Я предполагаю, что он хочет скрыть отдельные ожидающие обновления. Это возможно с помощью
средства устранения неполадок WUS или одного из двух модулей PS, но только
после того, как ваша система получит данные обновлений. Вы не можете превентивно заблокировать заданную базу знаний из образа, так как нет данных, которыми можно было бы манипулировать, пока они не будут подготовлены путем сканирования обновлений.
На самом деле я не вижу особой пользы, кроме блокировки нежелательных одноразовых обновлений.
Большинство обновлений для накопительного пакета обновления или Defender/MSRT следуют циклу выпуска, поэтому список обновлений всегда является динамическим. Либо вы принимаете обновления, либо блокируете их. Если вы блокируете обновления, то нет необходимости скрывать то, что вас не волнует.
Обновления, не относящиеся к CU, обычно представляют собой одноразовые базы знаний для Intel MMIO или SecureBoot DBX, а также глупый инструмент очистки диска.