- 締切済み
F/WでWindowsUpdateを許可する方法
SymantecのEndPointProtectionでサーバ機のファイヤーウォールを構成しています。原則全部禁止のルールで強固にしたいと考えているのですが、WindowsUpdateも遮断してしまって困っています。 EndPointProtectionのファイヤーウォールルールでは、次の指定しかできません。 ・相手ホストのMacアドレスか、IPアドレス。 ・TCP/UDPのプロトコルとポート ・実行アプリケーション WinUpdateのurlが指定できれば問題ないのですが、urlでは許可できません。WindowsUpdateの実行ファイルは、svchost.exeとのことですが、これを許可すると何でも許可になるのではないかと考えています。何か良い方法はありませんか。 なお、プラットフォームとバージョン等に関しては、動作可能なら共通だと思いますので詳しくは割愛いたします。当方の環境概要は、WindowsServer2003(sp2)でEndPointProtection(version11)です。勿論、ファイヤーウォールを原則禁止としなければ、WindowsUpdateも正常に動作しています。
- nakryo777
- お礼率98% (55/56)
- ウィルス・マルウェア
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
noname#243565
回答No.1
その状態ではインターネットにも接続できないのではありませんか? Windows Server 2003のWindows Updateでは普通のインターネットアクセスを利用するため、ファイアウォールの80と443ポートがあいている必要があります。
お礼
折角、回答頂いたのに、補足が回答内容に対応していませんでした。 回答は、ポートの80と443を空ければよいのではという回答でしたね。それはそれで、解決策なので、回答ありがとうございました。私は、セキュリティ強化の為に、極力、ポートを閉じようとしています。だから、特にhttpとhttpsのポートを空けるなどと言った、危険な設定はしたく有りませんでした。 その為に、ieを許可して、意識してieでインターネットを見る時のみ許可しているという使い方でした。こういう使い方の時に、WindowsUpdateのみ許可する方法を尋ねたのでした。 会社ではWSUSのサーバが立っているので、WSUSサーバのアドレスを許可すれば解決しました。しかし、一般ユーザでWindowsUpdateは出来ないようですね。 場所を替えて質問したいと思いますので、クローズさせて頂きます。 回答、ありがとうございました。
補足
ご指摘ありがとうございました。大事なことを説明していませんでした。制限は、次のロジックで実施しています。 まず、ベースとして、全てのIPアクセスを遮断。次に、i.e.アプリの許可。それから、部署内IPセグメントの許可です。EndPiontProtectionの設定画面では、下から順番に設定すると、許可されたアクセス以外が禁止となり、その様に動作しています。ここに、WindowsUpdateの許可を設定したいというのが質問している内容です。 元々、純粋なデータサーバなので、i.e.は必要というわけではないのですが、トラブル対応の時に便利なので、i.e.は許可しているという状況です。 よろしくお願いいたします。