A melhor maneira de bloquear o Windows Workstations de receber atualizações da Microsoft

Tenha usuários em uma VLAN que não seja direcionada diretamente para a Internet e use o ISA ou seu servidor de cache de código aberto de escolha.

Opções menos intrusivas mais rápidas:

• Atualize o AD para que os computadores não atualizem automaticamente
• Atualização temporária para o servidor de DNS para que o download não seja resolvido
• Atualização temporária para eliminar solicitações para o servidor de atualização do Windows no firewall

De mais rápido a mais lento

1. Regra de firewall
2. alteração de DNS
3. Atualize as configurações do AD para que as atualizações não sejam instaladas automaticamente
4. Isole os usuários da Internet com o roteamento para que eles tenham que usar um servidor proxy.

Possíveis domínios para tentar bloquear

• windowsupdate.microsoft.com
• windowsupdate.microsoft.com
• v4.windowsupdate
• www.windowsupdate.com
• download.windowsupdate
• wustat.windows.com
• officeupdate.microsoft.com
• office.microsoft.com
• crl.microsoft.com
• download.microsoft.com

Essa lista provavelmente não está completa, eu recomendo que você faça um espelho de porta de um tronco ou usuário vlan em um laptop que esteja executando o wireshark e filtre por solicitações de DNS ou o nome do arquivo em questão.

Obtenha os endereços IP associados aos registros do DNS e bloqueie-os no firewall. Isso provavelmente causará problemas no trabalho de algumas pessoas, mas permitirá que sua conexão WAN / Inet seja usada novamente para muitos que não precisam desses sites. Se você tiver um firewall que suporte o bloqueio pelo DNS em vez de IP, melhor. Seu IPS pode suportar responder às solicitações de arquivo por domínio, se assim for, isso também funcionaria.

Definitivamente, isso NÃO é algo que eu sugiro que alguém faça quando não precisar de triagem de rede.

Parece que você não testa as alterações da política de grupo em um laboratório primeiro, hein?

Crie um GPO com configurações na configuração "Configurar Atualizações Automáticas" no nó "Windows Update" do nó "Componentes do Windows" de "Modelos Administrativos" definido como "Desativado". Contanto que você não tenha feito algo para desabilitar a atualização periódica da política, o que acontece a cada 90 a 120 minutos, por padrão, os clientes escolherão a alteração sem a necessidade de reinicialização.

Se você desativou a atualização da diretiva em segundo plano ou se não pode esperar, insira uma cópia de "psexec" e comece a executar "gpupdate / force" nos clientes depois de fazer a alteração acima. (Bloquear a atualização da política de segundo plano parece uma péssima ideia ...)

Bloquear isso na camada 3 será difícil porque o serviço Windows Update é balanceado com carga de DNS. Não sei se você pode obter facilmente uma lista de endereços IP.

Você pode conseguir criar as zonas DNS "windowsupdate.com" e "update.microsoft.com" nos servidores DNS que seus clientes usam sem nenhum registro. Os clientes com resultados de pesquisa de DNS em cache não serão afetados.

Como alternativa, crie uma cópia de "psexec" e execute um pequeno script em cada cliente para parar o serviço "wuauserv" e marcá-lo como "Desabilitado". Isso vai parar também.

Você realmente deveria estar usando o WSUS, BTW.

Assumindo uma lista de nomes de computadores em "computers.txt" (que você pode obter exportando os resultados de uma operação "Localizar ..." de Usuários e Computadores do Active Directory para um arquivo e limpando-os com o Bloco de Notas) :

@echo off
for /f %%i in (computers.txt) do (
 start sc \%%i stop wuauserv
 start sc \%%i config wuauserv start= disabled
)

Esta é uma alteração persistente nos computadores, mas você pode desfazê-la com configurações de "Serviços" em um GPO posteriormente.

Com muitos PCs, pode-se supor que eles estão divididos em muitas áreas geográficas. Provavelmente, você deve distribuir a execução desse script em servidores localizados nas áreas geográficas mais próximas a grupos de computadores.

Se você quiser se interessar, pode usar dsquery ou Joe Richards '( link ) adfind para exportar as listas de computadores do AD. (Você também pode exportar listas de computadores de servidores DHCP usando a Ferramenta de Suporte dhcpcmd , se essa fosse a melhor maneira de obter listas geográficas ...)

Se as políticas do AD ainda funcionarem, você pode apontar estações de trabalho para o WSUS ou bloquear janelas ou atualizações automáticas por meio do GPO .

Além disso, o MS tem a ferramenta de bloqueio do Windows Service Pack Kit que pode bloquear o download de SPs.

Se isso não for uma opção - comece com o bloqueio * .windowsupdate.microsoft.com no firewall. Não lembro de todos os endereços, não muitos - 3 ou 5.

acima do script ajustado ao usar

net view > c: \ temp \ comps.txt

para / f "skip = 3 tokens = 1 delims=" %% i em (c: \ temp \ comps.txt) do (  iniciar sc %% eu parar wuauserv  start sc %% i config wuauserv start = desativado )

você pode até usar .... %% i in ('net view') (...

e vai funcionar. (Eu uso o método de tubo de arquivo, como eu costumo editar algumas estações)

usamos isso para parar temporariamente as conexões do servidor do WSUS durante a solução de problemas.

funcionou aqui em uma rede de 250 estações e levou cerca de 30 segundos.

boa sorte

ps. Agora, se a Adobe mudasse para um processo de atualização baseado em serviços, eu morreria feliz ... o hacking de registro para impedir que a Adobe seja atualizada é bobo.

Altere a configuração da política de grupo para não fazer nada para Atualizações automáticas.