Tre*_*Jen 2 firewall windows-update
我有一个包含 10,000 个工作站的网络,这些工作站当前都在尝试下载 SP3 并且网络泛滥(这是对错误的 AD 策略更改所做的)。使用防火墙、Web 内容过滤或内联 IPS 在网络级别阻止此流量的最佳方法是什么?是否有用于 Microsoft 更新服务器的当前 IP 地址的良好列表?
诀窍是我们必须快速完成此操作,因为网络已被淹没。我们等不及政策变化了...
Eva*_*son 12
听起来您不会先在实验室中测试您的组策略更改,是吗?
创建一个 GPO,将“管理模板”的“Windows 组件”节点的“Windows 更新”节点中的“配置自动更新”设置设置为“禁用”。只要您没有执行任何操作来禁用定期策略刷新(每 90 到 120 分钟发生一次),默认情况下,客户端将在不需要重新启动的情况下获取更改。
如果您已禁用后台策略刷新,或者您迫不及待,请在进行上述更改后打开“psexec”的副本并开始在客户端上运行“gpupdate /force”。(阻止后台策略刷新似乎是一个非常糟糕的主意......)
在第 3 层阻止它会很困难,因为 Windows 更新服务是 DNS 负载平衡的。我不知道您是否可以轻松获取 IP 地址列表。
您可能会通过在您的客户端使用的 DNS 服务器中创建 DNS 区域“windowsupdate.com”和“update.microsoft.com”而没有记录。具有缓存 DNS 查找结果的客户端将不受影响。
或者,打开“psexec”的副本并在每个客户端上执行一个小脚本以停止“wuauserv”服务并将其标记为“已禁用”。这也会阻止它。
你真的应该使用 WSUS,顺便说一句。
假设“computers.txt”中有一个计算机名称列表(您可以通过将“查找...”操作的结果从 Active Directory 用户和计算机导出到一个文件并使用记事本清理它来获得):
@echo off
for /f %%i in (computers.txt) do (
start sc \\%%i stop wuauserv
start sc \\%%i config wuauserv start= disabled
)
这是对 PC 的永久性更改,但您可以稍后使用 GPO 中的“服务”设置撤消它。
有这么多个人电脑,人们会假设它们被分解成许多地理区域。您可能应该在位于最靠近计算机组的地理区域中的服务器上分发运行这样的脚本。
如果您想花哨,可以使用dsquery或 Joe Richards' ( http://www.joeware.net )adfind从 AD 导出计算机列表。(您也可以使用支持工具从 DHCP 服务器导出计算机列表dhcpcmd,如果这是获取地理列表的更好方法...)
让用户位于不直接路由到 Internet 的 VLAN 上,并使用 ISA 或您选择的开源缓存服务器。
更快、更少侵入性的选项:
最快到最慢
就我个人而言,我喜欢环境 4 的日常工作,其中 3 处理更新,但都从 WSUS 之类的东西中获取。2 和 1 是 hack 修复,其目的不仅仅是试图修复中断原因,直到它被正确修复。
可能尝试阻止的域
该列表可能不完整,我建议您将中继或用户 vlan 的端口镜像映射到运行 wireshark 的笔记本电脑中,然后过滤 DNS 请求或相关文件名。
获取与 dns 记录关联的 IP 地址并在防火墙处阻止它们。这可能会导致某些人的工作出现问题,但它会让您的 WAN/Inet 连接再次用于不需要这些站点的许多人。如果您的防火墙支持通过 DNS 而不是 IP 阻止,那就更好了。您的 IPS 可能支持在每个域的基础上响应文件请求,如果这样也可以。
这绝对不是我永远不会建议某人在不需要网络分类时做的事情。