🧬 Архитектура хаоса: почему WinSxS воскресает после DISM и как зачистить Component Store на уровне ядра NT
Вы запускаете привычное DISM /Cleanup-Image, радуетесь свободным гигабайтам, но через пару недель папка WinSxS снова раздувается, а SSD предательски хрустит. Если вы до сих пор считаете это просто сборником мусора, вы боретесь с симптомами, игнорируя архитектуру ядра NT. На дворе июнь 2026 года, и старые гайды больше не работают. Сегодня мы разберем, как чистят Component Store в корпоративном секторе, где ошибка стоит миллионы.
❗ ВЫ БУДЕТЕ ЗНАТЬ ГОРАЗДО БОЛЬШЕ, ЕСЛИ БУДЕТЕ ЧИТАТЬ ВНИМАТЕЛЬНО И ДО КОНЦА❗
🔧 Если вам близка тема глубокой настройки Windows и вы хотите понимать, как система работает изнутри — загляните на канал "Настройки Windows" 💡 Там мы разбираем неочевидные параметры реестра, скрытые службы и архитектуры, о которых молчит официальная документация.
ПОДПИШИТЕСЬ НА КАНАЛ - ЭТО БЕСПЛАТНО, ТАК ЖЕ КАК И ЛАЙКИ
⚠️ Дисклеймер и техника безопасности
Все описанное ниже — это вмешательство в низкоуровневую архитектуру Windows.
📌 Версии Windows у всех разные. То, что идеально работает на Windows 11 23H2, может вызвать критическую ошибку на 25H2 или специфичной 26H1 из-за изменений в механизмах CBS и привязки AI-компонентов к манифестам.
📌 Microsoft использует ML-алгоритмы для выявления аномалий в Component Store. Если телеметрия заподозрит ручное вмешательство в защищенные службы без подготовки, система может инициировать принудительный откат.
📌 100% гарантии не существует. Ключи реестра меняются в минорных патчах. То, что работало вчера, может сломаться после очередного KB-обновления.
📌 Имейте голову на плечах. Никогда не применяйте скрипты вслепую на рабочей машине. Сначала тестируем в виртуальной машине, создаем снапшот и проверяем логи.
📌 Бэкап — это религия. Перед выполнением команд уровня ядра вы обязаны сделать полный образ раздела и создать точку восстановления.
📌 Скрипты протестированы на PowerShell 7.6.1 LTS и классическом Windows PowerShell 5.1.
Если вы не понимаете, что делает takeown или чем отличается reg load от regedit — закройте эту вкладку. Мы переходим на темную сторону.
🛑 Разрушение мифа: почему ResetBase убивает ваш SSD
В большинстве гайдов вам советуют использовать флаг /ResetBase. Забудьте его, если вам дорог ресурс вашего накопителя.
Когда вы используете ResetBase, вы удаляете старые версии компонентов навсегда. Windows использует механизм Дельта-обновлений. Если у вас есть база и обновление, следующий патч скачает только разницу между ними. Если вы сносите базу, Windows Update теряет точку отсчета и начинает скачивать полные пакеты весом в несколько гигабайт. Вы выиграли место один раз, но убили ресурс SSD и ежемесячно перегреваете модем. Мы будем чистить без потери базы и возможности отката.
🧭 Карта сборок 2026 года: пойми, на чём ты сидишь
Прежде чем лезть в ядро, определите свою версию через команду winver.
📦 Сборка 28000.x (Windows 11 26H1) — только для новых устройств 2026 года. Hotpatching не поддерживается. Жесткая привязка AI-компонентов к манифестам. Ядерные методы могут сломать Copilot+ функции.
🔄 Сборка 26200.x (Windows 11 25H2) — активный Hotpatching. Требует специальной очистки кэша Baseline-образов.
🛡️ Сборка 26100.x (Windows 11 24H2 и LTSC 2024) — классический Hotpatching для Enterprise. VBS и HVCI включены по умолчанию на совместимом железе.
📜 Сборка 22631.x (Windows 11 23H2) — конец обновлений для Home и Pro. Только ESU-ветка для корпоративного сектора.
🪟 Windows 10 22H2 — фаза платных обновлений ESU. Классический cleanmgr может не предлагать очистку WinSxS, используйте метод Планировщика.
🧰 Уровень 1: Иллюзия очистки и призрачные гигабайты
Хак 1: Призрачные гигабайты и NTFS USN Journal
Вы удалили файлы из PendingDeletes, но проводник показывает, что место не освободилось. NTFS хранит метаданные об изменениях в журнале USN. Служба CBS держит транзакции открытыми, а Fast Boot не дает системе полностью сбросить их при выключении. Принудительный сброс журнала мгновенно освобождает зависшие кластеры.
fsutil usn deletejournal /d C: /n
Хак 2: Кэш Hotpatching в сборках 24H2 и 25H2
В версиях с поддержкой Hotpatching Microsoft хранит базовые образы в специфичных теневых ветках, которые стандартная очистка считает активными сессиями. Останавливаем службы и зачищаем кэш вручную.
Stop-Service -Name wuauserv, bits, cryptSvc, dosvc, WaaSMedicSvc -Force -ErrorAction SilentlyContinue
$hotpatchPaths = @("$env:SystemRoot\SoftwareDistribution\Download\Hotpatch", "$env:SystemRoot\SoftwareDistribution\DataStore")
foreach ($path in $hotpatchPaths) {
if (Test-Path $path) {
takeown /f $path /r /d y 2>$null
icacls $path /grant "Administrators:F" /t /c /q 2>$null
Get-ChildItem $path -Recurse -Force -ErrorAction SilentlyContinue | Remove-Item -Force -Recurse -ErrorAction SilentlyContinue
}
}
Start-Service -Name wuauserv, bits, cryptSvc, dosvc
🧬 Уровень 2: Инсайдерские хаки и обход защиты Редмонда
Хак 3: WaaSMedicSvc и гипервизорная защита
Служба WaaSMedicSvc работает как защищенный процесс и тайком восстанавливает удаленные вами пакеты из облака. Начиная с 24H2, Microsoft защищает эти ветки реестра на уровне гипервизора. Сначала проверяем статус VBS.
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard | Select-Object VirtualizationBasedSecurityStatus
Если VBS активен, временно отключаем его и перезагружаемся.
bcdedit /set hypervisorlaunchtype off
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 0 /f
shutdown /r /t 0
После перезагрузки выполняем хирургическую блокировку службы через захват прав ACL в реестре.
$regPath = "SYSTEM\CurrentControlSet\Services\WaaSMedicSvc"
$key = [Microsoft.Win32.Registry]::LocalMachine.OpenSubKey($regPath, [Microsoft.Win32.RegistryKeyPermissionCheck]::ReadWriteSubTree, [System.Security.AccessControl.RegistryRights]::ChangePermissions)
$acl = $key.GetAccessControl()
$rule = New-Object System.Security.AccessControl.RegistryAccessRule ("NT AUTHORITY\SYSTEM", "FullControl", "Deny")
$acl.AddAccessRule($rule)
$key.SetAccessControl($acl)
$key.Close()
sc.exe sdset WaaSMedicSvc "D:(D;;DCLCWPDTSD;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)"
Хак 4: Охота на сирот через sxstrace
Со временем в WinSxS накапливаются XML-манифесты, на которые больше нет хардлинков в System32. Запускаем трассировку, открываем и закрываем Панель управления, затем парсим лог.
sxstrace trace -logfile:C:\sxs_trace.etl
sxstrace parse -logfile:C:\sxs_trace.etl -outfile:C:\sxs_trace.txt
findstr /i "Orphaned Failed NotFound" C:\sxs_trace.txt > C:\orphaned_manifests.txt
☢️ Уровень 3: Ядерная физика, WinPE и золотой стандарт UUP Dump
Хак 5: Офлайн-хирургия COMPONENTS Hive
Если улей реестра COMPONENTS фрагментирован, ядро блокирует его редактирование на живой системе. Загружаемся с флешки WinPE, подключаем улей и удаляем битые ключи в ветке DerivedData.
reg load HKLM\OfflineCOMPONENTS C:\Windows\System32\config\COMPONENTS
reg unload HKLM\OfflineCOMPONENTS
Хак 6: UUP Dump — золотой стандарт 2026 года
Серверы Windows Update часто не могут корректно отдать нужные payload-файлы для лечения CBS в сборках 25H2. Профессионалы используют UUP Dump для генерации чистейшего install.wim напрямую с серверов Microsoft. Используем его для офлайн-лечения.
Dism /Online /Cleanup-Image /RestoreHealth /Source:WIM:C:\UUP\install.wim:1 /LimitAccess
🗜️ Уровень 4: Дополнительные резервуары экономии
Хак 7: Дедупликация NTFS
В Windows 11 Pro скрыта серверная роль дедупликации. WinSxS состоит из тысяч версий одних и тех же DLL, и дедупликация на уровне кластеров дает колоссальную экономию без нагрузки на процессор.
Install-Module -Name WindowsDeduplication -Force -Scope AllUsers
Enable-DedupVolume -Volume C:
Start-DedupJob -Volume C: -Type Optimization -Memory 50
Хак 8: NTFS-сжатие WinSxS
Идеальный баланс между скоростью и сжатием для слабых SSD.
compact /s:"C:\Windows\WinSxS" /c /i /a /exe:xpress16k
📊 Итоговая сводка методов 2026 года
🧹 Сброс USN Journal — экономия до 4 ГБ, низкий риск, работает везде, откат сохраняется.
🗑️ Очистка кэша Hotpatch — экономия до 6 ГБ, средний риск, только для 24H2/25H2 Enterprise, откат сохраняется.
🔒 Взлом ACL WaaSMedicSvc — экономия до 8 ГБ, высокий риск, требует отключения VBS, откат сохраняется.
🔍 Поиск сирот через sxstrace — экономия до 2 ГБ, средний риск, работает везде, откат сохраняется.
🏥 Офлайн-хирургия COMPONENTS — лечит коррупцию CBS, экстремальный риск, требует WinPE, откат сохраняется.
💿 UUP Dump и DISM — лечит коррупцию CBS, средний риск, работает везде, откат сохраняется.
🗜️ Дедупликация NTFS — экономия до 40% объема, средний риск, только для Pro/Enterprise, откат сохраняется.
❌ Флаг ResetBase — экономия до 15 ГБ, высокий риск, убивает дельта-обновления, откат НЕ сохраняется.
🧠 Финал: стратегия премиум-пользователя
Мы прошли путь от банальной очистки кэша до взлома ACL защищенных служб и использования UUP Dump. Вы научились видеть матрицу Windows такой, какая она есть: не как папки, а как базу данных транзакций, хардлинков и гипервизорной защиты.
Оптимальная стратегия на июнь 2026 года: определяем сборку, создаем бэкап, сбрасываем USN Journal, чистим Hotpatch-кэш, временно отключаем VBS для блокировки WaaSMedicSvc, проходимся DISM с локальным WIM-источником из UUP Dump и активируем сжатие.
👍 Если материал оказался полезным и вы узнали что-то новое — поставьте лайк, это помогает алгоритму показывать статью тем, кто действительно в ней нуждается 🔔 Подписывайтесь на канал "Настройки Windows", чтобы не пропустить следующие глубокие разборы архитектуры системы 🤝 Поделитесь этой статьёй с друзьями-сисадминами и коллегами — возможно, вы спасёте чей-то SSD от преждевременной смерти
#Windows11 #WinSxS #ComponentStore #DISM #PowerShell #СистемноеАдминистрирование #Windows25H2 #ОптимизацияWindows #UUPDump #ОчисткаДиска #РеестрWindows #WindowsLTSC #Hotpatching #VBS #HVCI #ИнсайдыMicrosoft #ITБлог #ТехноГайд #Windows10 #Скрипты
✴️ Дорогие друзья. Если статья оказалась полезна, одна СТЕЛЛА от вас = мощная реклама для сотен людей. Поддержите контент, чтобы проблемы и решения находились быстрее! ✴️
С уважением. Александр, канал "Настройки Windows" на Яндекс.Дзен