Windows 10 ファイアウォール - すべての送信を拒否し、Windows 更新のみを許可するにはどうすればよいですか?

私もこれを理解しようとしています。「Windowsファイアウォールコントロール」のメーカーは「Windows 7ではsvchost.exeのサービスベースのルールを作成できますが、Windows 10では作成できません。「Windowsファイアウォールは後退し、提供されている機能を実行せず、svchostの傘下にある個々のサービスをブロックしています。Microsoftは、毎月第2火曜日に24時間前後の間隔でWindowsの更新プログラムをリリースしています。毎月svchostを自動的に有効にするタスクを作成し、毎日Defenderの更新プログラムを1つ（5〜10分間）実行するか、手動で実行することができます。または、デスクトップ上でオンデマンドで実行されるタスクへのショートカット。

冒険心があるなら、たとえばすべてをブロックし、パケット ログを有効にし、すべての Windows Update サーバー接続の IP アドレスとポートを監視し、それらの特定の IP アドレスに対してのみ svchost を許可することができます。これにより、Windows Update のみを許可するように絞り込まれます。最後の 3 桁を .1/24 に置き換えた cidr 形式を使用すると、時間の経過とともに IP が変化する場合でも、そのサブネット上のすべての IP にアクセスできるようになります。その範囲外で他の IP がポップアップ表示された場合は、それが Windows Update ではないことがわかります。手動でトリガーする以外に、svchost 傘下でどのプログラム/サービスが動作しているかを正確に検出する方法はわかりません。

これは、Windows Defender ファイアウォールの GUI である Windows ファイアウォール コントロールを使用した例です。Windows アップデートでは、グループ ポリシーの「配信の最適化」ダウンロード モードを 99 に設定します (P2P やクラウド サービスは使用せず、Microsoft サーバーのみを使用することを意味します。そのため、1,000,000,000 の異なる IP は取得されません)。

リモート アドレス: 65.55.163.1/24、13.74.179.1/24、191.232.139.1/24、20.36.222.1/24、20.42.23.1/24、191.232.139.2/24、20.36.218.1/24、95.101.0.1/24、95.101.1.1/24、13.78.168.1/24、93.184.221.1/24、13.83.184.1/24、13.107.4.1/24、13.83.148.1/24

それが Windows 10 です。