阻止 Windows 工作站接收 Microsoft 更新的最佳方法

阻止 Windows 工作站接收 Microsoft 更新的最佳方法

我有一个包含 10,000 个工作站的网络,这些工作站目前都在尝试下载 SP3,导致网络流量泛滥(这是由于错误的 AD 策略更改造成的)。使用防火墙、Web 内容过滤或内联 IPS 在网络级别阻止此流量的最佳方法是什么?是否有一个适用于 Microsoft 更新服务器的最新 IP 地址列表?

关键在于我们必须快速完成这项工作,因为网络已经拥堵。我们不能等待政策改变……

答案1

让用户位于不直接路由到互联网的 VLAN 上,并使用 ISA 或您选择的开源缓存服务器。

更快、更少干扰的选项:

  • 更新 AD,使计算机不会自动更新
  • 临时更新 DNS 服务器,以便他们的下载无法解析
  • 临时更新以终止防火墙处对 Windows 更新服务器的请求

从最快到最慢

  1. 防火墙规则
  2. DNS 更改
  3. 更新 AD 设置,使更新不会自行安装
  4. 通过路由将用户与互联网隔离,以便他们必须使用代理服务器。

我个人喜欢环境 4 的日常运作,其中环境 3 负责处理更新,但全部从 WSUS 之类的工具中获取。环境 2 和环境 1 是黑客修复程序,其目的不仅仅是尝试修补中断原因,直到问题得到妥善修复。

可能尝试阻止的域名

  • windowsupdate.microsoft.com
  • windowsupdate.microsoft.com
  • v4.windows更新
  • www.windowsupdate.com
  • 下载.windowsupdate
  • wustat.windows.com
  • officeupdate.microsoft.com
  • office.microsoft.com
  • crl.microsoft.com
  • 下载网站microsoft.com

该列表可能不完整,我建议您将中继或用户 vlan 的端口镜像到运行 wireshark 的笔记本电脑中,然后过滤 DNS 请求或相关的文件名。

获取与 DNS 记录关联的 IP 地址并在防火墙处阻止它们。这可能会给某些人的工作带来问题,但它将让您的 WAN/Inet 连接再次可供许多不需要这些站点的人使用。如果您的防火墙支持通过 DNS 而不是 IP 进行阻止,那就更好了。您的 IPS 可能支持按域响应文件请求,如果这样也可以。

当不需要网络分类时,我绝对不会建议别人这样做。

答案2

听起来你没有先在实验室中测试你的组策略更改,是吗?

创建一个 GPO,将“管理模板”的“Windows 组件”节点的“Windows 更新”节点中的“配置自动更新”设置为“已禁用”。只要您没有禁用定期策略刷新(默认情况下每 90 到 120 分钟发生一次),客户端就会在无需重新启动的情况下获取更改。

如果您已禁用后台策略刷新或等不及,请在进行上述更改后,复制一份“psexec”并在客户端上开始运行“gpupdate /force”。(阻止后台策略刷新似乎是一个非常糟糕的主意......)

在第 3 层阻止此操作会很困难,因为 Windows 更新服务是 DNS 负载平衡的。我不知道您是否可以轻松获取 IP 地址列表。

您可以在客户端使用的 DNS 服务器中创建 DNS 区域“windowsupdate.com”和“update.microsoft.com”,但其中不包含任何记录。具有缓存 DNS 查找结果的客户端将不受影响。

或者,复制一份“psexec”,然后在每台客户端上执行一个小脚本,停止“wuauserv”服务并将其标记为“已禁用”。这样也可以停止该服务。

顺便说一句,您确实应该使用 WSUS。


假设“computers.txt”中有一个计算机名称列表(您可以通过将“查找...”操作的结果从“Active Directory 用户和计算机”导出到文件并使用记事本清理它来获取):

@echo off
for /f %%i in (computers.txt) do (
 start sc \\%%i stop wuauserv
 start sc \\%%i config wuauserv start= disabled
)

这是对 PC 的持久更改,但您可以稍后使用 GPO 中的“服务”设置撤消它。

有了这么多 PC,人们会认为它们被划分为许多地理区域。您可能应该在距离计算机组最近的地理区域的服务器上分布运行此类脚本。

如果你想变得更有创意,你可以使用dsquery或 Joe Richards 的(http://www.joeware.netadfind从 AD 中导出计算机列表。(dhcpcmd如果这是获取地理列表的更好方法,您还可以使用支持工具从 DHCP 服务器中导出计算机列表……)

答案3

如果 AD 策略仍然有效,您可以将工作站指向 WSUS 或通过 GPO 阻止窗口或自动更新

此外,MSWindows Service Pack 阻止程序工具包可以阻止 SP 下载。

如果这不可行 - 先在防火墙上阻止 *.windowsupdate.microsoft.com。不要记住所有地址,不要太多 - 3 或 5 个即可。

答案4

更改组策略设置,使自动更新不执行任何操作。

相关内容