使用组策略阻止下载(但允许 Windows 更新)?

使用组策略阻止下载(但允许 Windows 更新)?

我们有一台 Draytek VigorPro 5510,配置为阻止在 10.0.65.xxx 范围内下载(这是我们所有用户工作站所在的范围),但允许在 10.0.10.xxx 范围内下载(这是我们所有管理机器所在的范围)

显然,这已经停止了 Windows 更新的工作。

有没有办法可以设置组策略来停止下载(我们混合使用 IE 和 Firefox)

或者我还能做些什么其他事情。

我研究过 WSUS,但这对于我的需求来说似乎有点过头了

答案1

WSUS 确实是这一方面的进步方向。

答案2

您无法在客户端系统上“阻止下载”;即使您可以对 IE 执行此操作,Firefox 也会很乐意忽略您设置的任何 GPO。

正确的解决方案是配置防火墙/代理以阻止所有下载除了来自 Windows 更新站点。

答案3

您所说的阻止下载是指不允许任何外部流量通过您的网络吗?停止通过 NAT 将您的工作站访问互联网并设置 WSUS,然后配置 GPO 以指向您的本地服务器(如您所建议的那样)。

另一种方法是设置代理服务器,像 squid 这样的服务器就很好用,并且只允许本地 IP 和 ACL 中的 Windows 更新。设置 GPO 以将您的浏览器指向代理服务器。

答案4

如果你想阻止某些文件类型的下载,请考虑实施软件限制策略

相关内容