Как заблокировать доступ хостам локальной сети к серверам обновлений Windows 10 на оборудовании MikroTik

Блокировка доступа к серверам Windows Update

Скопируйте и вставьте через терминал роутера MikroTik следующие строки:

Но не забывайте, что это прямо запрещается в Пользовательском (лицензионном) соглашении

8. Лицензия на Программное обеспечение. Любое программное обеспечение, предоставленное вам как в рамках Служб, регулируется этими Условиями, за исключением случаев, когда оно сопровождается отдельным лицензионным соглашением Microsoft (например, приложение Microsoft, которое входит в состав Windows, регулируется Условиями лицензии на программное обеспечение Microsoft для операционной системы Windows), а также за исключением случая, предусмотренного в разделе 13(b)(i) ниже для приложений, доступных через Магазин Office, Магазин Windows или Магазин Xbox.

• a. Если вы соответствуете настоящим Условиям, мы предоставляем вам право установить и использовать одну копию программного обеспечения на одном устройстве во всем мире, которую одновременно может использовать одно лицо как часть использования вами Служб. Программное обеспечение или веб-сайт, являющиеся частью Служб, могут включать сторонний код. Какие-либо сценарии или код третьих лиц, ссылки на которые размещены в программном обеспечении или на веб-сайте, предоставляются вам по лицензии третьих лиц, которым принадлежит такой код, а не Microsoft. Уведомления (при наличии) о коде третьих лиц предоставлены только для справки.
• b. Программное обеспечение предоставляется на условиях лицензии, а не продается, и Microsoft сохраняет за собой все права на программное обеспечение, явно не предоставленные корпорацией Microsoft, будь-то косвенно, путем лишения права возражения или иным образом. Данная лицензия не предоставляет вам следующие права, и вам запрещено:
  • i. обходить какие-либо технологические средства защиты, находящиеся в программном обеспечении или Службах или связанные с ними;
  • ii. деассемблировать, декомпилировать, расшифровывать, взламывать, эмулировать, разрабатывать или изучать технологию какого-либо программного обеспечения или прочих аспектов Служб, которые включены в них или доступ к которым можно получить через Службы, за исключением случаев, когда это прямо разрешено применимым законодательством об авторских правах;
  • iii. отделять компоненты программного обеспечения или Служб для использования на разных устройствах;
  • iv. публиковать, копировать, предоставлять в прокат, аренду, продавать, экспортировать, импортировать, распространять или предоставлять во временное пользование программное обеспечение или Службы, если Microsoft не предоставила вам прямое разрешение на такие действия;
  • v. передавать программное обеспечение, какие-либо лицензии на программное обеспечение или какие-либо права на получение доступа к Службам или их использование;
  • vi. использовать Службы каким-либо несанкционированным образом, который может затруднить их использование каким-либо другим лицом или получение доступа к какой-либо службе, данным, учетной записи или сети;
  • vii. предоставлять доступ неавторизованным сторонним приложениям к Службам или изменять какое-либо устройство, авторизованное Microsoft (например, Xbox One, Xbox 360, Microsoft Surface и т. д.).

Запретить обновление windows mikrotik

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

Windows Update

Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.

Все борются с Windows Update, пытаются его закрыть, а мне вот нужно наоборот открыть доступ только для серверов обновления Windows.

1. Через Address Lists
windowsupdate.microsoft.com
go.microsoft.com
update.microsoft.com
windowsupdate.com
microsoft.com
office.microsoft.com
download.windowsupdate.com
download.microsoft.com
wustat.windows.com
ntservicepack.microsoft.com
stats.microsoft.com
update.microsoft.com.nsatc.net

2. Через Layer7 Protocols
^.+(update.microsoft|windowsupdate|download.microsoft|wustat|ntservicepack|update.microsoft.com|crl.microsoft.com|download.microsoft.com|office.microsoft.com|download.windowsupdate.com|windowsupdate.com|ntservicepack.microsoft.com|officeupdate.microsoft.com|stats.microsoft.com|v4.windowsupdate|v4.windowsupdate.microsoft.com|windowsupdate.microsoft.com|wustat.windows.com|test.stats.update.microsoft.com|.msu|.manifest|.mum).*$

Может кто сталкивался с такой задачей?
Можно конечно открыть доступ к подсетям 64.0.0.0/8, 65.0.0.0/8, но хотелось бы этого избежать.
Заранее благодарен за ответы!

Не совсем понял, что именно «всё разрешено»?

Есть некая подсеть (в этой подсети есть компьютер на которой установлен Windows) для которой в Filter Rules создано правило (в этом правиле уже пытаюсь играться с Address Lists и Layer7 Protocols).
Больше для этой сети сети нет правил, т.е. заблокирован выход и в интернет и в другие локальные подсети.

«С установкой обновлений возникли некоторые проблемы», т.е. не проходит обновление

Запрет выхода в интернет, кроме обновлений Windows на Mikrotik

Доброго времени суток!
Стоит задача в локальной сети нескольким компьютерам и на терминальном сервере полностью закрыть интернет, однако необходимо чтобы обновления Windows по-прежнему можно было скачать и установить.
Запретил доступ в интернет путем создания динамического Black List при обращении по 80 и 443 портам.

На просторах интернета предлагают некоторые варианты решения задачи, но ни один не подошёл.

1) С помощью Layer 7.
Пробовал создать вот такой фильтр:

Если я правильно понял, то фильтр не умеет работать с https.

2) Создать White List и внести туда адреса Microsoft:

Но Микротик не принимает адреса со звездочками.

3) С помощью RAW фильтра

4) С помощью Torch отследить адреса при обновлении Windows.
Мало того, что IP-адреса постоянно меняются, так еще пишут, что для каждой ОС свой список адресов для загрузки обновлений.

5) Поднять Прокси-сервер.
Не подходит.

Вопрос: Как решить задачу средствами микротик, не внося какие-либо изменения в настройки сервера и компьютеров?

Запрет выхода в Интернет всем программа кроме одной
Как запретить выход в Интернет все программы кроме одной. У меня Касперский, но с ним гиморойно это.

Запрет обновлений Windows 10
Привет ! Подскажите, как заблокировать доступ к серверам обновлений Windows 10 ? Пробовал отключать.

Запрет выхода из Windows при сохранении файла
Файлы пишутся по три через Планировщик задач и бывает конфликт при одновременной записи файла и.

Windows 8 профессиональная нет выхода в интернет?
Здравствуйте! Была Vista, стала Windows 8 pro. Пока все устраивает. Есть только одно НО. Уже второй.

1. Вы все правильно поняли. Не прокатит. При https HTTP заголовок зашифрован TLS
3. Полная чушь, вообще работать не будет
4. Очень долго и времязатратно, + сами IP со временем могут измениться
5. Можно, но поднимать придется не на микротике.
2. На мой взгляд самый лучший и правильный вариант, но надо где-то вычитать полные FQDN серверов обновлений
Сам не проверял, но попробуйте пока добавить доменные имена без звездочек, например для *.update.microsoft.com добавьте update.microsoft.com, помониторите с одним пк, у которого кроме обновлений в инет ничего лезть не будет, если что-то не пойдет — параллельно ip адреса торчем доберете и добавите в access-list к доменным именам

Рассмотрите еще вариант, предложенный romsan

Я бы сделал так:
1. в сети должен быть win-компьютер (лучше несколько с разными версиями win), который имеет выход в интернет. У меня 192.168.55.7

2. создать правила для windowsupdate.microsoft.com, update.microsoft.com, windowsupdate.com, ntservicepack.microsoft.com и др. каких нужно:
add action=add-dst-to-address-list address-list=msupdates address-list-timeout=4w chain=forward content=windowsupdate.microsoft.com src-address=192.168.55.7

3. для всех остальных — запрещающее правило, например:
add action=drop chain=forward dst-address-list=!msupdates

Интересное решение для пользователей. Взял на заметку, однако запретить запускать браузер — это защита от дурака. Порты интернета по-прежнему остаются открытыми.

Это решение также запрещает доступ и к скачиванию обновлений. Поэтому не совсем подходит для моего случая.

Пока что больше склоняюсь к поднятию реального прокси-сервера и на нем разрешить только адреса майкрософт.

Добавлено через 6 минут

Добавление FQDN серверов обновлений без звездочек ни к чему не приводит. Вероятно в этих «звездочках» кроется большое количество нужных адресов.

На другом форуме дали ссылку для скачивания списка всех подсетей Майкрософт. Там нет разделения на адреса для обновления, активации, авторизации и т.д. Всё в одну кучу свалили (всего около 150 подсетей) и не факт, что список не будет изменяться с течением времени. Может кому пригодится:

MSFT Public IP Address blocks for both IPv4 and IPv6
https://www.microsoft.com/en-u. x?id=53602

в Content заносятся не адреса, а искомый текст.
Content=microsoft.com будет истинным на запросах microsoft.com, update.microsoft.com, blablabla.microsoft.com, blablabla.update.microsoft.com и т.п.

Суть предложенного мною варианта в том, что компьютеры сами формируют список разрешенных IP-адресов, обращаясь к серверам windowsupdate

Я с вами полностью согласен!
Вчера я попробовал предложенный мною вариант на двух компьютерах — один имел полный доступ, второй только по списку msupdates. Когда на первом нажимал «проверить обновления», в msupdates появлялись IP-адреса. Выходит, он обращается по http? При каждой проверке обновления появлялись 1-2 новых айпишника.
Примерно через 20 минут нажал «проверить обновления» на втором компьютере — обновления нашлись и установились.
Если будет несколько компьютеров со свободным выходом, то список сформируется быстрее и IP в нем будет больше.

Для формирования листа msupdates сделал всего 4 правила:
/ip firewall filter
add action=add-dst-to-address-list in-interface-list=LAN address-list=msupdates address-list-timeout=4w chain=forward content=update.microsoft.com
add action=add-dst-to-address-list in-interface-list=LAN address-list=msupdates address-list-timeout=4w chain=forward content=windowsupdate.com
add action=add-dst-to-address-list in-interface-list=LAN address-list=msupdates address-list-timeout=4w chain=forward content=download.microsoft.com
add action=add-dst-to-address-list in-interface-list=LAN address-list=msupdates address-list-timeout=4w chain=forward content=ntservicepack.microsoft.com

Компьютеры, которые имеют свободный выход в интернет, формируют и обновляют список msupdates. А те, у которых доступ ограничен — только обновляют его.

Как разрешить только Windows Update через MikroTik для windows 10?

Есть компьютер, который не входит в домен, и считается гостевым, стоит отдельно, сломался, просто принесли другой.
В помещении есть только Mikrotik 951G-2HnD, который отвечает за интернет.
Задача заблокировать любой трафик, кроме Windows Update и https://my.site.ru/

Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

Как решить данный вопрос? Без прокси. А если прокси, то так что бы не прописывать его на Windows.
Заблокировать весь Forward и разрешить только по регулярному.

• Вопрос задан более двух лет назад
• 1303 просмотра

Да есть такие траблы с динамическими именами, я бы поступил так в вашем случае.
Поднял на микротике прокси сервер(он идёт из коробки),
Фаерволом запретил весь трафик от данной машины в интернет (forward)
фаерволом запретил, доступ к проксе всем кроме, данного хоста (input)
На хосте явно прописал бы использовать прокси сервер.

прокси бы настроил по подобию

То что вам надо, это задача не маршрутизатора, прокси сервера.

Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

Помечаю:
add action=accept chain=prerouting layer7-protocol=»windows update » packet-mark=win_updates protocol=tcp src-address=192.168.0.5
Разрешаю:
add action=accept chain=forward comment=»Allow Updates Mark» packet-mark=win_updates protocol=tcp src-address=192.168.0.5

Счетчики на этих правилах по нулям. Куда смотреть?

add action=accept chain=prerouting layer7-protocol=»windows update » packet-mark=win_updates protocol=tcp src-address=192.168.0.5

/ip firewall mangle add action=mark-connection chain=prerouting layer7-protocol=»windows update » new-connection-mark=win_updates protocol=tcp src-address=192.168.0.5 passthrough=no

P.S. в принципе, если проблемы с множеством хостов windows update, то достаточно layer7 указать windowsupdate.microsoft.com; он не требует строгого соответсвия — только частичное

Константин Антонов, она точно верная, я попробовал как тут https://habr.com/ru/post/271707/
Оставил правило с MarkConnections , статистика пошла, то-есть отрабатывает.
Но windows update не хочет работать,((( при этом сайты из регулярки открываются все что логично.

Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

Проблема в том, что у Майкрософт нет строгих DNS.
Например. https://*.windowsupdate.microsoft.com
*.домен — так нельзя.

По регулярке точно никак не сделать белый список для обновлений?

Совсем никак.
Разве нет? Вроде есть. Но это оставим разбираться вам).

Есть один вариант, но это грёбаный адовый кастыль. Планировщик + скрипт на микротике, который будет выдёргивать все A-записи, которые будут подходит под *.windowsupdate.microsoft.com и добавлять в white-list, даже те, которые уже блокировались (они ещё в dns-кеше и добавятся рано или поздно). Пример скрипта для 2х выражений.

:put [:resolve obnovlenie.com]
:put [:resolve blabla.windowsupdate.microsoft.com]

:foreach i in=[/ip dns cache all find where (name

«windowsupdate») && (type=»A») ] do=<

:local tmpAddress [/ip dns cache get $i address];

:if ( [/ip firewall address-list find where address=$tmpAddress] = «») do=<

:local cacheName [/ip dns cache get $i name] ;

:log info («added entry: $cacheName $tmpAddress»);

/ip firewall address-list add address=$tmpAddress list=white_list comment=$cacheName;

Но если у вас через l7 получится как-то обязательно напишите как) Для меня этот вопрос очень актуальный тоже.

Ну и надо понимать, что днс-сервер в этом случае у вас микротик.