none
MS Update 도메인 RRS feed

  • 질문

  • 80, 443을 차단하고 MS 고객센터에 알려준 MS Update 도메인만 허용하도록 UTM Firewall에 적용했습니다.

    이중 [  *. -----  ] 도메인 별표시가 들어간 도메인만 엑세스가 안되네요 ㅠㅠ

          >  windowsupdate.microsoft.com:80 *.windowsupdate.microsoft.com:80  >  *.windowsupdate.microsoft.com:443       >  *.update.microsoft.com:80   >  *.update.microsoft.com:443 *.windowsupdate.com:80  > download.windowsupdate.com:80  > download.microsoft.com:80  > *.download.windowsupdate.com:80 > wustat.windows.com:80 > ntservicepack.microsoft.com:80

    WSUS 서버를 운영하기에는 라이센스 비용이 부담 스럽고

    일일이 수동 업데이트 해야하나 ....  ㅠㅠ

    80 443이 차단된 환경에서 MS Update를 편하게 할 수 있는 방법이 무엇이 있을까요 ?

    좋은 의견 부탁 드립니다. 

    2018년 2월 6일 화요일 오전 5:05

답변

  • 안녕하세요?

    1. UTM Firewall 제조사에 문의하여 TLS 1.2 지원 및 하기 사이트에 연결 문제 다시 확인해 보시기 바랍니다.

    [참고 절]
    •프록시나 방화벽 TLS 1.2를 지원 해야 합니다. 그렇지 않으면 검색 프로토콜을 해제 해야 할 수 있습니다.
    •프록시나 방화벽 허용을 통해 특정 도메인에만 기본적으로는 모든 트래픽을 차단 하는 경우 다음 Url 흰색 나열 된 Windows 장치 서비스 Microsoft Update와 통신 하도록 허용 하는 확인.
    ◦update.microsoft.com
    ◦*.update.microsoft.com
    ◦download.windowsupdate.com
    ◦*.download.windowsupdate.com
    ◦download.microsoft.com
    ◦*.download.microsoft.com
    ◦windowsupdate.com
    ◦*.windowsupdate.com
    ◦ntservicepack.microsoft.com
    ◦wustat.windows.com
    ◦login.live.com (이것이 필요한 Microsoft 계정을 연결한 경우)
    ◦mp.microsoft.com
    ◦*.mp.microsoft.com

    [참고자료]
    방화벽이 나 프록시 서버를 통해 Windows Update에서 업데이트를 다운로드할 수 없다
    https://support.microsoft.com/ko-kr/help/3084568/can-t-download-updates-from-windows-update-from-behind-a-firewall-or-p

    3단계: WSUS 구성
    https://msdn.microsoft.com/ko-kr/library/hh852346(v=ws.11).aspx


    2. 수동으로 업데이트 하는 방법은 하기 자료를 참고하시기 바랍니다.

    방법1. Microsoft Security Bulletins.
    : “제품/구성요소기준”를 하기와 같이 선택하신 후 “제품 또는 구성 요소별 검색”을 선택하신 후 표시되는 WU항목을 다운로드 받습니다.

    [관련사이트]
    Microsoft Security Bulletin Search
    http://technet.microsoft.com/ko-kr/security/bulletin

    방법2. ISO Image를 통한 업데이트 방법
    : 각년도별 월별로 각각 다운받아서 해당 O/S 에 맞는 Hotfix 를 적용하시면 됩니다. 각월별 발표된 Hotfix이기 때문에 원하시는 특정월부터 받으시면 됩니다.
    유의사항은 각 ISO별로 Windows 버전의 Update가 통합되어 있기 때문에 특정 Windows Update에 대해서는 별로 압축을 해제해서 추출하셔야 합니다.
     
    [관련사이트]
    Microsoft 다운로드 센터의 ISO-9660 DVD5 이미지 파일에서 보안 업데이트를 다운로드할 수 있음
    http://support.microsoft.com/kb/913086

     
    방법3. Microsoft Update Catalog에서 O/S별 Hotfix 확인/
    : Microsoft Update Catalog에서 O/S 별로 Search시 확인할수 있습니다. 검색창에 Windows Server 2008 R2를 선택하면 O/S별로 다운받을 수 있습니다.

    [관련사이트]
    Microsoft®Update 카탈로그
    http://catalog.update.microsoft.com/v7/site/home.aspx
     
     
    1. 원하시는 Server Version을 확인합니다. 
    2. 추가하고자 하는 Hotfix를 선택 또는 모두 추가를 선택해서 진행하시면됩니다.
    3. 바스켓 보기에서 다운로드를 선택하시면 다운로드가 진행됩니다.
     
    자세한 방법은 아래 사이트를 참고하시기 바랍니다.

    [참고사이트]
    Windows Update 카달로그에서 드라이버와 핫픽스가 포함된 업데이트를 다운로드
    http://support.microsoft.com/kb/323166

     
    3.수동으로 업데이트 시 한꺼번에 업데이트들을 설치하는 방법은 하기 자료를 참고하여 설치합니다.

    [Windows 2008 및 2008 R2에서 수동으로 Windows Updates 설치시 부팅을 최소화 하면서 설치하는 방법.]
    A. C:\Hotfix 폴더 생성 후 다운로드 받은 Hotfix 를 압축 해제 후 *.msu 파일들을 해당 폴더에 저장합니다.
    B. 메모장에서 아래 스크립트를 작성하고 C:\Hotfix 폴더에 HOTFIX.CMD 파일로 저장합니다.

    [Windows6.0*.msu의 경우 / Windows VISTA or Windows 2008]
    @echo off
    For %%F In (Windows6.0*.msu) Do CAll:msin %%F
    :msin
    Start /wait %1 /quiet /norestart

    [Windows6.1*.msu의 경우 / Windows 7 or Windows 2008 R2]
    pushd %~dp0
    for %%a in (*.msu) do start /wait wusa %%a /quiet /norestart
    exit

    C. cmd를 관리자 권한으로 오픈하신 후 하기와 같이 명령어를 입력하여 HOTFIX.CMD을 실행합니다.
    CD C:\HOTFIX 엔터
    HOTFIX.CMD 엔터
               
    D. 스크립트 실행이 완료되면 시스템을 재 시작 하시고 프로그램 추가/제거에서 Hotfix 설치여부를 확인합니다.

    감사합니다.

    • 답변으로 표시됨 strow3146 2018년 2월 7일 수요일 오전 2:25
    2018년 2월 7일 수요일 오전 1:27
  • 1번 항목과 관련하여 진행해보니 일반방화벽으론 불가능하네요....  도메인 엑세스가 되질 안네요... nslookup을 이용하여 ip를 알아네서 UTM 룰셋을 변경하니 업데이트가 잘되네요... 하지만 ip가 언제고 변경될테니 패스... 그렇다면 웹필터링 방식으로 변경하려 하니 추가비용이 부담되고 1번 항목은 포기 ㅠㅠ

    2번 항목과 관련하여 방법1로 진행해보니 2017년 3월까지 밖에 보안공지가 업네요 ...  이거 맞는건가 아님 검색을 잘못한건가... 패스 ...

    방법2로 진행해보니 ISO-9660 DVD5 2016년으로 지원이 종료되었네요 ㅠㅠ 패스...

    방법3로 진행해보니 무지 많네요 어떤걸 업데이트 해야 할지 막막하네요 ㅠㅠ 패스...

    WSUS 서버 구축방법이 있는데 이건 보안문제, 라이센스 문제 등 쉽지 안네요 ㅠㅠ 패스...

    결국 찾다 찾다 MBSA 라는 방법을 알게됬네요 이 방법을 대략 설명드리면 windows update를 받을 대상에 MBSA를 설치하고 MS에서 제공하는 wsusscn2(windows update 목록)을 받아 업데이트 한 후 실행하면 windows update를 해야 하는 대상을 찾아주고 또 update 가 완료된 상황을 알려주네요  그럼 필요한 업데이트만 다운로드 받아 설치하면되니 시간도 오래걸리지 않고 나쁘지 않네요 ^^  인터넷이 차단된 환경에서 저렴한 비용으로 할 수 있는 최선의 방법인거 같습니다.

    여튼 답변 주셔서 감사합니다.


    • 편집됨 strow3146 2018년 2월 9일 금요일 오전 1:15
    • 답변으로 표시됨 strow3146 2018년 2월 9일 금요일 오전 1:16
    2018년 2월 9일 금요일 오전 1:13

모든 응답

  • 안녕하세요?

    1. UTM Firewall 제조사에 문의하여 TLS 1.2 지원 및 하기 사이트에 연결 문제 다시 확인해 보시기 바랍니다.

    [참고 절]
    •프록시나 방화벽 TLS 1.2를 지원 해야 합니다. 그렇지 않으면 검색 프로토콜을 해제 해야 할 수 있습니다.
    •프록시나 방화벽 허용을 통해 특정 도메인에만 기본적으로는 모든 트래픽을 차단 하는 경우 다음 Url 흰색 나열 된 Windows 장치 서비스 Microsoft Update와 통신 하도록 허용 하는 확인.
    ◦update.microsoft.com
    ◦*.update.microsoft.com
    ◦download.windowsupdate.com
    ◦*.download.windowsupdate.com
    ◦download.microsoft.com
    ◦*.download.microsoft.com
    ◦windowsupdate.com
    ◦*.windowsupdate.com
    ◦ntservicepack.microsoft.com
    ◦wustat.windows.com
    ◦login.live.com (이것이 필요한 Microsoft 계정을 연결한 경우)
    ◦mp.microsoft.com
    ◦*.mp.microsoft.com

    [참고자료]
    방화벽이 나 프록시 서버를 통해 Windows Update에서 업데이트를 다운로드할 수 없다
    https://support.microsoft.com/ko-kr/help/3084568/can-t-download-updates-from-windows-update-from-behind-a-firewall-or-p

    3단계: WSUS 구성
    https://msdn.microsoft.com/ko-kr/library/hh852346(v=ws.11).aspx


    2. 수동으로 업데이트 하는 방법은 하기 자료를 참고하시기 바랍니다.

    방법1. Microsoft Security Bulletins.
    : “제품/구성요소기준”를 하기와 같이 선택하신 후 “제품 또는 구성 요소별 검색”을 선택하신 후 표시되는 WU항목을 다운로드 받습니다.

    [관련사이트]
    Microsoft Security Bulletin Search
    http://technet.microsoft.com/ko-kr/security/bulletin

    방법2. ISO Image를 통한 업데이트 방법
    : 각년도별 월별로 각각 다운받아서 해당 O/S 에 맞는 Hotfix 를 적용하시면 됩니다. 각월별 발표된 Hotfix이기 때문에 원하시는 특정월부터 받으시면 됩니다.
    유의사항은 각 ISO별로 Windows 버전의 Update가 통합되어 있기 때문에 특정 Windows Update에 대해서는 별로 압축을 해제해서 추출하셔야 합니다.
     
    [관련사이트]
    Microsoft 다운로드 센터의 ISO-9660 DVD5 이미지 파일에서 보안 업데이트를 다운로드할 수 있음
    http://support.microsoft.com/kb/913086

     
    방법3. Microsoft Update Catalog에서 O/S별 Hotfix 확인/
    : Microsoft Update Catalog에서 O/S 별로 Search시 확인할수 있습니다. 검색창에 Windows Server 2008 R2를 선택하면 O/S별로 다운받을 수 있습니다.

    [관련사이트]
    Microsoft®Update 카탈로그
    http://catalog.update.microsoft.com/v7/site/home.aspx
     
     
    1. 원하시는 Server Version을 확인합니다. 
    2. 추가하고자 하는 Hotfix를 선택 또는 모두 추가를 선택해서 진행하시면됩니다.
    3. 바스켓 보기에서 다운로드를 선택하시면 다운로드가 진행됩니다.
     
    자세한 방법은 아래 사이트를 참고하시기 바랍니다.

    [참고사이트]
    Windows Update 카달로그에서 드라이버와 핫픽스가 포함된 업데이트를 다운로드
    http://support.microsoft.com/kb/323166

     
    3.수동으로 업데이트 시 한꺼번에 업데이트들을 설치하는 방법은 하기 자료를 참고하여 설치합니다.

    [Windows 2008 및 2008 R2에서 수동으로 Windows Updates 설치시 부팅을 최소화 하면서 설치하는 방법.]
    A. C:\Hotfix 폴더 생성 후 다운로드 받은 Hotfix 를 압축 해제 후 *.msu 파일들을 해당 폴더에 저장합니다.
    B. 메모장에서 아래 스크립트를 작성하고 C:\Hotfix 폴더에 HOTFIX.CMD 파일로 저장합니다.

    [Windows6.0*.msu의 경우 / Windows VISTA or Windows 2008]
    @echo off
    For %%F In (Windows6.0*.msu) Do CAll:msin %%F
    :msin
    Start /wait %1 /quiet /norestart

    [Windows6.1*.msu의 경우 / Windows 7 or Windows 2008 R2]
    pushd %~dp0
    for %%a in (*.msu) do start /wait wusa %%a /quiet /norestart
    exit

    C. cmd를 관리자 권한으로 오픈하신 후 하기와 같이 명령어를 입력하여 HOTFIX.CMD을 실행합니다.
    CD C:\HOTFIX 엔터
    HOTFIX.CMD 엔터
               
    D. 스크립트 실행이 완료되면 시스템을 재 시작 하시고 프로그램 추가/제거에서 Hotfix 설치여부를 확인합니다.

    감사합니다.

    • 답변으로 표시됨 strow3146 2018년 2월 7일 수요일 오전 2:25
    2018년 2월 7일 수요일 오전 1:27
  • 1번 항목과 관련하여 진행해보니 일반방화벽으론 불가능하네요....  도메인 엑세스가 되질 안네요... nslookup을 이용하여 ip를 알아네서 UTM 룰셋을 변경하니 업데이트가 잘되네요... 하지만 ip가 언제고 변경될테니 패스... 그렇다면 웹필터링 방식으로 변경하려 하니 추가비용이 부담되고 1번 항목은 포기 ㅠㅠ

    2번 항목과 관련하여 방법1로 진행해보니 2017년 3월까지 밖에 보안공지가 업네요 ...  이거 맞는건가 아님 검색을 잘못한건가... 패스 ...

    방법2로 진행해보니 ISO-9660 DVD5 2016년으로 지원이 종료되었네요 ㅠㅠ 패스...

    방법3로 진행해보니 무지 많네요 어떤걸 업데이트 해야 할지 막막하네요 ㅠㅠ 패스...

    WSUS 서버 구축방법이 있는데 이건 보안문제, 라이센스 문제 등 쉽지 안네요 ㅠㅠ 패스...

    결국 찾다 찾다 MBSA 라는 방법을 알게됬네요 이 방법을 대략 설명드리면 windows update를 받을 대상에 MBSA를 설치하고 MS에서 제공하는 wsusscn2(windows update 목록)을 받아 업데이트 한 후 실행하면 windows update를 해야 하는 대상을 찾아주고 또 update 가 완료된 상황을 알려주네요  그럼 필요한 업데이트만 다운로드 받아 설치하면되니 시간도 오래걸리지 않고 나쁘지 않네요 ^^  인터넷이 차단된 환경에서 저렴한 비용으로 할 수 있는 최선의 방법인거 같습니다.

    여튼 답변 주셔서 감사합니다.


    • 편집됨 strow3146 2018년 2월 9일 금요일 오전 1:15
    • 답변으로 표시됨 strow3146 2018년 2월 9일 금요일 오전 1:16
    2018년 2월 9일 금요일 오전 1:13
  • 안녕하세요?

    2번 항목은 2016년 10월 이후 Windows 제품의 업데이트가 Rollup 형태로 변경되면서 해당 Rollup을 설치하면 그동안의 Rollup에 포함된 업데이트들도 같이 설치되는 구조로 변경되어 2017년도 3월까지만 표시하고 더이상 필요가 없어 표시되지 않도록 한 것으로 보여집니다.

    * 예) 2017년 업데이트에는 2016년 9월부터 2017년 1월 부터의 업데이트가 포함되어 있으며 포함된 내용은 하기와 같습니다.

     [참고자료]

    Further simplifying servicing models for Windows 7 and Windows 8.1

    https://blogs.technet.microsoft.com/windowsitpro/2016/08/15/further-simplifying-servicing-model-for-windows-7-and-windows-8-1/

    Windows 8.1 and Windows Server 2012 R2 update history

    https://support.microsoft.com/en-us/help/4009470/windows-8-1-windows-server-2012-r2-update-history

    감사합니다.

    2018년 2월 9일 금요일 오전 8:27