Какие правила брандмауэра позволят Центру обновления Windows и ТОЛЬКО Центру обновления Windows работать для Windows 8.1? Если это невозможно, укажите минимально необходимые правила и названия дополнительных программ / служб, которым должен быть предоставлен доступ.
2 ответа
1
Я отлаживал эту проблему часами. В конце концов, чтобы получить Центр обновления Windows через брандмауэр Windows, вы должны разрешить svchost. Вы не можете сузить протокол, область применения, пакеты приложений или услуги.
Таким образом, у меня 0 правил входящего межсетевого экрана и 3 правила исходящего межсетевого экрана, два из которых активны в любой момент времени. Эти правила:
Разрешить svchost
Блок свчост
WFC - Базовая сеть - Протокол динамической конфигурации хоста (DHCP-выход)
И другие приложения, которым требуется интернет (например, ваш веб-браузер)
Для подключения к интернету я должен включить 1 и 3. После я могу выключить 1 и 3 и включить 2. Если мой интернет включен, и я хочу использовать обновление Windows, я отключаю 2 и включаю 1. Это означает, что после того, как я подключился к Интернету и не планирую использовать обновление Windows, единственным недостатком в моем брандмауэре является мой браузер, предполагающий, что я не добавил никаких других исключений.
Windows PowerUser,
0
Пока что это не похоже на то, что брандмауэр Windows фактически выполняет функции, которые он предлагает, блокируя отдельные сервисы под эгидой svchost. Microsoft выпускает обновления Windows каждый второй вторник каждого месяца или дает около 24 часов. Вы можете создать скрипт, который автоматически включает svchost каждый месяц и по одному на каждый день для обновлений защитника; (на 5-10 минут) или сделать это вручную.
Или, например, вы можете заблокировать все, включить ведение журнала пакетов, отслеживать IP-адреса и порты для каждого подключения к серверу обновлений Windows, а затем разрешить svchost только для этих конкретных IP-адресов, это сузит его, чтобы разрешить только обновление Windows. Если вы используете формат cidr, заменяя последние 3 цифры на .1/24, вы сможете достичь каждого ips в этой подсети, если они меняются со временем. После этого достаточно, если вы заметите, что другие ip всплывают за пределами этой области, вы со временем узнаете, что это не обновление Windows. Я не уверен, как можно точно определить, какая программа /служба работает под зонтиком svchost, кроме как запускать ее вручную.
Для обновлений Windows используйте режим загрузки групповой политики "Оптимизация доставки", равный 99 (то есть без P2P или облачных сервисов, только серверы microsofts; так что вы не получаете 1 000 000 000 различных ips). Затем вы должны создать черный список для каждого ip. это происходит через svchost, который не требует обновления Windows.
Удаленные адреса: 65.55.163.1/24,13.74.179.1/24,191.232.139.1/24,20.36.222.1/24,20.42.23.1/24,191.232.139.2/24,20.36.218.1/24,95.101.0.1/24,95.101.1.1/24,13.78.168.1/24,93.184.221.1/24,13.83.184.1/24,13.107.4.1/24,13.83.148.1/24
Это сработало для меня. [Использование WFC интерфейса пользователя внешнего интерфейса брандмауэра Защитника Windows]
