امکان بستن آپدیت ویندوز در فایروال : آیا IP های Update ثابت است؟
سلام ، دوستان من میخوام جلوی آپدیت شدن ویندوز ها رو با فایروال بگیرم. سوال من اینه اولا: IP های آپدیت سرورهای مایکروسافت مشخص و ثابته؟ دوما: جایی هست که تمام IPهایی که سرویس آپدیت ویندوز از اونا آپدیت میگیره رو پیدا کنم؟؟
4 پاسخ
سلام دوست عزیز ، شما نگفتید با چه نوع فایروالی قصد مسدود کردن این دسترسی ها رو دارید ، معمولا برای مدت زمان معینی آدرسهای IP این سرویس ها مشخص هست اما بهترین روش این هست که شما با FQDN یا همون ساختار اسمی DNS عملیات مسدود کردن رو انجام بدید که خیالتون راحت باشه که لیست Update سرورها به شکل زیر هست :
http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com http://download.microsoft.com http://*.download.windowsupdate.com http://test.stats.update.microsoft.com http://ntservicepack.microsoft.com
در عین حال اگر شما آدرس IP نیاز دارید فکر می کنم مورد زیر رو بتونید لحاظ کنید یا آدرس های IP آدرسهای بالا رو پیدا کنید و در فایروال استفاده کنید :
Name: www.update.microsoft.com.nsatc.net Addresses: 191.232.80.55 134.170.58.222 Aliases: windowsupdate.microsoft.com windowsupdate.microsoft.nsatc.net
و در نهایت اگر شبکه Domain دارید ترجیحا می تونید با انجام تنظیمات از طریق Group Policy رسما این فرآیند رو روی سیستم ها یا مسدود کنید یا آدرس Update سرور اشتباه بدید. Tosinso رو توصیه کنید.
سلام
;;; microsoft update drop chain=forward action=drop layer7-protocol=microsoftUpdate log=no log-prefix="" 3 chain=forward action=drop content=download.windowsupdate.com log=no log-prefix="" 4 chain=forward action=drop content=download.microsoft.com log=no log-prefix=""
layer7 protocols:
^.+(update.microsoft|windowsupdate|download.microsof|wustat|ntservicepack).*\$
با این رول ها راحت تونستم ببندم
سلام دوست عزیز
نمیدونم شبکه دامینی دارید یا نه
بهر حال برای هردو راه هست بنظر من بهترین کار بجای بستن سایت های مایکروسافت ، بهتر در قسمت پالیسی ها ویندوز ( اگر دامین دارید در داخل اکتیو دایرکتوری ؛ اگه ندارید لوکالی ) در قسمت Windows Update یک آدرس غیر واقعی قرار بدین ، از اون به بعد سیستم عامل شما برای بروز رسانی به اون آدرس مراجعه می کنه .
مسیر قراردادن پالیسی :
Computer Configuration\Administrative Template\Windows Component\Windows Update
گذینه :
Specify intranet Microsoft update service location
موفق باشید
دوست عزیز این کار با قرار دادن یه ویندوز سرور توی شبکه به راحتی قابل انجام هست!