2.01. Справочник по Windows 11
ОБЯЗАТЕЛЬНОДЛЯ НОВИЧКОВНЕ ДЛЯ НОВИЧКОВВ РАЗРАБОТКЕ
Разработчику
Архитектору
Инженеру
Справочник по Windows 11
📘 Часть 1. Основные системные свойства и идентификаторы Windows 11
🔹 1.1. Идентификация ОС
| Свойство | Значения / Диапазон | Комментарий / Источник |
|---|
| Product Name | Windows 11 Pro, Windows 11 Home, Windows 11 Enterprise, Windows 11 Education, Windows 11 IoT Enterprise, Windows 11 SE, Windows 11 Pro for Workstations | Зависит от лицензии. |
| Edition ID | Professional, Core, Enterprise, Education, IoTEnterprise, SE, ProfessionalWorkstation | Ключ для программной идентификации редакции. Используется в PowerShell, WMI, реестре. |
| Installation Type | Client, Server | Всегда Client для рабочих станций. |
| Current Version (Major.Minor.Build) | 10.0.22631, 10.0.26100 и т.д. | Windows 11 использует NT-версию 10.0. Build ≥ 22000. |
| UBR (Update Build Revision) | Целое число ≥ 0 (например, 22631.3880) | Уникальный номер инкрементального обновления (через Windows Update или накопительные пакеты). |
| ReleaseId | 22H2, 23H2, 24H2, 25H1 (и т.д.) | Условное маркетинговое обозначение. Не всегда совпадает с годом/месяцем выхода. |
| BuildLab, BuildLabEx | 22631.3880.amd64fre.ni_release.240531-1500 | Детали сборки: номер, архитектура, флаги сборки (fre — free/retail, chk — checked/debug), ветка, дата/время. |
| Composition Edition ID | IoTEnterprise, IoTEnterpriseK, IoTEnterpriseSK и др. | Для специализированных редакций (например, без Cortana, Edge и т.п.). |
| RegisteredOrganization, RegisteredOwner | Строка | Задаются при установке или через sysdm.cpl → закладка «Дополнительно» → «Имя компьютера» → «Изменить» → «Дополнительно» → «Изменить» (поле «Компания», «Владелец»). Хранятся в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion. |
💡 Пример получения через PowerShell:
Get-ComputerInfo | Select-Object Windows*, Os*
# или
(Get-CimInstance Win32_OperatingSystem).Caption, .Version, .BuildNumber
# или реестр:
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion" |
Select-Object ProductName, EditionID, ReleaseId, CurrentBuild, UBR, BuildLabEx
🔹 1.2. Аппаратные требования и привязки
| Свойство | Значения / Диапазон | Комментарий |
|---|
| TPM Present | True / False | Физическое или firmware TPM 2.0. Обязательно для Windows 11. Проверяется через tpm.msc, Get-Tpm, или msinfo32. |
| Secure Boot Enabled | True / False | UEFI Secure Boot включён в BIOS/UEFI. Проверяется через Confirm-SecureBootUEFI. |
| Virtualization-Based Security (VBS) | Enabled, Disabled, Not Supported | Зависит от поддержки CPU (SLAT, NX), BIOS и TPM. Состояние: Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard → VirtualizationBasedSecurityStatus. |
| Hypervisor Enforced Code Integrity (HVCI) | Enabled, Disabled | Подмножество VBS. Проверяется через msinfo32 → «Целостность на основе гипервизора». |
| Measured Boot | Supported, Enabled, Disabled | Зависит от UEFI и TPM. Требуется для аудита загрузки. |
| DirectStorage Support | Yes / No | Требуется NVMe SSD + GPU с DirectStorage 1.1 (RTX 30xx+, RX 6000+). Проверяется через dxdiag. |
| Auto HDR / DirectX 12 Ultimate | Поддержка зависит от GPU | Важно для игр. Проверяется в dxdiag или DirectX Caps Viewer. |
| Wi-Fi 6E / Bluetooth LE Audio | Supported / Not Supported | Зависит от радиомодуля. Определяется через netsh wlan show drivers, Get-PnpDevice -Class Bluetooth. |
⚠️ Обратите внимание: минимальный CPU — официально 8-е поколение Intel (Core i3-8100+) или Ryzen 2000+, но через bypass-модификацию установки можно на Ryzen 1000 / 7-го поколения Intel (с потерей поддержки обновлений безопасности в будущем).
🔹 1.3. Состояния установки и активации
| Свойство | Значения | Источник / Пояснение |
|---|
| Product Key Channel | OEM:DM, OEM:NONSLP, OEM:SLP, Retail, Volume:GVLK, Volume:MAK | slmgr /dlv → Product Key Channel. SLP — привязка к BIOS/UEFI. NONSLP — OEM без привязки. |
| License Status | Licensed, Notification, Unlicensed | slmgr /xpr или Get-WindowsLicense -Online. |
| Grace Period Remaining | 0–180 дней (для Volume Licensing) | slmgr /xpr, Get-WmiObject -Query "SELECT * FROM SoftwareLicensingProduct WHERE PartialProductKey IS NOT NULL" → GracePeriodRemaining. |
| Activation ID | GUID (например, 55c92734-d682-4d71-983e-d6ec3f16059f) | Уникальный ID лицензии. См. slmgr /dlv. |
| Offline Activation Required | True / False | При отсутствии интернета и KMS. |
| Digital License Linked to Microsoft Account | Yes / No | Если активация привязана к аккаунту, переносится на новое «железо». Проверяется в «Параметры → Система → Активация». |
🔹 1.4. Состояния жизненного цикла
| Свойство | Возможные значения | Комментарий |
|---|
| Support Phase | General Availability, End of Servicing, End of Life | Для 22H2 — поддержка до 2027 (для Enterprise/Education), для Home/Pro — до 2025. |
| Target Feature Release | 24H2, 25H1 и т.д. | Указывает, на какую версию будет обновлена система при включённой фиче «Получать предварительные сборки». |
| Defer Feature Updates | 0–365 дней | Настройка в Settings → Windows Update → Advanced Options. |
| Pause Updates | True / False, + дата возобновления | Через реестр: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate. |
🔹 1.5. Идентификаторы машины
| Свойство | Значение | Источник |
|---|
| MachineGuid | GUID (например, {D1E2F3A4-...}) | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuid. Используется при сборе телеметрии, для привязки лицензий (в некоторых сценариях). Не меняется при переустановке без форматирования системного раздела. |
| DeviceId | Строка (например, 3FEC2B8C-1A2D-4B7E-9C1D-7E8F2A3B4C5D) | Settings → System → About → Device specifications → Device ID. Уникален в рамках учётной записи Microsoft. |
| SystemManufacturer, SystemProductName, SystemSKU, BaseBoardProduct | Строка | Из SMBIOS. Доступны через wmic csproduct get *, Get-CimInstance Win32_ComputerSystemProduct. |
| SerialNumber (System) | Строка | BIOS/UEFI Serial. Может быть To be filled by O.E.M. на сборных ПК. |
| Hardware Hash | Base64 / Hex | Используется при автоподключении к Azure AD / Autopilot. Генерируется по: TPM PCRs + SMBIOS + диски + сетевые адаптеры. Формула не публична. |
📂 Часть 2. Реестр Windows 11: системные и пользовательские параметры
⚠️ Важно:
- Все изменения реестра требуют прав администратора (для
HKLM) или текущего пользователя (HKCU).
- Перед правкой — резервная копия ключа (
Файл → Экспорт в regedit).
- Многие параметры игнорируются, если заданы через Group Policy (GPO имеет приоритет).
- В Windows 11 усилен контроль целостности реестра (Windows Resource Protection, WRP) — некоторые ключи защищены (например,
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon).
🔹 2.1. Основные сведения об ОС (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion)
| Параметр | Тип | Возможные значения | Комментарий |
|---|
ProductName | REG_SZ | Windows 11 Pro, Windows 11 Home и др. | Только для чтения. Не меняется через реестр. |
EditionID | REG_SZ | Professional, Core, Enterprise и др. | Идентификатор редакции. Используется скриптами для ветвления логики. |
CurrentBuild, CurrentBuildNumber | REG_SZ, REG_DWORD | 22631, 26100 и т.д. | Build ≥ 22000 = Windows 11. |
UBR | REG_DWORD | 3880, 1000 и т.д. | Update Build Revision — номер накопительного обновления. |
ReleaseId | REG_SZ | 22H2, 23H2, 24H2 | Маркетинговое имя сборки. Может не совпадать с датой. |
BuildLabEx | REG_SZ | 22631.3880.amd64fre.ni_release.240531-1500 | Полная строка сборки (архитектура, флаги, дата). |
RegisteredOwner, RegisteredOrganization | REG_SZ | Тимур, 60 имен и т.д. | Отображаются в sysdm.cpl и свойствах системы. |
InstallDate | REG_DWORD | Unixtime (секунды с 1970-01-01 UTC) | Дата установки/обновления ОС. Конвертируется: [DateTime]::UnixEpoch.AddSeconds($value) в PowerShell. |
CompositionEditionID | REG_SZ | IoTEnterprise, IoTEnterpriseK, SE | Указывает на специализированную композитную сборку (например, без Edge/Cortana). |
DigitalProductId, DigitalProductId4 | REG_BINARY | Бинарный ключ активации | Используется slmgr.vbs для дешифровки ключа (не ключ в открытом виде!). |
SystemRoot | REG_SZ | C:\Windows | Корневая папка системы. Не меняется после установки. |
🔍 Пример чтения в PowerShell:
$cv = Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion"
[PSCustomObject]@{
ProductName = $cv.ProductName
Edition = $cv.EditionID
Build = "$($cv.CurrentBuild).$($cv.UBR)"
InstallDate = [DateTime]::UnixEpoch.AddSeconds($cv.InstallDate)
}
🔹 2.2. Параметры входа и Winlogon (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
| Параметр | Тип | Значения | Эффект |
|---|
AutoAdminLogon | REG_SZ | 1 / 0 | Автоматический вход. Требует DefaultUserName, DefaultPassword. Небезопасно — пароль хранится в открытом виде. |
DefaultUserName | REG_SZ | User | Имя учётной записи для авто-входа. |
DefaultPassword | REG_SZ | pass123 | Пароль в plain text — критическая уязвимость. |
ForceAutoLogon | REG_SZ | 1 / 0 | Принудительный авто-вход, даже если Ctrl+Alt+Del. |
Shell | REG_SZ | explorer.exe, custom_shell.exe | Замена оболочки (например, cmd.exe, powershell.exe -noexit). Используется в киоск-режимах. |
UserInit | REG_SZ | C:\Windows\system32\userinit.exe | Исполняемый файл, запускаемый после входа. Может быть заменён для инъекции. |
DisableCAD | REG_DWORD | 1 / 0 | Отключает Ctrl+Alt+Del на экране входа. Требуется политика Security Options → Interactive logon: Do not require CTRL+ALT+DEL. |
SfcDisable | REG_DWORD | 0 (вкл), 1 (выкл для админов), 2 (полностью выкл) | Отключение System File Checker при загрузке. Не рекомендуется — нарушает целостность ОС. |
⚠️ Изменение Shell или UserInit может сделать систему незагружаемой. Резервная копия обязательна.
🔹 2.3. Безопасность и аудит
🔸 2.3.1. Безопасная загрузка и VBS
HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard
| Параметр | Тип | Значения | Комментарий |
|---|
EnableVirtualizationBasedSecurity | REG_DWORD | 1 / 0 | Включает VBS (требует TPM 2.0 + Secure Boot + поддержка CPU). |
RequirePlatformSecurityFeatures | REG_DWORD | 0 (не требовать), 1 (Secure Boot), 3 (Secure Boot + DMA Protection) | Значение 3 — строгое соответствие требованиям Windows 11. |
HypervisorEnforcedCodeIntegrity | REG_DWORD | 1 / 0 | Включает HVCI (Memory Integrity). Может снижать производительность на старых CPU. |
🔸 2.3.2. Политики безопасности (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System)
| Параметр | Тип | Значения | Эффект |
|---|
EnableLUA | REG_DWORD | 1 (вкл UAC), 0 (откл) | Отключение контроля учётных записей — категорически не рекомендуется. |
ConsentPromptBehaviorAdmin | REG_DWORD | 0 (не спрашивать), 1 (с подтверждением), 2 (с вводом пароля), 5 (по умолчанию) | Поведение UAC для админов. Значение 0 = полное отключение UAC. |
EnableVirtualization | REG_DWORD | 1 / 0 | Включает/отключает аппаратную виртуализацию для процессов (не влияет на Hyper-V). |
FilterAdministratorToken | REG_DWORD | 1 / 0 | Принудительное применение UAC к встроенной учётной записи Administrator. По умолчанию 1. |
🔸 2.3.3. Аудит событий (HKLM\SECURITY\Policy\PolAdtEv — защищён, доступ через auditpol.exe)
| Команда | Эффект |
|---|
auditpol /set /category:* /success:enable /failure:enable | Включает полный аудит. |
auditpol /get /category:* | Просмотр текущих настроек. |
🔐 Рекомендация для преподавания/разработки:
- Для лабораторных —
EnableLUA = 1, ConsentPromptBehaviorAdmin = 5 (стандарт), FilterAdministratorToken = 1.
- Для киоска/демо —
Shell → кастомная оболочка + AutoAdminLogon = 1 (но только в изолированной среде).
🔹 2.4. Интерфейс и поведение оболочки
🔸 2.4.1. Проводник и Панель управления
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
| Параметр | Тип | Значения | Эффект |
|---|
HideFileExt | REG_DWORD | 1 (скрыть), 0 (показать) | Скрытие расширений файлов. |
ShowSuperHidden | REG_DWORD | 1 (показать системные), 0 | Отображение desktop.ini, thumbs.db и др. |
LaunchFolderWindowsInSeparateProcess | REG_DWORD | 1 / 0 | Отдельный процесс на каждое окно Проводника. Повышает стабильность, но расходует память. |
Start_TrackProgs | REG_DWORD | 1 (вкл), 0 (выкл) | Отслеживание запускаемых программ для рекомендаций в «Пуске». |
Start_IrisRecommendations | REG_DWORD | 1 / 0 | Рекомендации Microsoft в «Пуске» (погода, новости). |
🔸 2.4.2. Центр уведомлений и виджеты
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
| Параметр | Тип | Значения |
|---|
TaskbarDa | REG_DWORD | 0 (выкл виджеты), 1 (вкл) |
TaskbarMn | REG_DWORD | 0 (выкл чат), 1 (вкл) — Teams (Chat) в трее. |
TaskbarSd | REG_DWORD | 0 (выкл поиск), 1 (вкл) |
ShowCortanaButton | REG_DWORD | 0 / 1 — отдельно для Cortana (если установлена). |
🧩 В Windows 11 24H2 многие параметры переведены в HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband2 → JSON-структура Preferences (бинарный/строковый параметр). Редактирование вручную не рекомендуется.
🔸 2.4.3. Темы и визуальные эффекты
HKCU\Control Panel\Desktop
| Параметр | Тип | Значения | Комментарий |
|---|
UserPreferencesMask | REG_BINARY | Битовая маска (12 байт) | Управляет: анимациями, тенями, сглаживанием шрифтов, перетаскиванием с прозрачностью. Изменяется через «Система → Дополнительные параметры → Быстродействие». |
FontSmoothing | REG_SZ | 2 (ClearType), 1 (стандартное), 0 (выкл) | Рендеринг шрифтов. |
FontSmoothingType | REG_DWORD | 1 (Grayscale), 2 (ClearType RGB) | Тип сглаживания. |
WallPaper | REG_SZ | C:\path\to\wallpaper.jpg | Путь к текущим обоям. |
WallpaperStyle, TileWallpaper | REG_SZ | 0/10 (заполнение), 2/6 (по размеру), 0/1 (плитка) | Сочетание значений задаёт поведение. |
💡 Совет: Для преподавания/демо — отключите анимации (UserPreferencesMask[1] &= ~0x7F), включите крупные шрифты (LogPixels = 120 в HKCU\Control Panel\Desktop).
🔹 2.5. Сеть и протоколы
🔸 2.5.1. TCP/IP (IPv4/IPv6)
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
| Параметр | Тип | Значения | Эффект |
|---|
TcpTimedWaitDelay | REG_DWORD | 30–300 (сек) | Время ожидания в состоянии TIME_WAIT. По умолчанию — 240 сек. Снижение → быстрее освобождение портов (для серверов). |
MaxUserPort | REG_DWORD | 5000–65534 | Макс. исходящий порт. Увеличение → больше одновременных соединений. |
TcpNumConnections | REG_DWORD | 16777214 (0xFFFFFFFE) | Лимит одновременных TCP-соединений. |
DisableIPv6 | REG_DWORD | 0 (вкл), 0xFFFFFFFF (полностью выкл), 0x20 (выкл, но разрешить через tunneling) | Отключение IPv6. Не рекомендуется — ломает некоторые службы (например, WSL2, Hyper-V). |
🔸 2.5.2. DNS и DoH
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
| Параметр | Тип | Значения | Комментарий |
|---|
EnableAutoDoh | REG_DWORD | 0 (выкл), 1 (авто), 2 (принудительно) | Использование DNS over HTTPS. |
DohFallbackTimeoutMs | REG_DWORD | 5000 (мс) | Таймаут до fallback на обычный DNS. |
EnableMDns | REG_DWORD | 1 / 0 | Multicast DNS (для .local доменов, например, в локальных сетях/WSL). |
🌐 Для WSL2/разработки: EnableMDns = 1 критичен для разрешения имён между хостом и WSL.
🔹 2.6. Телеметрия и диагностика
HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection
| Параметр | Тип | Значения | Уровень сбора |
|---|
AllowTelemetry | REG_DWORD | 0 (Security), 1 (Basic), 2 (Enhanced), 3 (Full) | Только через GPO. В Home-редакции — только через «Параметры → Конфиденциальность». |
DisableOneSettingsDownloads | REG_DWORD | 1 / 0 | Отключает загрузку настроек с серверов Microsoft (например, рекомендаций в «Параметрах»). |
LimitDiagnosticLogCollection | REG_DWORD | 1 / 0 | Ограничение размера журналов диагностики. |
📉 Для преподавания/детей: рекомендуется AllowTelemetry = 1 (Basic) + отключить рекламу через:
HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager →
SubscribedContent-338388Enabled = 0,
SubscribedContent-353694Enabled = 0,
SystemPaneSuggestionsEnabled = 0.
🔹 2.7. WSL и виртуализация
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Lxss
| Параметр | Тип | Описание |
|---|
| Каждая подветка — GUID дистрибутива WSL | — | Внутри: DistributionName, Version (1/2), BasePath, DefaultUid, Flags. |
DefaultVersion | REG_DWORD | 1 или 2 |
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization
| Параметр | Тип | Значения |
|---|
MinVmVersionForCpuBasedMitigations | REG_SZ | 10.0.22000.0 |
⚙️ Часть 3. PowerShell, WMI/CIM и Group Policy в Windows 11
🔹 3.1. Системные свойства через PowerShell
✅ 3.1.1. Get-ComputerInfo — полный охват ОС
Команда:
Возвращает более 200 свойств, сгруппированных по префиксам:
| Группа | Ключевые свойства | Комментарий |
|---|
Windows* | WindowsProductName, WindowsEditionId, WindowsInstallationType, WindowsCurrentVersion, WindowsSystemRoot, WindowsBuildLabEx, WindowsRegisteredOrganization, WindowsRegisteredOwner, WindowsInstallDate | Основные метаданные ОС. Аналог HKLM:\...\CurrentVersion. |
Os* | OsName, OsType, OsArchitecture, OsLanguage, OsMuiLanguages, OsBootDevice, OsSystemDevice, OsSystemDirectory, OsWindowsDirectory, OsOperatingSystemSKU, OsVersion, OsBuildNumber, OsHotFixes | Информация о ядре и ABI. OsOperatingSystemSKU — числовой ID редакции (см. документация Microsoft). |
Cs* (ComputerSystem) | CsName, CsDomain, CsDomainRole, CsManufacturer, CsModel, CsNumberOfLogicalProcessors, CsNumberOfProcessors, CsProcessors, CsPhyicallyInstalledMemory, CsDomainRole (0=Standalone, 4=MemberWorkstation) | Аппаратная идентификация хоста. |
Bios* | BiosManufacturer, BiosName, BiosVersion, BiosReleaseDate, BiosSeralNumber | Информация из SMBIOS. |
Hardware* | HardwareResidentMemory, HardwareVideoController, HardwareSoundDevices | Обобщённые данные об устройствах. |
💡 Фильтрация по нужным свойствам:
Get-ComputerInfo | Select-Object Windows*, OsVersion, OsBuildNumber, CsModel, BiosVersion
✅ 3.1.2. Get-CimInstance — низкоуровневый доступ (рекомендуется вместо Get-WmiObject)
| Класс | Описание | Пример запроса |
|---|
Win32_OperatingSystem | Основные атрибуты ОС | (Get-CimInstance Win32_OperatingSystem).Caption, .Version, .BuildNumber, .LastBootUpTime |
Win32_ComputerSystem | Хост: RAM, CPU, домен | (Get-CimInstance Win32_ComputerSystem).TotalPhysicalMemory / 1GB |
Win32_Processor | Детали процессора | `Get-CimInstance Win32_Processor |
Win32_BIOS | BIOS/UEFI | `Get-CimInstance Win32_BIOS |
Win32_DiskDrive | Физические диски | `Get-CimInstance Win32_DiskDrive |
Win32_PhysicalMemory | Модули ОЗУ | `Get-CimInstance Win32_PhysicalMemory |
⚠️ В Windows 11 Get-WmiObject считается устаревшим. Используйте Get-CimInstance (CIM = Common Information Model, стандарт DMTF, работает через WS-Management, а не DCOM).
🔹 3.2. Специализированные PowerShell-модули Windows 11
✅ 3.2.1. WindowsUpdate (требуется Windows 10 1809+, PowerShell 5.1+)
| Команда | Назначение |
|---|
Get-WindowsUpdateLog | Анализ WindowsUpdate.log (устарел) → используйте Get-WindowsUpdateLog -LogPath C:\Windows\Logs\WindowsUpdate\* |
Get-WUInstall (из модуля PSWindowsUpdate) | Установка обновлений из скрипта (не входит в поставку ОС, требует Install-Module PSWindowsUpdate). |
| Рекомендуемый способ — через CIM-классы: | |
# Список обновлений
Get-CimInstance -Namespace root\Microsoft\Windows\WindowsUpdate -ClassName MSFT_WUOperationsSession |
Invoke-CimMethod -MethodName ScanForUpdates -Arguments @{SearchCriteria="IsInstalled=0"; OnlineScan=$true}
# Установка (через COM, обёрнутый в PowerShell)
$UpdateSession = New-Object -ComObject Microsoft.Update.Session
$UpdateSearcher = $UpdateSession.CreateUpdateSearcher()
$Updates = $UpdateSearcher.Search("IsInstalled=0 and Type='Software'").Updates
✅ 3.2.2. Appx — управление приложениями MSIX/MSIX Core
| Команда | Эффект |
|---|
Get-AppxPackage -AllUsers | Все установленные UWP-приложения. |
Get-AppxProvisionedPackage -Online | Пакеты, «зашитые» в образ ОС (развёртываются при создании профиля). |
Remove-AppxPackage -Package <FullName> | Удаление для текущего пользователя. |
Remove-AppxProvisionedPackage -Online -PackageName <Name> | Удаление из образа (влияет на новых пользователей). |
📌 Пример: отключение неиспользуемых компонентов для «чистой» системы:
$bloat = @("Microsoft.Xbox*", "Microsoft.WindowsFeedbackHub", "Microsoft.GetHelp", "Microsoft.Getstarted", "Microsoft.WindowsMaps")
Get-AppxPackage -AllUsers | Where-Object {$_.Name -like $bloat} | Remove-AppxPackage
Get-AppxProvisionedPackage -Online | Where-Object {$_.DisplayName -like $bloat} | Remove-AppxProvisionedPackage -Online
✅ 3.2.3. MDM (Mobile Device Management) — для enterprise-сценариев
Классы в root\cimv2\mdm:
MDM_Policy_Config01_About02 — базовые сведения,MDM_Policy_Config01_Accessibility02 — настройки доступности,MDM_Policy_Config01_ApplicationManagement02 — управление приложениями,MDM_Policy_Config01_Personalization02 — обои, темы, звук.
🔐 Требует MDM-регистрации (Intune, Workspace ONE). В домашних системах — недоступны.
✅ 3.2.4. StorageQoS, Defender, NetAdapter, DnsClient
| Модуль | Команды | Назначение |
|---|
StorageQoS | Get-StorageQosPolicy, Set-StorageQosPolicy | Ограничение IOPS/пропускной способности для VHD/VHDX (для Hyper-V/WSL2). |
Defender | Get-MpPreference, Set-MpPreference, Get-MpThreat | Настройка Microsoft Defender Antivirus. |
NetAdapter | Get-NetAdapter, Disable-NetAdapter, Set-NetAdapterAdvancedProperty | Управление сетевыми адаптерами (включая RSS, LSO, Jumbo Frames). |
DnsClient | Get-DnsClient, Set-DnsClient, Resolve-DnsName, Get-DnsClientCache | Работа с DNS-клиентом, кэшем, DoH. |
🔹 3.3. Group Policy: актуальные политики Windows 11 (локальные и доменные)
💡 Важно:
- В Home-редакции
gpedit.msc отсутствует, но политики применяются через реестр (HKLM\SOFTWARE\Policies\, HKCU\Software\Policies\).
- Многие новые политики требуют ADMX-шаблонов Windows 11 24H2 (скачиваются отдельно с Microsoft Download Center).
🔸 3.3.1. Безопасность и аудит
Политика (путь в gpedit.msc) | Реестр | Значения | Комментарий |
|---|
Конфигурация компьютера → Политики Windows → Безопасность → Локальные политики → Параметры безопасности → Учетные записи: Администратор — имя счета | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultUserName (но через GPO — безопаснее) | Строка | Переименование встроенной учётной записи Administrator (устаревшая практика — современные системы используют SID, а не имя). |
Контроль учётных записей: Поведение окна повышения прав для администраторов | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin | 0, 1, 2, 5 | См. Часть 2. |
Конфигурация компьютера → Административные шаблоны → Система → Учётные записи устройств → Настройка параметров Device Guard | HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\* | Включить/Отключить HVCI, VBS | Только на Enterprise/Education. |
Конфигурация компьютера → Административные шаблоны → Система → Корпоративный раздел → Корпоративный интерфейс → Отключить виджеты | HKCU\Software\Policies\Microsoft\Dsh → AllowNewsAndInterests = 0 | 0/1 | Блокировка виджетов в трее. |
🔸 3.3.2. Интерфейс и пользовательский опыт
| Политика | Реестр | Эффект |
|---|
Конфигурация пользователя → Административные шаблоны → Панель управления → Персонализация → Запретить изменение обоев рабочего стола | HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage = 1 | Блокировка смены обоев. |
... → Система → Вход → Не отображать последние имена пользователей при входе в систему | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName = 1 | Повышение безопасности на общих ПК. |
Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Проводник → Скрыть значок "Этот компьютер" на рабочем столе | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{20D04FE0-3AEA-1069-A2D8-08002B30309D} = 1 | Скрытие «Этот компьютер». |
🔸 3.3.3. Сеть и обновления
| Политика | Реестр | Комментарий |
|---|
Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Центр обновления Windows → Указать срок приостановки обновлений | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions = 4 (автоустановка), ScheduledInstallDay = 0 (воскресенье), ScheduledInstallTime = 3 (3:00) | Настройка автобновлений. |
... → Сеть → DNS-клиент → Включить DNS через HTTPS (DoH) | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableAutoDoh = 2 | Принудительное включение DoH. |
🔸 3.3.4. WSL и разработка
| Политика | Реестр | Эффект |
|---|
Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Подсистема Windows для Linux → Разрешить WSL | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Lxss\EnableLxss = 1 | Включает WSL (даже если отключён в «Компонентах Windows»). |
... → Режим разработчика → Включить режим разработчика | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModelUnlock\AllowDevelopmentWithoutDevLicense = 1 | Разрешает развёртывание sideload-приложений без лицензии. |
🔹 3.4. Командные утилиты и их интеграция с PowerShell
| Утилита | Команда | PowerShell-аналог / Обёртка |
|---|
dism | dism /online /get-features | Get-WindowsOptionalFeature -Online |
pnputil | pnputil /enum-drivers | Get-PnpDevice -PresentOnly, Get-WindowsDriver -Online -All |
powercfg | powercfg /batteryreport | Get-CimInstance Win32_Battery, Get-CimInstance Win32_PortableBattery |
wevtutil | wevtutil qe System /f:text /c:10 | Get-WinEvent -LogName System -MaxEvents 10 |
fsutil | fsutil behavior query DisableDeleteNotify | Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem -Name "DisableDeleteNotify" |
netsh | netsh wlan show drivers | Get-NetAdapter | Where-Object {$_.InterfaceDescription -like "*Wireless*"} → Get-NetAdapterAdvancedProperty |
🛠️ Пример: автоматизация проверки требований к установке Windows 11:
$req = [PSCustomObject]@{
TPM2 = (Get-Tpm).TpmPresent
SecureBoot = Confirm-SecureBootUEFI
CPUCompatible = (Get-CimInstance Win32_Processor).Name -match "(Intel.*(i[3579]|\d{4,5})|Ryzen|EPYC|Xeon)"
RAM_GB = [Math]::Ceiling((Get-CimInstance Win32_ComputerSystem).TotalPhysicalMemory / 1GB)
Storage_GB = (Get-Partition -DriveLetter C).Size / 1GB -ge 64
}
$req | Format-List
🔄 Часть 4. Службы, системные состояния и лицензирование Windows 11
🔹 4.1. Системные службы Windows 11: ключевые компоненты
⚠️ Принципы классификации:
- Критичные — остановка приводит к BSOD или невозможности входа.
- Важные — влияют на безопасность, сеть, обновления.
- Опциональные — можно отключить без последствий для базовой работы.
- Устаревшие — оставлены для совместимости (отключены по умолчанию).
Для каждой службы указаны:
- Имя (
ServiceName), отображаемое имя (DisplayName),
- Тип запуска (
Boot, System, Automatic, Manual, Disabled),
- Зависимости (через
sc.exe qc <имя> или Get-Service | Select-Object Name, DependentServices),
- Реестровый путь:
HKLM\SYSTEM\CurrentControlSet\Services\<ServiceName>.
✅ 4.1.1. Критичные службы (остановка — системный сбой)
| ServiceName | DisplayName | Тип | Зависимости | Комментарий |
|---|
EventLog | Служба журнала событий Windows | Automatic (Delayed Start) | RPCSS | Без неё — невозможен аудит, диагностика, многие службы не стартуют. |
RpcSs | Удаленный вызов процедур (RPC) | Automatic | DcomLaunch | Ядро межпроцессного взаимодействия. Все COM/DCOM, WMI, WinRM — зависят от RPC. |
DcomLaunch | Запуск сервера DCOM | Automatic | — | Начальная точка для COM-объектов. |
LSM | Диспетчер локальных сеансов | Automatic | RpcSs | Управление сессиями безопасности (вход, токены). |
SamSs | Учётные записи безопасности и локальный сервер SAM | Automatic | RpcSs, LsaSrv | Хранение локальных учётных данных. Без него — невозможен вход. |
LsaSrv | Служба проверки подлинности безопасности | Automatic | Netlogon (в домене), SamSs | Обработка Kerberos/NTLM, управление ключами. |
PlugPlay | Служба поддержки Plug and Play | Automatic | — | Обнаружение оборудования. Блокировка → зависание при подключении USB и т.п. |
Power | Электропитание | Automatic | — | Управление спящим режимом, гибернацией. |
🔍 Диагностика:
Get-Service EventLog, RpcSs, SamSs | Select-Object Name, Status, StartType
# или
sc.exe query EventLog
✅ 4.1.2. Важные службы (безопасность, обновления, сеть)
| ServiceName | DisplayName | Тип | Зависимости | Примечания |
|---|
Wcmsvc | Служба автонастройки подключения к сети (WLAN AutoConfig) | Automatic (Delayed Start) | NlaSvc, RpcSs | Управление Wi-Fi, переключение профилей. При ручном управлении сетью — можно перевести в Manual. |
NlaSvc | Служба автоопределения сетевого расположения | Automatic (Delayed Start) | Dhcp, Tcpip | Определяет: домашняя/публичная/организационная сеть → применяет правила брандмауэра. |
wuauserv | Центр обновления Windows | Manual | BITS, CryptSvc, DcomLaunch | Запускается по расписанию или вручную. Отключение → обновления не устанавливаются. |
BITS | Служба фоновой передачи | Manual | RpcSs | Используется Windows Update, Microsoft Store, OneDrive. |
Schedule | Планировщик заданий | Automatic | RpcSs | Выполняет задачи из Task Scheduler Library. Без него — не работают дефрагментация, обновления, резервные копии. |
WinDefend | Служба защиты от вирусов Windows | Automatic (Delayed Start) | RpcSs, SamSs | Microsoft Defender Antivirus. В Enterprise — может быть заменён на сторонний EDR (тогда WinDefend = Disabled). |
SecurityHealthService | Интеграция Центра безопасности Windows | Automatic (Delayed Start) | RpcSs | Отображает статус защиты в «Параметры → Обновление и безопасность → Безопасность Windows». |
LxssManager | Диспетчер подсистемы Windows для Linux | Manual | RpcSs | Запускается при первом вызове wsl. Без него — WSL не работает. |
vmcompute | Вычислительная платформа виртуализации | Manual | Winmgmt, RpcSs | Требуется для WSL2, Hyper-V, Windows Sandbox. |
🛠️ Отключение Defender (для разработки/тестирования — только в изолированной среде):
Set-MpPreference -DisableRealtimeMonitoring $true -DisableBehaviorMonitoring $true
# ИЛИ через реестр (требует перезагрузки):
Set-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Value 1
⚠️ В Windows 11 24H2 WinDefend и SecurityHealthService объединены в Microsoft Defender Platform, но остаются отдельными службами.
✅ 4.1.3. Опциональные и устаревшие службы
| ServiceName | DisplayName | Рекомендуемый тип | Комментарий |
|---|
Themes | Темы | Automatic | Без неё — Aero Glass отключается, интерфейс «классический». Можно перевести в Manual, если используется сторонняя оболочка. |
TabletInputService | Служба ввода для планшетных ПК | Manual | Отключается на десктопах без сенсорного экрана. |
diagnosticshub.standardcollector.service | Стандартный сборщик данных диагностики | Manual | Используется Visual Studio Profiler. Можно отключить. |
Spooler | Диспетчер очереди печати | Automatic | Отключение освобождает память, если принтеры не используются. Но: многие приложения (включая браузеры) используют Print to PDF через эту службу. |
Fax | Факс | Disabled | Устарело. Безопасно отключить. |
WerSvc | Служба отчётов об ошибках Windows | Manual | Отправка отчётов в Microsoft. Можно отключить для приватности: |
HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Error Reporting\Disabled = 1 | | | |
🔹 4.2. Системные состояния: как Windows 11 «знает», что она делает
| Состояние | Признаки | Как распознать | Как управлять |
|---|
| OOBE (Out-of-Box Experience) | Первый запуск после установки: выбор региона, учётной записи, настройка OneDrive | C:\Windows\Panther\UnattendGC\* существует, HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OOBE\OOBEInProgress = 1 | Прервать: Ctrl+Shift+F3 → вход в Audit Mode. Завершить: завершить настройку или выполнить sysprep /oobe /shutdown. |
| Audit Mode | Рабочий стол без учётной записи, доступны все административные инструменты | HKLM\SYSTEM\Setup\AuditBoot = 1, HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\State\IMAGE_STATE = IMAGE_STATE_AUDIT_MODE | Вход: sysprep /audit /reboot. Выход: sysprep /oobe /shutdown или sysprep /generalize /shutdown. |
| S Mode | Только приложения из Microsoft Store, PowerShell ограничен (RestrictedLanguage) | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate\RestrictStoreOnlyApps = 1, Get-AppxPackage работает, Get-Service — нет | Переключение: «Параметры → Система → Активация → Переключиться» (однократно, бесплатно в Pro/Enterprise). |
| Windows Sandbox | Изолированная среда на Hyper-V, сброс при закрытии | Запускается через WindowsSandbox.exe, PID-процесса — C:\Windows\System32\WindowsSandbox.exe, внутри: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallationType = Client, RegisteredOrganization = Microsoft Corporation | Управление: Windows Features → Windows Sandbox (требует Hyper-V + VBS). |
| Windows 365 Boot | Загрузка в облако (Cloud PC) вместо локальной ОС | BIOS/UEFI загружает CloudPCBoot.wim, HKLM\SYSTEM\CurrentControlSet\Control\CloudPC существует | Диагностика: Get-CimInstance -Namespace root\cimv2\CloudPC -ClassName CloudPC_ConnectionStatus. |
🔍 Пример: проверка режима активации/ограничений:
$state = (Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion").InstallationType
$sMode = (Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate" -ErrorAction SilentlyContinue).RestrictStoreOnlyApps
[PSCustomObject]@{
InstallationType = $state
SMode = [bool]$sMode
IsSandbox = $env:USERNAME -eq "WDAGUtilityAccount" -and $env:USERDOMAIN -eq "USERDOMAIN"
}
🔹 4.3. Активация и лицензирование Windows 11
✅ 4.3.1. Типы лицензий
| Тип | Канал активации | Как распознать | Комментарий |
|---|
| Retail | Цифровая лицензия (Microsoft Account) или 25-символьный ключ | slmgr /dlv → License Status: Licensed, Product Key Channel: Retail | Переносима на новое «железо» (если привязана к аккаунту). |
| OEM:DM (Digital Marker) | Встроена в BIOS/UEFI (SLP 3.0) | Product Key Channel: OEM:DM, PartialProductKey начинается с XXXXX-...-OEM | Привязана к материнской плате. Не переносится. |
| OEM:NONSLP | Ключ на наклейке или в BIOS, но без SLP | Product Key Channel: OEM:NONSLP | Требует ввода ключа при установке. |
| Volume (KMS) | KMS-сервер в домене | License Status: Notification, Description: VOLUME_KMSCLIENT | Требует ежедневного подтверждения от KMS (обычно каждые 180 дней). |
| Volume (MAK) | Одноразовый ключ, активация через интернет | Product Key Channel: Volume:MAK | Ограниченное число активаций на ключ. |
✅ 4.3.2. Диагностика активации
| Команда | Результат |
|---|
slmgr /xpr | Показывает, активирована ли система, и дату окончания (для Volume — сколько дней осталось до повторной активации). |
slmgr /dlv | Подробная информация: ID активации, канал, статус, частичный ключ, дата установки, OEM-информация. |
Get-WindowsLicense -Online | PowerShell-аналог slmgr /dlv (только для текущей ОС). |
wmic path SoftwareLicensingService get OA3xOriginalProductKey | Получение OEM-ключа из BIOS (если есть). |
📋 Пример вывода slmgr /dlv (ключевые поля):
Name: Windows(R), Professional edition
Description: Windows(R) Operating System, OEM_DM channel
Offline activation: 1
Product Key Channel: OEM:DM
Partial Product Key: XXXXX
License Status: Licensed
Remaining Windows rearm count: 3
✅ 4.3.3. Восстановление активации
| Проблема | Решение |
|---|
| «Windows не активирована» после замены материнской платы (OEM) | 1. Попробуйте slmgr /ato. 2. Если не помогает — привяжите цифровую лицензию к Microsoft Account (на старой системе), затем войдите в аккаунт на новой. |
| KMS-клиент не активируется | 1. Проверьте связь с KMS: nslookup kms.yourdomain.local. 2. Убедитесь, что KMS-хост доступен: slmgr /skms kms.yourdomain.local:1688. 3. Принудительная активация: slmgr /ato. |
| Ошибка 0xC004F074 (KMS недоступен) | Часто возникает при установке Volume-образа в домашней сети. Решение: конвертация в Retail через ввод ключа: slmgr /ipk <ключ>, затем slmgr /ato. |
| Требуется «активация Windows» в правом нижнем углу | Проверьте: Settings → System → Activation. Если там «Connect to Microsoft account», — войдите в учётную запись, к которой привязана лицензия. |
🔄 Rearm (сброс счётчика активации):
- Сбрасывает таймер grace period (180 дней для Volume).
- Максимум 3 раза (после — требуется чистая установка).
- Требует перезагрузки.
🎯 Часть 5. UI, телеметрия, резервное копирование и чек-листы для Windows 11
🔹 5.1. Настройка пользовательского интерфейса (UI) в Windows 11
✅ 5.1.1. «Пуск», панель задач и виджеты
| Компонент | Параметр / Политика | Реестр / GPO | Допустимые значения | Комментарий |
|---|
| Центральная привязка значков | Настройка через «Параметры» недоступна | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\TaskbarAl | 0 (слева), 1 (по центру) | Изменение требует перезапуска explorer.exe. |
| Показать ярлыки на панели задач | «Параметры → Персонализация → Панель задач → Поведение панели задач» | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\TaskbarDa, TaskbarMn, TaskbarSd, TaskbarSi | 0/1 (виджеты, чат, поиск, Copilot) | В 24H2 Copilot управляется через TaskbarCopilotIcon. |
| Классическое контекстное меню | Через реестр | HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 (пустое значение по умолчанию) | Удаление ключа → возврат нового меню; создание (даже с пустым (Default)) → классическое меню | Важно: в 24H2 Microsoft заменила механизм — ключ теперь игнорируется. Альтернатива: reg add "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32" /f /ve → taskkill /f /im explorer.exe && start explorer. |
| Автоскрытие панели задач | «Параметры → Персонализация → Панель задач → Поведение» | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\EnableAutoTray | 1 (скрывать), 0 (показывать все значки) | Управляет системным лотком. |
| Размер значков | Только через сторонние утилиты (например, Start11, ExplorerPatcher) | — | — | Встроенного способа нет. |
🔍 PowerShell: перезапуск оболочки без потери сессии:
Stop-Process -Name explorer -Force; Start-Process explorer
✅ 5.1.2. Проводник Windows
| Настройка | Реестр | Значение | Эффект |
|---|
| Показывать полный путь в заголовке | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\FullPathAddress | 1 | Отображает C:\Users\Тимур\Documents вместо Documents. |
| Включить вкладки в Проводнике | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowTabs | 1 (в 24H2+ по умолчанию) | В 23H2 требовалась фича-флаг: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackProgs = 0x80000001 (устарело). |
| Отключить OneDrive-интеграцию | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSyncProviderNotifications | 0 | Убирает уведомления о синхронизации. |
| Вернуть «Открыть окно проводника здесь» в контекстное меню | HKCR\Directory\shell\opennewwindow (восстановить из резервной копии или через DISM) | — | В 22H2 это меню было удалено; в 24H2 возвращено как Open in new window. |
✅ 5.1.3. Темы, обои, звук
| Параметр | Реестр | Тип | Примечание |
|---|
| Тема (светлая/тёмная) | HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize\AppsUseLightTheme, SystemUsesLightTheme | REG_DWORD: 0 (тёмная), 1 (светлая) | AppsUseLightTheme — UWP-приложения, SystemUsesLightTheme — проводник, панель задач. |
| Цвет акцента | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AccentColorMenu\AccentColorMenu | REG_DWORD (BGR, например, 0x00CC6600 = оранжевый) | Изменяется через «Параметры → Персонализация → Цвета → Показать цвет акцента на заголовках и панелях». |
| Звуковая схема | HKCU\AppEvents\Schemes | Ключи: .Current, .Default → GUID схемы | Установка: Set-ItemProperty "HKCU:\AppEvents\Schemes" -Name ".Current" -Value "{13370000-0000-0000-0000-000000000000}" (Silent). |
🖼️ Программная смена обоев (PowerShell):
Set-ItemProperty "HKCU:\Control Panel\Desktop" -Name Wallpaper -Value "C:\wall.jpg"
Set-ItemProperty "HKCU:\Control Panel\Desktop" -Name WallpaperStyle -Value 10 # Заполнение
rundll32.exe user32.dll, UpdatePerUserSystemParameters 1, True
🔹 5.2. Телеметрия и конфиденциальность: полный контроль
⚠️ Важно: полное отключение телеметрии невозможно в Windows 11 (требуется для работы обновлений, защиты, WER).
Однако можно минимизировать до уровня Basic (Security) — достаточно для стабильности и безопасности.
✅ 5.2.1. Ключевые компоненты и методы отключения
| Компонент | Описание | Как отключить (безопасно) |
|---|
Connected User Experiences and Telemetry (DiagTrack) | Сбор диагностических данных | 1. sc.exe stop DiagTrack 2. sc.exe config DiagTrack start= disabled 3. Set-Service DiagTrack -StartupType Disabled 4. Удалить задачи: `Get-ScheduledTask -TaskPath "\Microsoft\Windows\Customer Experience Improvement Program" |
| Advertising ID | Используется для таргетированной рекламы в Store | HKCU\Software\Microsoft\Windows\CurrentVersion\AdvertisingInfo\Enabled = 0 |
| Tailored Experiences | Персонализация на основе диагностических данных | «Параметры → Конфиденциальность → Диагностика и отзывы → Персонализированный опыт» → Выкл |
| Activity History Sync | Синхронизация активности между устройствами | HKLM\SOFTWARE\Policies\Microsoft\Windows\System\EnableActivityFeed = 0, PublishUserActivities = 0, UploadUserActivities = 0 |
| Windows Error Reporting (WER) | Отправка отчётов о сбоях | HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Error Reporting\Disabled = 1 |
| Application Telemetry | Сбор данных о запуске приложений | HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat\AITEnable = 0 |
✅ 5.2.2. Проверка уровня телеметрии
# Уровень телеметрии:
(Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -ErrorAction SilentlyContinue).AllowTelemetry
# Состояние DiagTrack:
Get-Service DiagTrack | Select-Object Name, Status, StartType
# Задачи CEIP:
Get-ScheduledTask -TaskPath "\Microsoft\Windows\Customer Experience Improvement Program\" |
Select-Object TaskName, State
📉 Рекомендуемый минимум для преподавания/детей:
AllowTelemetry = 1 (Basic),DiagTrack = Disabled,EnableActivityFeed = 0,AdvertisingInfo\Enabled = 0,DisableOneSettingsDownloads = 1.
🔹 5.3. Резервное копирование и восстановление конфигурации
Цель — воспроизводимость: развёртывание идентичной среды на новых машинах.
✅ 5.3.1. Экспорт конфигурации
| Компонент | Команда / Скрипт | Формат результата |
|---|
| Реестр (пользовательские настройки) | reg export "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" ui_settings.reg | .reg — импортируется двойным кликом. |
| Службы и их стартовый тип | `Get-WmiObject Win32_Service | Where-Object StartMode -eq "Auto" |
| Драйверы | dism /online /export-driver /destination:C:\drivers_backup | Папка с .inf, .sys, .cat. |
| Установленные опциональные компоненты | `Get-WindowsOptionalFeature -Online | Where-Object State -eq "Enabled" |
| Provisioned AppX-пакеты | `Get-AppxProvisionedPackage -Online | Select-Object DisplayName, PackageName |
| Политики групповой безопасности (локальные) | secedit /export /cfg security.cfg | Текстовый файл с UserRightsAssignment, RegistryValues, PrivilegeRights. |
| Загрузчик (BCD) | bcdedit /export C:\bcd_backup.bcd | Бинарный файл — восстанавливается через bcdedit /import. |
✅ 5.3.2. Восстановление
| Действие | Команда |
|---|
| Импорт реестра | reg import ui_settings.reg |
| Установка драйверов | pnputil /add-driver "C:\drivers_backup\*.inf" /subdirs /install |
| Включение компонентов | Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux -NoRestart |
| Применение политик безопасности | secedit /configure /db secedit.sdb /cfg security.cfg /areas SECURITYPOLICY |
💡 Совет: для преподавательских машин — создайте базовый скрипт setup.ps1, который:
- Импортирует реестр,
- Устанавливает драйверы,
- Включает WSL/VirtualMachinePlatform,
- Удаляет bloatware,
- Применяет политики безопасности.
Запуск: Set-ExecutionPolicy Bypass -Scope Process -Force; .\setup.ps1.
🔹 5.4. Готовые чек-листы
✅ 5.4.1. «Чистая Windows 11 для разработчика»
| Этап | Действие |
|---|
| 1. Базовая настройка | - Выключить виджеты, Copilot, чат - Включить классическое контекстное меню - Включить расширения файлов, скрытые файлы |
| 2. Отключение ненужного | - DiagTrack = Disabled - WerSvc = Manual - Fax, TabletInputService = Disabled |
| 3. Включение компонентов | - WSL2 (wsl --install) - Hyper-V (Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All) - .NET Framework 3.5 (DISM /Online /Enable-Feature /FeatureName:NetFx3) |
| 4. Безопасность | - Включить HVCI (Security → Device Security) - Установить VS Code, Git, PowerShell 7+, Node.js, .NET 8 SDK - Отключить Defender в доверенных папках (через Add-MpPreference -ExclusionPath) |
| 5. UI | - Тема: тёмная - Размер шрифта: 100% (если 4K — 125%) - Включить вкладки в Проводнике |
✅ 5.4.2. «Безопасный ПК для ребёнка (8–16 лет)»
| Элемент | Настройка |
|---|
| Учётная запись | Семейная учётная запись Microsoft (через family.microsoft.com), с ограничением экранного времени и контента. |
| Браузер | Microsoft Edge в режиме «Детский профиль» + «Безопасный поиск» в Google. |
| Блокировки | - HKCU\Software\Policies\Microsoft\Windows\Explorer\NoUseStoreOpenWith = 1 (запрет установки из Store) - DisallowRun в GPE: запрет cmd.exe, powershell.exe, regedit.exe - «Параметры → Семья и другие пользователи → Контроль родителей» → включить. |
| Телеметрия | AllowTelemetry = 1, DiagTrack = Disabled, AdvertisingInfo = 0 |
| Обновления | Автоматическая установка в ночное время (ScheduledInstallTime = 3) |
| Резервное копирование | Ежедневная синхронизация C:\Users\<ребёнок>\Documents в OneDrive. |
✅ 5.4.3. «Лабораторная ОС для преподавания (IT Universe)»
| Требование | Реализация |
|---|
| Воспроизводимость | Образ через sysprep /generalize /oobe /shutdown → захват через DISM /Capture-Image |
| Изолированность | Отключение Wi-Fi (Disable-NetAdapter -Name "Wi-Fi"), использование только кабельной сети (если нужно — NAT через хост) |
| Демонстрация | - Включить крупные шрифты (LogPixels = 120) - Отключить анимации (UserPreferencesMask[1] &= ~0x7F) - Включить курсор 2x (через «Параметры → Специальные возможности → Курсор и указатель») |
| Автоматизация | Скрипт lab-reset.ps1: остановка служб, очистка C:\Temp, перезапуск explorer, сброс обоев. |
| Документирование | Экспорт конфигурации в Markdown: `Get-ComputerInfo |