Windows 11

Windows 11

Downloads

MSDN Windows 11 CO-21H2 (22000.194),2021-10-05

en-us_windows_11_business_editions_x64_dvd_3a304c08.iso
Size: 5.12 GB
MD5: 3D1247F0B9CF446326891318535E913F
SHA-256: 667BD113A4DEB717BC49251E7BDC9F09C2DB4577481DDFBCE376436BEB9D1D2F

zh-cn_windows_11_business_editions_x64_dvd_f5f6bcbd.iso
SHA-256: 81C007E119BB0CF0C58ABEA9D9578B4C09935F929E609FB3954AAB43BCB83269

测试 Windows 11 Enterprise 版可以正常 KMS 激活。

系统初始配置

将 CapsLock 键改为 Ctrl

参考这里

资源管理器设置

桌面回收站右键属性:选择 Don't move files to the Recycle Bin. Remove files immediately when deleted. 选中 Display delete confirmation dialog。

资源管理器 Options :

  • General - Open File Explorer to: 设为 This PC
  • View
    • 选择 Decrease space between items (compact view)
    • Hidden files and folders: Show hidden files, folders, and others
    • 取消选择 Hide extensions for known file types
    • 取消选择 Hide protected operation system files (Recommended)
    • 选择 Show encrypted or compressed NTFS files in color
    • 选择 Use check boxes to select items
    • 取消选择 Use Sharing Wizard (Recommended)

禁用 IPv6

control 控制面板 - Network interfaces, 选择所有有线和无线网卡,在属性设置里取消勾选 TCP/IPV6,确定。

Windows 的 IPv6 恶心的要死。如果局域网内能够从 DHCPV6 / SLAAC 获取的 IPv6 DNS,Windows 会优先默认使用 IPV6 的 DNS,导致各种网络问题。如果网站有 IPv4 / IPv6 双栈,Windows 也会优先使用 IPv6,同样导致各种问题。所以 IPv6 就是万恶之源。最彻底的解决方法是完全禁用 IPv6。

另一种 Workaround (未测试):(来源)

I found a solution, but it is far from ideal:

I disabled the DHCPv4 on my router and ran a DHCPv4/v6 server on my NAS. Now, there are two DHCPv6 server running, both with unfortunately the highest preference value (255), but since my NAS DHCP is providing a ULA address, DHCPv6 clients seems to prefer this one (as per 18.2.9. of RFC 8415).

另一种 Wrokaround:

网络配置里将 TCP/IPv6 的 DNS 设为 IPv4 的伪 IPv6 地址,如 ::ffff:114.114.114.114 (伪 IPv6 地址仅生效于终端设备自身 TCP/IP 协议栈,实际仍然通过网卡的 IPv4 三层协议通信)。但用户反映这种方法有一个很奇怪的问题,貌似 nslookup 不能正常使用这个设置,但是系统其他程序是正常(cmd 里直接使用 nslookup 解析域名,能看到确实在使用设置的这个 dns 了,但是无法正确返回结果,而如果把这个 dns 作为参数传给 nslookup 就正常了)。

卸载系统预装的垃圾软件

控制面板(control)或 settings 应用里卸载垃圾软件:

  • OneDrive (注:安装 Microsoft Office 2019 / 2021 时默认会把 OneDrive 装回来,需要再次卸载)

可选: 禁用 hibernate

powercfg -hibernate off

使用 powercfg -a 查看当前系统的电源状态,Hibernate 应该已被禁用。

控制面板 (control)

搜索 time, 打开桌面版的 clock, 将 Internet 时间同步服务器设为 "ntp.ntsc.ac.cn"

PowerShell

解除 PowerShell 运行脚本安全限制。在 PS (可能需要显式 run as administrator)里执行:

Set-ExecutionPolicy Bypass

系统组件

Settings - Optional features, 安装 / 启用 Wireless Display 和 OpenSSH Server。

开始菜单搜索 Windows features 打开 "Turn Windows features on or off",启用以下组件:

  • .NET Framework 3.5 (includes .NET 2.0 and 3.0)
  • Hyper-V
  • Telnet client
  • TFTP client
  • Windows Hypervisor Platform
  • Windows Sandbox
  • Windows subsystem for Linux

重启。

services.msc 里启动并将 OpenSSH SSH Server (sshd) 和 OpenSSH Authentication Agent (ssh-agent) 这2个服务启动类型设为 automatic。

驱动

测试对于某些 intel 核显 + AMD 显卡的双显笔记本,AMD独显的驱动不会自动安装。建议使用 AMD 的官方工具 自动安装对应驱动。

wsl

安装微软提供的这个更新包

cmd

wsl --list --online
wsl --install -d Ubuntu-20.04
ubuntu2004 config --default-user root
ubuntu2004

默认安装的是 WSL2 的 Linux。

装机必备软件

参考 Windows Softwares

Windows 11 优化指南

测试于 Windows 11 enterprise (en-US) 初始版本。使用本地账户(domain account)登录。

准备工作:

  1. 根据这里的步骤,彻底禁用 UAC。
  2. 安装 InstallTakeOwnership 这个注册表文件,用于在资源管理器右键任意系统文件或文件夹接管 NTFS 所有权。
  3. 下载并运行 SuperCMD 这个(绿色)软件。此工具用于以 SYSTEM 最高用户权限运行任意命令。以下所有步骤里运行的命令均在 SuperCMD 启动的 cmd 里执行。

禁用系统垃圾服务

services.msc, 禁用并停止以下垃圾服务:

  • Windows Error Reporting Service (WerSvc) : 应用程序无响应时会弹出 "Hang on while Windows reports the problem to Microsoft" 对话框,非常恶心。
  • Microsoft Edge Update Service (edgeupdate)
  • Program Compatibility Assistant Service (PcaSvc)。如果不禁用,运行某些程序时会弹出烦人的 compatibility 兼容性设置向导对话框,非常恶心。
  • AMD Crash Defender Service (如果使用 AMD 的 CPU 或显卡)
  • Web Threat Defense Service (webthreatdefsvc)
  • Web Threat Defense User Service_ffffff (webthreatdefusersvc_ffffff)
  • IP Helper (iphlpsvc) : 用于 6to4 等各种 IPV6 隧道技术,完全无用(整个 IPV6 都推荐禁用)。
  • Distributed Link Tracking Client (TrkWks) : 莫名其妙的服务(Maintains links between NTFS files within a computer or across computers in a network. WTF is it?)。

额外导入注册表:

DisableWindowsErrorReporting.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting]
"Disabled"=dword:00000001

组策略配置项优化

首先用 run as administrator 执行 PowerShell,执行 "Install-Module -Name PolicyFileEditor -RequiredVersion 3.0.0" 安装 PolicyFileEditor 这个模块以运行程序方式访问组策略。(详细参考

在 PowerShell 里执行命令修改若干组策略配置项:

禁用 Mark of the Web:

# User Configuration\Administrative Templates\Windows Components\Attachment Manager: Do not preserve zone information in file addachments
# 禁止 Windows 的 attachment  manager 自动为网上下载的文件写入 Zone.Identifier 的 NTFS ADS (alternate data stream) 。即所谓的 Mark-of-the-Web (MOTW)。这个是傻逼 Windows 最脑残的安全特性,导致所有网上下载的文件打开或运行时都会弹窗提示。傻逼微软脑子有坑设计这个东西。
Set-PolicyFileEntry -Path "$env:windir\system32\GroupPolicy\User\Registry.pol" -Key Software\Microsoft\Windows\CurrentVersion\Policies\Attachments -ValueName SaveZoneInformation -Data '1' -Type DWord

# 使上面的修改生效
gpupdate /Force

删除资源管理器里的各种 "Folders" 垃圾文件夹快捷方式

即资源管理器 "This PC" 下显示的一堆 "Desktop", "Pictures", "Documents" 等垃圾文件夹链接。

RemoveFoldersFromExplorer.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{B4BFCC3A-DB2C-424C-B029-7FE99A87C641}\PropertyBag]
"ThisPCPolicy"="Hide"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{f42ee2d3-909f-4907-8871-4c22fc0bf756}\PropertyBag]
"ThisPCPolicy"="Hide"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{7d83ee9b-2244-4e70-b1f5-5393042af1e4}\PropertyBag]
"ThisPCPolicy"="Hide"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{a0c69a99-21c8-4671-8703-7934162fcf1d}\PropertyBag]
"ThisPCPolicy"="Hide"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{0ddd015d-b06c-45d5-8c4c-f59713854639}\PropertyBag]
"ThisPCPolicy"="Hide"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{35286a68-3c57-41a1-bbb1-0eae73d76c95}\PropertyBag]
"ThisPCPolicy"="Hide"

删除 "Galley" 这个垃圾链接:

reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace_41040327\{e88865ea-0e1c-4e20-9aa6-edcd0212c87c} /f

资源管理器右键菜单优化

恢复旧版的资源管理器右键菜单: RestoreClassicStyleContextMenu.reg

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32]
@=""

删除右键菜单里的垃圾:右键菜单里的垃圾太多。建议使用 ContextMenuManager 这个 GUI 软件管理。

对于 AMD 核显 / 显卡的机器,资源管理器里有一个傻逼的 "AMD Software: Adrenalin Edition" 右键菜单,这个是通过 Shell extension 注册的,通常的右键菜单工具无法管理它。使用注册表移除其:

DisableAMDSoftwareContextMenu.reg

Windows Registry Editor Version 5.00

; remove "AMD Software: Adrenalin Edition" from right click context menu
; from https://community.amd.com/t5/drivers-software/remove-amd-software-from-right-click-context-menu/td-p/535537
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Blocked]
"{FDADFEE3-02D1-4E7C-A511-380F4C98D73B}"=""
"{6767B3BC-8FF7-11EC-B909-0242AC120002}"=""

注:可以在开始菜单搜索 AMD Software 打开 AMD 核显控制面板。但部分版本找不到,可以直接启动 %PROGRAMFILES%\AMD\CNext\CNext\RadeonSoftware.exe

部分特别的右键菜单需要特别处理

部分文本类型文件的 "Edit in Notepad" 右键菜单,用 ContextMenuManager 软件里找不到,使用注册表删除:

Remove_Edit_in_Notepad_context_menu_for_current_user.reg (需要重启 explorer.exe 使生效)

Windows Registry Editor Version 5.00

Created by: Shawn Brink
Created on: December 7, 2023
Tutorial: https://www.elevenforum.com/t/add-or-remove-edit-in-notepad-context-menu-in-windows-11.20485/

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Blocked]
"{CA6CC9F1-867A-481E-951E-A28C5E4F01EA}"=""

旧版删除 Context Menu 里垃圾注册表(不完整):

Remove_garbage_from_context_menu_for_all_users.reg

Windows Registry Editor Version 5.00

; Remove garbage from Windows Explorer Context Menu

; Share
[-HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\ModernSharing]

; Always Available Offline
[-HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\{474C98EE-CF3D-41f5-80E3-4AAB0AB04301}]

; Restore Previous Versions
[-HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\{596AB062-B4D2-4215-9F74-E9109B0A8153}]

; Give access to
[-HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]

禁用 Windows Defender / Security 等安全组件

去除运行 exe 等文件时安全警告

首先打开 Windows Security,App & browser control, Reputation-based protection settings, 关闭所有几个选项:

  • Check app and files
  • SmartScreen for Microsoft Edge
  • SmartScreen for Microsoft Store apps

导入以下几个 reg 注册表文件:

DisableIESecuritySettingsCheck.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
"DisableSecuritySettingsCheck"=dword:00000001
"DisableFixSecuritySettings"=dword:00000001  
"DisableSecuritySettings"=dword:00000001

disable_open_file_security_warning.reg

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Associations ]
"LowRiskFileTypes"=".avi;.bat;.cmd;.exe;.htm;.html;.lnk;.mpg;.mpeg;.mov;.mp3;.mp4;.mkv;.msi;.m3u;.rar;.reg;.txt;.vbs;.wav;.zip;.7z"

运行 inetcpl.cpl 打开 Internet 选项,在 "Security" 页面,依次点击"Internet", "Local intranet" 和 "Trusted sites" 三个 zone,对每个 zone,点击 Custom level,更改如下设置:

  • Misc - Launching applications and unsafe files: 设为 Enable
  • Misc - Launching programs and files in an IFRAME: 设为 Enable

点击 Local Intranet - Sites (维持下面的3个复选框默认勾选状态)- Advanced,向列表里增加以下项目:

  • *.*.*.*

这样做目的是禁用有时在 SAMBA 共享里移动远程共享里文件时出现的莫名其妙 "These Files Might Be Harmful to Your Computer" 弹窗提示。傻逼微软脑子有坑。

禁用 Windows Defender & Windows Security

首先在 Windows Security - Virus & Thread protection - settings 里关闭 "Tamper protection",重启

regedit,打开以下路径的 service 注册表路径

  • Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecurityHealthService (Windows Security Service)
  • Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc (Security Center)
  • Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend (Microsoft Defender Antivirus Service)
  • Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc (Microsoft Defender Antivirus Network Inspection Service)

将 Start 键值设为 4 (Disabled)。(服务启动类型说明:0 = Boot; 1 = System; 2 = Automatic; 3 = Manual; 4 = Disabled)

注意如果未关闭 tamper protection, Microsoft Defender 的两个服务无法修改注册表启动类型。

重启生效。

禁用 Windows Defender Firewall

直接在 Windows Defender Firewall - "Turn Windows Defender Firewall on or off" 里关闭防火墙即可。

不建议彻底禁用 Windows Defender Firewall (mpssvc) 服务。从 Windows 10 的后期版本开始傻逼微软将系统里很多网络功能特性都放到了 Defender Firewall 里,如果禁用了服务可能出现一些问题。

禁用垃圾定时任务

taskschd.msc 打开计划任务管理器,定位到以下位置:

  • Task Scheduler Library / Microsoft / Windows / Application Experiance / : 右键禁用(disable) 所有任务。
  • Task Scheduler Library / Microsoft / Windows / CloudExperianceHost / : 同上。
  • Task Scheduler Library / Microsoft / Windows / Customer Experience Improvement Program / : 同上。
  • Task Scheduler Library / Microsoft / Windows / Diagnosis / : 同上。
  • Task Scheduler Library / Microsoft / Windows / Windows Defender / : 同上。
  • Task Scheduler Library / Microsoft / Windows / Windows Error Reporting / : 同上。

禁用登录背景画面

与傻逼 Windows 10 相同,Windows 11 默认启动 / 锁屏后会显示一个全屏背景画面,必须按下任意键才进入输入密码界面。纯属傻逼设计。

DisableLockScreen.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization]
"NoLockScreen"=dword:00000001

禁止开始菜单搜索显示 bing 结果

gpedit.msc, Computer Configuration / Administrative Templates / Windows Components / Search /,修改以下设置项为:

  • Allow Cortana: Disable
  • Allow search and Cortana to use location : Disable
  • Do not allow web search : Enable
  • Don't search the web or display web results in Search : Enable

根据微软文档,应该可以修改注册表达到同样效果:

DisableStartMenuWebSearch.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
"AllowCortana"=dword:00000000
"AllowSearchToUseLocation"=dword:00000000
"DisableWebSearch"=dword:00000001
"ConnectedSearchUseWeb"=dword:00000001

但我测试改注册表无效,只能用组策略。

禁用 Windows Update 自动更新

使用 Windows Update Blocker v1.8 这个工具禁止 Windows 自动更新。

允许 RDP 保存密码 (Windows 11 22H2+)

Windows 11 新增的一个恶行特效(feature or bug?) Device Guard 禁止 rdp 使用保存的密码,每次都必须重新输入密码(提示 Can't use saved credential (Windows Defender Credential Guard does not allow using saved credentials))

解决方法

Windows11_22H2_allow_use_save_credentials.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard]
"EnableVirtualizationBasedSecurity"=dword:00000000
"RequirePlatformSecurityFeatures"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LsaCfgFlags"=dword:00000000

修改注册表后需要重启。

删除 Context Menu 里的垃圾

卸载 Windows 自带的 UWP

cmd / PowerShell:

# 卸载 Windows Widget (Win + W 触发的 Widgets 面板)
winget uninstall "Windows web experience pack"

移除用户登录尝试失败自动锁定账户

Windows 11 22528.1000+ 默认 10 次登录失败自动锁定账户 10分钟。非常恶心。暴露在公网上经常因为被 rdp 扫描导致正常用户也无法登录。

禁用方法:

gpedit, Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy : 将 Account lockout threshold 设为 "0 invalid logon attempts" (0 means Account will not lock out)

系统优化应用

Dism++

优化项:

Control Panel - System Optimizer:

  • Taskbar settings : Taskbar clock did display seconds
  • Microsoft Pinyin IME: Make IME default mode English

Last update: 2024-02-19 06:27:47 UTC