我们有几台机器部署到零售环境,由于预算限制,仅限于Windows防火墙作为我们的防火墙。
我们固有地阻止所有传出连接,并将我们需要的白名单列入白名单。 不幸的是,白名单wuauserv服务和svchost.exe仍然阻止Windows Update下载更新,错误80240438。
防火墙日志显示以下内容:
2016-05-03 09:53:02 DROP TCP 192.168.10.21 134.170.58.121 49377 443 0 - 0 0 0 - - - SEND 2016-05-03 09:53:02 DROP TCP 192.168.10.21 65.55.138.126 49378 443 0 - 0 0 0 - - - SEND 我已经validation的是Microsoft IP。
据我所知,无法在Windows防火墙中将以下主机名列入白名单。
http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com http://download.microsoft.com http://*.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com
无论如何,Windows Update可以使用Windows防火墙白名单?
我没有具体询问如何将域名列入白名单,更多的是询问如何将Windows Update整体列入白名单。
是的,转到Windows防火墙(控制面板 – >安全 – >防火墙)点击左侧的高级设置。 创build入站/出站规则。 或者,您也可以将Windows Update添加为应用程序或function(防火墙屏幕左侧的高级设置以上的选项)。
这是一个链接,详细介绍如何做到这一点: http : //www.howtogeek.com/112564/how-to-create-advanced-firewall-rules-in-the-windows-firewall/
还有一件事是为了清楚起见。 这取决于你的Windows版本有所不同,但你可能需要添加(在高级设置):C:\ Windows \ System32 \ wuauclt.exe,一定要添加“Windows更新”的服务,如果不工作尝试
进程 – %SystemRoot%\ System32 \ svchost.exe
服务 – Windows更新
和(可能需要)
远程端口80,443
进程 – %SystemRoot%\ System32 \ svchost.exe
服务 – BITS
远程端口80,443