我们在零售环境中部署了几台机器,由于预算限制,只能使用 Windows 防火墙作为我们的防火墙。
我们天生就屏蔽了所有传出连接,并将我们需要的连接列入白名单。不幸的是,将 wuauserv 服务和 svchost.exe 列入白名单仍然会阻止 Windows Update 下载更新,并出现错误 80240438。
防火墙日志显示以下内容:
2016-05-03 09:53:02 DROP TCP 192.168.10.21 134.170.58.121 49377 443 0 - 0 0 0 - - - SEND
2016-05-03 09:53:02 DROP TCP 192.168.10.21 65.55.138.126 49378 443 0 - 0 0 0 - - - SEND
我已经验证过它们是 Microsoft IP。
据我所知,Windows 防火墙无法将以下主机名列入白名单。
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
有什么方法可以使 Windows 更新与 Windows 防火墙白名单兼容吗?
我并不是专门询问如何将域名列入白名单,而是询问如何将整个 Windows Update 列入白名单。
答案1
是的,转到 Windows 防火墙(控制面板 -> 安全 -> 防火墙),单击左侧的高级设置。创建入站/出站规则。或者,您也可以将 Windows 更新添加为应用程序或功能(防火墙屏幕左侧高级设置上方的选项)。
以下链接详细介绍了如何操作:http://www.howtogeek.com/112564/how-to-create-advanced-firewall-rules-in-the-windows-firewall/
还有一件事只是为了澄清一下。这取决于您的 Windows 版本,但您可能需要添加(在高级设置中):c:\windows\System32\wuauclt.exe,并确保添加“windows update”服务,如果这不起作用,请尝试
进程 - %SystemRoot%\System32\svchost.exe
服务 - Windows Update
和(可能需要)
远程端口 80、443
进程 - %SystemRoot%\System32\svchost.exe
服务 - BITS
远程端口 80、443