none
Traffico incontrollato da internet verso i nuovi PC Windows 10 RRS feed

  • Domanda

  • Salve,

    abbiamo una rete WAN distribuita in diverse sedi, da quando abbiamo sostituito i PC Windows 7 con i PC Windows 10 (v1903) aggiornati con le patch di settembre 2019 abbiamo notato che i PC in rete si trasferivano dati a vicenda sulla porta 7680 e ho trovato su internet che tramite WUDO i PC si scambiano fra loro aggiornamenti Microsoft anche tra una sede e l'altra.

    Avendo però un WSUS 3.0 in datacenter al quale diciamo noi quando distribuire gli aggiornamenti ai vari PC proprio per gestire il traffico, ho pensato di disattivare "Consenti download da altri PC" nell' ottimizzazione di recapito di windowsupdate, ma da quel momento il nostro analizzatore di traffico in rete sui nostri router evidenzia un download da una serie di indirizzi IP:

    8.253.208.120

    8.248.123.254

    8.247.210.254

    8.241.123.254

    8.253.208.121

    8.247.209.254

    67.26.73.254

    67.26.75.254

    67.26.139.254

    67.27.151.126

    93.184.221.240

    Se guardo sulla cronologia degli aggiornamenti direttamente sui PC non risulta alcuna patch installata...

    Da cosa potrebbe dipendere allora?

    martedì 22 ottobre 2019 15:02

Tutte le risposte

  • Anche se windows update è configurato per la ricezione aggiornamenti da WSUS, fa ogni tanto dei check verso Internet, utili al corretto funzionamento dello Store, oltre che dell'ottimizzazione recapito (che hai disabilitato), e del Windows Update.

    E' possibile disabilitare del tutto il tentativo di accesso ad Internet, tramite Group Policy

    Ulteriori informazioni qui:

    https://docs.microsoft.com/en-us/windows/deployment/update/waas-wu-settings#do-not-connect-to-any-windows-update-internet-locations

    martedì 22 ottobre 2019 16:27
  • Grazie per la risposta KingBalinor,

    vorrei precisare che si tratta di download piuttosto pesanti per essere considerati check (un totale di circa 2GB a PC).

    Dal nostro domain controller Windows 2008r2 non è possibile configurare la policy per la "Do not connect to any Windows Update Internet locations", ma sempre riguardo agli aggiornamenti avevamo impostato per i PC Windows7 (e funziona anche per gli attuali Windows10) questa GP:

    - Allow Automatic Updates immediate installation = Enabled
    - Automatic Updates detection frequency = Enabled (every 1 hour)
    - Configure automatic updating: 4 - Auto download and schedule the install
    - Configure Automatic Updates Enabled :
      - Scheduled install day:  0 - Every day
      - Scheduled install time: 03:00
    - Specify intranet Microsoft update service location Enabled 
      - Set the intranet update service for detecting updates: h//wsus:8530
      - Set the intranet statistics server: h//wsus:8530

    Considerando che il nostro WSUS si trova in datacenter esterno e non scarica gli aggiornamenti sul disco locale del server, se per ora imposto localmente su ciascun PC la "Do not connect to any Windows Update Internet locations" può andare in conflitto con le impostazioni di cui sopra e quindi non funzionare affatto o non permettere l'aggiornamento quando viene approvato da wsus?

    mercoledì 23 ottobre 2019 08:11
  • Abbiamo provato ad abilitare localmente "Non connetterti a percorsi internet di Windows Update" almeno sui PC nelle sedi con banda limitata e gli aggiornamenti provenienti da WSUS vengono eseguiti regolarmente, mentre il traffico indesiderato è sparito.

    Quando eseguiremo l'upgrade del Domain Controller a Windows 2016 attiveremo la GP in modo centralizzato: potremmo avere dei problemi a livello di sicurezza se continuiamo comunque a distribuire gli aggiornamenti Microsoft solo da WSUS?

    venerdì 25 ottobre 2019 14:53