Embora eu não tenha tentado isso (veja meu comentário acima), estou pensando que a melhor solução é aumentar a pilha: usando um servidor proxy.
Você poderia configurar algo como o Squid na frente de suas máquinas Windows Update (ou servidor WSUS mais provavelmente) e permitir *. //wiki.squid-cache.org/SquidFaq/WindowsUpdate#How_do_I_stop_Squid_popping_up_the_Authentication_box_for_Windows_Update.3F">so on ) enquanto nega todo o resto; isso pode ser imposto em seu firewall de ponta bloqueando o TCP 80/443 em seu servidor WSUS e forçando a configuração de proxy para o WinHTTP serviço no (s) servidor (es) em questão.
Eu precisarei implementar isso em um servidor que já está prestes a ser fortalecido em um data center no curto prazo e provavelmente usará isso para realizá-lo.