Permitindo o Windows Update Servers enquanto bloqueia todos os outros HTTP / HTTPS

1

Estou construindo um script iptables para um roteador bloquear todo o tráfego de e para as máquinas por trás, exceto um pequeno conjunto de hosts / portas (entrada RDP, saída DNS, ...). HTTP e HTTPS estão bloqueados.

Internet --- Router with iptables -+- Windows XP
                                   |
                                   +- Windows XP
                                   .
                                   .

Infelizmente, com o HTTP / S bloqueado, as atualizações do Windows estão falhando. Eu quero que as atualizações estejam funcionando e que a navegação seja bloqueada. Estes são meus pensamentos:

  • Configurando um WSUS / Proxy - > Oversized eu acho, gostaria de poupar outro servidor
  • Obtendo uma lista de todos os Microsoft Update Servers - > Existe algum?
  • Livrar-se dos asteriscos da lista de nomes de dns do technet de alguma forma e permitir que esses hosts
  • Talvez uma maneira de fazer a Filtragem HTTP com o Firewall do Windows e separar por serviço (Win XP SP3)?

Algum outro pensamento? Talvez alguém já tenha resolvido esse cenário? O que você recomendaria?

Obrigado antecipadamente

    
por krissi 06.06.2012 / 13:04

1 resposta

1

Christopher Wilson forneceu uma boa lista de URLs acima.

Gostaria de acrescentar que o WSUS pode não ser um grande negócio a longo prazo. Você provavelmente ainda terá que definir a lista de permissões do roteador se o objetivo for bloquear o acesso à Internet e o surfiing. No entanto, uma das muitas razões para implementar o WSUS é minimizar o impacto na conexão com a Internet, fazendo o download apenas de atualizações uma vez, sem mencionar que você tem o controle final sobre quando e quais atualizações enviar aos clientes.

Se você já tem um servidor de banco de dados disposto a adicionar o WSUS a uma caixa existente, isso não é uma sobrecarga nem muito grande, dependendo do número de clientes que você possui.

A minha sugestão é essencialmente que você pode utilizar a lista fornecida por Chris para ajudar a criar sua política de bloqueio, mas também melhorar todos os seus recursos de manutenção de desktops, além de reduzir os requisitos de largura de banda da Internet.

UPDATE: URLs da Microsoft para Whitelist:

  • windowsupdate.microsoft.com
  • .update.microsoft.com
  • download.windowsupdate.com
  • redir.metaservices.microsoft.com
  • images.metaservices.microsoft.com
  • c.microsoft.com
  • www.download.windowsupdate.com
  • wustat.windows.com
  • crl.microsoft.com
  • sls.microsoft.com
  • productactivation.one.microsoft.com
  • ntservicepack.microsoft.com
por 06.06.2012 / 14:57