Как заблокировать доступ хостам локальной сети к серверам обновлений Windows 10 на оборудовании MikroTik

Блокировка доступа к серверам Windows Update

Скопируйте и вставьте через терминал роутера MikroTik следующие строки:

Но не забывайте, что это прямо запрещается в Пользовательском (лицензионном) соглашении

8. Лицензия на Программное обеспечение. Любое программное обеспечение, предоставленное вам как в рамках Служб, регулируется этими Условиями, за исключением случаев, когда оно сопровождается отдельным лицензионным соглашением Microsoft (например, приложение Microsoft, которое входит в состав Windows, регулируется Условиями лицензии на программное обеспечение Microsoft для операционной системы Windows), а также за исключением случая, предусмотренного в разделе 13(b)(i) ниже для приложений, доступных через Магазин Office, Магазин Windows или Магазин Xbox.

• a. Если вы соответствуете настоящим Условиям, мы предоставляем вам право установить и использовать одну копию программного обеспечения на одном устройстве во всем мире, которую одновременно может использовать одно лицо как часть использования вами Служб. Программное обеспечение или веб-сайт, являющиеся частью Служб, могут включать сторонний код. Какие-либо сценарии или код третьих лиц, ссылки на которые размещены в программном обеспечении или на веб-сайте, предоставляются вам по лицензии третьих лиц, которым принадлежит такой код, а не Microsoft. Уведомления (при наличии) о коде третьих лиц предоставлены только для справки.
• b. Программное обеспечение предоставляется на условиях лицензии, а не продается, и Microsoft сохраняет за собой все права на программное обеспечение, явно не предоставленные корпорацией Microsoft, будь-то косвенно, путем лишения права возражения или иным образом. Данная лицензия не предоставляет вам следующие права, и вам запрещено:
  • i. обходить какие-либо технологические средства защиты, находящиеся в программном обеспечении или Службах или связанные с ними;
  • ii. деассемблировать, декомпилировать, расшифровывать, взламывать, эмулировать, разрабатывать или изучать технологию какого-либо программного обеспечения или прочих аспектов Служб, которые включены в них или доступ к которым можно получить через Службы, за исключением случаев, когда это прямо разрешено применимым законодательством об авторских правах;
  • iii. отделять компоненты программного обеспечения или Служб для использования на разных устройствах;
  • iv. публиковать, копировать, предоставлять в прокат, аренду, продавать, экспортировать, импортировать, распространять или предоставлять во временное пользование программное обеспечение или Службы, если Microsoft не предоставила вам прямое разрешение на такие действия;
  • v. передавать программное обеспечение, какие-либо лицензии на программное обеспечение или какие-либо права на получение доступа к Службам или их использование;
  • vi. использовать Службы каким-либо несанкционированным образом, который может затруднить их использование каким-либо другим лицом или получение доступа к какой-либо службе, данным, учетной записи или сети;
  • vii. предоставлять доступ неавторизованным сторонним приложениям к Службам или изменять какое-либо устройство, авторизованное Microsoft (например, Xbox One, Xbox 360, Microsoft Surface и т. д.).

Блокировка серверов обновления windows 10 mikrotik

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

Windows Update

Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.

Все борются с Windows Update, пытаются его закрыть, а мне вот нужно наоборот открыть доступ только для серверов обновления Windows.

1. Через Address Lists
windowsupdate.microsoft.com
go.microsoft.com
update.microsoft.com
windowsupdate.com
microsoft.com
office.microsoft.com
download.windowsupdate.com
download.microsoft.com
wustat.windows.com
ntservicepack.microsoft.com
stats.microsoft.com
update.microsoft.com.nsatc.net

2. Через Layer7 Protocols
^.+(update.microsoft|windowsupdate|download.microsoft|wustat|ntservicepack|update.microsoft.com|crl.microsoft.com|download.microsoft.com|office.microsoft.com|download.windowsupdate.com|windowsupdate.com|ntservicepack.microsoft.com|officeupdate.microsoft.com|stats.microsoft.com|v4.windowsupdate|v4.windowsupdate.microsoft.com|windowsupdate.microsoft.com|wustat.windows.com|test.stats.update.microsoft.com|.msu|.manifest|.mum).*$

Может кто сталкивался с такой задачей?
Можно конечно открыть доступ к подсетям 64.0.0.0/8, 65.0.0.0/8, но хотелось бы этого избежать.
Заранее благодарен за ответы!

Не совсем понял, что именно «всё разрешено»?

Есть некая подсеть (в этой подсети есть компьютер на которой установлен Windows) для которой в Filter Rules создано правило (в этом правиле уже пытаюсь играться с Address Lists и Layer7 Protocols).
Больше для этой сети сети нет правил, т.е. заблокирован выход и в интернет и в другие локальные подсети.

«С установкой обновлений возникли некоторые проблемы», т.е. не проходит обновление

Блокировка служб телеметрии Windows в Mikrotik

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

1. Необходимо вписать в фаервол следующие правила: /ip firewall address-list add list=MStelemetry address=111.221.29.177 /ip firewall address-list add list=MStelemetry address=111.221.29.253 /ip firewall address-list add list=MStelemetry address=131.253.40.37 /ip firewall address-list add list=MStelemetry address=134.170.30.202 /ip firewall address-list add list=MStelemetry address=134.170.115.60 /ip firewall address-list add list=MStelemetry address=134.170.165.248 /ip firewall address-list add list=MStelemetry address=134.170.165.253 /ip firewall address-list add list=MStelemetry address=134.170.185.70 /ip firewall address-list add list=MStelemetry address=137.116.81.24 /ip firewall address-list add list=MStelemetry address=137.117.235.16 /ip firewall address-list add list=MStelemetry address=157.55.129.21 /ip firewall address-list add list=MStelemetry address=157.55.133.204 /ip firewall address-list add list=MStelemetry address=157.56.121.89 /ip firewall address-list add list=MStelemetry address=157.56.91.77 /ip firewall address-list add list=MStelemetry address=168.63.108.233 /ip firewall address-list add list=MStelemetry address=191.232.139.254 /ip firewall address-list add list=MStelemetry address=191.232.80.58 /ip firewall address-list add list=MStelemetry address=191.232.80.62 /ip firewall address-list add list=MStelemetry address=191.237.208.126 /ip firewall address-list add list=MStelemetry address=204.79.197.200 /ip firewall address-list add list=MStelemetry address=207.46.101.29 /ip firewall address-list add list=MStelemetry address=207.46.114.58 /ip firewall address-list add list=MStelemetry address=207.46.223.94 /ip firewall address-list add list=MStelemetry address=207.68.166.254 /ip firewall address-list add list=MStelemetry address=212.30.134.204 /ip firewall address-list add list=MStelemetry address=212.30.134.205 /ip firewall address-list add list=MStelemetry address=23.102.21.4 /ip firewall address-list add list=MStelemetry address=23.99.10.11 /ip firewall address-list add list=MStelemetry address=23.218.212.69 /ip firewall address-list add list=MStelemetry address=64.4.54.22 /ip firewall address-list add list=MStelemetry address=64.4.54.32 /ip firewall address-list add list=MStelemetry address=64.4.6.100 /ip firewall address-list add list=MStelemetry address=65.39.117.230 /ip firewall address-list add list=MStelemetry address=65.52.100.11 /ip firewall address-list add list=MStelemetry address=65.52.100.7 /ip firewall address-list add list=MStelemetry address=65.52.100.9 /ip firewall address-list add list=MStelemetry address=65.52.100.91 /ip firewall address-list add list=MStelemetry address=65.52.100.92 /ip firewall address-list add list=MStelemetry address=65.52.100.93 /ip firewall address-list add list=MStelemetry address=65.52.100.94 /ip firewall address-list add list=MStelemetry address=65.52.108.29 /ip firewall address-list add list=MStelemetry address=65.55.108.23 /ip firewall address-list add list=MStelemetry address=65.55.138.114 /ip firewall address-list add list=MStelemetry address=65.55.138.126 /ip firewall address-list add list=MStelemetry address=65.55.138.186 /ip firewall address-list add list=MStelemetry address=65.55.252.63 /ip firewall address-list add list=MStelemetry address=65.55.252.71 /ip firewall address-list add list=MStelemetry address=65.55.252.92 /ip firewall address-list add list=MStelemetry address=65.55.252.93 /ip firewall address-list add list=MStelemetry address=65.55.29.238 /ip firewall address-list add list=MStelemetry address=65.55.39.10 /ip firewall address-list add list=MStelemetry address=191.232.139.2 /ip firewall address-list add list=MStelemetry address=64.4.23.0-64.4.23.255 /ip firewall address-list add list=MStelemetry address=111.221.64.0-111.221.127.255 /ip firewall address-list add list=MStelemetry address=157.55.235.0-157.55.235.255 /ip firewall address-list add list=MStelemetry address=157.55.56.0-157.55.56.255 /ip firewall address-list add list=MStelemetry address=157.55.52.0-157.55.52.255 /ip firewall address-list add list=MStelemetry address=157.55.130.0-157.55.130.255 /ip firewall address-list add list=MStelemetry address=65.55.223.0-65.55.223.255 /ip firewall address-list add list=MStelemetry address=213.199.179.0-213.199.179.255 /ip firewall address-list add list=MStelemetry address=195.138.255.0-195.138.255.255 /ip firewall filter add chain=forward dst-address-list=MStelemetry action=reject comment=»Reject MS Telemetry»
2. Мы можем использовать Layer7 для блокировки 2.1 Создаем регулярное выражение в Layer7: /ip firewall layer7-protocol add name=NoZond regexp=»^.+(vortex.data.microsoft.com|vortex-win.data.microsoft.com|telecommand.telemetry.microsoft.com|telecommand.telemetry .microsoft.com.nsatc.net|oca.telemetry.microsoft.com|oca.telemetry.microsoft.com . nsatc.net|sqm.telemetry.microsoft.com|sqm.telemetry.microsoft.com.nsatc.net|wats o n.telemetry.microsoft.com|watson.telemetry.microsoft.com.nsatc.net|redir.metaser v ices.microsoft.com|choice.microsoft.com|choice.microsoft.com.nsatc.net|df.teleme t ry.microsoft.com|reports.wes.df.telemetry.microsoft.com|wes.df.telemetry.microso f t.com|services.wes.df.telemetry.microsoft.com|sqm.df.telemetry.microsoft.com|tel e metry.microsoft.com|watson.ppe.telemetry.microsoft.com|telemetry.appex.bing.net| t elemetry.urs.microsoft.com|telemetry.appex.bing.net|settings-sandbox.data.microsoft.com|vortex-sandbox.data.microsoft.com|survey.watson.microsoft.com|watson.live.com|watson.mi crosoft.com|statsfe2.ws.microsoft.com|corpext.msitadfs.glbdns2.microsoft.com|com p atexchange.cloudapp.net|cs1.wpc.v0cdn.net|a-0001.a-msedge.net|statsfe2.update.microsoft.com.akadns.net|diagnostics.support.microsof t.com|corp.sts.microsoft.com|statsfe1.ws.microsoft.com|pre.footprintpredict.com| i 1.services.social.microsoft.com|i1.services.social.microsoft.com.nsatc.net|feedb a ck.windows.com|feedback.microsoft-hohm.com|feedback.search.microsoft.com|rad.msn.com|preview.msn.com|ad.doubleclic k.net|ads.msn.com|ads1.msads.net|ads1.msn.com|a.ads1.msn.com|a.ads2.msn.com|adne x us.net|adnxs.com|az361816.vo.msecnd.net|az512334.vo.msecnd.net).*$» Добавляем правило в Firewall, не забывая поместить его выше разрешающих: ip firewall filter add chain=forward action=reject reject-with=tcp-reset protocol=tcp layer7-protocol=NoZond ip firewall filter add chain=forward action=drop protocol=udp layer7-protocol=NoZond Windows Update при этом доступен и работает

Также выключаем в Windows:

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Блокировка серверов обновления windows 10 mikrotik

Thu Jul 30, 2015 2:51 pm

Does anyone know how to block Windows 10 update-delivery-optimization (built-in feature for getting Windows Updates through P2P) using mikrotik firewall rules? Please see http://windows.microsoft.com/en-gb/wind . zation-faq for details.

Re: block Windows 10 update-delivery-optimization

Thu Jul 30, 2015 2:55 pm

Re: block Windows 10 update-delivery-optimization

Thu Jul 30, 2015 3:29 pm

Re: block Windows 10 update-delivery-optimization

Fri Jul 31, 2015 3:50 pm

Re: block Windows 10 update-delivery-optimization

Fri Jul 31, 2015 3:52 pm

You will have to sniff the traffic to see what protocol is used.

Or you can just limit all upload

Re: block Windows 10 update-delivery-optimization

Fri Jul 31, 2015 3:54 pm

Re: block Windows 10 update-delivery-optimization

Fri Jul 31, 2015 4:01 pm

Re: block Windows 10 update-delivery-optimization

Sat Aug 13, 2016 1:10 pm

Re: block Windows 10 update-delivery-optimization

Sat Aug 13, 2016 1:21 pm

Of course the fact that a client uses full upload on their connection does not necessarily mean it is due to this feature.
It can also mean their PC has been hacked (trojan software installed) and is being used in DDoS attacks etc.
Reading the FAQ document above it is easy to turn this feature off, so when a client complains try to (have them) do that
and see if there is an improvement. When not, it has to have some other cause.

(of course it is worrying that a company like Microsoft does things like this, also including download of Windows 10
over connections in which they have no insight w.r.t. bandwidth and bottlenecks, but that is not on-topic here)

Re: block Windows 10 update-delivery-optimization

Sat Aug 13, 2016 2:52 pm

Of course the fact that a client uses full upload on their connection does not necessarily mean it is due to this feature.
It can also mean their PC has been hacked (trojan software installed) and is being used in DDoS attacks etc.
Reading the FAQ document above it is easy to turn this feature off, so when a client complains try to (have them) do that
and see if there is an improvement. When not, it has to have some other cause.

(of course it is worrying that a company like Microsoft does things like this, also including download of Windows 10
over connections in which they have no insight w.r.t. bandwidth and bottlenecks, but that is not on-topic here)

Yes it could be trojan, but in this case is not. After turning off updates in windows 10, upload was almost zero. What I want to say it is problem and people complains to ISP, because if you saturate upload..openning web pages is very slow. and also windows distribute using p2p updates on your network but before that it analyzes structure of your network and sens it to central MS servers. and this could be used in future to distribute various attacks in case of windows security problems. and MAN OF COURSE IT IS NOT. OFF TOPIC. This could be disaster in future for ISPs and security problems.

So question is how to limit it. Because by default it is enabled in almost all windows 10 users installations.