Sim e sim.
Primeiro, sugiro bloquear o acesso aos IPs do Windows Update no firewall (exceto a caixa WSUS) e registrar quais clientes estão configurados incorretamente (útil para descobrir as caixas de conformidade depois de configurar o GPO). Certifique-se de verificar o log periodicamente.Em seguida, configure um GPO que seja aplicado a todos os computadores no domínio para configurá-los para usar o servidor do WSUS. A Microsoft tem um artigo interessante sobre como configurar isso . Se você tiver algum problema ao configurar isso, sinta-se à vontade para fazer uma pergunta específica.