网络安全-Windows update联网更新最优实践

企业内网往往担心客户端直接连接到外网更新补丁会有风险，我们可以建立proxy和FireWall白名单地址来允许内网客户端连接到外网更新系统补丁。
1，用proxy联网更新：
Windows 更新使用 WinHttp 与部分范围请求 (RFC 7233) 从 Windows 更新服务器或本地 WSUS 服务器下载更新和应用程序。 因此，网络上的代理服务器必须支持 HTTP RANGE 请求。 如果代理在 Internet Explorer（用户级别）中进行配置，而不是在 WinHTTP（系统级别）中进行，与 Windows 更新的连接就会失败。

若要解决此问题，请通过以下 netsh 命令在 WinHTTP 中配置代理：

netsh winhttp set proxy ProxyServerName:PortNumber

还可以使用以下命令从 Internet Explorer 导入代理设置：

netsh winhttp import proxy source=ie

如果通过代理服务器进行下载失败，并出现 0x80d05001 DO_E_HTTP_BLOCKSIZE_MISMATCH 错误，或者在下载更新的过程中发现 CPU 使用率很高，请检查代理配置以允许 HTTP RANGE 请求运行。
可以选择应用规则来允许对以下 URL 的 HTTP RANGE 请求：

*.download.windowsupdate.com
*.dl.delivery.mp.microsoft.com 
*.delivery.mp.microsoft.com

2，如果是通过防火墙直接放行联网更新，则要允许可以访问如下URL：
TLS 1.2 *.prod.do.dsp.mp.microsoft.com
HTTP emdl.ws.microsoft.com
HTTP *.dl.delivery.mp.microsoft.com
HTTP *.windowsupdate.com
HTTPS *.delivery.mp.microsoft.com
TLS 1.2 *.update.microsoft.com
TLS 1.2 tsfe.trafficshaping.dsp.mp.microsoft.com

请务必不要对指定 HTTP 的终结点使用 HTTPS，反之亦然。 连接将失败。所以以上网址建立同时允许http和https访问。

Windows 客户端设备可以接收来自各种源的更新，包括联机 Windows 更新、Windows Server Update Services 服务器和其他源。 若要确定设备上当前使用的 Windows 更新源，请按照以下步骤操作：
以管理员身份启动 Windows PowerShell
运行

$MUSM = New-Object -ComObject "Microsoft.Update.ServiceManager"

运行

$MUSM.Services

检查 Name 和 OffersWindowsUPdates 参数的输出，你可以根据下表进行解读：