Windows 10

Windows 10

傻逼 Windows 10 是傻逼 Microsoft 有史以来最傻逼的傻逼 Windows 操作系统。

Tweaks

首先,推荐使用傻逼 Windows 10 LTSB 或 Enterprise 的 x64 en 版本。LTSB 版本是相对最好的版本,系统里带的垃圾较少,但是目前 LTSB 好像还无法用 KMS 激活。所以这里安装的是 Enterprise 版本。

严重不推荐任何其它版本:包括 Home版,Pro版,中国特别版等等。下面的一些 Tweak 对 Home / Pro 等版本无效。

要较为不受苦恼地使用傻逼 Windows 10,必须首先经过一番痛苦的设置过程。下面列出一些必备的 Windows 10 Tweak 优化技巧。

注意以下一些 tweak 使用 .reg 导入注册表方式,.reg 文件的编码必须是 ASCII 或 UCS2-LE BOM (带 BOM 的 UTF-16 BMP LE 字符集),不能是(包含非 ASCII 字符的)UTF-8!

最后,请注意以下很多 Tweak 项会严重降低系统安全防护级别,但我认为这是值得的,因为我坚信以下几条原则和理念:

  1. convenience over security,永远不应该为了"安全"而牺牲便利.
  2. (管理员)用户对自己的设备应该拥有完全的控制权(full control), 设备永远不应该自作主张地为了所谓"安全"而限制用户的权限. 用户知道自己在做什么, 举个例子,如果 root 用户在 Linux 终端下执行 rm -rf / 命令,那么设备在确认用户确实想执行这个命令以后,应该毫不犹豫地去执行它,即使设备"知道"这个命令会彻底损坏系统.
  3. 如果设备位于可信任的内网环境之内(比如位于启用了 NAT 和防火墙的家庭路由器之后),那么这个设备应该默认是相对安全的 - 没有任何来自外部网络的主动攻击可以穿透NAT(这里说的 NAT 指普通的端口 NAT (PNAT))。

在进行下面的优化之前,请确保你知道你自己在做什么 (make sure you know what you're doing);

禁用 UAC

首先弄这个,否则后面的每个 Tweak 都会弹 UAC 对话框。烦不胜烦。

打开系统 UAC 设置(开始菜单搜索 uac),将滑块拉到最下方,确认。

gpedit.msc 打开组策略,定位到 Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options,修改以下设置:

  • User Account Control: Run all administrators in Admin Approval Mode,设为 Disabled。

重启计算机以使更改生效。

找回资源管理器里 "Open command window here" 右键菜单

需要修改注册表

HKEY_CLASSES_ROOT\Directory\shell\PowerShell
HKEY_CLASSES_ROOT\Directory\Background\shell\cmd

在以上两个注册表文件夹,分别将 HideBasedOnVelocityId 键值 rename 为 ShowBasedOnVelocityId 即可。需要先在 Permissions 设置里更改 Owner 并修改权限 full control。修改立即生效。两个路径分别对应资源管理器右击文件夹和右击空白处的 context menu。(由于需要更改权限,无法使用导入 .reg 文件方式修改,傻逼微软!)

此方法只能找回右键菜单里的 "Open command window here",不能把那个傻逼的 "Open PowerShell window here" 菜单去掉!

找回传统风格音量设置面板

傻逼 Windows 10 默认的状态栏托盘音量设置面板极为傻逼,只有一个横条,连直接设置各程序单独音量都做不到。需要找回 Windows 7 风格的竖状音量设置面板。

Old volume applet.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\MTCUVC]
"EnableMtcUvc"=dword:00000000

需要重启资源管理器生效(任务管理器里结束 explorer.exe 进程然后重新创建之)

禁用登录背景画面

傻逼 Windows 10 默认启动 / 锁屏后会显示一个全屏背景画面,必须按下任意键才进入输入密码界面。纯属傻逼设计。

Disable_Lock_Screen.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization]
"NoLockScreen"=dword:00000001

禁用 Cortana,优化搜索

  • 禁用 Cortana
  • 禁止 Windows 搜索显示 Web 结果
  • 禁止 Windows 搜索使用地理位置信息

Disable_cortana.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
"AllowCortana"=dword:00000000
"DisableWebSearch"=dword:00000001
"AllowSearchToUseLocation"=dword:00000000

禁用 Windows Defender

彻底、完全禁用 Windows Defender(包括 Firewall 和 Antivirus)。

Disable_Windows_Defender.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecurityHealthService]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"EnableSmartScreen"=dword:00000000

重启后生效。

禁用 Windows Update

禁用服务

禁用 "Update Orchestrator Service" 和 "Windows Update" 服务

Disable_windows_update.bat (need admin privileges to execute)

sc stop wuauserv
sc stop UsoSvc
sc config wuauserv start = disabled
sc config UsoSvc start = disabled

也可以使用 UI 手工设置:services.msc 打开服务,将 "Update Orchestrator Service" 和 "Windows Update" 两个服务停止并设为禁用。

禁用计划任务

taskschd.msc 打开计划任务管理器,左侧树状导航里选择 Task Scheduler Library \ Microsoft \ Windows \ WindowsUpdate,将该文件夹里几个计划任务全部右键禁用。

修改注册表

Disable_Windows_10_auto_update.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000001

屏蔽更新服务器

修改路由器 dnsmasq 服务器配置文件或本地 hosts,推荐前者。

dnsmasq: /etc/dnsmasq.conf or /etc/dnsmasq.d/anyname.conf

address=/update.microsoft.com/0.0.0.0
address=/download.windowsupdate.com/0.0.0.0

hosts: (Linux: /etc/hosts, Windows: %systemroot%\system32\drivers\etc\hosts)

127.0.0.1 update.microsoft.com
127.0.0.1 download.windowsupdate.com

禁用间谍程序

傻逼 Windows 10 里集成了大量间谍程序,会上传本机数据到 Microsoft 服务器。

禁用 CompatTelRunner.exe

CompatTelRunner.exe (Windows Compatibility Telemetry) 是 Windows 10 里自带的间谍程序,每次开机会自启动然后上传数据到 Microsoft 服务器。

使用计划任务阻止其自运行:

taskschd.msc 打开计划任务管理器,左侧树状导航里选择 Task Scheduler Library \ Microsoft \ Windows \ Application Experience,将该文件夹里几个计划任务全部右键禁用。

禁用 "Customer Experience Improvement Program"

taskschd.msc 打开计划任务管理器,左侧树状导航里选择 Task Scheduler Library \ Microsoft \ Windows \ Customer Experience Improvement Program,将该文件夹里几个计划任务全部右键禁用。

禁用系统通知

打开 Settings => Notifications & actions 页面或通过 ms-settings:notifications 命令进入,

关闭所有通知项

解除 IE 安全限制

DisableIESecuritySettingsCheck.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
"DisableSecuritySettingsCheck"=dword:00000001

Last update: 2018-07-22 02:41:05 UTC