哪些防火墙规则将允许 Windows 更新并且仅允许 Windows 更新运行

我调试了这个问题几个小时。最后，要通过 Windows 防火墙获取 Windows 更新，您必须允许 svchost。您无法缩小协议、范围、应用程序包或服务。

因此，我有 0 条入站防火墙规则和 3 条出站防火墙规则，其中两条在任何时间点都处于活动状态。这些规则是：

1. 允许 svchost

2. 阻止 svchost

3. WFC - 核心网络 - 动态主机配置协议 (DHCP-out)

以及其他需要互联网的应用程序（即您的网络浏览器）

要连接到互联网，我必须打开 1 和 3。之后我可以关闭 1 和 3 并打开 2。如果我的互联网已打开，并且我想使用 Windows 更新，我会禁用 2 并启用 1。这意味着在我连接到互联网并且不打算使用 Windows 更新后，我的防火墙中唯一的弱点就是我的浏览器（假设我没有添加任何其他例外）。

Windows 高级用户，

到目前为止，Windows 防火墙似乎并没有真正发挥其功能，阻止了 svchost 保护下的单个服务。微软每月第二个星期二发布一次 Windows 更新，间隔大约 24 小时。您可以创建一个脚本，每月自动启用 svchost，每天自动启用一个脚本进行防御者更新；（持续 5-10 分钟）或手动执行。

或者，您可以阻止所有内容，启用数据包日志记录，监控每个 Windows 更新服务器连接的 IP 地址和端口，然后仅允许 svchost 输出这些特定 IP 地址，这将缩小范围以仅允许 Windows 更新。如果您使用 cidr 格式将最后 3 位数字替换为 .1/24，您将能够访问该子网上的每个 IP（如果它们随时间而变化）。在充分解决此问题后，如果您注意到其他 IP 在该范围之外弹出，您就会随着时间的推移知道它不是 Windows 更新。我不确定除了手动触发之外，如何才能准确检测出在 svchost 保护下运行的程序/服务。

对于 Windows 更新，使用组策略“传递优化”下载模式，设置为 99，（意味着没有 P2P 或云服务，只有微软服务器；所以您不会得到 1,000,000,000 个不同的 IP）然后您必须为通过 svchost 出现的每个不涉及 Windows 更新的 IP 创建一个黑名单。

远程地址：65.55.163.1/24,13.74.179.1/24,191.232.139.1/24,20.36.222.1/24,20.42.23.1/24,191.232.139.2/24,20.36.218.1/24,95.101.0.1/24,95.101.1.1/24,13.78.168.1/24,93.184.221.1/24,13.83.184.1/24,13.107.4.1/24,13.83.148.1/24

这对我有用。[使用 WFC Windows Defender 防火墙前端 GUI]