Windows Updates in Windows 10 Firewall zulassen

    • Ich habe es jetzt erstmal anders gelöst, das ein und ausschalten finde ich ziemlich nervig. Daher habe ich alle Microsoft Ips in die Firewall eingetragen (natürlich nicht von Hand ;) )
      Die Aktuellen Ip´s gibt es hier Microsoft Public IP Space
      Kann man mit Notepad++ einfach automatisch bearbeiten lassen das alles nebeneinander ist mit Komma.
      Dann in der Eingabeaufforderung einfach einfügen...Mein Befehl sieht so aus (mit den aktuellen Ip`s 01.01.2019) den Namen der Rule müsst ihr auf euren Namen anpassen.

      netsh advfirewall firewall set rule name="W-SVCHost" new remoteip=13.64.0.0/11,13.96.0.0/13,13.104.0.0/14,20.36.0.0/14,20.40.0.0/13,20.128.0.0/16,20.140.0.0/15,20.144.0.0/14,20.160.0.0/12,20.176.0.0/14,20.180.0.0/14,20.184.0.0/13,23.96.0.0/13,40.64.0.0/10,42.159.0.0/16,51.4.0.0/15,51.8.0.0/16,51.10.0.0/15,51.12.0.0/15,51.18.0.0/16,51.51.0.0/16,51.53.0.0/16,51.103.0.0/16,51.104.0.0/15,51.107.0.0/16,51.116.0.0/16,51.120.0.0/16,51.124.0.0/16,51.132.0.0/16,51.136.0.0/15,51.138.0.0/16,51.140.0.0/14,51.144.0.0/15,52.96.0.0/12,52.112.0.0/14,52.120.0.0/14,52.125.0.0/16,52.126.0.0/15,52.130.0.0/15,52.132.0.0/14,52.136.0.0/13,52.145.0.0/16,52.146.0.0/15,52.148.0.0/14,52.152.0.0/13,52.160.0.0/11,52.224.0.0/11,64.4.0.0/18,65.52.0.0/14,66.119.144.0/20,70.37.0.0/17,70.37.128.0/18,91.190.216.0/21,94.245.64.0/18,103.9.8.0/22,103.25.156.0/24,103.25.157.0/24,103.25.158.0/23,103.36.96.0/22,103.255.140.0/22,104.40.0.0/13,104.146.0.0/15,104.208.0.0/13,111.221.16.0/20,111.221.64.0/18,129.75.0.0/16,131.253.1.0/24,131.253.3.0/24,131.253.5.0/24,131.253.6.0/24,131.253.8.0/24,131.253.12.0/22,131.253.16.0/23,131.253.18.0/24,131.253.21.0/24,131.253.22.0/23,131.253.24.0/21,131.253.32.0/20,131.253.61.0/24,131.253.62.0/23,131.253.64.0/18,131.253.128.0/17,132.245.0.0/16,134.170.0.0/16,134.177.0.0/16,137.116.0.0/15,137.135.0.0/16,138.91.0.0/16,138.196.0.0/16,139.217.0.0/16,139.219.0.0/16,141.251.0.0/16,146.147.0.0/16,147.243.0.0/16,150.171.0.0/16,150.242.48.0/22,157.54.0.0/15,157.56.0.0/14,157.60.0.0/16,167.220.0.0/16,168.61.0.0/16,168.62.0.0/15,191.232.0.0/13,192.32.0.0/16,192.48.225.0/24,192.84.159.0/24,192.84.160.0/23,192.100.102.0/24,192.100.103.0/24,192.197.157.0/24,193.149.64.0/19,193.221.113.0/24,194.69.96.0/19,194.110.197.0/24,198.105.232.0/22,198.200.130.0/24,198.206.164.0/24,199.60.28.0/24,199.74.210.0/24,199.103.90.0/23,199.103.122.0/24,199.242.32.0/20,199.242.48.0/21,202.89.224.0/20,204.13.120.0/21,204.14.180.0/22,204.79.135.0/24,204.79.179.0/24,204.79.181.0/24,204.79.188.0/24,204.79.195.0/24,204.79.196.0/23,204.79.252.0/24,204.152.18.0/23,204.152.140.0/23,204.231.192.0/24,204.231.194.0/23,204.231.197.0/24,204.231.198.0/23,204.231.200.0/21,204.231.208.0/20,204.231.236.0/24,205.174.224.0/20,206.138.168.0/21,206.191.224.0/19,207.46.0.0/16,207.68.128.0/18,208.68.136.0/21,208.76.44.0/22,208.84.0.0/21,209.240.192.0/19,213.199.128.0/18,216.32.180.0/22,216.220.208.0/20,2001:67c:1020::/48,2001:df0:7::/48,2001:df0:d7::/48,2001:df0:d8::/48,2001:df0:d9::/48,2001:4898::/32,2001:489a:2000::/35,2404:f801::/32,2603:1000::/24,2620:0:30::/45,2620:10c:5000::/44,2620:1ec::/36,2801:80:1d0::/48,2a01:110::/32,2a01:111::/32,2a01:4180::/32

      Dann Telefoniert die SVCHOST auch nur zu Microsoft und nicht woanders hin...


      Ich habe auch ein Script gebastelt was nur von den UpdateServern die Ip hohlt und dann in die FW einträgt, das funktioniert aber nicht da die Namen von den Domains und SubDomains irgendwie immer anders sind.
      hier mein CMD Script vieleicht kann ja einer was damit anfangen...

      @ecHo off
      for /f "delims=[] tokens=2" %%a in ('ping -n 1 windowsupdate.microsoft.com ^| findstr [') do <nul set /p=%%a,> ip.txt
      for /f "delims=[] tokens=2" %%a in ('ping -n 1 update.microsoft.com ^| findstr [') do <nul set /p=%%a,>> ip.txt
      for /f "delims=[] tokens=2" %%a in ('ping -n 1 windowsupdate.com ^| findstr [') do <nul set /p=%%a,>> ip.txt
      for /f "delims=[] tokens=2" %%a in ('ping -n 1 download.windowsupdate.com ^| findstr [') do <nul set /p=%%a,>> ip.txt
      for /f "delims=[] tokens=2" %%a in ('ping -n 1 download.microsoft.com ^| findstr [') do <nul set /p=%%a,>> ip.txt
      for /f "delims=[] tokens=2" %%a in ('ping -n 1 wustat.windows.com ^| findstr [') do <nul set /p=%%a,>> ip.txt
      for /f "delims=[] tokens=2" %%a in ('ping -n 1 ntservicepack.microsoft.com ^| findstr [') do <nul set /p=%%a>> ip.txt
      SET /p ipfile=<ip.txt
      netsh advfirewall firewall set rule name="W-SVCHost" new remoteip=%ipfile%


      Viel Spaß :)

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von brainee ()

    • Ja, das wird so vermutlich die sauberste Lösung sein, man könnte jetzt höchstens noch die IP Adressen der Update Server rausfiltern. Aber vermutlich zu umständlich.

      Jetzt sollte man nur noch automatisch mitbekommen, wann sich die IP Adressen ändern.
    • HuHu ich nochmal,habe festgestellt das keine Defender Updates mehr reinkommen, wenn man den MS IP-Bereich festlegt.. Habe nochmal ein Script gebaut, was folgendes tut.
      1. schaltet eure svchost rule ein
      2. sucht nach updates in interactiv mode und installiert diese
      3. macht die svchost rule wieder aus.
      den rule name (myRuleName) müsst ihr anpassen als trigger service habe ich den WindowsUpdateMedic Service genommen da dieser nur kurz an ist, man könnte auch den Windows Update Service nehmen, dieser ist aber sehr lange gestartet.
      das script einfach in eine .bat datei und dann in die Aufgabenplanung einfügen und alle Stunde mal starten lassen oder halt manuel starten wie ihr wollt.
      Die svchost rule nicht auf IP's oder Ports begrenzen ! Das Script muss mit Admin Rechten laufen, sonst kann die FW Rule nicht an/aus gemacht werden.
      (In AufgabenPlanung >"Mit höchsten Privilegien ausführen")

      Update: 08.01.2019 (Script Version 2 TrustedInstaller mit eingebaut da wie erwartet bei größeren Updates die FW zu früh zugemacht wurde)

      Script Runtime Version 2:

      @ecHo off
      set myRuleName="W-SVCHost"
      set myService="WaaSMedicSvc"
      set Installer=TrustedInstaller.exe
      set Programm=svchost.exe
      netsh advfirewall firewall set rule name=%myRuleName% new enable=yes
      ping 127.0.0.1 -n 3 > nul
      %systemroot%\system32\usoclient.exe StartInteractiveScan
      ping 127.0.0.1 -n 3 > nul
      :servicescan
      tasklist /FI "SERVICES eq %myService%" |find /i "%Programm%" >nul
      if %errorlevel% == 0 (
      ping 127.0.0.1 -n 10 > nul
      goto servicescan
      )
      :installerscan
      tasklist |find /i "%Installer%" >nul
      if %errorlevel% == 0 (
      ping 127.0.0.1 -n 10 > nul
      goto installerscan
      ) else (
      netsh advfirewall firewall set rule name=%myRuleName% new enable=no
      )
      exit

      ----------------------------------------------------------------------------------------------

      Würde mich über Rückmeldung freuen wenn das so funktioniert, konnte noch nicht weiter testen da z.Z. nur Defender Updates reinkommen und keine größeren Sachen.

      Um das cmd Fenster beim Start über die Aufgabenplanung auszublenden könnt ihr das ganze über ein kleines VBS Script starten.

      Set WshShell = WScript.CreateObject( "WScript.Shell" )
      WshShell.Run "c:\pfadblabla\windowsupdate.bat",0,True

      in eine .vbs Datei und das dann über die AufgabenPlanung starten...


      Viele Grüße

      Dieser Beitrag wurde bereits 10 mal editiert, zuletzt von brainee ()

    • Na ich möchte nicht das Windows nach Hause Telefoniert daher ist alles aus bis auf SoftWareProtection und Der Zeitgeber, ka ob ich den Protection Service in Windows 10 überhaupt brauche aber unter Windows 7 musste man den freigeben sonst kam irgendwann nen schwarzer Desktop wo stand das die Windows Version nicht echt ist :D Und Smartscreen und Defender Cloud Service brauch ich auch nicht.

      Habe das Script jetzt auf allen Rechnern und läuft wie erwartet.
    • Ich hatte jetzt auch den Fall dass seit ein paar Wochen keine Updates mehr kamen außer ich hab die Firewall deaktiviert. Ist mir nur aufgefallen weil der Virenscanner plötzlich gemault hat er sei zu alt und dort keine neuen Signaturen kamen.
      Windows Update hat immer gesagt ich bin auf aktuellem Stand :)
      Dann ist mir wieder eingefallen dass ich ja die Update-Regel auf die Microsoft IPs begrenzt hatte. Wenn ich das raus nehme gehts wieder.
      Evtl. haben sich die Microsoft IPs geändert. Ich hab die aktuelle Liste von Microsoft runtergeladen und in die Firewallregel verhackstückt,

      Obs aktuelle funktioniert, weiß ich nicht da ich derzeit auch ohne Firewall "aktuell" bin. Hab aber auch keine Lust die IPs mit vorher zu vergleichen :) Hier zumindest meine aktualisierte Regeländerung

      netsh advfirewall firewall set rule name="WindowsUpdates_ServiceHost" new remoteip=13.64.0.0/11,13.96.0.0/13,13.104.0.0/14,20.34.0.0/15,20.36.0.0/14,20.40.0.0/13,20.128.0.0/16,20.140.0.0/15,20.144.0.0/14,20.150.0.0/15,20.160.0.0/12,20.176.0.0/14,20.180.0.0/14,20.184.0.0/13,23.96.0.0/13,40.64.0.0/10,42.159.0.0/16,51.4.0.0/15,51.8.0.0/16,51.10.0.0/15,51.12.0.0/15,51.18.0.0/16,51.51.0.0/16,51.53.0.0/16,51.103.0.0/16,51.104.0.0/15,51.107.0.0/16,51.116.0.0/16,51.120.0.0/16,51.124.0.0/16,51.132.0.0/16,51.136.0.0/15,51.138.0.0/16,51.140.0.0/14,51.144.0.0/15,52.96.0.0/12,52.112.0.0/14,52.120.0.0/14,52.125.0.0/16,52.126.0.0/15,52.130.0.0/15,52.132.0.0/14,52.136.0.0/13,52.145.0.0/16,52.146.0.0/15,52.148.0.0/14,52.152.0.0/13,52.160.0.0/11,52.224.0.0/11,64.4.0.0/18,65.52.0.0/14,66.119.144.0/20,70.37.0.0/17,70.37.128.0/18,91.190.216.0/21,94.245.64.0/18,103.9.8.0/22,103.25.156.0/24,103.25.157.0/24,103.25.158.0/23,103.36.96.0/22,103.255.140.0/22,104.40.0.0/13,104.146.0.0/15,104.208.0.0/13,111.221.16.0/20,111.221.64.0/18,129.75.0.0/16,131.253.1.0/24,131.253.3.0/24,131.253.5.0/24,131.253.6.0/24,131.253.8.0/4,131.253.12.0/22,131.253.16.0/23,131.253.18.0/24,131.253.21.0/24,131.253.22.0/23,131.253.24.0/21,131.253.32.0/20,131.253.61.0/24,131.253.62.0/23,131.253.64.0/18,131.253.128.0/17,132.245.0.0/16,134.170.0.0/16,134.177.0.0/16,137.116.0.0/15,137.135.0.0/16,138.91.0.0/16,138.196.0.0/16,139.217.0.0/16,139.219.0.0/16,141.251.0.0/16,146.147.0.0/16,147.243.0.0/16,150.171.0.0/16,150.242.48.0/22,157.54.0.0/15,157.56.0.0/14,157.60.0.0/16,167.220.0.0/16,168.61.0.0/16,168.62.0.0/15,191.232.0.0/13,192.32.0.0/16,192.48.225.0/24,192.84.159.0/24,192.84.160.0/23,192.100.102.0/24,192.100.103.0/24,192.197.157.0/24,193.149.64.0/19,193.221.113.0/24,194.69.96.0/19,194.110.197.0/24,198.105.232.0/22,198.200.130.0/24,198.206.164.0/24,199.60.28.0/24,199.74.210.0/24,199.103.90.0/23,199.103.122.0/24,199.242.32.0/20,199.242.48.0/21,202.89.224.0/20,204.13.120.0/21,204.14.180.0/22,204.79.135.0/24,204.79.179.0/24,204.79.181.0/24,204.79.188.0/24,204.79.195.0/24,204.79.196.0/23,204.79.252.0/24,204.152.18.0/23,204.152.140.0/23,204.231.192.0/24,204.231.194.0/23,204.231.197.0/24,204.231.198.0/23,204.231.200.0/21,204.231.208.0/20,204.231.236.0/24,205.174.224.0/20,206.138.168.0/21,206.191.224.0/19,207.46.0.0/16,207.68.128.0/18,208.68.136.0/21,208.76.44.0/22,208.84.0.0/21,209.240.192.0/19,213.199.128.0/18,216.32.180.0/22,216.220.208.0/20,2001:67c:1020::/48,2001:df0:7::/48,2001:df0:d7::/48,2001:df0:d8::/48,2001:df0:d9::/48,2001:4898::/32,2001:489a:2000::/35,2404:f801::/32,2603:1000::/24,2620:0:30::/45,2620:10c:5000::/44,2620:1ec::/36,2801:80:1d0::/48,2a01:110::/32,2a01:111::/32,2a01:4180::/32

      [Edit] geht wohl trotzdem nicht, denn der Virenscanner findet mit den eingeschränkten IPs keine Updates [/Edit]

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von KaptainKnax ()