我不敢相信我没有找到这个问题的适当解决方案,我认为这很常见:
我们的网络中有一些 Windows Server 2019 计算机,它们是 SQL-Server,经常有不同的 RDP 用户使用。我对此无能为力。
一些 RDP 用户似乎从数据库机器上浏览网页,这当然不应该发生。也许他们会搜索 SQL 查询的帮助,也许他们会忘记自己在哪里,甚至浏览 Facebook,没关系,这不应该发生。
因此,我想阻止这些机器在 80 和 443 上的出站连接。但 Windows 更新仍需正常工作。(这应该在机器自己的防火墙上完成,而不是网关防火墙。)
因此似乎有两种可能性,各有缺点:
- 阻止端口 80、443 上的出站流量,并在另一条规则中明确允许 Windows 更新服务器的 IP。缺点:可能的 Windows 更新服务器域的长列表可能会更改 DNS 条目,而 Windows 防火墙仅允许指定 IP 或 IP 范围。
- 阻止端口 80、443 上的出站流量,并在另一条规则中明确允许 Windows 更新进程。缺点:不清楚哪个进程对 Windows 更新做了什么。有不同的进程吗?Windows 防火墙关于“由于服务强化而无法按预期工作”的警告是什么意思?我发现很难找到有关这部分的可靠信息。
针对此问题的最佳做法是什么?