如何徹底禁止 macOS Monterey 自動更新，去除更新標記和通知

UART，全稱Universal Asynchronous Receiver Transmitter，通用非同步收發器，俗稱串口。作為最常用的通信介面之一，從8位單片機到64位SoC，一般都會提供UART介面。 ...

請訪問原文鏈接：如何徹底禁止 macOS Monterey 自動更新，去除更新標記和通知，查看最新版。原創作品，轉載請保留出處。

作者主頁：www.sysin.org

隨著 macOS Monterey 12.3 的發佈，macOS Monterey 的可靠性和性能已經大幅提升，下一個版本 11.4 筆者考慮直接屏蔽了。等到 12.5，Monterey 更新的使命基本完成了。是時候屏蔽自動更新了！

monterey-software-update

提示：

以下步驟不是完全必要，但是全部執行可以確保解決頑固性的更新通知角標出現。

本文針對 macOS Monterey，低版本或者更新版本有限適用。

如果是新安裝系統，暫時不要聯網，可以確保完美屏蔽更新。

1. 取消自動更新選項

請選取蘋果菜單  > “系統偏好設置”，然後點按 “軟體更新”。

取消勾選：“自動保持我的 Mac 運行最新版本”

參看：在 Mac 上更改 “軟體更新” 偏好設置

2. macOS Monterey 如何進行自動更新

路徑：檢測 > 通知 > 下載

檢測：進程 /System/Library/CoreServices/Software Update.app/Contents/Resources/softwareupdated 訪問 Apple 相關 URL 檢測軟體更新；

要訪問的功能變數名稱主要如下：
swdist.apple.com
swscan.apple.com
swcdn.apple.com
xp.apple.com
檢測：進程 /usr/libexec/mobileassetd 訪問 Apple 相關 URL 檢測軟體更新（該項為 Monterey 新增）；

要訪問的功能變數名稱主要如下：
gdmf.apple.com
xp.apple.com
通知：進程 /System/Library/PrivateFrameworks/SoftwareUpdate.framework/Versions/A/Resources/SoftwareUpdateNotificationManager.app/Contents/MacOS/SoftwareUpdateNotificationManager 負責通知，產生系統更新標記（小紅點）；
下載：進程 /usr/libexec/nsurlsessiond 主要負責下載軟體更新 (SYSIN)。

要訪問的功能變數名稱主要如下：
mesu.apple.com
updates.cdn-apple.com

註意：以上為筆者粗略分析，具體進程執行的功能僅供參考，但屏蔽方法是有效的。

所以要屏蔽自動更新和更新標記出現，解決方案如下：

檢測（屏蔽網路訪問） > 通知（取消執行許可權） > 下載（屏蔽網路訪問）。

3. 屏蔽網路訪問

3.1 編輯 hosts 文件，添加如下內容

手動編輯：打開終端，執行命令 sudo vi /etc/hosts，添加以下條目：

# Apple
## Mac Software Update
#/System/Library/CoreServices/Software Update.app/Contents/Resources/softwareupdated
127.0.0.1 swdist.apple.com
127.0.0.1 swscan.apple.com
127.0.0.1 swcdn.apple.com
#127.0.0.1 xp.apple.com
#/usr/libexec/mobileassetd
127.0.0.1 gdmf.apple.com
127.0.0.1 xp.apple.com
#/usr/libexec/nsurlsessiond
127.0.0.1 mesu.apple.com
127.0.0.1 updates.cdn-apple.com #download url

推薦使用 SwitchHosts!（免費軟體）。

一般到此步驟即可發生作用 (SYSIN)，自動更新已經被屏蔽（下文部分可以忽略^_）。

3.2 或者（或同時）使用防火牆軟體屏蔽

例如 Little Snitch，這是一個商業軟體。

新建規則 1：禁止 nsurlsessiond 出站訪問

Process Name：/usr/libexec/nsurlsessiond

Deny Outgoing Connections

To: Any Server
新建規則 2：禁止 mobileassetd 出站訪問

Process Name：/usr/libexec/mobileassetd

Deny Outgoing Connections

To: Any Serve
新建規則 3：禁止 softwareupdated 出站訪問

Process Name：/System/Library/CoreServices/Software Update.app/Contents/Resources/softwareupdated

Deny Outgoing Connections

To: Any Server

備註：

在 macOS Big Sur 進程為：/System/Library/PrivateFrameworks/MobileSoftwareUpdate.framework/Support/softwareupdated

在 macOS Catalina 進程為：/System/Library/CoreServices/Software Update.app/Contents/Resources/softwareupdated

但 softwareupdated 具體功能似乎有所差異。

4. 清除系統更新標記（紅點 1）

4.1 臨時清除系統更新標記

如果已經檢測到更新，可以使用如下方法臨時去除更新通知標記。

打開 “終端”，執行如下命令：

defaults write com.apple.systempreferences AttentionPrefBundleIDs 0
Killall Dock

經過測試在 Monterey 中進行 hosts 屏蔽後再次檢查軟體更新，會自動清除更新標記。

4.2 修改許可權

該步驟適用於 macOS Big Sur 和 macOS Monterey。

在 macOS Big Sur 相對於之前的版本，系統完整性保護進一步增強，無法在“恢復模式”下修改下述文件的許可權。操作略嫌複雜，步驟如下。

確保 FileVault 已經禁用（預設禁用），在 ” >> 系統偏好設置… >> 安全性和隱私 >> 文件保險箱” 查看確認。
進入恢復模式（啟動到 recoveryOS），打開終端執行如下命令：

參看：關於 macOS 恢復功能：重啟電腦，在黑屏的時候按住 command + R 進入恢復模式（可以按住 command + R 不放，直到 apple logo 畫面出現）即可進入恢復模式，然後點擊菜單欄，“實用工具 >> 終端”。
```
csrutil authenticated-root disable
csrutil disable
```
正常重啟到 macOS。
通過執行 mount 命令查找要掛載的設備（這裡定義為）：
```
$ mount
/dev/disk1s5s1 on / (apfs, sealed, local, read-only, journaled)
```
註意：這裡的 / 目錄的的設備名稱顯示 /dev/disk1s5s1，那麼應該掛載的設備名稱是 /dev/disk1s5，s1 表示 “Snapshot 1”（APFS 快照）：
創建一個新目錄用於掛載（這裡定義為）：

例如：~/mount
```
mkdir -p -m777 ~/mount
```

執行掛載：

sudo mount -o nobrowse -t apfs <DISK_PATH> <MOUNT_PATH>

例如使用上面的值：

sudo mount -o nobrowse -t apfs /dev/disk1s5 ~/mount

在下修改文件。

例如 (SYSIN)：

cd ~/mount
sudo chmod 644 System/Library/PrivateFrameworks/SoftwareUpdate.framework/Versions/A/Resources/SoftwareUpdateNotificationManager.app/Contents/MacOS/SoftwareUpdateNotificationManager

執行 sudo bless --folder <MOUNT_PATH>/System/Library/CoreServices --bootefi --create-snapshot。

註意：將修改為實際路徑如 ~/mount。

重啟系統生效。

在正常啟動系統後驗證。

ls -l /System/Library/PrivateFrameworks/SoftwareUpdate.framework/Versions/A/Resources/SoftwareUpdateNotificationManager.app/Contents/MacOS/SoftwareUpdateNotificationManager
-rw-r--r--  1 root  wheel  668960  2 26 15:05 /System/Library/PrivateFrameworks/SoftwareUpdate.framework/Versions/A/Resources/SoftwareUpdateNotificationManager.app/Contents/MacOS/SoftwareUpdateNotificationManager

此時，即使不做任何屏蔽操作，可以正常檢測軟體更新，但不會出現更新標記（紅點數字1）！

開啟 SIP

最後要恢復 “系統完整性保護”，進入恢復模式（啟動到 recoveryOS），打開終端執行如下命令：

參看：關於 macOS 恢復功能：重啟電腦，在黑屏的時候按住 command + R 進入恢復模式（可以按住 command + R 不放，直到 apple logo 畫面出現）即可進入恢復模式，然後點擊菜單欄，“實用工具 >> 終端”。
```
csrutil enable
```
註意不要執行 csrutil authenticated-root enable，否則許可權修改失效。

重啟完畢。

提示：在 macOS Catalina 中只需要在 recoveryOS 操作即可，步驟如下：

進入恢復模式（啟動到 recoveryOS）：

重啟電腦，在黑屏的時候按住 command + R 進入恢復模式（可以按住 command + R 不放，直到 apple logo 畫面出現）

參看：關於 macOS 恢復功能

打開 “終端”（Utilities (實用工具) -> Terminal（終端））：

# 切換到系統所在捲，預設名稱是 “Macintosh HD”
cd /Volumes/Macintosh\ HD
# 如果修改了名稱，假如系統捲名稱是 Mac
cd /Volumes/Mac

取消 SoftwareUpdateNotificationManager 可執行許可權（預設許可權位是 755）：

檢測系統更新時該進程一直在運行，即使屏蔽了網路訪問，仍然可能出現通知標記，所以修改它的可執行許可權來禁止它運行。
```
chmod 644 System/Library/PrivateFrameworks/SoftwareUpdate.framework/Versions/A/Resources/SoftwareUpdateNotificationManager.app/Contents/MacOS/SoftwareUpdateNotificationManager
```
退出終端，重啟電腦，操作完畢。

5. 如果需要更新

並不建議採用補丁加補丁的方式線上更新，雖然操作省事，容易導致系統卡頓，出現異常，甚至出現未知故障，可以使用完整軟體包升級或者全新安裝：

下載本站 macOS 鏡像，完整安裝：

macOS 下載彙總
 macOS Monterey 下載
或者取消上述第 3 條的屏蔽，訪問 App Store 下載 macOS 完整軟體包，下載後會自動保存在“應用程式”下麵，直接安裝即可。

6. 禁用 App Store 更新

6.1 取消 “自動更新”

App Store > 偏好設置…，取消勾選 “自動更新”（預設）。

6.2 清除更新標記（數字角標）

如果已經檢測到更新，App Store 圖標上出現紅點數字，打開終端執行如下命令可以清除：

defaults write com.apple.appstored.plist BadgeCount 0
Killall Dock

App Store 左側的更新條目通知也會清空。

6.3 禁用標記 App 圖標（禁用數字角標）

系統偏好設置… > 通知與專註模式，通知，選擇 “App Store” 取消勾選 “標記 App 圖標”（也可以完全關閉該項通知）。

參考：https://developer.apple.com/documentation/devicemanagement/appstore

6.4 可選步驟（僅供參考）

上述步驟已經可以禁用更新了，以下內容是非必要的，一般忽略即可。

但是如果檢測到了更新以下兩處任然會有提示（非 MAS App 不受影響）：

Apple logo 菜單下的 App Store… 會提示有 “x項更新” （可以重覆 “6.2 清除更新標記（數字角標）”）
打開 App Store 右側會提示可更新的 App 列表

禁用全局 App 更新通知

編輯 hosts 文件，添加如下內容：

手動編輯：打開終端，執行命令sudo vi /etc/hosts，添加以下條目：

127.0.0.1 gsp64-ssl.ls.apple.com

備註：以上地址為筆者實際檢測地址，因網路環境差異，地址可能有所差異，如果無效請反饋。使用防火牆屏蔽進程可以徹底解決該問題。

推薦使用 SwitchHosts!（免費軟體）。

或者（或同時）使用防火牆軟體屏蔽：

例如 Little Snitch，這是一個商業軟體。

新建規則 1：禁止下載更新相關的數據

Process Name：/usr/libexec/nsurlsessiond

Deny Outgoing Connections

App Store 更新 App 時可能需要訪問以下主機：

以下是 Apple 官方提供的列表，請根據需要屏蔽。

主機	埠	協議	OS	描述	支持代理
*.itunes.apple.com	443、80	TCP	iOS、Apple tvOS 和 macOS	商店內容，如 App、圖書和音樂	是
*.apps.apple.com	443	TCP	iOS、Apple tvOS 和 macOS	商店內容，如 App、圖書和音樂	是
*.mzstatic.com	443	TCP	iOS、Apple tvOS 和 macOS	商店內容，如 App、圖書和音樂	—
itunes.apple.com	443、80	TCP	iOS、Apple tvOS 和 macOS		是
ppq.apple.com	443	TCP	iOS、Apple tvOS 和 macOS	企業 App 驗證	—

禁用單個 App 更新通知

打開 Finder （訪達），瀏覽到側邊欄 Applications（應用程式），找到不需要更新的 App，點擊右鍵 “顯示包內容”，此時出現 Content 文件夾，展開該文件夾，可以看到下麵有個 _MASReceipt 文件夾，下麵有個 receipt 文件。將 receipt 文件內容清空或者直接將 _MASReceipt 文件夾刪除，即可禁用該 App 自動檢測 App Store 軟體更新（有限支持）。

在終端中執行的示例，這裡以微信（Wechat）為例：

清空 receipt 文件內容：echo '' > /Applications/WeChat.app/Contents/_MASReceipt/receipt
刪除 _MASReceipt 文件夾：rm -rf /Applications/WeChat.app/Contents/_MASReceipt/