Месяц назад я писал статью об издании Enterprise G, созданную Microsoft для китайского правительства, в котором много лишнего отключено. Статья вызвала большой интерес, много кому нужна ОС с максимальным функционалом — при вашем желании его использовать, но с возможностью отключить всё (или почти всё) ненужное. У версии Enterprise G основной недостаток в том, что политика продукта, прописанная в цифровой лицензии, запрещает установку любых языковых пакетов, отличных от китайского и английского. То бишь, русского интерфейса легким путем не достичь. Возникает вопрос выбора другого издания.
Сразу на ум приходит версия Enterprise LTSC, как полнофункциональная с длительным циклом обслуживания и поддержки, благо для Windows 11 24H2 она утекла еще в апреле. Но, оказывается, есть и более достойный выбор, о котором мы сейчас с вами и поговорим. Речь идёт об издании IoT Enterprise LTSC. Что это такое? Чем оно лучше, чем Enterprise LTSC? А чем хуже? Как её русифицировать и как активировать? Об этом сегодняшний разговор.
Издания Windows IoT (Internet of Things или Интернет вещей) появились давно. Я как‑то писал большую статью с историей Windows 10, их насчиталось аж 15 штук. С IoT ситуация чуть проще, официально продавались Windows 10 IoT Enterprise версий 2015, 2016, 2019 и 2022. Также существуют Windows IoT Mobile и даже Windows IoT Server. Очевидно, что и у Windows 11 не могло не быть своих IoT изданий. Издание IoT Enterprise LTSC относится к длительному циклу обслуживания, поддерживается максимально долго и предназначается, в общем, для нишевых устройств. Но, по сути, мало чем отличается от обычного Windows 11 Enterprise LTSC. Но те отличия что есть, прямо сказать, ну очень привлекательны.
Во‑первых, в изданиях IoT (в том числе IoT Enterprise LTSC) нет проверки на системные требования. Бог с ним с TPM 2.0, Secure Boot, хватит и 2 ГБ памяти и одноядерного процессора (то есть ОС не станет ломаться и отказываться устанавливаться), установка с флешки или обновлением стартует без проверки железа. Хитрые способы установки, которые я описывал в недавней статье Как правильно сделать апгрейд ОС — установить Windows 11 поверх существующей с сохранением приложений и настроек / Хабр (habr.com) для установки IoT изданий не требуются;
У издания IoT LTSC самый длительный цикл поддержки, то есть получать обновления она будет еще десять лет без какого‑либо шаманства. У обычной LTSC — 5 лет;
В отличие от обычного Enterprise LTSC, который можно активировать лишь ключом или KMS активатором (на 180 дней), версия IoT Enterprise LTSC поддерживает HardwareID активацию — один раз и навсегда. Как вы знаете, активировать Windows и Office можно утилитами MAS или даже простым PowerShell скриптом;
-
В политике продукта (ProductPolicy) для IoT Enterprise LTSC можно обнаружить несколько перлов, которых нет больше практически ни у одного другого издания:
TerminalServices‑RemoteConnectionManager‑MaxSessions — имеет значение «2», в отличие от «1» у всех остальных изданий (кроме хитрого издания Enterprise Multisession, условия лицензии на которое требуют подписки Azure, и имеются другие ограничения). В Windows 10 IoT Enterprise LTSC значение было также «1», — сейчас в Windows 11 IoT вы можете работать на консоли одним пользователем, а по Remote Desktop другим, не блокируя друг друга — без сторонних врапперов и боязни обновляться;
SMBClient‑RequireSigningByDefault — имеет значение «0», в отличие от большинства остальных изданий, IoT не требует подписания SMB трафика по умолчанию. То есть нет проблемы совместимости со старыми Windows и не‑Windows файловыми ресурсами;
DeviceUpdateCenter‑Supported — имеет значение «1», только для изданий IoT можно настроить поддержку DeviceUpdateCenter;
Telemetry‑ProcessorModeAllowed — имеет значение «0» — запрет на сбор телеметрии, у всех остальных изданий стоит «1».
SecureStartupFeature‑Disabled‑AutomaticDeviceEncryption — имеет значение «1», не начинает шифровать системный диск по умолчанию. Но ключ SecureStartupFeature‑Enabled‑DeviceEncryption имеет значение «1», то есть, если вы захотите включить шифрование вручную, политика это позволяет;
ServicingStack‑License‑ReservedStorageAllowed — имеет значение «0», только издание IoT не резервирует заранее места под обновления ОС и временные файлы, то есть экономит место на системном диске;
Отдельно расскажу тем, кто не любит браузер Microsoft Edge. В IoT LTSC он есть и не удаляем по умолчанию. Но согласно требованиям еврокомиссии, его можно удалить в издании Enterprise LTSC, если у вас в качестве региона выбрана страна Евросоюза. Так как переключение между изданиями LTSC и IoT LTSC занимает несколько секунд, просто сменой серийного номера в Настройках (сам номер брать с сайта Microsoft), можно переключиться в Enterprise LTSC, задать европейский регион, деинсталлировать Edge и Edge WebView2, после перезагрузки переключиться сменой номера обратно в IoT LTSC.
Где же скачать Windows 11 IoT Enterprise LTSC, желательно русскую?
Microsoft на данный момент LTSC версий Windows 11 24H2 не предоставляет, но в Интернет архиве (сайт archive.org) по тегам 24H2 и LTSC возникает масса ссылок, — к ним можно добавить IoT, но это не обязательно, — официальный образ 26 100.1.240 331–1435.ge_release_CLIENT_ENTERPRISES_OEM_x64FRE_en‑us.iso содержит в себе три издания Enterprise LTSC, IoT Enterprise LTSC и IoT Enterprise LTSC Subscription. Нас интересует второй. Русский язык доставляется из магазина приложений. Магазин в LTSC версиях включается командой wsreset ‑i из командной строки в режиме администратора. Интегрировать русский в образ можно самостоятельно, либо найти его на трекерах. Официальные образы с русским будут осенью, когда версия 24H2 пойдет в продажу.
На этом пока всё, удачи вам, ставьте лайк, задавайте вопросы, отвечу.
Комментарии (71)
Renatk
13.07.2024 18:22+1Подскажите пожалуйста, режим для мультиприложений в киоске завезли такой же, как был в 10 windows? Или пока все еще такой же, с одним приложением как в 11ой?
akibkalo Автор
13.07.2024 18:22Извиняюсь, не очень понял вопроса.
Можете пояснить? Сам с режимом киоска не работал. Что именно вы имеете в виду под "режимом мультиприложений"?
Спасибо за интересные комментарии, сам рад получать новые знания в процессе обсуждения. Если дадите термин на английском, или опишите процесс, раскопаю и расскажу.
vvzvlad
13.07.2024 18:22У версии Enterprise G основной недостаток в том, что политика продукта, прописанная в цифровой лицензии, запрещает установку любых языковых пакетов, отличных от китайского и английского.
У версии Enterprise G основной недостаток в том, что требуется кучу каких-то действий проделать, чтобы получить образ. Не просто скачать, а что-то там колдовать, еще и в винде.
akibkalo Автор
13.07.2024 18:22+3Нет такого недостатка, - он в вашей голове.
Если вы китаец, или сочувствующий (понимаете китайский), смело идите на 神州网信CMIT-下载中心 (cmgos.com) введите номер клиента 0601000000000 и капчу, что будет там.
Сможете скачать официально продаваемые версии G -
1) Windows 10, т.к. 11 начнут с октября
2) только китайский, - английский добавить можно позже самостоятельно из настроек
3) с предустановленными китайскими приложениями (а ля WeChat) и политиками
Если вам оно надо, - велкам. Не мешайте другим жить так как они хотятvvzvlad
13.07.2024 18:22+1А, ну т.е. "можете скачать, но только на китайском" или "ну для англиского по умолчанию надо пересобирать образ", "если не хотите вичат и китайские политики, тоже" — это, по-вашему, "недостаток в моей голове"?))
Не мешайте другим жить так как они хотят
А что, вам так мешает жить критика? Тогда вам не на сайты с комментариями.
nikerossxp
13.07.2024 18:22по-моему использовать ltsc шиндоуз сейчас - как пользоваться ХР. Пока работает, а потом нахлебаешься приколов.
Обычные версии, начиная с семёрки, можно спокойно обновлять поверх до следующих релизов, и это прекрасно.
litos
13.07.2024 18:22Помню были версии 10 LTSB и более новая 10 LTSC тоже неплохие сборки особенно для старого железа,.10ка где половина отключено включая магазин приложений, с русским проблем не было - была прямо русская, скачать образ можно было на известном треккере, kms активация работала.
akibkalo Автор
13.07.2024 18:22KMS работает и сейчас. На 180 дней.
В течении пяти лет будут приходить обновления.
У IoT можно активировать один раз навсегда. И обновления будут ставиться 10 лет (на LTSC без IOT эти обновления уже не встанут через 5 лет)
Drno
13.07.2024 18:22Почему были то.. и щас есть, вин10 ltsc стоит на сотни устройств, полёт отличный...
DJ_URAN
13.07.2024 18:22+2Ещё бы по-умолчанию не было защитника, была бы сборка огонь!
Также интересно, в сравнении с enterprise g насколько ресурсов больше ест?
akibkalo Автор
13.07.2024 18:22+2Увы, отключить защитника невозможно не в G
Ест мегабайт на 120-130 больше у меня в ВМ.iamyarko
13.07.2024 18:22Пробовал отключать в этом IoT рубильником и дефендер контролем - вроде в памяти не висит, но после этого винда начинает дико тормозить при установке любого софта *.exe, при этом установка из магазина происходит без проблем. Чего-то там походу индусы накрутили.
ontop
13.07.2024 18:22+2Спасибо за ваши статьи. Подписан на вас.
Так скоро сами соберём свой идеальный образ Windows 11.
akibkalo Автор
13.07.2024 18:22+3Спасибо, рад делиться информацией.
Для энтузиастов, обладающих массой времени я бы предложил создать по ВМ на каждое издание и экспортировать через ProductPolicyEditor политику продукта в файл, и потом в Excel сравнить.
Я именно так составил список отличий IoT LTSC, да и статью, наверное, решил написать скорее потому, что нигде даже на английском четкого списка отличий не нашел. А он весь в ProductPolicy как на ладони.
Увы, ручная модификация ProductPolicy приводит к перезагрузкам раз в час, этим обусловлены сложности перевода G, например. Но есть преценденты, когда один китаец успешно менял Policy, с сохранением цифровой подписи и все работало. Надеюсь для 26100 повторим.
titbit
13.07.2024 18:22хватит и 2 ГБ памяти и одноядерного процессора
А где написано про возможность работы именно на 1 ядерном процессоре? На официальной странице https://learn.microsoft.com/en-us/windows/iot/iot-enterprise/hardware/system_requirements?tabs=Windows11LTSC написано про минимум 2 ядра вроде как.
akibkalo Автор
13.07.2024 18:22Это прописано в ProductPolicy, -- чисто техническое требование, которого нет для IoT версий.
ziv64
13.07.2024 18:22А я кстати попробовал поставить на одно ядерный Celeron, но правда двух поточный. Все нормально заработало, активировалось на kms сервере и русский добавил. А вот G на него не смог поставится по причине не соответствия требованиям..
akibkalo Автор
13.07.2024 18:22Отлично!
Если вы при загрузке с образа G нажмете Shift+F10, вы сможете запустить редактор реестра и изменить реестр, отключив требования:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig]"BypassTPMCheck"=dword:00000001
"BypassSecureBootCheck"=dword:00000001
"BypassRAMCheck"=dword:00000001
"BypassStorageCheck"=dword:00000001ziv64
13.07.2024 18:22Я думал что в G убраны ограничения на оборудование, судя по описанию на comss: "Windows 11 Government Edition — неофициальная облегченная версия Windows 11, созданная без телеметрии и приложений Microsoft. Разработчик Энди Кирби сообщает, что она удаляет ограничения по оборудованию и приложения, включая Microsoft Edge и Defender"
akibkalo Автор
13.07.2024 18:22+1Я бы не стал доверять писанине ком.сру, это набор плохо переведенных чужих статей с разных мест, без глубокого анализа и ссылок на оригинал.
В каждом предложении есть суть и смысл, но вместе они не читаемы )
Вырванная из контекста ссылка на Кирби (мы кстати с ним работали в Microsoft в одни и те же годы), говорила в оригинале, что некоторые форумы и трекеры распространяют EnterpriseG образ и он предупреждает что это самопал. Мы в статье про EnterpriseG с самого начала учились самостоятельно собрать образ, а не выкладывали нечто под видом оригинала.
Нельзя сказать что EnterpriseG не существует, парой комментариев выше логин на официальный сайт CMIT где можно его скачать (китайский язык, Windows 10), Windows 11 24H2 еще нет в продаже. Версия EnterpriseG собрана (на китайском) и ждет анонса, мы пока ее препарировали и исследовали, и я думаю, что к этой теме я еще триумфально вернусь позже с русским лангпаком, - действительно легчайшая винда. Без дефендера и предустановленного Edge. Но с требованиями к железу (память, проц и т.д) - проверяется с ProductPolicyEditor.
Johan_Palych
13.07.2024 18:22Эта фича известна с первых версий Win11. Я так ставил на виртуалки с MBR и Legacy BIOS c древним CPU ради прикола.
Файл, например Win11.reg сохраняют на установочном USB.
При появлении надписи о невозможности установки ОС, нажать Shift + F10 далее notepad.exe и Enter далее Файл > Открыть > выбрать Win11.reg > ПКМ СлияниеWin11.reg
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig] "BypassTPMCheck"=dword:00000001 "BypassSecureBootCheck"=dword:00000001 "BypassRAMCheck"=dword:00000001 "BypassStorageCheck"=dword:00000001 "BypassCPUCheck"=dword:00000001
И даже после установки будет обновляться:
Win+R в меню выполнить "C:\WINDOWS\system32\cmd.exe"
del C:$WINDOWS.~BT\Sources\appraiser.sdb
del C:$WINDOWS.~BT\Sources\AppraiserRes.dll
и продолжаете обновляться
AndreyDmitriev
13.07.2024 18:22Установил в виртуалку, в принципе норм. Только актуальная версия вроде 26100, у вас на скриншоте 26120 это insider preview похоже. Вот после всех обновлений:
Из любопытного, в процессе установки предлагает поиграть в игру:
Прикольно, я раньше не видел:
akibkalo Автор
13.07.2024 18:22Да, у меня 26120, так как я ставил себе ОС еще в апреле в статусе Preview, и она это сохранила.
slonopotamus
13.07.2024 18:22У обычной LTSC – 5 лет
Но ведь десять: https://learn.microsoft.com/en-us/lifecycle/products/windows-10-enterprise-ltsc-2019
akibkalo Автор
13.07.2024 18:22+1А я вам говорю не о Windows 10 :)
Для Windows 10, раз уж вы подняли тему, посмотрите мою заметку Все о версиях Windows 10 и как максимально продлить поддержку своей ОС / Хабр (habr.com) там сказано - цитирую
Следует помнить, что обычные Windows 10 (Home, Pro, Enterprise, а также обычная не-LTSC IoT Enterprise) будут обновляться лишь до 14.10.2025 (еще год), Enterprise LTSC издание Windows 10 21H2 будет получать свои обновления до 12.01.2027 (еще два с половиной года), а издание IoT LTSC аж до 13.01.2032 (семь с половиной лет)
Политика поддержки LTSC не десять а пять лет изменилась с 2021 года, увы. Пруф тут: Новые возможности Windows 10 Корпоративная LTSC 2021 | Microsoft Learn цитирую:
Важно!Windows 10 Корпоративная LTSC 2021 имеет 5-летний жизненный цикл. (IoT Enterprise LTSC по-прежнему имеет 10-летний жизненный цикл. Таким образом, выпуск LTSC 2021 не является прямой заменой для LTSC 2019, срок жизненного цикла которого составляет 10 лет.
Windows 11 24H2 LTSC имеет такой же 5 летний цикл, а IoT LTSC - 10 летний. На офсайте этого пока нет, но в партнерской рассылке проходило.
Убедил?
ljt
13.07.2024 18:22ставил на планшет тот 3х системный рекомендованный образ поверх Win 11 Pro. Ни в какую не хотел ставиться c апдейтом, прошел все шаги из прилинкованной статьи, не помог патчинг, ни установка языка, ни редакции...
и, кстати, может кому-то пригодится, на Synology NAS в VMM не ставится ни одна версия 11 LTSC, в инете уже есть жалобы, а решения пока нет, кроме как ставить 10 LTSC
akibkalo Автор
13.07.2024 18:22Если у вас задача сменить редакцию с PRO на LTSC, она решаема и без апгрейда.
1) Обновиться на последнюю PRO (если пока стоит не 24H2, то ради бога на 26100.1 без апдейтов, это сильно упростит все и сделает ненужным шаг 2
2) Создать виртуалку с 24H2 LTSC и тем же LCU обновлением, при помощи SXSv1 Extractor экспортировать пакеты Edition и Edition pack
3) Загрузиться с флешки (в тот же сетап винды) и сделать dism /image:C:\ /apply-unattend:1.xml и dism /image:C:\ /apply-unattend:2.xml , где в 1.xml будет что-то типа
<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<servicing>
<package action="stage">
<assemblyIdentity name="Microsoft-Windows-EnterpriseSEdition" version="10.0.26100.1" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" />
<source location="sxs\Microsoft-Windows-EnterpriseSEdition~31bf3856ad364e35~amd64~~10.0.26100.1.mum" />
</package>
</servicing>
</unattend>А в 2.xml
<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<servicing>
<package action="remove">
<assemblyIdentity name="Microsoft-Windows-ProfessionalEdition" version="10.0.26100.1" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" />
</package>
<package action="install">
<assemblyIdentity name="Microsoft-Windows-EnterpriseSEdition" version="10.0.26100.1" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" />
</package>
</servicing>
</unattend>Неприглядно выглядит в комменте, если будут вопросы, пишите в ПМ.
Похожим образом я объяснял как собирать из Pro EnterpriseG в Windows 11 Enterprise G – Что за издание для правительства Китая и зачем оно вам? / Хабр (habr.com) - с примерами скриптов
DJ_URAN
13.07.2024 18:22Кстати, по ссылке на ключи-серийники на все редакции верные, кроме iot enterprise ltsc. То ли опечатка, то ли ошибка, но ключ начинается не с KBN8V-, а с КБ N8V-
akibkalo Автор
13.07.2024 18:22Да, на английской странице все указано верно https://learn.microsoft.com/en-us/windows-server/get-started/kms-client-activation-keys
Wigleg
13.07.2024 18:22Это не опечатка, но и не совсем ошибка :) видите ли, майки все свои статьи базово не имеющие перевода человеком, просто выдают прогон переводчика.
Вот и получаются всякие "сервис менеджмента ключей" и прочие "исследователи".
Тут очевидно указана единица измерения, а остальной текст просто не получилось запарсить на смысл :)
DJ_URAN
13.07.2024 18:22Удалил Эдж. Но остались microsoft edge update и microsoft edge webview2 runtime
Кнопки удалить на этих компонентах неактивны. Их как удалять?
akibkalo Автор
13.07.2024 18:22+1Вам трушных микрософт способ, или работающий?
Работающий - AveYo (Microsoft Edge Removal) · GitHub
Трушный - через LTSC и регион франция.
sainfo
13.07.2024 18:22+2Лично я образ install.wim утекшего образа 26100.1.240331-1435.ge_release_CLIENT_ENTERPRISES_OEM_x64FRE_en-us локализую в ru-RU, апгрейживую как мне надо, обновляю до версии 26120.1150 и удаляю из образа все что мне не нужно этим скриптом (без подробностей). К слову, Edge тут вырезается под корень, со всеми потрохами. Будут вопросы - пишите ...
:: Работа с образом install.wim - Modified by Sainfo :: :: Монтирование образа install.wim dism /Mount-Wim /WimFile:C:\WimWork\install.wim /index:1 /mountdir:C:\WimWork\mount :: :: Загрузка разделов реестра reg load HKLM\WIM_Software C:\WimWork\Mount\windows\system32\config\software reg load HKLM\WIM_SYSTEM C:\WimWork\Mount\Windows\System32\Config\SYSTEM reg load HKU\WIM_NTUSER C:\WimWork\Mount\Users\Default\NTUSER.DAT :: :: Применение твиков к разделам реестра - Registry Tweak Tool C:\WimWork\SU64.exe /w /s reg import C:\WimWork\Tweak\SOFTWARE.reg C:\WimWork\SU64.exe /w /s reg import C:\WimWork\Tweak\SYSTEM.reg reg import C:\WimWork\Tweak\USER.reg :: :: Выгрузка разделов реестра reg unload HKLM\WIM_Software reg unload HKLM\WIM_SYSTEM reg unload HKU\WIM_NTUSER :: :: Сохранение образа в install.wim dism /Unmount-Wim /MountDir:C:\WimWork\Mount /Commit :: :: Монтирование образа install.wim dism /Mount-Wim /WimFile:C:\WimWork\install.wim /index:1 /MountDir:C:\WimWork\mount :: :: Интеграция языковых пакетов и обновлений dism /image:C:\WimWork\Mount /Add-Package /PackagePath:C:\WimWork\ru-ru :: dism /image:C:\WimWork\Mount /Add-Package /PackagePath:C:\WimWork\other :: :: Применяем все настройки для русского языка командой: dism /image:C:\WimWork\Mount /Set-AllIntl:ru-RU :: :: Язык интерфейса системы dism /image:C:\WimWork\Mount /Set-UILang:ru-RU :: :: Язык системной локали для не Unicode dism /image:C:\WimWork\Mount /Set-SysLocale:ru-RU :: :: Денежный формат, формат времени dism /image:C:\WimWork\Mount /Set-UserLocale:ru-RU :: :: Настройки ввода с клавиатуры dism /image:C:\WimWork\Mount /Set-InputLocale:0419:00000419 :: :: Временная зона dism /image:C:\WimWork\Mount /Set-TimeZone:"Russian Standard Time" :: :: Сохранение образа в install.wim dism /Unmount-Wim /MountDir:C:\WimWork\Mount /Commit :: :: Монтирование образа install.wim :: Обновление образа install.wim dism /Mount-Wim /WimFile:C:\WimWork\install.wim /index:1 /mountdir:C:\WimWork\mount dism /Image:C:\WimWork\Mount /Add-Package /PackagePath:C:\WimWork\Updates\windows11.0-kb5037898-x64.msu dism /Unmount-Wim /MountDir:C:\WimWork\Mount /Commit dism /Mount-Wim /WimFile:C:\WimWork\install.wim /index:1 /mountdir:C:\WimWork\mount dism /Image:C:\WimWork\Mount /Add-Package /PackagePath:C:\WimWork\Updates\windows11.0-kb5040435-x64.msu dism /Unmount-Wim /MountDir:C:\WimWork\Mount /Commit :: :: Монтирование образа install.wim dism /Mount-Wim /WimFile:C:\WimWork\install.wim /index:1 /mountdir:C:\WimWork\mount :: ::Удаление Microsoft Paint dism /image:C:\WimWork\Mount /Remove-Capability /CapabilityName:Microsoft.Windows.MSPaint~~~~0.0.1.0 :: :: Команда удаления edge в образе и его службы Dism /Image:C:\WimWork\Mount /Remove-Edge :: :: Загрузка разделов реестра reg load HKLM\WIM_Software C:\WimWork\Mount\windows\system32\config\software :: :: Подчистка остатков edge в реестре C:\WimWork\SU64.exe /w /s Powershell "LS HKLM:\WIM_Software -Rec -ea 0|?{$_.Name -Match 'edge' -and $_.Name -NotMatch 'EdgeGesture'}|RI -Rec" :: :: Выгрузка разделов реестра reg unload HKLM\WIM_Software :: :: Инициализация начала работы с каталогом WinSxS dism /Image:C:\WimWork\Mount /Cleanup-Image /AnalyzeComponentStore :: :: Инициализация очистки каталога WinSxS dism /Image:C:\WimWork\Mount /Cleanup-Image /StartComponentCleanup :: :: Удаления устаревших и неиспользуемых версий компонентов каталога WinSxS dism /Image:C:\WimWork\Mount /Cleanup-Image /StartComponentCleanup /ResetBase :: :: Сжатие пакетов обновлений dism /Image:C:\WimWork\Mount /Cleanup-Image /SPSuperseded :: :: Сохранение образа в install.wim dism /Unmount-Wim /MountDir:C:\WimWork\Mount /Commit dism /cleanup-wim :: :: Экспорт образа в new_install.wim DISM /Export-Image /SourceImageFile:C:\WimWork\install.wim /SourceIndex:1 /DestinationImageFile:C:\WimWork\new_install.wim /Compress:maximum Pause exit
akibkalo Автор
13.07.2024 18:22Здорово, спасибо.
Можно еще с концами убрать Defender и станет совсем нормальная винда ))
О дефендере дописываю статью
DJ_URAN
13.07.2024 18:22Это ж получается iot enterprise G LTSC ?
Ждём статью!
akibkalo Автор
13.07.2024 18:22Нет, совсем не Enterprise G, просто проверенный способ полного отключения Defender в любом издании, так чтобы не ругался SFC и чтобы обновления его не возвращали.
slavius
13.07.2024 18:22А зачем совсем отключать Defender? Нужно что-то "активировать" - можно отключить. А так - пусть будет. Нагружает не сильно при обычном использовании.
sainfo
13.07.2024 18:22Насчет совсем убрать Defender не скажу, а вот отключить его можно полностью (навсегда) без проблем. Этот .cmd файлик, выполняется из setrupcomplete.cmd командой: for %%f in (Files*.cmd) do call %%f. У меня из папки Files выполняется он и не только он, еще восемь параметров (.cmd файлов).
@echo Off if exist "%ProgramFiles%\Windows Defender\MsMpEng.exe" ( sc config WinDefend start=disabled >nul && net stop WinDefend >nul sc config WdBoot start=disabled >nul && net stop WdBoot >nul sc config WdFilter start=disabled >nul && net stop WinDefend >nul sc config SecurityHealthService start=disabled >nul && net stop SecurityHealthService >nul sc config Sense start=disabled >nul && net stop Sense >nul sc config WdNisDrv start=disabled >nul && net stop WdNisDrv >nul sc config WdNisSvc start=disabled >nul && net stop WdNisSvc >nul taskkill /im MsMpEng.exe /f & taskkill /im MpCmdRun.exe /f reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SecurityHealth" /f >nul reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v "PUAProtection" /t REG_DWORD /d "0" /f reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection" /t REG_DWORD /d "0" /f >nul reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v "DontOfferThroughWUAU" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v "DontReportInfectionInformation" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreen" /v "ConfigureAppInstallControlEnabled" /t REG_DWORD /d "0" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v "SpyNetReporting" /t REG_DWORD /d "0" /f >nul reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v "SubmitSamplesConsent" /t REG_DWORD /d "2" /f >nul for /f %%i in ('reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx" /s /k /f "SecHealthUI" ^| find /i "SecHealthUI" ') do (reg delete "%%i" /f >nul 2>&1) call :policies ) exit /b :policies for /f "tokens=1* delims=:" %%i in ('reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v SettingsPageVisibility') do set "hidelist=%%j" reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "SettingsPageVisibility" /t REG_SZ /d "hide:windowsdefender;%hidelist%" /f >nul reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.Defender.SecurityCenter" /v "Enabled" /t REG_DWORD /d "0" /f >nul reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance" /v "Enabled" /t REG_DWORD /d "0" /f >nul exit /b
ArkadiyShuvaev
13.07.2024 18:22А вы defender отключаете, потому что у вас другой антивирус есть?
Хочу ускорить систему от всякого хлама, но, насколько я понимаю, замена одного "защитника" другим проблему не решает.
Или в чем то другом дело?
akibkalo Автор
13.07.2024 18:22Интересно.
Я обычно отключаю совсем другим способом.
Вот пример:
@echo off
:: BatchGotAdmin
:-------------------------------------
REM --> Check for permissions
IF "%PROCESSOR_ARCHITECTURE%" EQU "amd64" (nul 2>&1 "%SYSTEMROOT%\SysWOW64\cacls.exe" "%SYSTEMROOT%\SysWOW64\config\system"
) ELSE (
nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
)REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
echo Requesting administrative privileges...
goto UACPrompt
) else ( goto gotAdmin ):UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
set params= %*
echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params:"=""%", "", "runas", 1 >> "%temp%\getadmin.vbs""%temp%\getadmin.vbs" del "%temp%\getadmin.vbs" exit /B
:gotAdmin
pushd "%CD%"
CD /D "%~dp0"set Policies=HKEY_LOCAL_MACHINE\SOFTWARE\Policies
echo == Disabling SmartScreen
REG ADD "%Policies%\Microsoft\Windows\System" /f /v EnableSmartScreen /t REG_DWORD /d "0"
REG ADD "%Policies%\Microsoft\Windows Defender\SmartScreen" /f /v ConfigureAppInstallControlEnabled /t REG_DWORD /d "0"
REG ADD "%Policies%\Microsoft\Windows Defender\SmartScreen" /f /v ConfigureAppInstallControl /t REG_SZ /d "Anywhere"
REG ADD "%Policies%\Microsoft\Internet Explorer\PhishingFilter" /f /v Enabled /t REG_DWORD /d "0"
REG ADD "%Policies%\Microsoft\Internet Explorer\PhishingFilter" /f /v EnabledV8 /t REG_DWORD /d "0"
REG ADD "%Policies%\Microsoft\Internet Explorer\PhishingFilter" /f /v EnabledV9 /t REG_DWORD /d "0"
REG ADD "%Policies%\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3" /f /v 2301 /t REG_DWORD /d "3"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\Browser\AllowSmartScreen" /f /v value /t REG_DWORD /d "0"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" /f /v SmartScreenEnabled /t REG_SZ /d "Off"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System" /f /v EnableSmartScreen /t REG_DWORD /d "0"echo == Disabling SmartScreen for Store and Apps
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost" /f /v EnableWebContentEvaluation /t REG_DWORD /d "0"
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost" /f /v PreventOverride /t REG_DWORD /d "0"
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows Security Health\State" /f /v AppAndBrowser_StoreAppsSmartScreenOff /t REG_DWORD /d "0"
REG ADD "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\PhishingFilter" /f /v "EnabledV9" /t REG_DWORD /d "0"echo == Disabling SmartScreen for Microsoft Edge
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Edge" /f /v SmartScreenEnabled /t REG_DWORD /d "0"
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Edge" /f /v SmartScreenPuaEnabled /t REG_DWORD /d "0"
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows Security Health\State" /f /v AppAndBrowser_EdgeSmartScreenOff /t REG_DWORD /d "0"echo == Disabling Smart App Control
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy" /f /v VerifiedAndReputablePolicyState /t REG_DWORD /d "0"
echo == Stopping SmartScreen and Cleaning Up
takeown /s %computername% /u %username% /f "%WinDir%\System32\smartscreen.exe"
icacls "%WinDir%\System32\smartscreen.exe" /grant:r %username%:F
taskkill /im smartscreen.exe /f
del "%WinDir%\System32\smartscreen.exe" /s /f /qtakeown /s %computername% /u %username% /f "%WinDir%\System32\smartscreen.dll"
icacls "%WinDir%\System32\smartscreen.dll" /grant:r %username%:F
del "%WinDir%\System32\smartscreen.dll" /s /f /qtakeown /s %computername% /u %username% /f "%WinDir%\System32\smartscreenps.dll"
icacls "%WinDir%\System32\smartscreenps.dll" /grant:r %username%:F
del "%WinDir%\System32\smartscreenps.dll" /s /f /qpause
Мой способ работает в том числе на CloudEdition и переживает установку 26100.1150 без появления Защитника.
Возможно следует объединить куски скриптов, я посмотрю внимательно на днях
DJ_URAN
13.07.2024 18:22Можно подробнее, пожалуйста, где взять скрипт и файлы для его работы?
akibkalo Автор
13.07.2024 18:22+1Почитайте мою новую заметку Как полностью отключить Защитник (Defender) Windows 11 / Хабр (habr.com)
DJ_URAN
13.07.2024 18:22Уже. Плюсанул. Сделал и нет теперь защитника. А в скрипте выше меня более интересует полное выпиливание edge со всеми потрохами. Ну и предустановка русского пакета в образ. Я загрузил русский на работающей вм и применил все настройки, но русифицировалось все, кроме панели настроек. Странно
akibkalo Автор
13.07.2024 18:22+1В образ вставить языковй пакет удобно с BatUtil/W10MUI/README.md at master · abbodi1406/BatUtil · GitHub
DJ_URAN
13.07.2024 18:22Вот этот пункт почему-то не отрабатывает
:: Подчистка остатков edge в реестре
C:\WimWork\SU64.exe /w /s Powershell "LS HKLM:\WIM_Software -Rec -ea 0|?{$_.Name -Match 'edge' -and $_.Name -NotMatch 'EdgeGesture'}|RI -Rec"
akibkalo Автор
13.07.2024 18:22Так, это не мой скрипт, напишите в ПМ тому кто это предложил.
Возможно, следует обновить SU64 Super User CMD v1.2.1 [2019/07/03] — запуск программ с повышением привилегий через UAC из командной строки под Windows — VEG.BY
Я сам пользуюсь только Edge
DJ_URAN
13.07.2024 18:22В общем, пересобранный образ с помощью скрипта не хочет устанавливаться на вм
sainfo
13.07.2024 18:22Другие способы конечно же есть, но лично я уже давно пользуюсь этим. Проблем пока не возникало ни на других версиях Windows ни на мною любимой IoT Enterprise LTCS. Так же после обновления системы не в ручную ни через ЦО проблем не было. Этот скрипт не мой, позаимствовал его у Flibustier, очень толковый товарищ.
akibkalo Автор
13.07.2024 18:22А вы не пользуетесь Edge?
Смотрю ваш скрипт не чистит SmartScreen и AppControl.
Просто не используете?
akibkalo Автор
13.07.2024 18:22Я могу вас попросить, из командной строки с правами администратора показать статус служб (скрин результата):
sc query WinDefend
sc query WdBoot
sc query WdFilter
sc query SecurityHealthService
sc query Sense
sc query WdNisDrv
sc query WdNisSvcakibkalo Автор
13.07.2024 18:22Список взят из первых строк вашего скрипта.
Там очень удачно вывод в nul результата, но ОС не дисейблит и не останавливает служб!
sainfo
13.07.2024 18:22Нет, Edge я не пользуюсь и потому удаляю его полностью скриптом из образа instaii.wim.
:: Команда удаления Edge и его служб в образе install.wim Dism /Image:C:\WimWork\Mount /Remove-Edge :: Загрузка разделов реестра reg load HKLM\WIM_Software C:\WimWork\Mount\windows\system32\config\software :: Подчистка остатков Edge в реестре образa install.wim C:\WimWork\SU64.exe /w /s Powershell "LS HKLM:\WIM_Software -Rec -ea 0|?{$_.Name -Match 'edge' -and $_.Name -NotMatch 'EdgeGesture'}|RI -Rec" :: Выгрузка разделов реестра reg unload HKLM\WIM_Software ::
Вот скрин статуса указанных вами служб:
sainfo
13.07.2024 18:22Не совсем понял зачем удалять из скрипта Echo Off и >nul, что бы не работало?
Как я уже писал мне интересна из всего многообразия редакций Windows только - IoT Enterprise LTSC. А тут с этим все в порядне, ну и ладно.
akibkalo Автор
13.07.2024 18:22Echo Off лишь убирает вывод на экран.
Убирай, не убирай, на Cloud Edition оно не работает.
hqqddy
13.07.2024 18:22У меня 26100.1.240331-1435.ge_release_CLIENT_ENTERPRISES_OEM_x64FRE_en-us.iso не грузится дальше лого винды с флешки ни с rufus, ни с ventoy. В чем может быть причина?
akibkalo Автор
13.07.2024 18:22+1Ваш процессор поддерживает SSE4.2? С 26100 необходима поддержка процессором POPCNT (часть SSE 4.2). Если нет, причина точно в этом, обойти невозможно. Никак.
Ставить 22621 (обновляемо до 22631/22635) или кастом сборку 25398 (от Server 23H2), где работает без POPCNThqqddy
13.07.2024 18:22POPCNT
про это я и забыл. но тогда какой толк такой билд майкам выкатывать (для IoT применительно к IoT), я не понимаю... типа сейчас все устройства IoT эту инструкцию поддерживают?
проц AMD Phenom II N930.
akibkalo Автор
13.07.2024 18:22+1Увы, в AMD Phenom II N930 нет SSE4.2 и POPCNT, так что без шанса установить 26100 сборку.
Akr0n
13.07.2024 18:22Это кто же использует Windows 11 в IoT железках? Кто-нибудь видел такие примеры в жизни? Во времена XP, понятно, но 11... любой же школьник сейчас может собрать свой бесплатный Linux.
jarkevithwlad
спасибо, действительно годный образ и статья