F/WでWindowsUpdateを許可する方法

SymantecのEndPointProtectionでサーバ機のファイヤーウォールを構成しています。原則全部禁止のルールで強固にしたいと考えているのですが、WindowsUpdateも遮断してしまって困っています。
　EndPointProtectionのファイヤーウォールルールでは、次の指定しかできません。
・相手ホストのMacアドレスか、IPアドレス。
・TCP/UDPのプロトコルとポート
・実行アプリケーション
　WinUpdateのurlが指定できれば問題ないのですが、urlでは許可できません。WindowsUpdateの実行ファイルは、svchost.exeとのことですが、これを許可すると何でも許可になるのではないかと考えています。何か良い方法はありませんか。
　なお、プラットフォームとバージョン等に関しては、動作可能なら共通だと思いますので詳しくは割愛いたします。当方の環境概要は、WindowsServer2003(sp2)でEndPointProtection(version11)です。勿論、ファイヤーウォールを原則禁止としなければ、WindowsUpdateも正常に動作しています。

No.1 ベストアンサー 回答者： Hamuichiro 回答日時： 2011/10/26 18:24

その状態ではインターネットにも接続できないのではありませんか?

Windows Server 2003のWindows Updateでは普通のインターネットアクセスを利用するため、ファイアウォールの80と443ポートがあいている必要があります。

この回答への補足

ご指摘ありがとうございました。大事なことを説明していませんでした。制限は、次のロジックで実施しています。
　まず、ベースとして、全てのIPアクセスを遮断。次に、i.e.アプリの許可。それから、部署内IPセグメントの許可です。EndPiontProtectionの設定画面では、下から順番に設定すると、許可されたアクセス以外が禁止となり、その様に動作しています。ここに、WindowsUpdateの許可を設定したいというのが質問している内容です。
　元々、純粋なデータサーバなので、i.e.は必要というわけではないのですが、トラブル対応の時に便利なので、i.e.は許可しているという状況です。
よろしくお願いいたします。

補足日時：2011/10/27 08:36

この回答へのお礼

折角、回答頂いたのに、補足が回答内容に対応していませんでした。
　回答は、ポートの80と443を空ければよいのではという回答でしたね。それはそれで、解決策なので、回答ありがとうございました。私は、セキュリティ強化の為に、極力、ポートを閉じようとしています。だから、特にhttpとhttpsのポートを空けるなどと言った、危険な設定はしたく有りませんでした。
　その為に、ieを許可して、意識してieでインターネットを見る時のみ許可しているという使い方でした。こういう使い方の時に、WindowsUpdateのみ許可する方法を尋ねたのでした。
　会社ではWSUSのサーバが立っているので、WSUSサーバのアドレスを許可すれば解決しました。しかし、一般ユーザでWindowsUpdateは出来ないようですね。
　場所を替えて質問したいと思いますので、クローズさせて頂きます。
　回答、ありがとうございました。

お礼日時：2012/01/02 00:47