网络安全-Windows update联网更新最优实践

企业内网往往担心客户端直接连接到外网更新补丁会有风险,我们可以建立proxy和FireWall白名单地址来允许内网客户端连接到外网更新系统补丁。
1,用proxy联网更新:
Windows 更新使用 WinHttp 与部分范围请求 (RFC 7233) 从 Windows 更新服务器或本地 WSUS 服务器下载更新和应用程序。 因此,网络上的代理服务器必须支持 HTTP RANGE 请求。 如果代理在 Internet Explorer(用户级别)中进行配置,而不是在 WinHTTP(系统级别)中进行,与 Windows 更新的连接就会失败。

若要解决此问题,请通过以下 netsh 命令在 WinHTTP 中配置代理:

netsh winhttp set proxy ProxyServerName:PortNumber

还可以使用以下命令从 Internet Explorer 导入代理设置:

netsh winhttp import proxy source=ie

如果通过代理服务器进行下载失败,并出现 0x80d05001 DO_E_HTTP_BLOCKSIZE_MISMATCH 错误,或者在下载更新的过程中发现 CPU 使用率很高,请检查代理配置以允许 HTTP RANGE 请求运行。
可以选择应用规则来允许对以下 URL 的 HTTP RANGE 请求:

*.download.windowsupdate.com
*.dl.delivery.mp.microsoft.com 
*.delivery.mp.microsoft.com

2,如果是通过防火墙直接放行联网更新,则要允许可以访问如下URL:
TLS 1.2 *.prod.do.dsp.mp.microsoft.com
HTTP emdl.ws.microsoft.com
HTTP *.dl.delivery.mp.microsoft.com
HTTP *.windowsupdate.com
HTTPS *.delivery.mp.microsoft.com
TLS 1.2 *.update.microsoft.com
TLS 1.2 tsfe.trafficshaping.dsp.mp.microsoft.com

请务必不要对指定 HTTP 的终结点使用 HTTPS,反之亦然。 连接将失败。所以以上网址建立同时允许http和https访问。

Windows 客户端设备可以接收来自各种源的更新,包括联机 Windows 更新、Windows Server Update Services 服务器和其他源。 若要确定设备上当前使用的 Windows 更新源,请按照以下步骤操作:
以管理员身份启动 Windows PowerShell
运行

$MUSM = New-Object -ComObject "Microsoft.Update.ServiceManager"

运行

$MUSM.Services

网络安全-Windows update联网更新最优实践_第1张图片
检查 Name 和 OffersWindowsUPdates 参数的输出,你可以根据下表进行解读:
网络安全-Windows update联网更新最优实践_第2张图片

你可能感兴趣的:(网络安全运维,windows,服务器,microsoft,powershell,网络安全,网络,运维)