Acabei de alterar as configurações do site "Team Foundation Server" no IIS para restringir quais endereços IP poderiam entrar em contato com o site.
No Gerenciador do IIS, depois de selecionar o site, na Área IIS, selecione "Endereço IP e restrições de domínio". Eu adicionei Permitir Entradas para o endereço IP do próprio servidor e o endereço de loopback, bem como o Endereço IP para minha própria máquina, a partir do qual realizaria testes de aceitação. Em seguida, editei as configurações do recurso de modo que os clientes não especificados foram negados em vez de Permitidos e, em seguida, confirmei que o próprio TFS só podia ser acessado a partir do próprio servidor de aplicativos e da minha máquina.
Eu estava menos preocupado com as pessoas acessando os sites do SharePoint ou Reporting Services relacionadas ao TFS durante a atualização, pois em nossa configuração, elas são ignoradas, mas restrições semelhantes poderiam ter sido aplicadas a esses sites também.
No entanto , deve-se notar que, durante a atualização, o site IIS "Team Foundation Server" é recriado; e então eu tive que realizar as mesmas alterações uma segunda vez, e havia uma pequena janela de oportunidade onde alguém poderia ter acessado o serviço recém-atualizado.
Então, isso não é 100% à prova de balas.