谷歌浏览器如何关闭自动升级到最新版本？

功能定位与版本演进

2026 年 Chrome 136 Stable 发布后，“如何关闭自动升级”再次成为热帖。Google 沿用六周一次大版本、两周一次安全补丁的节奏，后台静默推送。对企业内网、自动化测试、兼容性验证场景来说，强制更新可能打断脚本、破坏本地扩展或触发 License 审计。先弄清更新机制，才能在“安全”与“稳定”之间做可控取舍。

Chrome 的更新通道分 Stable、Beta、Dev 三类。关闭自动升级≠永久冻结，而是把“何时升”的决策权收回本地。下文方案覆盖 Windows 组策略、macOS plist、Linux repo pinning，并给出回退与审计方法，全部基于官方可复现配置，无第三方补丁。

Windows：组策略最彻底

前提检查

专业版/企业版/教育版已内置 gpedit.msc；家庭版需先安装第三方策略模板，操作相同但路径不可见，建议临时升至专业版后再操作。

步骤

1. 下载 Google Update ADMX，复制到 C:\Windows\PolicyDefinitions。
2. 运行 gpedit.msc → 计算机配置 → 管理模板 → Google → Google 更新 → 应用 → Google Chrome。
3. 双击「更新策略覆盖」，选「已启用」→ 选项下拉选「更新已禁用」→ 确定。
4. 同一节点下将「允许安装」设为「已禁用」，可阻止手动点击更新。
5. 命令行立即生效：gpupdate /force；重启 Chrome，地址栏输入 chrome://management 可见「更新已停用」。

回退方案

将策略改回「未配置」并再次 gpupdate，Chrome 会在下次后台任务检查时自动补齐差距版本，通常不超过 4 小时。

Windows：注册表备选

若无域控，可直接写注册表。新建 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update，DWORD 值 UpdateDefault=0 即全局禁用；如只关 Chrome，再建字符串 "{8A69D345-D564-463C-AFF1-A69D9E530F96}"=disabled。生效无需重启，打开 chrome://settings/help 若提示「由贵组织管理」即成功。

警告：直接改 HKLM 需管理员权限，且会被组策略再次覆盖；二者勿混用。

macOS：plist 锁定通道

创建配置文件

Google 官方提供 Mobile Configuration Profile，用任意文本编辑器新建 com.google.Chrome.mobileconfig，键值对：

<key>UpdatePolicy</key>
<integer>2</integer> <!-- 2=禁用 -->

下发与验证

• 单台测试：双击描述文件→系统设置→隐私与安全性→描述文件→安装；重启 Chrome，地址栏显示「已管理」。
• 企业级：通过 Jamf、Mosyle 或 Kandji 推送，作用域限定到设备群。

撤销

删除描述文件后，Chrome 会在下一次 keystone 守护进程唤醒时（约每 5 小时）恢复更新。如需立即验证，可手动执行：

sudo /Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Resources/GoogleSoftwareUpdateAgent.app/Contents/MacOS/GoogleSoftwareUpdateAgent -runMode oneshot

Linux：软件源钉住版本

APT 系（Debian/Ubuntu）

编辑 /etc/apt/preferences.d/chrome-pin：

Package: google-chrome-stable
Pin: version 136.*
Pin-Priority: 1001

优先级>1000 即禁止升级。保存后执行 sudo apt-mark hold google-chrome-stable 双重保险。

RPM 系（RHEL/Fedora）

在 /etc/dnf/dnf.conf 追加 exclude=google-chrome-*，或 sudo dnf versionlock add google-chrome-stable（需先安装 python3-dnf-plugin-versionlock）。

提示：Linux 无后台守护，更新依赖包管理器，钉住后只要 repo 不手动升级即可长期保持。

禁用更新服务/守护进程

Windows Google Update Service

即使组策略已禁用，服务仍可能残留。Win+R 输入 services.msc，找到「Google 更新服务 (gupdate)」「Google 更新服务 (gupdatem)」，启动类型设为「禁用」。若用 PowerShell 批量：

Stop-Service gupdate,gupdatem; Set-Service gupdate,gupdatem -StartupType Disabled

macOS Keystone

经验性观察：完全卸载 Keystone 可能导致其它 Google 产品（Drive File Stream、Earth）无法更新。折中方案是保留守护但配置 UpdatePolicy=2，既停 Chrome 更新又不破坏生态。

版本回退与离线安装

官方不提供旧版直链，但企业可在 Chrome Enterprise Bundle 下载对应平台 136 离线包。安装前务必关闭更新，否则首次启动即后台升级到最新。回退后建议备份用户数据目录（Win：%LOCALAPPDATA%\Google\Chrome\User Data；mac：~/Library/Application Support/Google/Chrome），防止 Profile 版本不兼容导致扩展被强制停用。

验证与观测方法

• 地址栏 chrome://version：查看「命令行」尾部是否存在 --disable-background-networking 或管理策略提示。
• 地址栏 chrome://management：若显示「更新已停用」即策略生效。
• Win 事件查看器：筛选来源 Google Update，无「0x0」成功代码即更新未执行。
• mac 控制台：搜索 Keystone，若日志出现 "Update disabled by policy" 即成功。

常见故障排查

现象	最可能原因	验证动作	处置
chrome://settings/help 仍显示「检查更新」且能下载	策略未刷新或优先级被域控覆盖	运行 rsop.msc 查看结果策略	把 Google Update 模板移到域控 Sysvol，提高优先级
mac 提示「无法验证更新服务器证书」	Keystone 被代理篡改	检查 /Library/Google/GoogleSoftwareUpdate 哈希	删除目录后重装官方 pkg 并立即加配置描述文件
Linux 执行 apt upgrade 仍要升级 Chrome	Pin 优先级不足或语法错误	apt policy google-chrome-stable	确认 Pin-Priority>1000，且版本号带通配符

适用/不适用场景清单

适用：1. 企业内网应用仅兼容特定 Chrome 内核；2. 自动化 UI 测试脚本锁定分辨率与 API；3. 教学机房需统一版本评分；4. 离线封闭产线工控机。

不适用：1. 面向公网的客服电脑，需最新安全补丁；2. 个人网银用户，0-day 修复窗口短；3. 使用 Manifest V4 的扩展必须 136+。

最佳实践决策表

1. 先评估业务是否「绝对锁定」——若仅「建议」固定版本，优先用测试通道+自动回归，而非全局禁用。
2. 禁用前导出扩展清单（chrome://system），确认 MV4 兼容，防止更新恢复后扩展被批量下线。
3. 每季度安排「安全窗口」手动升级，先在小范围灰度，再全域推送，确保漏洞修复可控。
4. 用端点检测（EDR）监控 chrome.exe 行为，即便版本冻结，也可通过 Safe Browsing 接口获得 URL 黑名单更新，降低风险。

FAQ（基于 FAQPage Schema）

收尾与行动建议

关闭 Chrome 自动升级并非“一键隐藏按钮”就能完成，而是需要理解平台差异、策略优先级与回退路径。对组织而言，把“更新开关”纳入配置基线，配合季度安全窗口，是兼顾合规与业务连续性的折中方案；对个人用户，如无特殊兼容性需求，建议保持默认更新，仅在测试环境临时禁用。

下一步：1. 在测试机按本文步骤实操一次，记录耗时与权限需求；2. 把策略文件纳入 Git，变更可追踪；3. 设置日历提醒，每季度评估是否继续冻结。如此，Chrome 版本节奏将真正为你所用，而非被动裹挟。