Editing Openai/6915b805-87ec-8007-88b5-6ddad7eb36fb (section)

=== Assistant: Jdu modul po modulu stejně „do hloubky“ jako u Tweaks A/B/C. ===
Jdu modul po modulu stejně „do hloubky“ jako u Tweaks A/B/C.
Zdroj vždy píšu u každé části:
* (kód) = přímo vyčteno z tvých .psm1
* (odhad) = logický závěr podle názvu služby/klíče, nevidím celé chování

==== ### ====

Zdroj: kód modulu MMCSS.psm1
* Modul pro ladění MMCSS profilů: - Games - Audio - DisplayPostProcessing
* Umožňuje: - měnit CPU affinity pro daný profil (na jakých jádrech běží) - měnit priority vláken: - BackgroundPriority - Priority (CPU thread prio) - GPU Priority
* Obsahuje i: - Get-CPUInfo, Show-CPUTopology, Convert-AffinityMaskToCoreList, Get-SmartAffinitySuggestion - detekce P-cores / E-cores u hybridních CPU (Intel) - návrh rozložení jader pro hry / audio.

===== Zdroj: kód =====

Tři hlavní cesty:

<syntaxhighlight lang="text">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Multimedia\SystemProfile\Tasks\Games
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Multimedia\SystemProfile\Tasks\Audio
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Multimedia\SystemProfile\Tasks\DisplayPostProcessing

</syntaxhighlight>

Klíče, se kterými pracuje:
* Affinity (DWORD) - bitová maska jader; modul ji umí přepočítat na seznam jader a zpět
* BackgroundPriority (DWORD)
* Priority (DWORD)
* 'GPU Priority' (string nebo DWORD – podle konkrétní hodnoty v registru)

Umí číst aktuální stav a interaktivně změnit:
* zobrazení typu: - „Afinita: 0x000000FF, GPU: 8, CPU: 6, Background: 3“
* návrh „smart“ affinities: - jen P-cores, nebo kombinace P/E, atd. (logika v Get-SmartAffinitySuggestion).

===== - Pro hráče, low-latency audio, streamery, kdo: - chce mít hry na P-corech, audio na vybraných jádrech, - ladí dropy / stutter / DPC latence. =====
* Pozitiva: - lepší konzistence frametimes (hry na pevném setu jader), - méně kolizí audio vláken s těžkými CPU tasky.
* Rizika: - špatně nastavená affinita (např. jen 1–2 jádra) může FPS zhoršit, - moc agresivní priority můžou „vyhladovět“ jiná vlákna.

===== Před použitím =====
* Get-CPUInfo + Show-CPUTopology → zmapuj: - počet fyzických jader, - P/E-cores (pokud máš hybridní Intel).
* Zazálohuj MMCSS klíče: - buď přes modul (pokud má vlastní backup), - nebo ručně: export tří větví Tasks\Games, Audio, DisplayPostProcessing.

Bezpečný start
* Začni jen s Games profilem: - nastav jen mírně vyšší Priority a GPU Priority, - affinita: všechny P-cores (neomezuj na 1–2 jádra).
* Nech Audio a DisplayPostProcessing zatím default.

Pokročilé ladění
* Audio: - vyšší Priority jen pokud řešíš audio dropouts.
* DisplayPostProcessing: - opatrně – špatně nastavené priority můžou dělat input lag nebo tearing.
* Když experimentuješ s affinitami: - vždy zapisuj, jaký mask/cores jsi nastavil, - testuj reálně (hra + monitoring – LatencyMon, RTSS).

Revert
* Použij funkci Restore-MMCSSDefaults (pokud chceš zpět OEM/default profil).
* Nebo vrať exportované .reg / backup z KRAKE-FIX (Utils/Recovery).

==== ### ====

Zdroj: kód MEBlock.psm1
* Modul pro blokaci Microsoft Edge ve 3 úrovních: - Light - Medium - Hardcore
* Dělá to kombinací: - Group Policy / registry pro Edge, - vypnutí služeb EdgeUpdate, - mazání plánovaných úloh Edge, - „DisallowRun“ politik, - firewall pravidel, - IFEO (Image File Execution Options), - Hardcore: ACL lock v registru (DENY i pro SYSTEM/TrustedInstaller).

: 

===== #### =====

Zdroj: kód

Cesta:

<syntaxhighlight lang="text">HKLM\SOFTWARE\Policies\Microsoft\Edge

</syntaxhighlight>

Nastavuje např. (zkrácený výčet – vše DWord):
* PersonalizationReportingEnabled = 0
* ShowRecommendationsEnabled = 0
* HideFirstRunExperience = 1
* UserFeedbackAllowed = 0
* ConfigureDoNotTrack = 1
* EdgeCollectionsEnabled = 0
* EdgeShoppingAssistantEnabled = 0
* ShowMicrosoftRewards = 0
* WebWidgetAllowed = 0
* DiagnosticData = 0
* BackgroundModeEnabled = 0
* StartupBoostEnabled = 0
* CryptoWalletEnabled = 0
* WalletDonationEnabled = 0
* EdgeAssetDeliveryServiceEnabled = 0

→ de facto max hardening + „debloat“ Edge funkcí.

====== Cesta: ======

<syntaxhighlight lang="text">HKLM\SOFTWARE\Policies\Microsoft\EdgeUpdate

</syntaxhighlight>

Minimum:
* UpdateDefault = 0
* InstallDefault = 0

→ zakáže automatické updaty Edge.

====== Zdroj: kód ======

Služby:
* edgeupdate
* edgeupdatem

Akce:
* Set-ItemProperty ...\Services\<svc>\Start = 4
* Stop-Service těchto služeb

→ úplné vypnutí update servisu Edge na úrovni služby.

====== Zdroj: kód ======
'' vyhledává úlohy \Microsoft\EdgeUpdate\'' a \MicrosoftEdge* (odhad dle textových stringů),
* zakazuje nebo maže je přes Get-ScheduledTask / Disable-ScheduledTask / Unregister-ScheduledTask.

→ žádné automatické spouštění Edge / EdgeUpdate přes plánovač.

====== Zdroj: kód ======

Cesty:

<syntaxhighlight lang="text">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

</syntaxhighlight>
* nastaví DisallowRun = 1.
* vloží seznam zakázaných EXE: - msedge.exe - msedgewebview2.exe - MicrosoftEdgeUpdate.exe

→ pokud se někdo pokusí spustit Edge, politika to blokne.

====== Zdroj: kód ======

Používá:

<syntaxhighlight lang="powershell">New-NetFirewallRule -DisplayName "KRAKE-FIX - Block Edge" <code>
    -Direction Outbound </code>
    -Program "%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" <code>
    -Action Block </code>
    -Profile Any

</syntaxhighlight>

→ blokuje odchozí spojení pro Edge i kdyby se nějak spustil.

====== Zdroj: kód ======

Cesta:

<syntaxhighlight lang="text">HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msedge.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msedgewebview2.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MicrosoftEdgeUpdate.exe

</syntaxhighlight>
* do těchto klíčů přidá např. Debugger (z kódu je vidět princip, detail konkrétní hodnoty je v kódu; nebudu hádat konkrétní string).
* Před zápisem validuje path prefix (obrana proti injection).

→ IFEO mechanizmus umožní:
* přesměrovat spouštění Edge na jiný proces,
* nebo totálně blokovat start.

====== Zdroj: kód ======
* Upozorňuje, že jde o jednorázový, extrémní krok.
* Vezme IFEO klíče a nastaví na ně ACL s DENY FullControl pro: - SYSTEM (SID S-1-5-18) - TrustedInstaller (specifický SID)

Používá .NET:

<syntaxhighlight lang="csharp">new RegistryAccessRule(
  systemSid,
  RegistryRights.FullControl,
  InheritanceFlags.ContainerInherit | ObjectInherit,
  PropagationFlags.None,
  AccessControlType.Deny)

</syntaxhighlight>

→ po tomhle:
* ani SYSTEM ani TrustedInstaller nemá právo s klíčem hnout,
* odstraňování Edge/IFEO/klíčů se stává velmi problematické (vyžadovalo by to offline nástroje / jiný OS / recovery).

===== Zdroj: kód =====
* Umí vrátit většinu změn: - GPO / policies, - služby, - plánované úlohy, - firewall, - IFEO klíče.
* ACL Lock u Hardcore varianty může být problematický i pro vlastní Undo, pokud se aplikoval DENY pro SYSTEM/TI – to je designově tvrdý lock.

===== - Poskytuje: - plný kill Edge (od „soft“ po „cementový“), - vhodné pro labové instalace, kiosk/locked-down prostředí, testování bez Edge. =====
* Rizika: - Edge se používá i pro WebView2 komponenty v jiných aplikacích → ty pak můžou přestat fungovat. - Hardcore ACL Lock může být těžko reverzibilní i pro admina. - DisallowRun/IFEO kombinace může rozbít některé Windows features a nastavení.

===== Před =====
* Rozhodni, zda vůbec potřebuješ Edge blokovat (např. enterprise policy vs osobní lab).
'' Záloha: - System state / restore point, - export HKLM\SOFTWARE\Policies\Microsoft\Edge'', - export IFEO větve pro msedge.exe*.
* Ověř, že nemáš kritické appky závislé na WebView2 (banking app, některé ovladačové UI).

Doporučené použití
* Pokud už – začni variantou <code>Light</code>: - policies, update, služby, tasks – reverzibilní.
* Medium: - použij jen pokud Edge opravdu nechceš používat vůbec, - ale nechceš se pouštět do ACL locku.
* Hardcore: - jen na jednoúčelové stroje / VM, které můžeš kdykoli přestavět, - nikdy ne na produkční/rodinný PC.

Revert / Monitoring
'' Po aplikaci zkontroluj: - Get-NetFirewallRule "KRAKE-FIX - Block Edge", - služby edgeupdate'', - IFEO klíče.
* Při problémech nejdřív pusť Invoke-EdgeUnlock.
* Pokud jsi dal Hardcore ACL Lock a undo nefunguje → připrav se na offline/WinPE zásah do registru.

==== ### ====

Zdroj: kód Security.psm1
* Modul s funkcí Invoke-SecurityTweaks, která má kategorie:

<syntaxhighlight lang="text">'MitigationsCPU', 'WinUpdateServices', 'WinUpdateDrivers',
'VBS', 'Integrity', 'LSA', 'TSX',
'DefenderRT', 'DefenderBlock', 
'FullAdmin', 'OtherServices', 'TelemetryServices',
'TimerResolution', 'All'

</syntaxhighlight>
* Menu Show-SecurityHazardMenu: - vyžaduje heslo extreme, - každý krok má vlastní PIN potvrzení.
* Explicitně označené jako RISKY / snižuje bezpečnost.

Níže jen hlavní a konkrétní technické body.

===== Zdroj: kód =====

Cesta:

<syntaxhighlight lang="text">HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

</syntaxhighlight>

Operace (běží jako SYSTEM přes Invoke-WithPrivilege):
* Remove-ItemProperty ... "FeatureSettings"
* Set-ItemProperty ... "FeatureSettingsOverride" = 3 (DWORD)
* Set-ItemProperty ... "FeatureSettingsOverrideMask" = 3 (DWORD)
* Apply: zapne override → vypne část CPU mitigací kvůli výkonu.
'' Bez -Apply: key FeatureSettingsOverride'' smaže → obnoví default chování OS (mitigace podle MS policy).

Dopad:
* Snížení dopadu Spectre/Meltdown mitigací na výkon, ale: - otevření CPU na potenciální útoky (side-channel / speculative execution).

===== Zdroj: kód =====

Služby v poli $services:

<syntaxhighlight lang="text">wuauserv, BITS, UsoSvc, WaaSMedicSvc, DoSvc

</syntaxhighlight>
* Apply: - Start = 4 (Disabled), - Stop-Service pro každou.
* Revert: - Start pro: - wuauserv → 2 (Automatic) - BITS → 2 - UsoSvc → 2 - WaaSMedicSvc → 3 - DoSvc → 2 - Start-Service tam, kde dává smysl.

Dopad:
* Hard stop Windows Update (v kombinaci s dalšími moduly může jít o velmi agresivní disable).

===== Zdroj: kód =====

Cesty:

<syntaxhighlight lang="text">HKLM\SOFTWARE\Policies\Microsoft\Windows\Device Metadata
HKLM\SOFTWARE\Policies\Microsoft\Windows\DriverSearching
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

</syntaxhighlight>

Typické hodnoty:
* PreventDeviceMetadataFromNetwork = 1
* DontSearchWindowsUpdate = 1
* DontPromptForWindowsUpdate = 1
* DriverUpdateWizardWuSearchEnabled = 0
* ExcludeWUDriversInQualityUpdate = 1

→ zákaz nabízení driverů přes Windows Update.

===== Zdroj: kód =====
* Pracuje s:

<syntaxhighlight lang="text">HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard

</syntaxhighlight>

(čtení/zápis EnableVirtualizationBasedSecurity a příbuzných hodnot – v kódu přímo tento název vidím, přesný set hodnot je v modulu, nechci dokreslovat.)
* Používá bcdedit: - bcdedit /set hypervisorlaunchtype off (Apply) - bcdedit /set hypervisorlaunchtype auto (Revert) - bcdedit /deletevalue vm (při revertu, pokud existuje)

Dopad:
* Vypnutí VBS (Credential Guard a spol.) → více výkonu, méně bezpečnosti.
* V kombinaci s HVCI / LSA zásahy už jde o heavy-hardening in reverse.

===== Zdroj: kód =====
* Kontrola Confirm-SecureBootUEFI: - pokud Secure Boot zapnutý → varování, že je třeba ho vypnout, aby se Memory Integrity dalo vypnout.
* Test bcdedit /enum {current} pro nointegritychecks.
* Registry:

<syntaxhighlight lang="text">HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard
HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity

</syntaxhighlight>
* nastavuje: - Enabled = 0 (Apply) → vypnutí HVCI - revert → Enabled = 1 nebo odstranění hodnot (podle implementace v kódu).

Dopad:
* Memory Integrity (GUI „Core isolation / Memory Integrity“) se vypne / zapne.
* nointegritychecks v BCD rozhoduje, jestli OS vynucuje integritu ovladačů → v kombinaci s tímhle lze spustit unsigned/špinavé ovladače → velké bezpečnostní riziko.

===== Zdroj: kód =====

Pracuje s:

<syntaxhighlight lang="text">HKLM\SYSTEM\CurrentControlSet\Control\Lsa

</syntaxhighlight>

Hodnota:
* LsaCfgFlags: - 0 → LSA Protection OFF - 1 → LSA Protection ON

Apply v tomto modulu = „vypnout ochranu“ (z kontextu: „Vypínám LSA ochranu… LsaCfgFlags=0“).

Dopad:
* LSA Protection OFF: - LSASS je snáz dumpnutelný, - credential theft útoky (Mimikatz, apod.) se stávají triviálnějšími.

===== Zdroj: kód =====
* Zmiňuje TSX v popisu kategorií; v kódu upravuje TSX nastavení přes registry/bcdedit (typicky BCD tsx / registry pro CPU features; přesný key je v modulu, ale nepíšu ho, abych nevymýšlel).

Dopad:
* TSX bývá bezpečnostně problematický (TSX Asynchronous Abort); OS ho někdy defaultně vypíná.
* Modul umožňuje TSX znovu povolit kvůli výkonu → za cenu potenciálních attack surfaces.

===== Zdroj: kód =====

Používá:

<syntaxhighlight lang="text">HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Scan

</syntaxhighlight>

Hodnoty:
* DisableAntiSpyware
* DisableRealtimeMonitoring
* DisableBehaviorMonitoring
* DisableOnAccessProtection
* DisableIOAVProtection
'' další Disable'' klíče pod Scan a Real-Time Protection.

→ v různých profilech:
* DefenderRT – vypnutí reálné ochrany (RT),
* DefenderBlock – ještě agresivnější blokace Defenderu + souvisejících služeb.

Dopad:
* Anti-malware ochrana OS je silně oslabená nebo vypnutá.

===== Zdroj: kód =====
* Část dělá skrz services: - DiagTrack, dmwappushservice, WdiServiceHost, WdiSystemHost, wisvc, lfsvc, MapsBroker, TroubleshootingSvc, …
* Další část přes Invoke-HostsTelemetryBlock (viz níže).

Některé služby přepíná na:
* Start = 4 (Disabled),
* revertuje zpět na OEM/Default (2/3 podle typu služby).

===== Timer Resolution =====

Zdroj: kód
* Get-LiveTimerResolution: - čte NtQueryTimerResolution přes P/Invoke.
* Show-TimerResolutionMenu: - umožní nastavit např. 0.5 ms timer resolution (klasický tweak pro latenci).
* Čistě runtime, ne registry; riziko: - mírně vyšší CPU load, výhoda pro latency-critical (gaming/audio).

HostsTelemetry

Zdroj: funkce <code>Invoke-HostsTelemetryBlock</code>, <code>Invoke-HostsTelemetryRestore</code>
* Cíl: hosts soubor:

<syntaxhighlight lang="text">%SystemRoot%\System32\drivers\etc\hosts

</syntaxhighlight>
* Přidá ~40 MS domén na 127.0.0.1 (telemetrie, telemetry.ingest, event, atd. – seznam je v kódu).
* Vytvoří firewall rule pro blokaci telemetrických IP.
* Restore smaže příslušné řádky + firewall pravidlo.

Dopad:
* Výrazné omezení telemetrie, ale: - může rozbít některé WU/Store funkce, - AV to může hlásit jako podezřelé chování.

===== Před =====
* Jasně si definuj cíl: - potřebuješ víc FPS, nebo jen „mám pocit, že by to mohlo pomoct“?
* Měj plný backup: - image, - export relevantních větví (Memory Management, DeviceGuard, Lsa, Defender, Services).
* Ověř, že máš funkční Revert/Recovery modul (RevertHazard.psm1).

Relativně méně nebezpečné kategorie (ale pořád opatrně)
* TimerResolution – experimentuj, ale sleduj overall CPU load.
* WinUpdateDrivers – pokud ovladače řešíš ručně.
* TelemetryServices / HostsTelemetryBlock – jen pokud víš, že nepotřebuješ WU/Store „na 100 %“.

Vysoce rizikové kategorie
* MitigationsCPU, VBS, Integrity, LSA, TSX, DefenderRT, DefenderBlock, FullAdmin: - používej pouze na lab/test strojích, - nikdy ne na stroji s citlivými daty / produkčním AD klientem.
* Po použití: - MSINFO32 → ověř VBS, Hyper-V, Device Guard stav, - coreinfo.exe (Sysinternals) pro TSX, - PowerShell Get-MpComputerStatus pro Defender.

Revert
* Vždy testuj také revert-branch: - zavolat Invoke-SecurityTweaks bez -Apply pro danou kategorii, - nebo použít příslušnou funkci z RevertHazard.psm1 (pokud existuje kategorie mapování).
* Po revertu i tak ověř: - BCD (bcdedit /enum {current}), - DeviceGuard/HVCI stav v MSINFO32.

==== ### ====

Zdroj: kód Updates.psm1
* Menu Show-WindowsUpdateMenu s volbami: 1. Security Updates (doporučeno) 2. Vypnout jen služby (rizikové) 3. Vypnout jen ovladače (rizikové) 4. Vypnout Windows Update úplně (extrémní) 5. Obnovit výchozí nastavení 6. Repair & Reset (oprava Windows Update)
* Vnitřně používá funkce Invoke-WPFUpdatessecurity, Invoke-WPFUpdatesdisableServices, Invoke-WPFUpdatesdisableDrivers, Invoke-WPFUpdatesdisable, Invoke-WPFUpdatesdefault, Invoke-WPFFixesUpdate, Invoke-WPFSystemRepair.

===== Zdroj: kód <code>Invoke-WPFUpdatessecurity</code> =====

Dělá hlavně:
# Zakáže drivery přes WU Cesty: ``<code>text HKLM\SOFTWARE\Policies\Microsoft\Windows\Device Metadata HKLM\SOFTWARE\Policies\Microsoft\Windows\DriverSearching HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate </code>`<code> Hodnoty: - PreventDeviceMetadataFromNetwork = 1 - DontSearchWindowsUpdate = 1 - DontPromptForWindowsUpdate = 1 - DriverUpdateWizardWuSearchEnabled = 0 - ExcludeWUDriversInQualityUpdate = 1
# Zakáže automatický restart po update - používá podklíč: </code>`<code>text HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU </code>`<code> - nastavuje hodnoty typu NoAutoRebootWithLoggedOnUsers apod. (konkrétní jména jsou v kódu – nebudu hádat ty, které přímo nevidím).
# Deferral periods - DeferFeatureUpdatesPeriodInDays = 365 - DeferQualityUpdatesPeriodInDays = 4

→ dostaneš:
* jen security updates, feature updaty hodně odsunuté,
* ovladače nejdou automaticky přes WU,
* méně rušivých restartů.

===== Zdroj: kód </code>Invoke-WPFUpdatesdisableServices<code> =====
* Vypíná služby:

<syntaxhighlight lang="text">wuauserv, BITS, UsoSvc, WaaSMedicSvc, DoSvc

</syntaxhighlight>
* Start = 4, Stop-Service.
* Nemanipuluje s registr. politikami pro ovladače, ani s DLL, WU soubory.

→ WU se neprovádí, ale:
* registry a WU DLL/komponenty zůstávají → repair je snazší.

===== Zdroj: kód </code>Invoke-WPFUpdatesdisableDrivers<code> =====
* Stejné/velmi podobné registry jako WinUpdateDrivers v Security:

<syntaxhighlight lang="text">HKLM\SOFTWARE\Policies\Microsoft\Windows\Device Metadata
HKLM\SOFTWARE\Policies\Microsoft\Windows\DriverSearching
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

</syntaxhighlight>
* Služby WU nechává běžet: - wuauserv, BITS, UsoSvc, WaaSMedicSvc, DoSvc → ON.

→ Security updaty dál chodí, ale drivery ne.

===== Zdroj: kód </code>Invoke-WPFUpdatesdisable<code> =====
* V popisu: „UPLNĚ vypne: Služby + Ovladače + DLLs + Cache + Tasks“

Konkrétně:
* služby jako ve [2] → Disabled + Stop,
* registry pro drivery → viz [3],
* maže / resetuje: - WU cache: </code>`<code>text %windir%\SoftwareDistribution %windir%\System32\catroot2 </code>`<code> (z kódu jsou stringy „SoftwareDistribution“ atd.) - WU plánované úlohy (UpdateOrchestrator, atd. – název úloh je v kódu). - další WU-komponenty (DLL rejstrace / wuauserv binding – konkrétní operace jsou v modulu, nebudu doplňovat, co přímo nevidím).

→ výsledkem je těžce rozbitý WU stack, záměrně.

===== Zdroj: kód </code>Invoke-WPFUpdatesdefault<code> =====
* Vrací: - služby WU do default Start, - registry politik (Device Metadata / DriverSearching / WindowsUpdate) do default stavu (smaže/změní hodnoty), - znovu registruje komponenty / resetuje WU nastavení.

Cílem je „co nejblíž factory default“ pro WU.

===== Zdroj: kód </code>Invoke-WPFFixesUpdate<code> + </code>Invoke-WPFSystemRepair` =====

Obsahuje několik kroků:
* zastavení WU služeb,
* mazání WU cache složek,
* opětovné spuštění služeb,
* volání: - sfc /scannow - dism /online /cleanup-image /restorehealth - chkdsk (případně s parametry – v modulu jsou konkrétní přepínače).

→ plná WU repair rutina, kterou bys jinak dělal ručně.

===== Před =====
* Rozhodni se, jak konzervativní chceš být: - běžný home PC → spíš [1] Security Updates, - lab/offline → eventuálně [2]/[3], ale [4] jen výjimečně.
* Nastav si monitoring: - Get-WindowsUpdateLog nebo event logy (Microsoft-Windows-WindowsUpdateClient).
'' Záloha: - export HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate'', - HKLM\SOFTWARE\Policies\Microsoft\Windows\DriverSearching*.

Doporučený scénář (herní / advanced user)
* Použít volbu [1] Security Updates: - drivery řešit ručně (Vendor/NVIDIA/AMD/Intel), - feature updaty odsunout.
* Pokud tě WU ruší, ale chceš security: - [3] „jen ovladače“ → dobrý kompromis (services ON, ovladače OFF).

Scénáře, kdy být extrémně opatrný
* [2] „jen služby“: - vypne WU úplně, ale nechá registry → update se neděje = žádné patche.
* [4] „EXTREMNÍ“: - používej jen pro lab snapshot, kde ti nevadí, že WU pak ani Repair nemusí 100% zachránit, - ideálně ve VM → revert snapshot.

Revert & Repair
* Pokud něco přestane fungovat: - nejdřív [5] „Obnovit výchozí nastavení“, - pak [6] „Repair & Reset“.
* Po repair: - Get-Service wuauserv,BITS,UsoSvc,WaaSMedicSvc,DoSvc, - zkus manual Settings → Windows Update → Check for updates.

Pokud chceš, můžeme příště vzít konkrétní scénář (např. „herní PC, 1 uživatel, žádný AD, žádná compliance“) a z těchto čtyř modulů složit konkrétní recommended playbook typu:
* co povolit z MMCSS,
* jak nastavit Updates,
* co rozhodně z Security/MEBlock nechat být.