Windows system32 upfc exe

Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть всем известный батник из архива AutoSettings.zip от westlife, который предназначен для отключения свистелок и перделок в LTSB2016 (см. ниже сценарии PowerShell для LTSC RS5).
Сам использую этот батник для полной настройки системы после установки, добавляя в него свои команды и используя свои батники\файлы_реестра\PowerShell.
Пока не реализовано через батник:
~~Рабочий стол\ПКМ\Вид\Мелкие значки~~ решено
~~Отключить параметр: Параметры\Персонализация\Пуск\Показывать недавно добавленные приложения~~ (регулировка данной настройки через MDM добавлена только в Windows 10, version 1703
Удалить драйверы и отключить AMDA00 Interface в диспетчере устройств, чтобы не было ошибки ‘Сбой загрузки драйвера \Driver\WUDFRd для устройства ACPI\PNP0A0A\2&daba3ff&0.’
======
Предлагаю в теме делиться своими наработками по быстрой настройке системы, используя батники, сценарии PowerShell и файлы реестра.
Если при выполнении батника в окне CMD появились кракозябры или не все отображается , измените шрифт окна CMD на Consolas

Закладки (bookmarks) по реестру Windows 10 для программы Registry Finder .
Какой раздел реестра использовать при создании рег-файлов CurrentControlSet или ControlSetNNN
Group Policy Settings Reference Spreadsheet Windows 1809 (Справочная таблица параметров ГП. Вышла новая версия системы, меняем цифры и в поиск Google)

Не просите готовые\полные сценарии для настройки очередной версии ОС, если их нет, значит над ними пока работают. «Скоро только кошки родятся» (С) Всего записей: 9245 | Зарегистр. 12-10-2001 | Отправлено: 09:39 23-05-2017 | Исправлено: KLASS, 16:06 29-03-2021

ingviowarr

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JordanM

Цитата:

в 1809 появился такой подлый файлик upfc.exe (в процессах виден как Updateability From SCM) который с заданой переодичностью восстанавливает службы и целые ветки реестра для того что бы Windows переодически проверяла наличие обновлений.

Очень своевременная находка. У меня тоже практически получилось обуздать 1809 LTSC, и ещё среди последних нескольких оставался вопрос, что же восстанавливает некоторые ветки реестра.

Причём, это касается не только системы обновления, но и Cortana, Store, разрешение OneDrive коннекта в Cloud (хоть последних двух как бы и нет, но по факту разрешения коннекта система восстанавливает, что не не есть хорошо).

Так вот, друзья, мой опыт говорит, что в этой редакции поделия без отбирания прав в определённых ветках реестра уже не обойтись. Этому придётся научиться, кто этого раньше не делал. В частности это совершенно необходимо:

1) Для отключения некоторых задач Планировщика

В зависимости от настроек, к-во таких неотключаемых задач из общего списка «к отключению» может оказаться разным. Например, встречаются такие:

Schedule Scan Microsoft\Windows\UpdateOrchestrator\Schedule Scan
Schedule Scan Static Task Microsoft\Windows\UpdateOrchestrator\Schedule Scan Static Task
UpdateModelTask Microsoft\Windows\UpdateOrchestrator\UpdateModelTask
USO_UxBroker Microsoft\Windows\UpdateOrchestrator\USO_UxBroker

2) Для блокирования нескольких основных папок накопления и слива диагностических данных — очистка и последующее отбирание прав записи с ЗАПРЕТОМ (имеет больший приоритет, чем отсутствие прав)

C:\ProgramData\Microsoft\Diagnosis\
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore\

3) Для запрета восстановления уже правильно настроенных параметров ГП / Реестра по путям

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Onedrive]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore]

После некоторого простоя машины некоторые ключи реестра, в указанных выше ветках, система возращает обратно, поэтому также необходимо блокирование.

Отбирание прав (в целом) — означает их перенастройку с добавлением своей учётки, прежде всего в качестве Владельца с полными правами, также добавление себя любимого в общий список, отключение Наследования с перенастройкой (пересозданием) существующих системных записей и установку прав только на Чтение. Причём, важно не удалять существующие системные записи, а оставлять им возможность прочитать ваши настройки, собственно, отключения тех или иных параметров.

Можно ещё добавить учётку «Все» с некоторыми запретами: «Задание значения», «Создание подраздела», «Удаление», «Запись DAC», «Смена владельца». Но не переусердствуйте с запретами: это важные для Windows ветки, если они не смогут хотя бы читаться — система станет неработоспособна, полетят все оснастки! Это не сильные блокировки, но хоть что-то.

————
Так вот ветка [HKLM\SYSTEM\Waas\Upfc] , в отличие от описанных выше, действительно заблокирована от изменения прав жесточайшим образом. Но цепочку воздействия на систему этого «ИНИЦИАТОРА» (как бы я его назвал) можно всё равно разорвать, по моим представлениям.

Всего записей: 239 | Зарегистр. 13-03-2006 | Отправлено: 08:18 16-12-2018 | Исправлено: ingviowarr, 11:43 19-12-2018

Us2002

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JordanM

Цитата:

Помогите изменить ветку реестра:

HKLM\SYSTEM\Waas\Upfc

дык это более высокий одминский тир, будь одмином сцм и рули ведомой станцией

Всего записей: 1737 | Зарегистр. 03-02-2005 | Отправлено: 08:22 16-12-2018

ingviowarr

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

Винда подключется к своим серверам ещё на стадии загрузки. Более того, она с лёгкостью обходит даже файервол Eset.

Именно поэтому в системе первым делом нужно устанавливать «dnscrypt-proxy». Он великолепен и не побоюсь этого слова — гениален. По моему мнению, именно с него начинается понятие «безопасность» для любого и каждого, кто подключается к Глобальной сети.

KLASS
Цитата:

давно известно, что в 10 должен быть отключен сетевой адаптер при загрузке и включаться он должен только после того, как спустя секунд 30 после входа в систему автоматом восстановлены правила пользователя.

А как быть с обновлениями сертификатов? Процесс LSASS ходит за этим добром быстрее, чем может загрузиться любой антивирус или фаэр. Ходит по порту 80 и очень быстро, проверить можно уже «по факту» загрузки ОС, отражается в Журнале. По крайней мере так было в Win8.1 Это единственный процесс «самохода» сетевых функций Windows, который я не блокировал и оставил на автоматическом подключении.

Всего записей: 239 | Зарегистр. 13-03-2006 | Отправлено: 08:29 16-12-2018 | Исправлено: ingviowarr, 08:37 16-12-2018

Us2002

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ingviowarr

Цитата:

А как быть с обновлениями сертификатов?

ну а что с ними случится если сеть будет выключена в биосе и включена уже после логона локального юзера

Всего записей: 1737 | Зарегистр. 03-02-2005 | Отправлено: 08:40 16-12-2018

LevT

Platinum Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

Так вот ветка [HKLM\SYSTEM\Waas\Upfc] , в отличие от описанных выше, действительно заблокирована от изменения прав жесточайшим образом.

А если внешним редактором править офлайн-реестр.
Пробовали?

Всего записей: 14788 | Зарегистр. 14-10-2001 | Отправлено: 09:03 16-12-2018

ingviowarr

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

если сеть будет выключена в биосе и включена уже после логона локального юзера

Не понимаю что значит » сеть будет выключена в биосе». А поповоду «после логона» — оно чекает быстро и, типа, «ага, сети нет — фиг с ней, обновим в следующий раз, при загрузке». А если такая загрузка всё время. или фаэром погашено или ещё чем. Т.е. заимеем устаревшие сертификаты и необновлённый список отозванных. Ненавижу эти серты как таковые (по сути — кот в мешке) и тех, кто их придумал, но такова реальность.

Цитата:

А если внешним редактором править офлайн-реестр.
Пробовали?

Нет, конечно. Хоть пока и не знаю как, но хорошо понимаю, что такие методы — это жесть.
Нужен более «быстрый» метод погасить эту гадость.

Всего записей: 239 | Зарегистр. 13-03-2006 | Отправлено: 09:07 16-12-2018

Us2002

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ingviowarr

Цитата:

заимеем устаревшие сертификаты

с чего это, если таймер поставить от последнего чека

Цитата:

Нужен более «быстрый» метод погасить эту гадость.

если он найдётся, то это дырища
https://www.microsoft.com/en-us/download/details.aspx?id=19188
возможно тут чтото будет описано

Всего записей: 1737 | Зарегистр. 03-02-2005 | Отправлено: 09:30 16-12-2018 | Исправлено: Us2002, 09:51 16-12-2018

ingviowarr

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если бы Upfc не вмешивался в реестр а был лишь «ИНИЦИАТОРОМ» запуска подсистемы сервисов обновления, его можно было бы даже активным оставить тихо скулить загнанным в угол, погасив «SecurityHealthService» — и службу, и UWP-интерфейс «SecHealthUI» (системное приложение). Оба могут быть отключены в рамках полного вырубания разветвлённой встроенной системы «безопасности» — всего того, что находится в разделе «Обновление и безопасность». Никакие старые и новые средства автоматизации не делают это корректно. Но найти всё нужное и аккуратно отключить мне удалось вручную. Это целый комплекс мер.

Так вот, с этим связан вопрос — «А как же обновления»? У меня есть идейка как это замутить одной кнопкой и чем это сделать. Но до проверки ещё не дошёл, очень много всего.

—————-
Есть такой насущный вопрос. Знает ли кто, какие службы / системные модули / ГП избирательно нужны для установки AppX оффлайн. Дело в том, что на тестовой системе я шёл к финалу отрубая по дороге всю подсистему UWP. И тут HP выложили «чудо» от Synaptics — драйвера Тач-Пада к ноуту HP. Чучело это склепали из 2-х частей: 1) сами -inf драйвера и 2) AppX приложение в качестве интерфейса настроек. И 1-е тесно завязано на 2-е. Это ж каким гением надо быть, чтоб драйвера на железо завязать на UWP!

Вот и думаю — либо оставить всё отрубленное UWP и предыдущий драйвер, либо отыскать минималистическую конфигурацию, позволяющую запускать установку и работу UWP в оффлайне. Однако, «опасная тенденция» нарисовуется. До этого инциндента свято верил в возможность пускать всё UWP лесом.

Всего записей: 239 | Зарегистр. 13-03-2006 | Отправлено: 09:33 16-12-2018 | Исправлено: ingviowarr, 09:37 16-12-2018

4r0

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ingviowarr
JordanM
1) Загрузиться с любого Windows LiveCD, в котором есть regedit (я использую LiveCD на базе Windows 7).
2) Запустить regedit, перейти в HKEY_LOCAL_MACHINE, «Файл — Загрузить куст. — указать путь к Windows\system32\config\system» — назначить ему какое-нибудь имя, открыть его, отредактировать, зaпpeтить пoльзoвaтeлю «Все» дocтyп к \Upfc нa зaдaниe знaчeния (я также запретил создание подраздела, удаление и смену владельца, убрал наследование разрешений и применил это также к дочерним объектам), потом выбрать этот загруженный куст, «Файл — Выгрузить куст. «, загрузиться в обычную винду.
Если хочется, можно заменить \System32\Upfc.exe на пустой файл, отключить наследование разрешений и выставить к нему полный запрет доступа пользователю «Все».

Всего записей: 640 | Зарегистр. 26-01-2010 | Отправлено: 10:47 16-12-2018 | Исправлено: 4r0, 12:59 17-12-2018

WAndrey

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

Есть такой насущный вопрос. Знает ли кто, какие службы / системные модули / ГП избирательно нужны для установки AppX оффлайн.

На 8.1 прокатывало так:

Код:

reg load HKLM\w81 «Mount\Windows\System32\config\SOFTWARE»
reg add HKLM\w81\Policies\Microsoft\Windows\Appx /v «AllowAllTrustedApps» /t REG_DWORD /d 0x00000001 /f
reg unload HKLM\w81

dism /Image:»Mount» /Add-ProvisionedAppxPackage /PackagePath:»bla-bla-bla» /DependencyPackagePath:»bla-bla-bla» /SkipLicense

reg load HKLM\w81 «Mount\Windows\System32\config\SOFTWARE»
reg delete HKLM\w81\Policies\Microsoft\Windows\Appx /v «AllowAllTrustedApps» /f
reg unload HKLM\w81

Сам пакет распакованный в виде .appx файлов. В /PackagePath и /DependencyPackagePath символы подстановки не катят, надо указывать полный путь. /DependencyPackagePath добавлять на каждую зависимость.
Попробуй.

Всего записей: 807 | Зарегистр. 20-01-2007 | Отправлено: 11:50 16-12-2018 | Исправлено: WAndrey, 11:51 16-12-2018

ingviowarr

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 4r0 Спасибо, попробую. Надо загрузочную флеху состртяпать.
Думаю, записью «Все» дело не обойдётся. «СИСТЕМА» и остальным еже с ней надо влепить запреты тоже. Иначе сценарий известен: следующее обновление может вернуть всё на место. Поэтому остальные — тоже под запрет. Перед изменением запомнить/записать кто там сидит и вернуть на место уже с запретами (плюс себя с правами). Как известно, после снятия Наследования список частично или полностью очищается, поэтому важно запомнить кто там был до правок. Ну, «Администраторы» можно не возвращать, если своя учётка ставится. Это я про ветку [HKLM\SYSTEM\Waas\Upfc] а не сам «upfc.exe».

WAndrey
Насколько это понял — попробовал. reg -команды в таком виде не работают. Так что, перед применением dism поставил в реестре AllowAllTrustedApps = 1 вручную в нужное место с перезагрузкой. (Кстати, у меня на Win10 в ветке пусто, а в Win8.1 есть три ключа с нулями).

Потом попробовал dism. Но пишет «Не удалось получить доступ к образу». Пути ставил полные.

Цитата:

/DependencyPackagePath добавлять на каждую зависимость

Можно уточнить? Зависимости эти — это то что валяется внутри пакета с appx? У меня там *.appx , *_License1.xml , *. provxml и *.txt

Я к /DependencyPackagePath добавил только *. provxml с полным путём.
А если файлов больше, их перечислять надо через пробел и тоже с полными путями, или как?
В общем, не совсем понял как пользоваться. И чё такая ошибка тоже.

Всего записей: 239 | Зарегистр. 13-03-2006 | Отправлено: 13:16 16-12-2018 | Исправлено: ingviowarr, 13:58 16-12-2018

JordanM

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я не знаю каким образом вам удалось отредактировать WaaS\Upfc через рекавери меню или через загрузочную флешку. Подсоединение куста всё равно не даёт прав на его редактирование. Мне удалось через Debian Live USB flash и с помощью пакета chntpw отредактировать файл SYSTEM изменив значение параметра «NextHealthCheck» на пустоту. Загружаю Windows и . эта дрянь уже при загрузке востановила стандартное значение параметра. Пошёл другим путём. Удалил полностью ключ WaaS. Загружаю Windows и . опять эта дрянь востановила уже весь ключ WaaS\Upfc. Просто жесть. Оно намертво где то прописано в ядре и востанавливается уже при загрузке. Так что проще всего удалить С:\Windows\System32\upfc.exe и не парить мозг. Они скоро так и телеметрию пропишут без возможности отключения. Да и любую другую функцию по шпионажу. Вот тогда будет весело. Самое смешное то, что билд 1809 наочный пример того что телеметрия собирается не с целью «улучшения качества продукта».

Всего записей: 13 | Зарегистр. 13-12-2018 | Отправлено: 14:33 16-12-2018 | Исправлено: JordanM, 14:50 16-12-2018

WAndrey

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ingviowarr
С реестром все работает, смотри внимательно свои пути и точки монтирования.
Само приложение это appxbundle, appx это зависимости для него, их может и не быть. По крайней мере на 8.1 так было.
Да, через пробел, каждый раз с /DependencyPackagePath и полным путем.

https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/preinstall-apps-using-dism

Всего записей: 807 | Зарегистр. 20-01-2007 | Отправлено: 16:15 16-12-2018

ingviowarr

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JordanM Спасибо за исследование, сэкономили кучу времени. Подтверждаю, удаление С:\Windows\System32\upfc.exe возможно после правки прав на файл прямо в живой системе. Достаточно смены Владельца на себя, переоткрытия вкладки «Безопасность» снова и внесения своей учётки в список с полными правами.

Остаются пару нюансов — последить как ОС будет с этим жить. Если знаете раздел Журнала, сообщите название, есть ли какая-то реакция на этот ход. Но думаю будет всё ОК, особенно с прибитыми службами, на которые upfc завязан. Это как раз то решение, которого ждали