Blocco aggiornamenti microsoft
-
Buongiorno,, dovrei creare una regola che vada a bloccare tutti gli update di mamma microsoft.
Ho già fatto questi passi:
1: ho creato un alias , ma purtroppo non riesco a compilare i campi ip in maniera regolare. Mi spiego meglio se volessi inserire tutti gli ip di classe 111.111.111.x, devo inserire a manina tutti gli ip della stessa classe oppure posso inserire 111.111.111.0 con subnet 32 ?
2: ho creato una schedulizzazione che va a stabilire quando la regola firewall è attiva o non attiva (firewall - schedules)
3: anche se creo un alias con ip 2.20.251.25 e lo associo ad una regola firewall sia in rules che in NAT, da status/traffic graph vedo sempre questo ip che trasmette dati…...Altra domanda dove posso trovare tutti gli ip che fanno riferimento agli aggiornamenti di mamma microsoft?
-
La domanda non é "come/dove"… la domanda è "Perché"? ^_^
-
La domanda non é "come/dove"… la domanda è "Perché"? ^_^
forse ho posto male il quesito?
Ad essere sposato da 3 giorni sfido chiunque a porre una domanda di senso logico :-) -
No, il quesito é posto bene, ma é (IMHO) proprio lui ad essere un "cattivo" quesito… ^_^
Seriamente. Penso non esista un modo "standard" per bloccare gli aggiornamenti di microsoft (almeno lato firewall). Sarebbe di più semplice e sicura l'implementazione fatta "lato client" se le condizioni lo permettono.
Comunque rimane il mio quesito, perchè? In ambiente Win10Pro puoi "posticipare" aggiornamenti ed avere il tempo di testarli prima... :)
-
Una roba semplice che puoi fare, se usi pfsense come dns per la tua rete locale (oppure lo fai sul dns anche se diverso), è inserire un override sul dns resolver un host dove fai 127.0.0.1 -> update.microsoft.com
Non so per quale motivo lo vuoi fare, ma se è per l'occupazione di banda che ti crea quando tutti i client tentano di scaricarsi gli update, e non vuoi complicarti la vita ad installarti un WSUS locale, proverei ad installare lo squid proxy, ed assegnarli dello spazio su disco e modificando i parametri per conservare anche i files molto grossi (diciamo 100-200gb), così quando il primo client ha scaricato l'update, dovrebbe essere in proxy, e tutti gli altri di fatto lo trovano in locale e non ti saturano la banda del provider. -
La funzione di "distribuzione locale" degli update è già attiva tra più Win10 sulla stessa rete locale, se non sbaglio a partire dalla versione 1709.
-
Ad essere sposato da 3 giorni sfido chiunque a porre una domanda di senso logico :-)
Anche tu però, dopo soli 3 gg…
E' difficile farli passare come bloccarli.
Buongiorno,, dovrei creare una regola che vada a bloccare tutti gli update di mamma microsoft.
Ho già fatto questi passi:
1: ho creato un alias , ma purtroppo non riesco a compilare i campi ip in maniera regolare. Mi spiego meglio se volessi inserire tutti gli ip di classe 111.111.111.x, devo inserire a manina tutti gli ip della stessa classe oppure posso inserire 111.111.111.0 con subnet 32 ?No, se la classe è 111.111.111.0 - 111.111.111.255 devi inserire 111.111.111.0 mask 24
Altra domanda dove posso trovare tutti gli ip che fanno riferimento agli aggiornamenti di mamma microsoft?
Qui https://technet.microsoft.com/cs-cz/library/bb693717.aspx trovi quello che chiedi, ma comunque non funziona.
E' molto probabile che il funzionamento di WSUS che rispondono a richieste in internet (quindi non locali) sia in realtà il problema stesso. Dovresti bloccare (o permettere) tutti i WSUS pubblici.
La stessa cosa l'ho riscontrata con gli aggiornamenti dell'antivirus di ClamAV. La lista dei server disponibili per il download cambia giornalmente, quindi mi sono fatto un WSUS per ClamAV in casa ::) -
Grazie mille a tutti.
Proverò la soluzione andando a gestire la cache con squid proxy.
Purtroppo con windows 10 e l distribuzione degli update in lan non funziona .
Ho trovato la segnalazione di questo bug su diversi forum.
Faccio delle prove e ti farò sapere.
Grazie ancora -
Una roba semplice che puoi fare, se usi pfsense come dns per la tua rete locale (oppure lo fai sul dns anche se diverso), è inserire un override sul dns resolver un host dove fai 127.0.0.1 -> update.microsoft.com
Non so per quale motivo lo vuoi fare, ma se è per l'occupazione di banda che ti crea quando tutti i client tentano di scaricarsi gli update, e non vuoi complicarti la vita ad installarti un WSUS locale, proverei ad installare lo squid proxy, ed assegnarli dello spazio su disco e modificando i parametri per conservare anche i files molto grossi (diciamo 100-200gb), così quando il primo client ha scaricato l'update, dovrebbe essere in proxy, e tutti gli altri di fatto lo trovano in locale e non ti saturano la banda del provider.esatto il problema nell'azienda per ui lavoro è l'ampiezza di banda.
Abbiamo una linea in fibra sincrona da 10mb con circa 70 postazioni fisiche e virtuali.
Ho settato la cache locale su squid proxy a 100GB e l'oggetto massimo che deve memorizzare in cache l'ho settato a 5GB.
Vediamo come si comporta.
Purtroppo gli aggiornamenti microsoft sui pc fissi devo avviarli durante l'orario di lavoro perchè dopo le 17:00 vengono spenti.