,64,00,6b,\
  00,6f,00,7a,00,68,00,75,00,73,00,68,00,6f,00,6b,00,00,00,48,48,2c,00,00,00,\
  48,48,48,48,00,00,00,00,ff,ff,ff,ff,80,f4,03,00,ff,ff,ff,ff,07,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,48,48,\
  48,48,dd,dd,00,00,00,00,00,00,01,07,0b,00,00,00,04,00,80,13,62,a9,95,f0,d8,\
  01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,2c,01,00,00,80,51,01,00,ff,ff,ff,ff,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,01,4a,7c,01,00,00,00,00,00,00,00,d1,61,00,00,00,00,\
  00,00,48,48,48,48
"Actions"=hex:03,00,0c,00,00,00,41,00,75,00,74,00,68,00,6f,00,72,00,66,66,00,\
  00,00,00,0e,00,00,00,63,00,6d,00,64,00,2e,00,65,00,78,00,65,00,00,00,00,00,\
  00,00,00,00,00,00
"DynamicInfo"=hex:03,00,00,00,59,22,57,e5,7b,f0,d8,01,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B24EFFF8-2161-46E8-917D-1FF04C433EBE}]

Посмотрим на алгоритм действий при экспортировании:

Создать задачи с требуемыми параметрами на локальной машине;
Произвести экспорт следующих веток реестра:
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{NAMETASK}
- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{Id TASK}
- `Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain{Id TASK}
Произвести импорт этих веток реестра на удаленную машину;
Далее появится созданная задача в списке задач, но при запуске будет ошибка.

Рисунок 7 — Ошибка при запуске задачи, созданной с помощью Remote Register

Для исправления данной ошибки существует два способа:

Перезапустить службы Schedule. Таким образом задача подгрузится в память соответствующего процесса svchost. Для перезапуска службы требуются права SYSTEM, либо можно попросту перезагрузить ПК;
Произвести Update задачи из графического интерфейса, schtasks или других подобных инструментов. Согласно документации Microsoft обновлять задачу могут пользователи, создавшие ее, а также члены группы администраторов и учетная запись SYSTEM.

Чтобы не создавать «лишний шум» в журнале событий, связанный с появлением новых ключей в реестре, атакующий вместо создания новой задачи может редактировать отдельные, уже существующие ключи в реестре. Он также имеет возможность осуществлять это как вручную, так и через импорт-экспорт определенных ключей, как было показано выше. В то же время такие задачи требуется активировать с новыми параметрами.

Рисунок 8 — требуемые права для перезапуска службы Schedule

При импорте веток реестра на удаленную машину регистрируются события изменения реестра от имени процесса C:\Windows\system32\svchost.exe -k localService -p -s RemoteRegistry. Данные события можно проследить в журнале Sysmon EventId 12 (RegistryEvent Object create or delete) и 13(RegistryEvent Value Set).

Сразу после импорта ключей реестра задача появится в графическом интерфейсе планировщика задач, но каких-либо событий по созданию задачи в журналах нет, в том числе и события 4698(A scheduled task was created). На следующем этапе данную задачу нужно активировать.

$Рисунок 9 - Пример события Sysmon 12, создание ветки реестра `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree{NAMETASK}$

Рисунок 9 — Пример события Sysmon 12, создание ветки реестра `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree{NAMETASK}

Рисунок 10 — Пример события Sysmon 13, создание ключа реестра Index

Рисунок 11- Пример события Sysmon 13, создание ключа реестра Id

Рисунок 12 — Пример события Sysmon 13, создание ключа реестра SD

$Рисунок 13 - Пример события Sysmon 12, создание ветки реестра `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain{GUID}$

Рисунок 13 — Пример события Sysmon 12, создание ветки реестра `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain{GUID}

Если в качестве активации выбран Update задачи, то регистрируется событие в Sysmon с EventId 11(FileCreate). То есть происходит создание xml файла в C:\Windows\System32\Tasks с описанием задачи от имени svchost.exe, связанного со службой Schedule. Пример данного события представлен выше на Рисунке 4.

Также в журнале Security регистрируется событие с EventId 4702(A scheduled task was updated), свидетельствующее об обновлении задачи. Как и в событии 4698 данное событие содержит xml с описанием задачи.

При перезапуске службы Schedule не происходит создание xml файла с описанием задачи и нет каких-либо событий, свидетельствующих о подгрузке задачи в память процесса svchost.exe связанный со службой (т.е. отсутствуют события 4698 и 4702).

Рисунок 14 — EventId 4702 обновление задачи

Чтобы удаленно редактировать реестр потребуется включить службу Remote Registry.

Настройка службы удаленного реестра:

Запустить Remote Registry можно с помощью учетной записи, обладающей правами локального администратора или SYSTEM.
Для этого потребуется выполнить несколько шагов:

Перейти в оснастку "Services.msc"
Открыть свойства "Remote Registry service"
Во вкладке General выбрать тип запуска Automatic
Применить изменения

Если атакующий захочет как можно дальше спрятать свои действия и тем самым еще больше усложнить жизнь специалистам по мониторингу и расследованиям инцидентов, то он сможет это сделать за счет «трюка», позволяющего скрыть запланированную задачу.
В чем же заключается этот трюк мы разберем дальше.

Скрытие задачи в планировщике задач

На этот раз скрытие происходит из оснастки Task Scheduler и других утилит (schtasks, Powershell Get-ScheduledTask) по работе с запланированными задачами. Трюк заключается в том, чтобы удалить определенные ключи в реестре, связанные с задачей.

Давайте посмотрим, что это за ключи и попробуем объединить два метода: создание задачи с помощью реестра (как описано в предыдущем разделе) и скрытие за счет отсутствие определенных ключей. Таким образом, задача будет создана уже без требуемых ключей. В таком случае для активации задачи не представляется возможным использовать Update, а единственным возможным из мне известных вариантов является перезапуск службы Schedule(если вы знаете альтернативные методы, то пишите о них в комментариях к статье). Если же производить манипуляцию с ключами, перечисленными ниже у уже активированной задачи, то дополнительно перезапускать службы или что-то обновлять не требуется. Тогда задача мгновенно пропадает из рассматриваемых утилит после изменений в реестре.

Первый ключ в реестре, который позволяет скрыть задачу, называется Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{NAMETASK}\SD. SD отвечает за дескриптор безопасности. Если создать задачу без этого ключа, то она не будет отображаться в планировщике задач.

Рисунок 15 — Создание задачи без указания ключа SD в реестре

Второй ключ, который можно попробовать не указывать при создании задачи, является Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{NAMETASK}\Index. Однако в текущей ситуации в оснастке Task Scheduler перестают отображаться вообще какие-либо задачи, а при открытии планировщика появляется ошибка «An internal server error occurred», при этом сами задачи работают по-прежнему.

Рисунок 16 — Создание задачи без указания ключа Index в реестре

Также можно попробовать не удалять полностью ключ Index, а изменить его. Таким образом, значение данного поля зависит от того по какому триггеру будет выполняться задача и, соответственно, она связана с веткой HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\{Plain\Logon\Boot}\{GUID} (при Boot Index=0x1, при Logon Index=0x2, при Plain Index=0x3). Если Index установить равным 0x0, то задача будет скрыта в планировщике, но при этом ее работа не нарушится. Установка Index равным 0x4 и более, не повлияет на скрытие задачи.

Рисунок 17 — Создание задачи с указанием в качестве значения ключа Index 0x0 в реестре

Рисунок 18 — Создание задачи c указанием в качестве значения ключа Index 0x4 в реестре

Вишенкой на торте является то, что если совершить Update задачу (schtasks /change /TN TASKNAME /TR PROGRAM), производя манипуляции с ключом Index, то она удалится без какого-либо события в журнале Security, в том числе и не будет события 4699 (A scheduled task was deleted).

Изучив особенности проведения техники Scheduled Task с помощью Remote Registry, перейдем к возможным способам ее детектирования.

Детектирование

Выше было рассказано как можно создать запланированную задачу максимально скрытым способом, а теперь мы поговорим, как защитникам детектировать данные случаи. Думаю очевидно, что стандартным способом за счет событий, связанных с задачами (4698, 4699, 4702), детектировать не получиться, так как они попросту будут отсутствовать в журнале.

Первое на что хотелось бы обратить внимание, так это на то, что везде происходило редактирование реестра. При стандартных способах создания запланированных задач по требуемым веткам вносятся изменения от имени C:\\Windows\\system32\\svchost.exe -k netsvcs -p -s Schedule (т.е. службой Schedule). В нашем же случае все изменения происходили от имени C:\Windows\system32\svchost.exe -k localService -p -s RemoteRegistry. В случае использования psexec и подобных, родительским процессом будет используемая утилита по редактированию реестра, например, ею может выступать reg.exe. То, что редактирование определенных веток реестра происходит с помощью процесса отличающегося от службы Schedule, может как раз и служить одним из маркеров. При этом определить какая именно служба производит изменения в реестре возможно с помощью события Sysmon 1 (Process Creation). Сопоставлять 1, 12 и 13 события можно по полю ProcessGuid (если родительским процессом выступает утилита) или ParentProcessGuid (если родительским процессом выступает служба). Ниже, на основе этого анализа, мною будет представлено-псевдо правило для детекта.

Рисунок 19 — Пример события Sysmon 1, для сопоставления с сервисом, производящим изменения в реестре

Таким образом, псевдо-правило для детекта выглядит так:

SELECT * 
FROM (EventCode=1) 
WHERE (ParentProcessGuid OR ProcessGuid) IN 
( 
	SELECT ProcessGuid 
	FROM (EventCode=12 OR EventCode=13) 
	WHERE TargetObject="HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tree\\*" 
	) 
AND ParentCommandLine!="C:\\Windows\\system32\\svchost.exe -k netsvcs -p -s Schedule"

Также следует отметить, что при активации задачи с помощью Update формируется событие 4702. Данное событие содержит описание задачи, поэтому с помощью ML (Machine Learning) может быть проверено на аномалии. В качестве другой аномалии может выступать тот факт, что были созданы новые ветки реестра, но за этим не последовало события 4698, говорящего о создании задачи.

В совокупности с вышесказанным, но не по отдельности, мы имеем возможность отслеживать перезапуск службы Scheduler с помощью ETW TaskScheduler\Operational события 402 (Service shutting down) и 400 (Service started) или через Process Creation (4688). Почему не стоит полагаться на данные события, как на самостоятельные? Только потому, что данные события происходят при каждом включении ПК, что будет приводить к ложно-положительным сработкам. В свою очередь связать перезапуск службы с перезапуском устройства можно с помощью события 1074 (System has been shutdown by a process/user) в журнале System.

$Рисунок 20 - Пример события в журнале TaskScheduler\Operational, говорящее об остановке службы Schedule$

Рисунок 20 — Пример события в журнале TaskScheduler\Operational, говорящее об остановке службы Schedule

$Рисунок 21 - Пример события в журнале TaskScheduler\Operational, говорящее старте службы Schedule$

Рисунок 21 — Пример события в журнале TaskScheduler\Operational, говорящее старте службы Schedule

Рисунок 22 — Пример события 4688, говорящее о старте службы Schedule

Рисунок 23 — Пример события 1074, говорящее о перезапуске устройства

Также не следует забывать о ситуации, когда задача была создана стандартным способом, а после были удалены ключи в реестре для ее сокрытия. Для этого следует следить за удалением/изменением отдельных ключей реестра (SD и Index).

При удаленном способе редактирования веток реестра применяется протокол WINREG. Внутри пакетов трафик зашифрован. Поэтому использовать информацию внутри трафика для детекта нельзя. Но можно зайти с другой стороны и задаться вопросом, а как часто и для каких целей может использоваться протокол WINREG в корпоративной среде? Ответ на этот вопрос зависит от конкретной организации и выстроенных в ней IT-процессов. Так, если в компании администраторы не применяют инструменты для удаленного редактирования реестра или ПО, в основе которого лежит WINREG, то появление событий в трафике с использованием данного протокола, должны выглядеть подозрительно, что будет служить аномалией.

Рисунок 24- Удаленное изменение веток реестра

Заключение

В этой статье мы рассмотрели интересный метод создания запланированной задачи в Windows системе, а также возможный способ сокрытия задачи в планировщике задач. В результате чего стало понятно, что стандартные способы детектирования техники по созданию запланированных задач на основе событий из Security журнала 4698, 4699, 4702 не подходят в конкретном случае. Также мною были предложены маркеры, на основе которых можно построить детект. Основная идея заключается в мониторинге изменения определенных веток реестра от имени процесса отличного от Schedule. Для наиболее точного распознавания таких случаев были представлены другие дополнительные маркеры детектирования, но рассматривать их стоит в совокупности, а не каждый по отдельности.

Надеюсь данная статья оказалась для вас полезной! Если у вас появились вопросы, пишите в комментариях!

Автор: Кожушок Диана( @wildresearcher), аналитик-исследователь киберугроз в компании R-Vision

Источник

Автоматическое обслуживание Windows – это процесс, проходящий в фоновом режиме, направленный на поддержание работоспособности операционной системы, оптимизирующий её для более быстрой работы. В рамках автоматического обслуживания проверяются системные обновления, выполняется дефрагментация разделов диска, удаляются отдельные временные файлы, система сканируется на предмет наличия вредоносного ПО. В этой статье поговорим о том, почему этот процесс у многих вызывает желание найти в системе настройки для его отключения, а также рассмотрим конкретные шаги, собственно, как это сделать.

Как отключить автоматическое обслуживание в Windows 8.1 и 10

1. Специфика автоматического обслуживания системы, начиная с версии Windows 8

Во времена расцвета Windows 7 процесс автоматического обслуживания мало у кого вызывал заинтересованность, поскольку происходил он неощутимо для пользователей. Автоматическое обслуживание системы дало о себе знать после выхода в 2012 году Windows 8. В этой версии системы, её улучшенной версии 8.1 и новой Windows 10 процесс автоматического обслуживания может быть запущен не только во время простоя компьютера, как это должно быть в идеале, но иногда и в процессе его использования. При этом может наблюдаться активная нагрузка на процессор и/или жёсткий диск. И не обязательно, чтобы компьютер был старым или маломощным. Активное поглощение системных ресурсов во время обслуживания можно заметить на различных устройствах, с различной мощью комплектующих, даже в топовых ноутбуках и на компьютерах с продвинутым «железом».

Дело в том, что система Windows 7 предусматривала автоматическое обслуживание с выполнением различных задач, для каждой из которых назначалось своё специальное время, и оно не зависело от того, работает ли компьютерное устройство от электросети или от батареи. Windows 8, вспомним, создавалась в первую очередь для рынка портативных устройств типа планшетов или ноутбуков с сенсорным экраном. Этот факт и обусловил необходимость свести большую часть мелких задач по обслуживанию операционной системы в единый процесс, который должен выполняться только при условии работы компьютерного устройства от сети, при этом максимально задействовать системные ресурсы с целью завершить автоматическое обслуживание как можно быстрее.

Опять же вспомним, первое время после выхода Windows 8 компьютерные форумы в Интернете пестрили сообщениями пользователей о периодической загрузке этой системой жёсткого диска или процессора на 100%, в том числе и во время простоя компьютера. Счастливые (или не очень) владельцы на тот момент новой операционной системы на борту приобретённых за немалые деньги планшетов или ноутбуков недоумевали, почему, как только они отойдут на пару минут от устройства, начинается разгон процессора и жёсткого диска. Но стоит подвигать мышкой, прикоснуться к экрану или тачпаду, вся активность куда-то исчезает. Правда, может быть, что не сразу, и ещё каких-то минуту-две система будет жутко тормозить. Многих процесс обслуживания системы раздражает. И куда больше этот процесс раздражает, когда запускается не во время простоя компьютерного устройства, а во время его активного использования.

Автоматическое обслуживание в системах Windows 8.1 и 10 по умолчанию назначается ночью – в 2 или 3 часа. Оно предусматривает для этих целей ожидание простоя компьютера в течение 21 часа и предустановленное разрешение на выведение компьютера из режима сна. Длительность планового процесса обслуживания не должна превышать 1 час. Если в назначенный период компьютер используется или выключен, плановое обслуживание переносится на следующие сутки. Постоянный перенос обслуживания, естественно, обуславливает скопление плановых задач. Потому если компьютер в установленное по умолчанию время 2 или 3 часа ночи преимущественно находится в выключенном состоянии, утром после его включения можем наблюдать то самое фоновое обслуживание с поглощением системных ресурсов.

Отключение автоматического обслуживания нежелательно, но к этому можно прибегнуть в особо критических случаях. Например, при постоянном подвисании компьютера во время обслуживания или для отслеживания нагрузки на системные ресурсы без лишних фоновых процессов. Но перед тем, как приступить непосредственно к инструкции по отключению автоматического обслуживания, прежде рассмотрим возможность переназначения времени для плановых процессов.

2. Настройка автоматического обслуживания

Если речь идёт о нагрузке на системные ресурсы сразу же после запуска Windows как следствие того, что компьютер во время планового обслуживания находится преимущественно в выключенном состоянии, это время можно изменить или запускать обслуживание в нужное время вручную. Для этого в системах Windows 8.1 и 10 жмём клавиши Win+X и выбираем «Панель управления».

В панели управления системы Windows 8.1 далее проходим путь:

Система и безопасность – Центр поддержки

В этом окне опускаемся к разделу «Обслуживание», где увидим кнопку запуска вручную обслуживания системы, а также опцию изменения параметров этого процесса.

В панели управления Windows 10 путь чуть отличается:

Система и безопасность – Безопасность и обслуживание

Но непосредственно в окне увидим тот же раздел «Обслуживание», ту же кнопку запуска процесса вручную и ту же возможность изменения параметров.

Нажав опцию «Изменить параметры обслуживания», обнаружим пару позиций, поддающихся корректировке. В выпадающем перечне можем выбрать удобное время и при необходимости снять галочку разрешения процессу обслуживания выводить компьютер из режима сна. Убирать эту галочку целесообразно только в случае, если у компьютера чрезмерно шумный блок питания или винчестер, и их работа в ночное время будет мешать спать. В противном случае такое право процессу автоматического обслуживания лучше оставить.

3. Отключение автоматического обслуживания

Отключение автоматического обслуживания в системе Windows 8.1 осуществляется в системном планировщике задач. Для его запуска жмём клавиши Win+R и в поле команды «Выполнить» вводим:

taskschd.msc

В окне запустившегося планировщика раскрываем слева дерево каталогов:

Библиотека планировщика заданий — Microsoft — Windows – TaskScheduler

Переходим в раздел окна по центру, кликаем задачу Regular Maintance, вызываем на ней контекстное меню и выбираем пункт «Отключить».

Regular Maintance — это и есть задача ежедневного планового запуска автоматического обслуживания, которую в настройках панели управления можно лишь настроить на другое время. После отключения этой задачи обслуживание больше не будет осуществляться автоматически, но его периодически необходимо запускать вручную. В качестве альтернативы отключению планового обслуживания в контекстном меню на задаче Regular Maintance можно выбрать «Свойства»и настроить её отдельные параметры, в частности, установить вместо ежедневной периодичности, например, еженедельную.

Этот же ход в системе Windows 10 проделать не удастся, поскольку компания Microsoft намеренно скрыла в планировщике отображение задач по обслуживанию системы, чтобы различные умники этот процесс не отключали и, соответственно, не пополняли и без того длинный перечень претензий к софтверному гиганту. Но возможность отключить плановое обслуживание существует, делается это с помощью редактора системного реестра. Для редактирования системного реестра с целью отключения и включения автоматического обслуживания прибегнем к помощи выложенных в Интернете REG-файлов – специальных запускаемых файлов, предназначенных для оперативного внесения изменений в реестр Windows. Архив в этими REG-файлами можно скачать с облачного хранилища по ссылке:

Распаковываем папку «automatic maintenance» и для отключения автоматического обслуживания запускаем (с правами администратора) REG-файл «disable automatic maintenance».

Жмём «Да» для продолжения.

Изменения в системный реестр внесены.

Для обратного процесса – для включения автоматического обслуживания – по такому же принципу запускаем другой REG-файл папки «enable automatic maintenance».

Источник

Одна из самых неприятных вещей в Windows 10 — автоматическая перезагрузка для установки обновлений. Несмотря на то, что она не происходит непосредственно в то время, когда вы работаете за компьютером, он может перезагрузиться для установки обновлений, если, к примеру, вы отправились на обед.

В этой инструкции — несколько способов настроить или полностью отключить перезагрузку Windows 10 для установки обновлений, оставив при этом возможность самостоятельного перезапуска ПК или ноутбука для этого. См. также: Как отключить обновление Windows 10.

Примечание: если ваш компьютер перезагружается при установке обновлений, при этом пишет, что Нам не удалось завершить (настроить) обновления. Отмена изменений, то используйте данную инструкцию: Не удалось завершить обновления Windows 10.

Настройка перезапуска Windows 10

Первый из способов не предполагает полного отключения автоматической перезагрузки, а позволяет лишь настроить то, когда она происходит, стандартными средствами системы.

Зайдите в параметры Windows 10 (клавиши Win+I или через меню «Пуск»), перейдите к разделу «Обновления и безопасность».

В подразделе «Центр обновления Windows» вы можете настроить параметры обновления и перезапуска следующим образом:

Изменить период активности (только в версиях Windows 10 1607 и выше) — задать период продолжительностью не более 12 часов, в течение которых компьютер не будет перезагружаться.

Картинка с сайта: remontka.pro
Параметры перезапуска — настройка активна только если обновления уже загружены и перезапуск запланирован. С помощью этой опции вы можете изменить запланированное время автоматической перезагрузки для установки обновлений.

Картинка с сайта: remontka.pro

Как видите, полностью отключить эту «функцию» простыми настройками не получится. Тем не менее, для многих пользователей описанной возможности может оказаться достаточно.

С помощью редактора локальной групповой политики и редактора реестра

Этот способ позволяет полностью отключить автоматическую перезагрузку Windows 10 — с помощью редактора локальной групповой политики в версиях Pro и Enterprise или в редакторе реестра, если у вас домашняя версия системы.

Для начала шаги для отключения с помощью gpedit.msc

Запустите редактор локальной групповой политики (Win+R, ввести gpedit.msc)
Перейдите к разделу Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows и дважды кликните по параметру «Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи».

Картинка с сайта: remontka.pro
Установите значение «Включено» для параметра и примените сделанные настройки.

Картинка с сайта: remontka.pro

Можно закрыть редактор — Windows 10 не будет автоматически перезагружаться, если есть пользователи, которые вошли в систему.

В Windows 10 домашняя то же самое можно выполнить в редакторе реестра

Запустите редактор реестра (Win+R, ввести regedit)
Перейдите к разделу реестра (папки слева) HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\ WindowsUpdate\ AU (если «папка» AU отсутствует, создайте ее внутри раздела WindowsUpdate, кликнув по нему правой кнопкой мыши).
Кликните в правой части редактора реестра правой кнопкой мыши и выберите создать параметр DWORD.
Задайте имя NoAutoRebootWithLoggedOnUsers для этого параметра.
Кликните по параметру дважды и задайте значение 1 (один). Закройте редактор реестра.

Картинка с сайта: remontka.pro

Сделанные изменения должны вступить в силу без перезагрузки компьютера, но на всякий случай можно и перезапустить его (так как не всегда изменения в реестре сразу вступают в силу, хоть и должны).

Отключение перезагрузки с помощью планировщика заданий

Еще один способ выключить перезапуск Windows 10 после установки обновлений — использовать планировщик заданий. Для этого запустите планировщик заданий (используйте поиск в панели задач или клавиши Win+R, и ввод control schedtasks в окно «Выполнить»).

В планировщике заданий перейдите к папке Библиотека планировщика заданий — Microsoft — Windows — UpdateOrchestrator. После этого кликните правой кнопкой мыши по задаче с именем Reboot в списке задач и выберите «Отключить» в контекстном меню.

Отключить задачу перезагрузки в планировщике заданий

В дальнейшем автоматическая перезагрузка для установки обновлений происходить не будет. При этом, обновления будут устанавливаться при перезагрузке компьютера или ноутбука вручную.

Еще один вариант, если выполнять всё описанное вручную для вас сложно — использовать стороннюю утилиту Winaero Tweaker для отключения автоматической перезагрузки. Опция находится в разделе Behavior в программе.

На данный момент времени — это все способы отключения автоматической перезагрузки при обновлениях Windows 10, которые я могу предложить, но, думаю, их окажется достаточно, если такое поведение системы доставляет вам неудобства.

Источник