KES 11.5 - Сетевой экран - запрет любой сетевой активности, кроме получения обновлений для KES и Windows

[DenRassk]

Добрый день.

Появилась задача, которую пока не понятно как решить.

Дано:

Ноутбук имеющий подключение к сети Интернет с установленным KES 11.5 (не имеющий подключения к KSC).

Задача: 

Запретить доступ в интернет любому трафику от любого ПО, за исключением доступа к серверам обновлений ЛК и MS.

 

Моё решение (частичное): 

- в сетевом экране запретил всю сетевую активность;

- создал в сетевом экране разрешающее правило до серверов обновления ЛК.... по именам серверов из списка от сюда. Имена автоматом преобразовались в IP адреса и всё путём...

 

Эта часть работает без вопросов.

 

Что делать с обновлениями от Microsoft не знаю... Нашёл в MSDN статью со списком серверов, но в нём не только адреса серверов, но и маски (типа  http://*.windowsupdate.com ).

Как их заносить в сетевой экран? Спросил ТП - ответили, что занести не возможно, сетевой экран работает только с IP адресами - ввод имён серверов с масками не возможен, так как при вводе имени сервера идёт его преобразование в IP адрес.

 

Собственно вопрос: какие адреса прописать в сетевом экране, что бы на компьютере начали обновляться Windows и Office?

 

Что пробовал: поставил NetLimiter и выловил IP адреса на которые обращается служба Обновление Windows, прописал их и .... всё работает, но только при подключении в конкретной точке. Стоит подключиться к другому провайдеру и всё... проверка обновлений вываливается в ошибку - проверьте сетевое подключение и т.п. Вариант не подходит, так как ноутбук "катается" и может быть подключен к любой доступной сети

 

Есть обсуждение на Technet и тут, но тамошнее решение - разрешить сетевой трафик по маскам 64.0.0.0/8, 65.0.0.0/8 не годится... да и не работает оно...

 

Может кто-то уже сделал такое и знает ответ на этот вопрос?

 

Заранее спасибо за помощь.

[mike 1]

26.12.2020 в 13:23, DenRassk сказал:

Запретить доступ в интернет любому трафику от любого ПО, за исключением доступа к серверам обновлений ЛК и MS.

Глупая задача, но она частично решается через модули "Веб контроль", "Контроль программ" и автономную политику безопасности, либо через шлюз соединений. Через сетевой экран антивируса вы подобное не сделаете. 

[DenRassk]

1 час назад, mike 1 сказал:

частично решается через модули "Веб контроль", "Контроль программ" и автономную политику безопасности

Не совсем понял причём тут модуль "веб-контроль". Прописать в нём разрешение ходить на перечисленные в MSDN ресурсы, а в контроле программ для svhosts.exe разрешить ходить в интернет, а остальным запретить? 

Надо подумать как на это отреагирует сетевой экран, который запрещает  доступ наружу вообще...

Подумаю и попробую это реализовать....

 

Вы под автономной политикой безопасности понимаете политику KES? Я в ней и настраиваю... доступа к KSC же нету.

 

Спойлер

Задача может на первый взгляд и глупая, но какие требования предъявили такие и реализую.

 

[oit]

Возможно, легче wsus поднять в локальной сети и подключаться через ВПН к нему и разрешить этот ВПН, остальное запретить

[mike 1]

2 часа назад, DenRassk сказал:

Не совсем понял причём тут модуль "веб-контроль"

Блокируете доступ по категориям сайтов. Через контроль программ разрешаете только те программы, которые нужны для работы, остальное блокируете. 

 

2 часа назад, DenRassk сказал:

Вы под автономной политикой безопасности понимаете политику KES?

Да.