Месяц назад я писал статью об издании Enterprise G, созданную Microsoft для китайского правительства, в котором много лишнего отключено. Статья вызвала большой интерес, много кому нужна ОС с максимальным функционалом — при вашем желании его использовать, но с возможностью отключить всё (или почти всё) ненужное. У версии Enterprise G основной недостаток в том, что политика продукта, прописанная в цифровой лицензии, запрещает установку любых языковых пакетов, отличных от китайского и английского. То бишь, русского интерфейса легким путем не достичь. Возникает вопрос выбора другого издания.

Сразу на ум приходит версия Enterprise LTSC, как полнофункциональная с длительным циклом обслуживания и поддержки, благо для Windows 11 24H2 она утекла еще в апреле. Но, оказывается, есть и более достойный выбор, о котором мы сейчас с вами и поговорим. Речь идёт об издании IoT Enterprise LTSC. Что это такое? Чем оно лучше, чем Enterprise LTSC? А чем хуже? Как её русифицировать и как активировать? Об этом сегодняшний разговор.

Издания Windows IoT (Internet of Things или Интернет вещей) появились давно. Я как‑то писал большую статью с историей Windows 10, их насчиталось аж 15 штук. С IoT ситуация чуть проще, официально продавались Windows 10 IoT Enterprise версий 2015, 2016, 2019 и 2022. Также существуют Windows IoT Mobile и даже Windows IoT Server. Очевидно, что и у Windows 11 не могло не быть своих IoT изданий. Издание IoT Enterprise LTSC относится к длительному циклу обслуживания, поддерживается максимально долго и предназначается, в общем, для нишевых устройств. Но, по сути, мало чем отличается от обычного Windows 11 Enterprise LTSC. Но те отличия что есть, прямо сказать, ну очень привлекательны.

  • Во‑первых, в изданиях IoT (в том числе IoT Enterprise LTSC) нет проверки на системные требования. Бог с ним с TPM 2.0, Secure Boot, хватит и 2 ГБ памяти и одноядерного процессора (то есть ОС не станет ломаться и отказываться устанавливаться), установка с флешки или обновлением стартует без проверки железа. Хитрые способы установки, которые я описывал в недавней статье Как правильно сделать апгрейд ОС — установить Windows 11 поверх существующей с сохранением приложений и настроек / Хабр (habr.com) для установки IoT изданий не требуются;

  • У издания IoT LTSC самый длительный цикл поддержки, то есть получать обновления она будет еще десять лет без какого‑либо шаманства. У обычной LTSC — 5 лет;

  • В отличие от обычного Enterprise LTSC, который можно активировать лишь ключом или KMS активатором (на 180 дней), версия IoT Enterprise LTSC поддерживает HardwareID активацию — один раз и навсегда. Как вы знаете, активировать Windows и Office можно утилитами MAS или даже простым PowerShell скриптом;

  • В политике продукта (ProductPolicy) для IoT Enterprise LTSC можно обнаружить несколько перлов, которых нет больше практически ни у одного другого издания:

    • TerminalServices‑RemoteConnectionManager‑MaxSessions — имеет значение «2», в отличие от «1» у всех остальных изданий (кроме хитрого издания Enterprise Multisession, условия лицензии на которое требуют подписки Azure, и имеются другие ограничения). В Windows 10 IoT Enterprise LTSC значение было также «1», — сейчас в Windows 11 IoT вы можете работать на консоли одним пользователем, а по Remote Desktop другим, не блокируя друг друга — без сторонних врапперов и боязни обновляться;

    • SMBClient‑RequireSigningByDefault — имеет значение «0», в отличие от большинства остальных изданий, IoT не требует подписания SMB трафика по умолчанию. То есть нет проблемы совместимости со старыми Windows и не‑Windows файловыми ресурсами;

    • DeviceUpdateCenter‑Supported — имеет значение «1», только для изданий IoT можно настроить поддержку DeviceUpdateCenter;

    • Telemetry‑ProcessorModeAllowed — имеет значение «0» — запрет на сбор телеметрии, у всех остальных изданий стоит «1».

    • SecureStartupFeature‑Disabled‑AutomaticDeviceEncryption — имеет значение «1», не начинает шифровать системный диск по умолчанию. Но ключ SecureStartupFeature‑Enabled‑DeviceEncryption имеет значение «1», то есть, если вы захотите включить шифрование вручную, политика это позволяет;

    • ServicingStack‑License‑ReservedStorageAllowed — имеет значение «0», только издание IoT не резервирует заранее места под обновления ОС и временные файлы, то есть экономит место на системном диске;

  • Отдельно расскажу тем, кто не любит браузер Microsoft Edge. В IoT LTSC он есть и не удаляем по умолчанию. Но согласно требованиям еврокомиссии, его можно удалить в издании Enterprise LTSC, если у вас в качестве региона выбрана страна Евросоюза. Так как переключение между изданиями LTSC и IoT LTSC занимает несколько секунд, просто сменой серийного номера в Настройках (сам номер брать с сайта Microsoft), можно переключиться в Enterprise LTSC, задать европейский регион, деинсталлировать Edge и Edge WebView2, после перезагрузки переключиться сменой номера обратно в IoT LTSC.

Где же скачать Windows 11 IoT Enterprise LTSC, желательно русскую?

Microsoft на данный момент LTSC версий Windows 11 24H2 не предоставляет, но в Интернет архиве (сайт archive.org) по тегам 24H2 и LTSC возникает масса ссылок, — к ним можно добавить IoT, но это не обязательно, — официальный образ 26 100.1.240 331–1435.ge_release_CLIENT_ENTERPRISES_OEM_x64FRE_en‑us.iso содержит в себе три издания Enterprise LTSC, IoT Enterprise LTSC и IoT Enterprise LTSC Subscription. Нас интересует второй. Русский язык доставляется из магазина приложений. Магазин в LTSC версиях включается командой wsreset ‑i из командной строки в режиме администратора. Интегрировать русский в образ можно самостоятельно, либо найти его на трекерах. Официальные образы с русским будут осенью, когда версия 24H2 пойдет в продажу.

На этом пока всё, удачи вам, ставьте лайк, задавайте вопросы, отвечу.

Комментарии (71)


  1. jarkevithwlad
    13.07.2024 18:22
    +1

    спасибо, действительно годный образ и статья


  1. Renatk
    13.07.2024 18:22
    +1

    Подскажите пожалуйста, режим для мультиприложений в киоске завезли такой же, как был в 10 windows? Или пока все еще такой же, с одним приложением как в 11ой?


    1. akibkalo Автор
      13.07.2024 18:22

      Извиняюсь, не очень понял вопроса.

      Можете пояснить? Сам с режимом киоска не работал. Что именно вы имеете в виду под "режимом мультиприложений"?

      Спасибо за интересные комментарии, сам рад получать новые знания в процессе обсуждения. Если дадите термин на английском, или опишите процесс, раскопаю и расскажу.


  1. vvzvlad
    13.07.2024 18:22

     У версии Enterprise G основной недостаток в том, что политика продукта, прописанная в цифровой лицензии, запрещает установку любых языковых пакетов, отличных от китайского и английского. 

    У версии Enterprise G основной недостаток в том, что требуется кучу каких-то действий проделать, чтобы получить образ. Не просто скачать, а что-то там колдовать, еще и в винде.


    1. akibkalo Автор
      13.07.2024 18:22
      +3

      Нет такого недостатка, - он в вашей голове.
      Если вы китаец, или сочувствующий (понимаете китайский), смело идите на 神州网信CMIT-下载中心 (cmgos.com) введите номер клиента 0601000000000 и капчу, что будет там.
      Сможете скачать официально продаваемые версии G -
      1) Windows 10, т.к. 11 начнут с октября
      2) только китайский, - английский добавить можно позже самостоятельно из настроек
      3) с предустановленными китайскими приложениями (а ля WeChat) и политиками
      Если вам оно надо, - велкам. Не мешайте другим жить так как они хотят


      1. vvzvlad
        13.07.2024 18:22
        +1

        А, ну т.е. "можете скачать, но только на китайском" или "ну для англиского по умолчанию надо пересобирать образ", "если не хотите вичат и китайские политики, тоже" — это, по-вашему, "недостаток в моей голове"?))

        Не мешайте другим жить так как они хотят

        А что, вам так мешает жить критика? Тогда вам не на сайты с комментариями.


  1. nikerossxp
    13.07.2024 18:22

    по-моему использовать ltsc шиндоуз сейчас - как пользоваться ХР. Пока работает, а потом нахлебаешься приколов.

    Обычные версии, начиная с семёрки, можно спокойно обновлять поверх до следующих релизов, и это прекрасно.


  1. litos
    13.07.2024 18:22

    Помню были версии 10 LTSB и более новая 10 LTSC тоже неплохие сборки особенно для старого железа,.10ка где половина отключено включая магазин приложений, с русским проблем не было - была прямо русская, скачать образ можно было на известном треккере, kms активация работала.


    1. akibkalo Автор
      13.07.2024 18:22

      KMS работает и сейчас. На 180 дней.
      В течении пяти лет будут приходить обновления.
      У IoT можно активировать один раз навсегда. И обновления будут ставиться 10 лет (на LTSC без IOT эти обновления уже не встанут через 5 лет)


    1. Drno
      13.07.2024 18:22

      Почему были то.. и щас есть, вин10 ltsc стоит на сотни устройств, полёт отличный...


  1. DJ_URAN
    13.07.2024 18:22
    +2

    Ещё бы по-умолчанию не было защитника, была бы сборка огонь!

    Также интересно, в сравнении с enterprise g насколько ресурсов больше ест?


    1. akibkalo Автор
      13.07.2024 18:22
      +2

      Увы, отключить защитника невозможно не в G
      Ест мегабайт на 120-130 больше у меня в ВМ.


      1. iamyarko
        13.07.2024 18:22

        Пробовал отключать в этом IoT рубильником и дефендер контролем - вроде в памяти не висит, но после этого винда начинает дико тормозить при установке любого софта *.exe, при этом установка из магазина происходит без проблем. Чего-то там походу индусы накрутили.


        1. jarkevithwlad
          13.07.2024 18:22

          а если добавить все диски в исключения?


  1. Mojiberus
    13.07.2024 18:22

    Статья, конечно, интересная, но все же правильно писать "в отличие".


    1. akibkalo Автор
      13.07.2024 18:22
      +3

      Спасибо. В статье можно выделить текст и нажать кнопку с сообщением об ошибке. - автору придет ссылка в ПМ)


  1. ontop
    13.07.2024 18:22
    +2

    Спасибо за ваши статьи. Подписан на вас.

    Так скоро сами соберём свой идеальный образ Windows 11.


    1. akibkalo Автор
      13.07.2024 18:22
      +3

      Спасибо, рад делиться информацией.
      Для энтузиастов, обладающих массой времени я бы предложил создать по ВМ на каждое издание и экспортировать через ProductPolicyEditor политику продукта в файл, и потом в Excel сравнить.
      Я именно так составил список отличий IoT LTSC, да и статью, наверное, решил написать скорее потому, что нигде даже на английском четкого списка отличий не нашел. А он весь в ProductPolicy как на ладони.
      Увы, ручная модификация ProductPolicy приводит к перезагрузкам раз в час, этим обусловлены сложности перевода G, например. Но есть преценденты, когда один китаец успешно менял Policy, с сохранением цифровой подписи и все работало. Надеюсь для 26100 повторим.


  1. titbit
    13.07.2024 18:22

    хватит и 2 ГБ памяти и одноядерного процессора

    А где написано про возможность работы именно на 1 ядерном процессоре? На официальной странице https://learn.microsoft.com/en-us/windows/iot/iot-enterprise/hardware/system_requirements?tabs=Windows11LTSC написано про минимум 2 ядра вроде как.


    1. akibkalo Автор
      13.07.2024 18:22

      Это прописано в ProductPolicy, -- чисто техническое требование, которого нет для IoT версий.


    1. ziv64
      13.07.2024 18:22

      А я кстати попробовал поставить на одно ядерный Celeron, но правда двух поточный. Все нормально заработало, активировалось на kms сервере и русский добавил. А вот G на него не смог поставится по причине не соответствия требованиям..


      1. akibkalo Автор
        13.07.2024 18:22

        Отлично!

        Если вы при загрузке с образа G нажмете Shift+F10, вы сможете запустить редактор реестра и изменить реестр, отключив требования:

        Windows Registry Editor Version 5.00
        [HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig]

        "BypassTPMCheck"=dword:00000001
        "BypassSecureBootCheck"=dword:00000001
        "BypassRAMCheck"=dword:00000001
        "BypassStorageCheck"=dword:00000001


        1. DJ_URAN
          13.07.2024 18:22

          Не планируете статью сравнения enterprise g и iot enterprise ltsc в скорости и весе?


          1. akibkalo Автор
            13.07.2024 18:22
            +1

            Нет, я все таки занимаюсь архитектурой больше. Но готов помочь вам сделать это. Приглашение подарил, - пишите статью! :)))


        1. ziv64
          13.07.2024 18:22

          Я думал что в G убраны ограничения на оборудование, судя по описанию на comss: "Windows 11 Government Edition — неофициальная облегченная версия Windows 11, созданная без телеметрии и приложений Microsoft. Разработчик Энди Кирби сообщает, что она удаляет ограничения по оборудованию и приложения, включая Microsoft Edge и Defender"


          1. akibkalo Автор
            13.07.2024 18:22
            +1

            Я бы не стал доверять писанине ком.сру, это набор плохо переведенных чужих статей с разных мест, без глубокого анализа и ссылок на оригинал.

            В каждом предложении есть суть и смысл, но вместе они не читаемы )

            Вырванная из контекста ссылка на Кирби (мы кстати с ним работали в Microsoft в одни и те же годы), говорила в оригинале, что некоторые форумы и трекеры распространяют EnterpriseG образ и он предупреждает что это самопал. Мы в статье про EnterpriseG с самого начала учились самостоятельно собрать образ, а не выкладывали нечто под видом оригинала.
            Нельзя сказать что EnterpriseG не существует, парой комментариев выше логин на официальный сайт CMIT где можно его скачать (китайский язык, Windows 10), Windows 11 24H2 еще нет в продаже. Версия EnterpriseG собрана (на китайском) и ждет анонса, мы пока ее препарировали и исследовали, и я думаю, что к этой теме я еще триумфально вернусь позже с русским лангпаком, - действительно легчайшая винда. Без дефендера и предустановленного Edge. Но с требованиями к железу (память, проц и т.д) - проверяется с ProductPolicyEditor.


        1. Johan_Palych
          13.07.2024 18:22

          Эта фича известна с первых версий Win11. Я так ставил на виртуалки с MBR и Legacy BIOS c древним CPU ради прикола.
          Файл, например Win11.reg сохраняют на установочном USB.
          При появлении надписи о невозможности установки ОС, нажать Shift + F10 далее notepad.exe и Enter далее Файл > Открыть > выбрать Win11.reg > ПКМ Слияние

          Win11.reg
          Windows Registry Editor Version 5.00
          
          [HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig]
          "BypassTPMCheck"=dword:00000001
          "BypassSecureBootCheck"=dword:00000001
          "BypassRAMCheck"=dword:00000001
          "BypassStorageCheck"=dword:00000001
          "BypassCPUCheck"=dword:00000001

          И даже после установки будет обновляться:
          Win+R в меню выполнить "C:\WINDOWS\system32\cmd.exe"
          del C:$WINDOWS.~BT\Sources\appraiser.sdb
          del C:$WINDOWS.~BT\Sources\AppraiserRes.dll
          и продолжаете обновляться


  1. AndreyDmitriev
    13.07.2024 18:22

    Установил в виртуалку, в принципе норм. Только актуальная версия вроде 26100, у вас на скриншоте 26120 это insider preview похоже. Вот после всех обновлений:

    Из любопытного, в процессе установки предлагает поиграть в игру:

    Прикольно, я раньше не видел:


    1. Tuxozaur
      13.07.2024 18:22
      +3

      В эту игру можно поиграть в Edge, если в строке адреса набрать edge://surf


      1. akibkalo Автор
        13.07.2024 18:22

        Так точно.


    1. akibkalo Автор
      13.07.2024 18:22

      Да, у меня 26120, так как я ставил себе ОС еще в апреле в статусе Preview, и она это сохранила.


  1. slonopotamus
    13.07.2024 18:22

    У обычной LTSC – 5 лет

    Но ведь десять: https://learn.microsoft.com/en-us/lifecycle/products/windows-10-enterprise-ltsc-2019


    1. akibkalo Автор
      13.07.2024 18:22
      +1

      А я вам говорю не о Windows 10 :)
      Для Windows 10, раз уж вы подняли тему, посмотрите мою заметку Все о версиях Windows 10 и как максимально продлить поддержку своей ОС / Хабр (habr.com) там сказано - цитирую
      Следует помнить, что обычные Windows 10 (Home, Pro, Enterprise, а также обычная не-LTSC IoT Enterprise) будут обновляться лишь до 14.10.2025 (еще год), Enterprise LTSC издание Windows 10 21H2 будет получать свои обновления до 12.01.2027 (еще два с половиной года), а издание IoT LTSC аж до 13.01.2032 (семь с половиной лет)
      Политика поддержки LTSC не десять а пять лет изменилась с 2021 года, увы. Пруф тут: Новые возможности Windows 10 Корпоративная LTSC 2021 | Microsoft Learn цитирую:
       Важно!

      Windows 10 Корпоративная LTSC 2021 имеет 5-летний жизненный цикл. (IoT Enterprise LTSC по-прежнему имеет 10-летний жизненный цикл. Таким образом, выпуск LTSC 2021 не является прямой заменой для LTSC 2019, срок жизненного цикла которого составляет 10 лет.

      Windows 11 24H2 LTSC имеет такой же 5 летний цикл, а IoT LTSC - 10 летний. На офсайте этого пока нет, но в партнерской рассылке проходило.

      Убедил?


      1. slonopotamus
        13.07.2024 18:22

        Ох сложна! Убедили.


  1. ljt
    13.07.2024 18:22

    ставил на планшет тот 3х системный рекомендованный образ поверх Win 11 Pro. Ни в какую не хотел ставиться c апдейтом, прошел все шаги из прилинкованной статьи, не помог патчинг, ни установка языка, ни редакции...

    и, кстати, может кому-то пригодится, на Synology NAS в VMM не ставится ни одна версия 11 LTSC, в инете уже есть жалобы, а решения пока нет, кроме как ставить 10 LTSC


    1. akibkalo Автор
      13.07.2024 18:22

      Если у вас задача сменить редакцию с PRO на LTSC, она решаема и без апгрейда.
      1) Обновиться на последнюю PRO (если пока стоит не 24H2, то ради бога на 26100.1 без апдейтов, это сильно упростит все и сделает ненужным шаг 2
      2) Создать виртуалку с 24H2 LTSC и тем же LCU обновлением, при помощи SXSv1 Extractor экспортировать пакеты Edition и Edition pack
      3) Загрузиться с флешки (в тот же сетап винды) и сделать dism /image:C:\ /apply-unattend:1.xml и dism /image:C:\ /apply-unattend:2.xml , где в 1.xml будет что-то типа

      <?xml version="1.0" encoding="utf-8"?>
      <unattend xmlns="urn:schemas-microsoft-com:unattend">
      <servicing>
      <package action="stage">
      <assemblyIdentity name="Microsoft-Windows-EnterpriseSEdition" version="10.0.26100.1" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" />
      <source location="sxs\Microsoft-Windows-EnterpriseSEdition~31bf3856ad364e35~amd64~~10.0.26100.1.mum" />
      </package>
      </servicing>
      </unattend>

      А в 2.xml

      <?xml version="1.0" encoding="utf-8"?>
      <unattend xmlns="urn:schemas-microsoft-com:unattend">
      <servicing>
      <package action="remove">
      <assemblyIdentity name="Microsoft-Windows-ProfessionalEdition" version="10.0.26100.1" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" />
      </package>
      <package action="install">
      <assemblyIdentity name="Microsoft-Windows-EnterpriseSEdition" version="10.0.26100.1" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" />
      </package>
      </servicing>
      </unattend>

      Неприглядно выглядит в комменте, если будут вопросы, пишите в ПМ.
      Похожим образом я объяснял как собирать из Pro EnterpriseG в Windows 11 Enterprise G – Что за издание для правительства Китая и зачем оно вам? / Хабр (habr.com) - с примерами скриптов


  1. DJ_URAN
    13.07.2024 18:22

    Кстати, по ссылке на ключи-серийники на все редакции верные, кроме iot enterprise ltsc. То ли опечатка, то ли ошибка, но ключ начинается не с KBN8V-, а с КБ N8V-


    1. akibkalo Автор
      13.07.2024 18:22

      Да, на английской странице все указано верно https://learn.microsoft.com/en-us/windows-server/get-started/kms-client-activation-keys


    1. Wigleg
      13.07.2024 18:22

      Это не опечатка, но и не совсем ошибка :) видите ли, майки все свои статьи базово не имеющие перевода человеком, просто выдают прогон переводчика.

      Вот и получаются всякие "сервис менеджмента ключей" и прочие "исследователи".

      Тут очевидно указана единица измерения, а остальной текст просто не получилось запарсить на смысл :)


  1. DJ_URAN
    13.07.2024 18:22

    Удалил Эдж. Но остались microsoft edge update и microsoft edge webview2 runtime

    Кнопки удалить на этих компонентах неактивны. Их как удалять?


    1. akibkalo Автор
      13.07.2024 18:22
      +1

      Вам трушных микрософт способ, или работающий?
      Работающий - AveYo (Microsoft Edge Removal) · GitHub
      Трушный - через LTSC и регион франция.


      1. DJ_URAN
        13.07.2024 18:22

        Удалил webview2, а edge update так и остался.


    1. sainfo
      13.07.2024 18:22
      +2

      Лично я образ install.wim утекшего образа 26100.1.240331-1435.ge_release_CLIENT_ENTERPRISES_OEM_x64FRE_en-us локализую в ru-RU, апгрейживую как мне надо, обновляю до версии 26120.1150 и удаляю из образа все что мне не нужно этим скриптом (без подробностей). К слову, Edge тут вырезается под корень, со всеми потрохами. Будут вопросы - пишите ...

      :: Работа с образом install.wim - Modified by Sainfo
      :: 
      :: Монтирование образа install.wim
      dism /Mount-Wim /WimFile:C:\WimWork\install.wim /index:1 /mountdir:C:\WimWork\mount
      ::
      :: Загрузка разделов реестра
      reg load HKLM\WIM_Software C:\WimWork\Mount\windows\system32\config\software
      reg load HKLM\WIM_SYSTEM C:\WimWork\Mount\Windows\System32\Config\SYSTEM
      reg load HKU\WIM_NTUSER C:\WimWork\Mount\Users\Default\NTUSER.DAT
      ::
      :: Применение твиков к разделам реестра - Registry Tweak Tool
      C:\WimWork\SU64.exe /w /s reg import C:\WimWork\Tweak\SOFTWARE.reg
      C:\WimWork\SU64.exe /w /s reg import C:\WimWork\Tweak\SYSTEM.reg
      reg import C:\WimWork\Tweak\USER.reg
      ::
      :: Выгрузка разделов реестра
      reg unload HKLM\WIM_Software
      reg unload HKLM\WIM_SYSTEM
      reg unload HKU\WIM_NTUSER
      ::
      :: Сохранение образа в install.wim
      dism /Unmount-Wim /MountDir:C:\WimWork\Mount /Commit
      ::
      :: Монтирование образа install.wim
      dism /Mount-Wim /WimFile:C:\WimWork\install.wim /index:1 /MountDir:C:\WimWork\mount
      ::
      :: Интеграция  языковых пакетов и обновлений 
      dism /image:C:\WimWork\Mount /Add-Package /PackagePath:C:\WimWork\ru-ru
      ::
      dism /image:C:\WimWork\Mount /Add-Package /PackagePath:C:\WimWork\other
      ::
      :: Применяем все настройки для русского языка командой: 
      dism /image:C:\WimWork\Mount /Set-AllIntl:ru-RU
      ::
      :: Язык интерфейса системы
      dism /image:C:\WimWork\Mount /Set-UILang:ru-RU
      ::
      :: Язык системной локали для не Unicode
      dism /image:C:\WimWork\Mount /Set-SysLocale:ru-RU
      ::
      :: Денежный формат, формат времени
      dism /image:C:\WimWork\Mount /Set-UserLocale:ru-RU
      ::
      :: Настройки ввода с клавиатуры
      dism /image:C:\WimWork\Mount /Set-InputLocale:0419:00000419
      ::
      :: Временная зона
      dism /image:C:\WimWork\Mount /Set-TimeZone:"Russian Standard Time" 
      ::
      :: Сохранение образа в install.wim
      dism /Unmount-Wim /MountDir:C:\WimWork\Mount /Commit
      ::
      :: Монтирование образа install.wim
      :: Обновление образа install.wim
      dism /Mount-Wim /WimFile:C:\WimWork\install.wim /index:1 /mountdir:C:\WimWork\mount
      dism /Image:C:\WimWork\Mount /Add-Package /PackagePath:C:\WimWork\Updates\windows11.0-kb5037898-x64.msu
      dism /Unmount-Wim /MountDir:C:\WimWork\Mount /Commit
      
      dism /Mount-Wim /WimFile:C:\WimWork\install.wim /index:1 /mountdir:C:\WimWork\mount
      dism /Image:C:\WimWork\Mount /Add-Package /PackagePath:C:\WimWork\Updates\windows11.0-kb5040435-x64.msu
      dism /Unmount-Wim /MountDir:C:\WimWork\Mount /Commit
      ::
      :: Монтирование образа install.wim
      dism /Mount-Wim /WimFile:C:\WimWork\install.wim /index:1 /mountdir:C:\WimWork\mount
      ::
      ::Удаление Microsoft Paint
      dism /image:C:\WimWork\Mount /Remove-Capability /CapabilityName:Microsoft.Windows.MSPaint~~~~0.0.1.0
      ::
      :: Команда удаления edge в образе и его службы
      Dism /Image:C:\WimWork\Mount /Remove-Edge
      ::
      :: Загрузка разделов реестра
      reg load HKLM\WIM_Software C:\WimWork\Mount\windows\system32\config\software
      ::
      :: Подчистка остатков edge в реестре
      C:\WimWork\SU64.exe /w /s Powershell "LS HKLM:\WIM_Software -Rec -ea 0|?{$_.Name -Match 'edge' -and $_.Name -NotMatch 'EdgeGesture'}|RI -Rec"
      ::
      :: Выгрузка разделов реестра
      reg unload HKLM\WIM_Software
      ::
      :: Инициализация начала работы с каталогом WinSxS
      dism /Image:C:\WimWork\Mount /Cleanup-Image /AnalyzeComponentStore
      ::
      :: Инициализация очистки каталога WinSxS
      dism /Image:C:\WimWork\Mount /Cleanup-Image /StartComponentCleanup
      ::
      :: Удаления устаревших и неиспользуемых версий компонентов каталога WinSxS
      dism /Image:C:\WimWork\Mount /Cleanup-Image /StartComponentCleanup /ResetBase
      ::
      :: Сжатие пакетов обновлений
      dism /Image:C:\WimWork\Mount /Cleanup-Image /SPSuperseded
      ::
      :: Сохранение образа в install.wim
      dism /Unmount-Wim /MountDir:C:\WimWork\Mount /Commit
      dism /cleanup-wim
      ::
      :: Экспорт образа в new_install.wim
      DISM /Export-Image /SourceImageFile:C:\WimWork\install.wim /SourceIndex:1 /DestinationImageFile:C:\WimWork\new_install.wim /Compress:maximum
      Pause
      exit
      
      


      1. akibkalo Автор
        13.07.2024 18:22

        Здорово, спасибо.

        Можно еще с концами убрать Defender и станет совсем нормальная винда ))

        О дефендере дописываю статью


        1. DJ_URAN
          13.07.2024 18:22

          Это ж получается iot enterprise G LTSC ?

          Ждём статью!


          1. akibkalo Автор
            13.07.2024 18:22

            Нет, совсем не Enterprise G, просто проверенный способ полного отключения Defender в любом издании, так чтобы не ругался SFC и чтобы обновления его не возвращали.


            1. slavius
              13.07.2024 18:22

              А зачем совсем отключать Defender? Нужно что-то "активировать" - можно отключить. А так - пусть будет. Нагружает не сильно при обычном использовании.


          1. sainfo
            13.07.2024 18:22

            Насчет совсем убрать Defender не скажу, а вот отключить его можно полностью (навсегда) без проблем. Этот .cmd файлик, выполняется из setrupcomplete.cmd командой: for %%f in (Files*.cmd) do call %%f. У меня из папки Files выполняется он и не только он, еще восемь параметров (.cmd файлов).

            @echo Off
            if exist "%ProgramFiles%\Windows Defender\MsMpEng.exe" (
            sc config WinDefend start=disabled >nul && net stop WinDefend >nul
            sc config WdBoot start=disabled >nul && net stop WdBoot >nul
            sc config WdFilter start=disabled >nul && net stop WinDefend >nul
            sc config SecurityHealthService start=disabled >nul && net stop SecurityHealthService >nul
            sc config Sense start=disabled >nul && net stop Sense >nul
            sc config WdNisDrv start=disabled >nul && net stop WdNisDrv >nul
            sc config WdNisSvc start=disabled >nul && net stop WdNisSvc >nul
            taskkill /im MsMpEng.exe /f & taskkill /im MpCmdRun.exe /f
            reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SecurityHealth" /f >nul
            reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v "PUAProtection" /t REG_DWORD /d "0" /f
            reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection" /t REG_DWORD /d "0" /f >nul
            reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v "DontOfferThroughWUAU" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v "DontReportInfectionInformation" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreen" /v "ConfigureAppInstallControlEnabled" /t REG_DWORD /d "0" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v "SpyNetReporting" /t REG_DWORD /d "0" /f >nul
            reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v "SubmitSamplesConsent" /t REG_DWORD /d "2" /f >nul
            for /f %%i in ('reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx" /s /k /f "SecHealthUI" ^| find /i "SecHealthUI" ') do (reg delete "%%i" /f >nul 2>&1)
            call :policies
            )
            exit /b
            :policies
            for /f "tokens=1* delims=:"  %%i in ('reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v SettingsPageVisibility') do set "hidelist=%%j"
            reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "SettingsPageVisibility" /t REG_SZ /d "hide:windowsdefender;%hidelist%" /f >nul
            reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.Defender.SecurityCenter" /v "Enabled" /t REG_DWORD /d "0" /f >nul
            reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance" /v "Enabled" /t REG_DWORD /d "0" /f >nul
            exit /b


            1. ArkadiyShuvaev
              13.07.2024 18:22

              А вы defender отключаете, потому что у вас другой антивирус есть?

              Хочу ускорить систему от всякого хлама, но, насколько я понимаю, замена одного "защитника" другим проблему не решает.

              Или в чем то другом дело?


            1. akibkalo Автор
              13.07.2024 18:22

              Интересно.

              Я обычно отключаю совсем другим способом.

              Вот пример:

              @echo off

              :: BatchGotAdmin
              :-------------------------------------
              REM --> Check for permissions
              IF "%PROCESSOR_ARCHITECTURE%" EQU "amd64" (

              nul 2>&1 "%SYSTEMROOT%\SysWOW64\cacls.exe" "%SYSTEMROOT%\SysWOW64\config\system"
              ) ELSE (
              nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
              )

              REM --> If error flag set, we do not have admin.
              if '%errorlevel%' NEQ '0' (
              echo Requesting administrative privileges...
              goto UACPrompt
              ) else ( goto gotAdmin )

              :UACPrompt
              echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
              set params= %*
              echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params:"=""%", "", "runas", 1 >> "%temp%\getadmin.vbs"

              "%temp%\getadmin.vbs"
              del "%temp%\getadmin.vbs"
              exit /B
              

              :gotAdmin
              pushd "%CD%"
              CD /D "%~dp0"

              set Policies=HKEY_LOCAL_MACHINE\SOFTWARE\Policies

              echo == Disabling SmartScreen

              REG ADD "%Policies%\Microsoft\Windows\System" /f /v EnableSmartScreen /t REG_DWORD /d "0"
              REG ADD "%Policies%\Microsoft\Windows Defender\SmartScreen" /f /v ConfigureAppInstallControlEnabled /t REG_DWORD /d "0"
              REG ADD "%Policies%\Microsoft\Windows Defender\SmartScreen" /f /v ConfigureAppInstallControl /t REG_SZ /d "Anywhere"
              REG ADD "%Policies%\Microsoft\Internet Explorer\PhishingFilter" /f /v Enabled /t REG_DWORD /d "0"
              REG ADD "%Policies%\Microsoft\Internet Explorer\PhishingFilter" /f /v EnabledV8 /t REG_DWORD /d "0"
              REG ADD "%Policies%\Microsoft\Internet Explorer\PhishingFilter" /f /v EnabledV9 /t REG_DWORD /d "0"
              REG ADD "%Policies%\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3" /f /v 2301 /t REG_DWORD /d "3"
              REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\Browser\AllowSmartScreen" /f /v value /t REG_DWORD /d "0"
              REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" /f /v SmartScreenEnabled /t REG_SZ /d "Off"
              REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System" /f /v EnableSmartScreen /t REG_DWORD /d "0"

              echo == Disabling SmartScreen for Store and Apps

              REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost" /f /v EnableWebContentEvaluation /t REG_DWORD /d "0"
              REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost" /f /v PreventOverride /t REG_DWORD /d "0"
              REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows Security Health\State" /f /v AppAndBrowser_StoreAppsSmartScreenOff /t REG_DWORD /d "0"
              REG ADD "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\PhishingFilter" /f /v "EnabledV9" /t REG_DWORD /d "0"

              echo == Disabling SmartScreen for Microsoft Edge

              REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Edge" /f /v SmartScreenEnabled /t REG_DWORD /d "0"
              REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Edge" /f /v SmartScreenPuaEnabled /t REG_DWORD /d "0"
              REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows Security Health\State" /f /v AppAndBrowser_EdgeSmartScreenOff /t REG_DWORD /d "0"

              echo == Disabling Smart App Control

              REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy" /f /v VerifiedAndReputablePolicyState /t REG_DWORD /d "0"

              echo == Stopping SmartScreen and Cleaning Up

              takeown /s %computername% /u %username% /f "%WinDir%\System32\smartscreen.exe"
              icacls "%WinDir%\System32\smartscreen.exe" /grant:r %username%:F
              taskkill /im smartscreen.exe /f
              del "%WinDir%\System32\smartscreen.exe" /s /f /q

              takeown /s %computername% /u %username% /f "%WinDir%\System32\smartscreen.dll"
              icacls "%WinDir%\System32\smartscreen.dll" /grant:r %username%:F
              del "%WinDir%\System32\smartscreen.dll" /s /f /q

              takeown /s %computername% /u %username% /f "%WinDir%\System32\smartscreenps.dll"
              icacls "%WinDir%\System32\smartscreenps.dll" /grant:r %username%:F
              del "%WinDir%\System32\smartscreenps.dll" /s /f /q

              pause

              Мой способ работает в том числе на CloudEdition и переживает установку 26100.1150 без появления Защитника.

              Возможно следует объединить куски скриптов, я посмотрю внимательно на днях


      1. DJ_URAN
        13.07.2024 18:22

        Можно подробнее, пожалуйста, где взять скрипт и файлы для его работы?


        1. akibkalo Автор
          13.07.2024 18:22
          +1

          1. DJ_URAN
            13.07.2024 18:22

            Уже. Плюсанул. Сделал и нет теперь защитника. А в скрипте выше меня более интересует полное выпиливание edge со всеми потрохами. Ну и предустановка русского пакета в образ. Я загрузил русский на работающей вм и применил все настройки, но русифицировалось все, кроме панели настроек. Странно


            1. akibkalo Автор
              13.07.2024 18:22
              +1

              В образ вставить языковй пакет удобно с BatUtil/W10MUI/README.md at master · abbodi1406/BatUtil · GitHub


      1. DJ_URAN
        13.07.2024 18:22

        Вот этот пункт почему-то не отрабатывает

        :: Подчистка остатков edge в реестре

        C:\WimWork\SU64.exe /w /s Powershell "LS HKLM:\WIM_Software -Rec -ea 0|?{$_.Name -Match 'edge' -and $_.Name -NotMatch 'EdgeGesture'}|RI -Rec"


        1. akibkalo Автор
          13.07.2024 18:22

          Так, это не мой скрипт, напишите в ПМ тому кто это предложил.
          Возможно, следует обновить SU64 Super User CMD v1.2.1 [2019/07/03] — запуск программ с повышением привилегий через UAC из командной строки под Windows — VEG.BY
          Я сам пользуюсь только Edge


        1. DJ_URAN
          13.07.2024 18:22

          В общем, пересобранный образ с помощью скрипта не хочет устанавливаться на вм


  1. sainfo
    13.07.2024 18:22

    Другие способы конечно же есть, но лично я уже давно пользуюсь этим. Проблем пока не возникало ни на других версиях Windows ни на мною любимой IoT Enterprise LTCS. Так же после обновления системы не в ручную ни через ЦО проблем не было. Этот скрипт не мой, позаимствовал его у Flibustier, очень толковый товарищ.


    1. akibkalo Автор
      13.07.2024 18:22

      А вы не пользуетесь Edge?
      Смотрю ваш скрипт не чистит SmartScreen и AppControl.
      Просто не используете?


    1. akibkalo Автор
      13.07.2024 18:22

      Я могу вас попросить, из командной строки с правами администратора показать статус служб (скрин результата):

      sc query WinDefend
      sc query WdBoot
      sc query WdFilter
      sc query SecurityHealthService
      sc query Sense
      sc query WdNisDrv
      sc query WdNisSvc


      1. akibkalo Автор
        13.07.2024 18:22

        Список взят из первых строк вашего скрипта.
        Там очень удачно вывод в nul результата, но ОС не дисейблит и не останавливает служб!


  1. sainfo
    13.07.2024 18:22

    Нет, Edge я не пользуюсь и потому удаляю его полностью скриптом из образа instaii.wim.

    :: Команда удаления  Edge и его служб в образе install.wim
    Dism /Image:C:\WimWork\Mount /Remove-Edge
    :: Загрузка разделов реестра
    reg load HKLM\WIM_Software C:\WimWork\Mount\windows\system32\config\software
    :: Подчистка остатков Edge в реестре образa install.wim
    C:\WimWork\SU64.exe /w /s Powershell "LS HKLM:\WIM_Software -Rec -ea 0|?{$_.Name -Match 'edge' -and $_.Name -NotMatch 'EdgeGesture'}|RI -Rec"
    :: Выгрузка разделов реестра
    reg unload HKLM\WIM_Software
    ::

    Вот скрин статуса указанных вами служб:


    1. akibkalo Автор
      13.07.2024 18:22

      Значит сильно зависит от издания. На CloudEdition оно дает отказ.
      Если в скрипте убрать Echo Off и >nul будет так:


      1. akibkalo Автор
        13.07.2024 18:22


  1. sainfo
    13.07.2024 18:22

    Не совсем понял зачем удалять из скрипта Echo Off и >nul, что бы не работало?

    Как я уже писал мне интересна из всего многообразия редакций Windows только - IoT Enterprise LTSC. А тут с этим все в порядне, ну и ладно.


    1. akibkalo Автор
      13.07.2024 18:22

      Echo Off лишь убирает вывод на экран.
      Убирай, не убирай, на Cloud Edition оно не работает.


  1. hqqddy
    13.07.2024 18:22

    У меня 26100.1.240331-1435.ge_release_CLIENT_ENTERPRISES_OEM_x64FRE_en-us.iso не грузится дальше лого винды с флешки ни с rufus, ни с ventoy. В чем может быть причина?


    1. akibkalo Автор
      13.07.2024 18:22
      +1

      Ваш процессор поддерживает SSE4.2? С 26100 необходима поддержка процессором POPCNT (часть SSE 4.2). Если нет, причина точно в этом, обойти невозможно. Никак.
      Ставить 22621 (обновляемо до 22631/22635) или кастом сборку 25398 (от Server 23H2), где работает без POPCNT


      1. hqqddy
        13.07.2024 18:22

        POPCNT

        про это я и забыл. но тогда какой толк такой билд майкам выкатывать (для IoT применительно к IoT), я не понимаю... типа сейчас все устройства IoT эту инструкцию поддерживают?

        проц AMD Phenom II N930.


        1. akibkalo Автор
          13.07.2024 18:22
          +1

          Увы, в AMD Phenom II N930 нет SSE4.2 и POPCNT, так что без шанса установить 26100 сборку.


  1. Akr0n
    13.07.2024 18:22

    Это кто же использует Windows 11 в IoT железках? Кто-нибудь видел такие примеры в жизни? Во времена XP, понятно, но 11... любой же школьник сейчас может собрать свой бесплатный Linux.