服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 阻止Windows工作站接收Microsoft更新的最佳方法
Intereting Posts
带有子目录的Apache VirtualHost代理 terminal服务打印机redirect导致问题:有没有其他的select? Active Directory默认域用户权限? PHP在几台服务器上进行会话共享 与虚拟服务器一起使用COM端口 Windows Server SMTPfunction – 安装分支 PHP file_exists从命令行工作,但不是从cron Exchange安装程序创build了许多令人讨厌的域帐户 用UUID而不是path挂载LV有什么好处吗? 什么是“创build商业版Google定制search时,大概需要search多less个网页? SMTP不可路由的地址 HTTPS不能在Squid的透明代理中工作 known_hosts是否支持评论? 需要自定义init脚本的帮助 我应该运行nginx的端口81的静态内容或设置为反向代理到Apache?

阻止Windows工作站接收Microsoft更新的最佳方法

我有一个拥有10,000个工作站的networking,目前这些工作站都在尝试下载SP3,并淹没networking(这是对AD策略更改的错误)。 在networking级别用防火墙,Web内容过滤或内联IPS阻止这种stream量的最佳方式是什么? 是否有一个很好的列表,目前的Microsoft更新服务器的IP地址?

诀窍是我们必须迅速做到这一点,因为networking被淹没了。 我们不能等待政策的改变

让用户在不直接路由到Internet的VLAN上使用ISA或您select的开源caching服务器。

更快速的侵入式select:

  • 更新AD,以便计算机不会自动更新
  • 临时更新到DNS服务器,以便其下载无法parsing
  • 临时更新,以终止在防火墙的Windows更新服务器的请求

最快到最慢

  1. 防火墙规则
  2. DNS更改
  3. 更新AD设置,以便更新不会自行安装
  4. 通过路由将用户从Internet隔离,以便他们必须使用代理服务器。

我个人喜欢环境4的日常工作,3处理更新,但从WSUS的东西得到他们。 2和1是破解修补程序,不仅仅是试图包装中断原因,直到它被正确固定。

可能的域尝试和阻止

  • windowsupdate.microsoft.com
  • windowsupdate.microsoft.com
  • v4.windowsupdate
  • http://www.windowsupdate.com
  • download.windowsupdate
  • wustat.windows.com
  • officeupdate.microsoft.com
  • office.microsoft.com
  • crl.microsoft.com
  • download.microsoft.com

该列表可能不完整,我build议你做一个trunk或用户vlan的端口镜像到笔记本电脑运行wireshark和你过滤DNS请求或文件名。

获取与dnslogging关联的IP地址并在防火墙处阻止它们。 这可能会导致一些人的工作问题,但它会让你的WAN / Inet连接再次可用于许多不需要这些网站。 如果你有一个支持DNS而不是IP的防火墙,那就更好了。 您的IPS可能支持以每个域为基础响应文件请求,如果这样也可以。

这绝对不是我曾经build议有人不要求networking分stream的事情。

听起来你没有先在实验室testing你的组策略变化,呃?

使用设置为“已禁用”的“pipe理模板”的“Windows组件”节点的“Windows更新”节点中的设置“configuration自动更新”设置来创buildGPO。 只要你没有做任何事情来禁止周期性的策略刷新,每隔90到120分钟就会发生一次,默认情况下,客户端会select不需要重新启动的改变。

如果您禁用了后台策略刷新,或者您不能等待,请在进行上述更改后,打出“psexec”副本并开始在客户端上运行“gpupdate / force”。 (阻止后台策略刷新似乎是一个非常糟糕的主意……)

因为Windows更新服务是DNS负载平衡的,因此在第3层阻止它将变得困难。 我不知道你可以轻易得到一个IP地址列表。

您可能会通过在您的客户端使用的DNS服务器中创buildDNS区域“windowsupdate.com”和“update.microsoft.com”,而无需任何logging。 cachingDNS查询结果的客户端将不受影响。

或者,打出“psexec”的副本并在每个客户端上执行一个小脚本来停止“wuauserv”服务并将其标记为“禁用”。 那也会阻止它。

你真的应该使用WSUS,顺便说一句。

假设“computers.txt”中的计算机名称列表(通过将“查找…”操作的结果从Active Directory用户和计算机导出到文件并使用记事本进行清理,您可以获得该列表): 

@echo off for /f %%i in (computers.txt) do ( start sc \\%%i stop wuauserv start sc \\%%i config wuauserv start= disabled )

这是对个人电脑的改变,但您可以稍后使用GPO中的“服务”设置进行撤消。

有了这么多的电脑,人们就会认为它们分解成许多地理区域。 您应该可以在位于距离计算机组最近的地理位置的服务器上分发运行这样的脚本。

如果你想得到喜欢,你可以使用dsquery或Joe Richards( http://www.joeware.netadfind从AD中导出电脑列表。 (您也可以使用支持工具dhcpcmd将计算机列表从DHCP服务器中dhcpcmd ,如果这是获取地理列表的更好方法…)

如果AD策略仍然有效,则可以将工作站指向WSUS,也可以通过GPO阻止窗口或自动更新 。

此外,MS有Windows Service Pack Blocker Tool Kit ,它可以阻止SP下载。

如果这不是一个选项 – 开始在防火墙阻止* .windowsupdate.microsoft.com。 不记得所有的地址,不要太多 – 3或5。

上面的脚本使用时调整

net view> c:\ temp \ comps.txt

(c:\ temp \ comps.txt)do(start sc %% i stop wuauserv start sc %% i config wuauserv start = disabled)/ f“skip = 3 tokens = 1 delims =”%

你甚至可以使用…. %%我在('净视图')(…

它会工作。 (我使用文件pipe道方法,而我通常编辑了几个站)

我们用这个在故障排除时临时停止WSUS服务器连接。

在一个250台的networking上跑过来,耗时约30秒。

祝你好运

PS。 现在,如果Adobe将转移到一个基于服务的更新过程,我会快乐死了。registry黑客阻止Adobe更新是愚蠢的。

将组策略设置更改为自动更新。