Blocco dell’aggiornamento di Windows con Mikrotik e FlashStart

Una misura che può comportare ad un miglioramento delle prestazioni di rete

1. Perché bloccare Windows Update su Mikrotik?

Il blocco di Windows Update su una rete è una misura che può comportare ad un miglioramento delle prestazioni di rete, può essere necessario in alcune situazioni per mantenere la stabilità e la larghezza di banda. A volte, gli aggiornamenti di Windows possono consumare una grande quantità di banda e interferire con l’uso delle applicazioni aziendali. Pertanto, bloccare Windows Update su Mikrotik può essere un modo per evitare problemi e garantire che la rete funzioni in modo efficiente e stabile. Inoltre, il blocco di Windows Update consente agli amministratori di rete di controllare e monitorare gli aggiornamenti, il che può essere utile in termini di sicurezza e pianificazione delle risorse.

Non è una buona pratica bloccare completamente gli aggiornamenti di Windows, in quanto potrebbe rappresentare un vettore di sicurezza in un’azienda nel caso in cui l’intera infrastruttura sia di Microsoft. Tuttavia, una buona pratica per gli amministratori è quella di pianificare il tutto. In questo articolo parleremo di come raggiungere questo obiettivo con Mikrotik e FlashStart.

2. Come configurare Mikrotik per bloccare Windows Update

Mikrotik è un router con molte funzionalità e caratteristiche di sicurezza ed è possibile creare regole del firewall per bloccare gli aggiornamenti di Windows Update in modo semplice. Microsoft utilizza i seguenti host per gli aggiornamenti sulle porte 80 e 443:

http://windowsupdate.microsoft.com 
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://stats.microsoft.com
https://stats.microsoft.com

Questo elenco può essere modificato, su Mikrotik si può usare il comando “content” per il traffico sulla porta 80, usare il proxy DNS su Mikrotik e creare una voce per un IP locale, nonché usare TLS-HOST per il traffico sulla porta 443.

Bloccare Windows Update con Mikrotik per la porta 443.

È possibile utilizzare le seguenti regole per bloccare il traffico di Windows Update con Mikrotik.

/ip firewall filter add action=drop chain=prerouting comment=”Blok Windows Update” protocol=tcp tls-host=windowsupdate.microsoft.com add action=drop chain=prerouting comment=”Blok Windows Update” protocol=tcp tls-host=download.microsoft.com add action=drop chain=prerouting comment=”Blok Windows Update” protocol=tcp tls-host=test.stats.update.microsoft.com add action=drop chain=prerouting comment=”Blok Windows Update” protocol=tcp tls-host=ntservicepack.microsoft.com add action=drop chain=prerouting comment=”Blok Windows Update” protocol=tcp tls-host=*.download.windowsupdate.com add action=drop chain=prerouting comment=”Blok Windows Update” protocol=tcp tls-host=*.update.microsoft.com add action=drop chain=prerouting comment=”Blok Windows Update” protocol=tcp tls-host=download.windowsupdate.com add action=drop chain=prerouting comment=”Blok Windows Update” protocol=tcp tls-host=*.windowsupdate.microsoft.com

È anche possibile utilizzare RAW al posto del filtro/firewall.


>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli ? Attiva subito una prova gratuita


3. Blocco tramite DNS

A tale scopo, utilizzando il proxy DNS di Mikrotik, è possibile creare le seguenti regole nella sezione IP/DNS:

With Mikrotik DNS proxy, you can create the following rules in the IP/DNS section.

Fare clic su Statico e aggiungere una voce del tipo tutti gli host di cui sopra. Ecco un esempio in cui tutto il traffico viene inoltrato a un server locale o a un IP inesistente:

2nd Mikrotik DNS proxy. You can create the following rules in the IP/DNS section

4. Perché è importante controllare gli aggiornamenti in una rete aziendale?

In una rete aziendale, il controllo degli aggiornamenti è essenziale per garantire la stabilità e la sicurezza della rete. Gli aggiornamenti possono correggere problemi di sicurezza e aggiungere nuove funzionalità a sistemi e applicazioni, ma possono anche causare problemi, se la rete non dispone di una larghezza di banda sufficiente o se il consumo è troppo elevato.

Ad esempio, in una rete in cui sono presenti sistemi critici e la larghezza di banda è limitata, potremmo perdere l’accesso, ad esempio, alle risorse su Internet, come le macchine virtuali nel cloud. Per questi motivi, è importante che gli aggiornamenti vengano eseguiti in modo controllato e testati prima di essere distribuiti in tutta la rete.

In questo modo è possibile ridurre al minimo i rischi e garantire un’esperienza utente affidabile e sicura.

5. Come garantire la protezione della rete bloccando Windows Update

Sebbene il blocco di Windows Update possa essere una soluzione temporanea per evitare problemi alla rete aziendale, è importante garantire che la rete sia protetta da altre minacce. Ecco alcune misure che potete adottare per garantire la sicurezza della vostra rete mentre Windows Update è bloccato:

» Mantenere aggiornati i programmi antivirus e antimalware su tutti i dispositivi della rete. Eseguite scansioni regolari e monitorate l’attività di rete per individuare eventuali intrusioni.
» Verificare le regole di sicurezza del Firewall: Un firewall è un sistema di sicurezza che consente o nega l’accesso alla rete in base a una serie di regole. Configurate regole rigorose per limitare l’accesso alla rete e proteggerla da potenziali minacce.
» Mantenere i backup: Eseguite regolarmente backup dei dati critici della rete per garantirne il ripristino in caso di guasti tecnici o intrusioni.
» Monitorare ed eseguire controlli regolari: Monitorate la rete per individuare eventuali intrusioni o comportamenti anomali. Eseguite controlli regolari per individuare e correggere eventuali vulnerabilità di sicurezza.

6. Alternative a Mikrotik per il blocco di Windows Update

Mikrotik è un potente firewall e router con capacità molto elevate, ma non bisogna dimenticare che la sua funzione principale è quella di gestire la rete e non è stato progettato per la gestione del traffico. FlashStart è una potente soluzione di filtraggio DNS, integrata da intelligenza artificiale e bassa latenza, che può essere perfettamente integrata nel router Mikrotik.

Nel caso in cui si creino regole per bloccare Windows Update con Mikrotik e Microsoft apporti delle modifiche, è necessario aggiornarle nel router. Utilizzando FlashStart, la gestione sarà ancora più semplice, perché, grazie ai suoi filtri granulari e agli aggiornamenti costanti, avremo sempre un blocco garantito, senza dover aggiungere o modificare regole nel nostro router Mikrotik.

FlashStart granular filters configuration

FlashStart ha una categoria speciale chiamata Aggiornamenti. Se si desidera bloccare solo i domini di Windows Update con FlashStart, è possibile aggiungerlo nella sezione della blacklist personale.

FlashStart aiuta a bloccare gli aggiornamenti e a controllare la rete. Inoltre, l’integrazione per il blocco di Windows Update faciliterà il lavoro di un amministratore.

Tuttavia, questo non è l’unico aspetto. Come abbiamo detto in precedenza, bloccare completamente Windows Update in una rete non è una buona pratica, poiché si potrebbe avere un vettore di attacco per un bug di sicurezza in una versione del software. FlashStart ci offre la possibilità di bloccare gli aggiornamenti programmati; questo significa che potremmo bloccare gli aggiornamenti durante l’orario di lavoro e lasciarli attivi dopo l’orario di lavoro, in questo modo sfrutteremmo meglio la larghezza di banda senza impattare sull’utilizzo. Si tratta di una funzione davvero utile e senza la complessità di altre soluzioni.

7. Suggerimenti e considerazioni finali su come bloccare Windows Update con Mikrotik.

Quando si blocca Windows Update con Mikrotik, è importante considerare i seguenti suggerimenti e fattori:

» Testate la configurazione prima di distribuirla in tutta la rete: Prima di bloccare Windows Update su tutti i dispositivi della rete, accertatevi che la configurazione funzioni correttamente in un ambiente di prova.
» Mantenete aggiornati i sistemi e le applicazioni critici: anche se bloccate Windows Update, assicuratevi di mantenere aggiornati i sistemi e le applicazioni critici per garantirne la sicurezza e la stabilità.
» Monitorare gli aggiornamenti importanti: Microsoft rilascia di tanto in tanto aggiornamenti importanti che risolvono problemi critici o vulnerabilità di sicurezza. Monitorate questi aggiornamenti e prendete in considerazione la possibilità di sbloccare temporaneamente Windows Update per installarli sulla vostra rete.
» Pianificare la gestione degli aggiornamenti: Stabilite un piano per la gestione degli aggiornamenti sulla rete e assicuratevi di avere una strategia per gestire gli aggiornamenti importanti e critici. FlashStart offre blocchi programmati.

In sintesi, è importante considerare attentamente le conseguenze del blocco di Windows Update su Mikrotik e FlashStart e ricordarsi di prendere provvedimenti per garantire la sicurezza e la stabilità a lungo termine della rete ottimizzando la larghezza di banda.


>> FlashStart protegge in modo veloce e costante oltre 25 milioni di utenti contro i rischi informatici ? Contattaci!


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

Tempo di lettura 3 min
Condividi questo articolo:  
For information
click here
For a free trial
click here
For prices
click here
Follow us on
Linkedin | YouTube