Nur Windows Updates ohne Proxy erlauben?



  • Ich suche schon länger nach einer Möglichkeit nur Windows Updates zu erlauben, ohne das man ein Proxy einsetzt.
    Es gibt dazu einige Suchtreffer, vor allem scheinen wohl auch die verteilten Server ein Problem zu sein.

    Kurz um, hat da jemand Gedanken dazu?
    Auf der pfSense läuft nur Snort, ein Proxy war seither nicht nötig und ich
    würde gerne darauf verzichten.


  • LAYER 8 Rebel Alliance

    Je nach Größe des Netzwerks bzw. Anzahl Windows Clients ist vielleicht ein WSUS sowieso die beste Lösung.

    -Rico



  • Das Thema treibt mich auch grad für einen Kunden um.

    So wie es aussieht, kommt man um einen Proxy nicht rum, da keine Aliase mit Wildcards bestückt werden können (was logisch ist), aber Microsoft exzessiv gebrauch der CDNs macht, die über die A-Records auf den Microsoft Domains referenziert werden.

    Ich installiere grad einen minimal Squid nur für diese Aufgabe.
    Mal sehen was das System dazu sagt. Is ja eigentlich nich viel.

    https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus

    http://windowsupdate.microsoft.com
    http://*.windowsupdate.microsoft.com
    https://*.windowsupdate.microsoft.com
    http://*.update.microsoft.com
    https://*.update.microsoft.com
    http://*.windowsupdate.com
    http://download.windowsupdate.com
    https://download.microsoft.com
    http://*.download.windowsupdate.com
    http://wustat.windows.com
    http://ntservicepack.microsoft.com
    http://go.microsoft.com
    http://dl.delivery.mp.microsoft.com
    https://dl.delivery.mp.microsoft.com


  • WSUS ist bei den 12 Rechnern keine Option, Windows ist bei uns ein Nischenprodukt ;)
    Dann wohl doch ein Proxy, eigentlich wollte ich das vermeiden.


  • LAYER 8 Moderator

    Alternativ als Gedanke: Es geht ja um die "DNS"/URL Zugriffe über die Wildcard Domains. Wenn man NUR die erlauben will, könnte man das ggf. auch mittels pfBlockerNG versuchen anzugehen.

    Ich suche schon länger nach einer Möglichkeit nur Windows Updates zu erlauben, ohne das man ein Proxy einsetzt.

    Das kommt aber ganz darauf an, was "NUR Windows Updates" heißt. Soll sonst gar nichts gehen ins Internet? Oder wie ist das gemeint?



  • @JeGr said in Nur Windows Updates ohne Proxy erlauben?:

    Das kommt aber ganz darauf an, was "NUR Windows Updates" heißt. Soll sonst gar nichts gehen ins Internet? Oder wie ist das gemeint?

    Ja so war das gedacht, die andere Server stehen im Intranet.
    Wenn ich aber so darüber nachdenke, Firefox und Adobe Reader Updates gibt es ja auch noch...
    Doch nicht so einfach.

    Ich bin mit meinem Debian und einem internen apt-mirror sehr verwöhnt :)


Log in to reply