...

Как заблокировать доступ хостам локальной сети к серверам обновлений Windows 10 на оборудовании MikroTik

Блокировка доступа к серверам Windows Update

Скопируйте и вставьте через терминал роутера MikroTik следующие строки:

/ip firewall filter 
add action=reject chain=forward comment=block_Win_Update content=\ 
update.microsoft.com reject-with=icmp-network-unreachable 
add action=reject chain=forward comment=block_Win_Update content=\ 
download.microsoft.com reject-with=icmp-network-unreachable 
add action=reject chain=forward comment=block_Win_Update content=\ 
download.windowsupdate.com reject-with=icmp-network-unreachable 
add action=reject chain=forward comment=block_Win_Update content=\ 
wustat.windows.com reject-with=icmp-network-unreachable 
add action=reject chain=forward comment=block_Win_Update content=\ 
stats.microsoft.com reject-with=icmp-network-unreachable 
add action=reject chain=forward comment=block_Win_Update content=\ 
ntservicepack.microsoft.com reject-with=icmp-network-unreachable 
add action=reject chain=forward comment=block_Win_Update content=\ 
windowsupdate.com reject-with=icmp-network-unreachable

Но не забывайте, что это прямо запрещается в Пользовательском (лицензионном) соглашении

8. Лицензия на Программное обеспечение. Любое программное обеспечение, предоставленное вам как в рамках Служб, регулируется этими Условиями, за исключением случаев, когда оно сопровождается отдельным лицензионным соглашением Microsoft (например, приложение Microsoft, которое входит в состав Windows, регулируется Условиями лицензии на программное обеспечение Microsoft для операционной системы Windows), а также за исключением случая, предусмотренного в разделе 13(b)(i) ниже для приложений, доступных через Магазин Office, Магазин Windows или Магазин Xbox.

  • a. Если вы соответствуете настоящим Условиям, мы предоставляем вам право установить и использовать одну копию программного обеспечения на одном устройстве во всем мире, которую одновременно может использовать одно лицо как часть использования вами Служб. Программное обеспечение или веб-сайт, являющиеся частью Служб, могут включать сторонний код. Какие-либо сценарии или код третьих лиц, ссылки на которые размещены в программном обеспечении или на веб-сайте, предоставляются вам по лицензии третьих лиц, которым принадлежит такой код, а не Microsoft. Уведомления (при наличии) о коде третьих лиц предоставлены только для справки.
  • b. Программное обеспечение предоставляется на условиях лицензии, а не продается, и Microsoft сохраняет за собой все права на программное обеспечение, явно не предоставленные корпорацией Microsoft, будь-то косвенно, путем лишения права возражения или иным образом. Данная лицензия не предоставляет вам следующие права, и вам запрещено:
    • i. обходить какие-либо технологические средства защиты, находящиеся в программном обеспечении или Службах или связанные с ними;
    • ii. деассемблировать, декомпилировать, расшифровывать, взламывать, эмулировать, разрабатывать или изучать технологию какого-либо программного обеспечения или прочих аспектов Служб, которые включены в них или доступ к которым можно получить через Службы, за исключением случаев, когда это прямо разрешено применимым законодательством об авторских правах;
    • iii. отделять компоненты программного обеспечения или Служб для использования на разных устройствах;
    • iv. публиковать, копировать, предоставлять в прокат, аренду, продавать, экспортировать, импортировать, распространять или предоставлять во временное пользование программное обеспечение или Службы, если Microsoft не предоставила вам прямое разрешение на такие действия;
    • v. передавать программное обеспечение, какие-либо лицензии на программное обеспечение или какие-либо права на получение доступа к Службам или их использование;
    • vi. использовать Службы каким-либо несанкционированным образом, который может затруднить их использование каким-либо другим лицом или получение доступа к какой-либо службе, данным, учетной записи или сети;
    • vii. предоставлять доступ неавторизованным сторонним приложениям к Службам или изменять какое-либо устройство, авторизованное Microsoft (например, Xbox One, Xbox 360, Microsoft Surface и т. д.).

Блокировка отслеживания в Windows

Телеметрия отправляется на адреса:
vortex.data.microsoft.com 
vortex-win.data.microsoft.com 
telecommand.telemetry.microsoft.com 
telecommand.telemetry.microsoft.com.nsatc.net 
oca.telemetry.microsoft.com 
oca.telemetry.microsoft.com.nsatc.net 
sqm.telemetry.microsoft.com 
sqm.telemetry.microsoft.com.nsatc.net 
watson.telemetry.microsoft.com 
watson.telemetry.microsoft.com.nsatc.net 
redir.metaservices.microsoft.com 
choice.microsoft.com 
choice.microsoft.com.nsatc.net 
df.telemetry.microsoft.com 
reports.wes.df.telemetry.microsoft.com 
wes.df.telemetry.microsoft.com 
services.wes.df.telemetry.microsoft.com 
sqm.df.telemetry.microsoft.com 
telemetry.microsoft.com 
watson.ppe.telemetry.microsoft.com 
telemetry.appex.bing.net 
telemetry.urs.microsoft.com 
telemetry.appex.bing.net:443 
settings-sandbox.data.microsoft.com 
vortex-sandbox.data.microsoft.com 
survey.watson.microsoft.com 
watson.live.com 
watson.microsoft.com 
statsfe2.ws.microsoft.com 
corpext.msitadfs.glbdns2.microsoft.com 
compatexchange.cloudapp.net 
cs1.wpc.v0cdn.net 
a-0001.a-msedge.net 
statsfe2.update.microsoft.com.akadns.net 
sls.update.microsoft.com.akadns.net 
fe2.update.microsoft.com.akadns.net 
diagnostics.support.microsoft.com 
corp.sts.microsoft.com 
statsfe1.ws.microsoft.com 
pre.footprintpredict.com 
i1.services.social.microsoft.com 
i1.services.social.microsoft.com.nsatc.net 
feedback.windows.com 
feedback.microsoft-hohm.com 
feedback.search.microsoft.com 
rad.msn.com 
preview.msn.com 
ad.doubleclick.net 
ads.msn.com 
ads1.msads.net 
ads1.msn.com 
a.ads1.msn.com 
a.ads2.msn.com 
adnexus.net 
adnxs.com 
az361816.vo.msecnd.net 
az512334.vo.msecnd.net

комментария 4

  1. “….i. обходить какие-либо технологические средства защиты, находящиеся в программном обеспечении или Службах или связанные с ними;….”

    Данный абзац с настройкой фильтров на файрволе ВООБЩЕ НИКАК НЕ СВЯЗАН. Поправьте, если ошибаюсь, но речь здесь идет про само ПО разработанное Microsoft – взлом активации, отключение служб (например Центра обновления). К роутерам (Mikrotik равно как и другим) Mikrosoft не имеет никакого отношения и их вообще не должно интересовать по какой именно причине Windows не может получить обновление. Роутер вещь моя личная или моего предприятия, соответственно, что хочу на этом роутере, то и отчебучиваю. А по вашей логике получается, что если я использую Windows без интернет – это нарушение лицензии Microsoft, т.к. по моей вине нарушена способность Windows обновляться (не подключен интернет). А учитывая последние санкции от Micrisoft в отношении России – рекомендации на этой страничке должны висеть в рамке у каждого системного администратора в кабинете. И эти правила прописывать в файрволе одними из первых. Сразу после маршрута к 0.0.0.0, т.к. неясно, что может прилететь от Microsoft со следующим обновлением. Может и утилита прилететь с блокировкой мыши и клавиатуры и стиранием пользовательских данных без возможности восстановления, а может быть и форматирование диска. После отказа от продаж и поддержки на территории России от них можно ждать чего угодно.

  2. Немножко допилил.
    Делаете первому правилу в IP-Firewall-Filter Rules комментарий vtb (чтобы правила ставились в начало), потом копируете и вставляете строчки:
    /ip firewall filter
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=update.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=download.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=download.windowsupdate.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=wustat.windows.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=stats.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=ntservicepack.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=windowsupdate.com reject-with=icmp-network-unreachable

    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=vortex.data.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=vortex-win.data.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telecommand.telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telecommand.telemetry.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=oca.telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=oca.telemetry.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=sqm.telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=sqm.telemetry.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=watson.telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=watson.telemetry.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=redir.metaservices.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=choice.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=choice.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=df.telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=reports.wes.df.telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=wes.df.telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=services.wes.df.telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=sqm.df.telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=watson.ppe.telemetry.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telemetry.appex.bing.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telemetry.urs.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telemetry.appex.bing.net:443 reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=settings-sandbox.data.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=vortex-sandbox.data.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=survey.watson.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=watson.live.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=watson.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=statsfe2.ws.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=corpext.msitadfs.glbdns2.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=compatexchange.cloudapp.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=cs1.wpc.v0cdn.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=a-0001.a-msedge.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=statsfe2.update.microsoft.com.akadns.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=sls.update.microsoft.com.akadns.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=fe2.update.microsoft.com.akadns.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=diagnostics.support.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=corp.sts.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=statsfe1.ws.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=pre.footprintpredict.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=i1.services.social.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=i1.services.social.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=feedback.windows.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=feedback.microsoft-hohm.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=feedback.search.microsoft.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=rad.msn.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=preview.msn.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=ad.doubleclick.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=ads.msn.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=ads1.msads.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=ads1.msn.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=a.ads1.msn.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=a.ads2.msn.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=adnexus.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=adnxs.com reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=az361816.vo.msecnd.net reject-with=icmp-network-unreachable
    add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=az512334.vo.msecnd.net reject-with=icmp-network-unreachable

  3. после того как прописал блокировку в фаерволе скорость упала до 40 мегабит, покрайней мере спидтест упирается в 39 мегабит и всё, отключение правил сразу исправляет ситуацию. Как быть?

    • Как быть? В первую очередь думать! В микроте по умолчанию есть правила “Accept Established, Related and Untracked Connections” на цепочки forward и input, они обычно где-то наверху. Благодаря этим правилам процессору не приходится проверять каждый пакетик траффика на эту громаду правил, т.е. если какое либо соединение уже разок прошло всю цепочку правил и было разрешено, то оно уже не проверяется (специально упрощаю) и траффик этого соединения прёт свободно, не потребляя кучу процессорного времени. Алексей предложил поместить эту “простыню” в самом начале, конечно у вас процессор начал захлёбываться и траффик упал. Поместите правила блокировки под правилом “Accept Established, Related and Untracked Connections” цепочки forward и всё станет хорошо. И ещё, после всех процедур нужно перегрузить роутер или очистить все соединения, т.к. уже могут иметься соединения с серверами мелкомягких и правила работать не будут до их закрытия.

Ответить