先说几个核心判断：如果你需要让Chrome永远停留在某个特定版本——比如114.0.5735.90——那就别指望浏览器设置里点几下能搞定。一旦更新，旧版插件、开发者工具行为、企业内网兼容性，随时可能出问题。必须从Windows系统底层彻底封死所有更新路径，一步都不能少。

以下是逐层封堵的完整方案，按阻断优先级从高到低排列，每一步都在切断更新链条的不同关键节点。

停止并禁用核心更新服务

先说系统底层。Chrome的自动更新由两个Windows服务驱动：gupdate负责检查新版，gupdatem负责执行安装。只要其中任何一个还在运行，它就可能在你关机前偷偷下载新版包。

操作其实很简单，但有个细节特别容易疏忽：
第一步：按 Win + R 输入 services.msc 回车，打开服务管理器。
第二步：在列表中找到 Google 更新服务 (gupdate)，双击打开属性窗口→点击“停止”→将“启动类型”设为“禁用”→点击“确定”。
第三步：同样操作处理 Google 更新服务 (gupdatem)，确保两项服务状态栏都显示“已停止”，启动类型为“禁用”。

必须提醒的是：如果只停服务不改启动类型，重启后它会自动复活。这一步漏掉，后面全白做。

禁用计划任务唤醒机制

服务被禁并不意味着万事大吉。Chrome还留了一手——通过Windows计划任务定时“唤醒”。GoogleUpdateTaskMachineCore每小时检查一次，GoogleUpdateTaskMachineUA则在用户登录时触发。这两项任务是服务失效后的备用唤醒通道，而且是默认启用的。

操作流程：
① 按 Win + R 输入 taskschd.msc 回车，打开任务计划程序。
② 左侧导航栏展开 任务计划程序库 → Google。
③ 找到 GoogleUpdateTaskMachineCore 和 GoogleUpdateTaskMachineUA，右键逐个选择“禁用”。
④ 禁用后，右侧“状态”列应显示“已禁用”，而非“准备就绪”或空白。

注意：这两个任务会在每次系统更新或Chrome重装时被自动重建。所以，封住这一步只是阶段性胜利。

切断Update文件夹写入权限

这一步才是真正的“关键防线”。更新程序必须往 C:\Program Files (x86)\Google\Update（32位）或 C:\Program Files\Google\Update（64位）里写临时文件、解压包和新版组件。拒绝写入权限，等于给更新流程卡死在“保存失败”这一步——它再怎么折腾也写不进去。

推荐两种做法，看你更喜欢哪种：

方法一（基础版）：右键Update文件夹→属性→安全→编辑→选中 Users 或你的账户名→勾选“拒绝”列下的“写入”和“修改”→点击“确定”。

方法二（更彻底）：在“安全”选项卡点击“高级”→点击“禁用继承”→弹出提示选“转换为可继承的权限”→再点击“删除”清除所有现有权限条目→最后添加你自己的账户并仅赋予“读取”权限。
【务必先禁用继承再删除，否则拒绝权限会被上级策略覆盖】

这个方法更干净，有点“把门焊死”的意思，但操作起来要仔细。

重命名Update文件夹

这是最轻量、最不可绕过的物理阻断方式。Google更新引擎硬编码了Update文件夹路径，一旦找不到这个名称，整个更新模块加载失败，连错误日志都不会生成。

打开文件资源管理器，进入 C:\Program Files (x86)\Google（或64位对应路径）→右键 Update 文件夹→选择“重命名”→改为 Update.disabled 或任意非标准名称（如Update_202606）。

这一步操作起来非常简单，直接把文件夹拖进去就行。改完后无需重启，立刻生效。

注意：重命名并不会删除任何现有更新文件，它只是让更新引擎找不到入口。万一以后需要恢复，改回原名即可。

屏蔽更新域名

最后一道防线是网络层。某些Chrome版本会在启动时直连 update.googleapis.com 发起HTTPS心跳检测，即使服务、任务、文件夹全被封死，这个请求仍可能暴露你的存在——有的企业内网会据此判断客户端是否“合规”。把它映射到黑洞地址，让DNS解析成功但连接必然超时。

操作方法：以管理员身份运行记事本→打开 C:\Windows\System32\drivers\etc\hosts→在文件末尾新增两行：
0.0.0.0 update.googleapis.com
0.0.0.0 tools.google.com

保存后，在管理员命令提示符中执行 ipconfig /flushdns 刷新本地DNS缓存。

这里有个小陷阱：如果系统已启用了DNS over HTTPS（DoH），hosts文件的生效可能会被部分绕过。这种情况下，建议在Chrome的chrome://flags中搜索“Virtual Barrier”或“DNS over HTTPS”并手动关闭。

整套流程走下来，Chrome的更新路径被彻底封死了。如果哪天你真的需要更新，反过来操作——恢复文件夹命名、重新给予写入权限、重启服务、清理hosts——就能回归正常更新模式。但话说回来，谁愿意没事折腾这些呢？一套方案搞定，之后能安稳用很久。