Bloquer la connexion à Windows Update

Dans un tutoriel précédent, je vous expliquais comment désactiver Windows Update de Windows 10 ou Windows 11. On peut faire cela avec des logiciels gratuits qui modifient Windows et notamment dészativent des composants et services Windows.
Mais certains utilisateurs n’aiment pas modifier le système. Dans ce cas, un autre approche consiste à laisser Windows Update foncitonner mais à bloquer la connexion aux serveurs de mises à jour de Microsoft.
Ainsi, la vérification de mises à jour ne fonctionnera pas et aucune mise à jour seront télécharger.

Dans ce tutoriel, je vous explique comment bloquer la connexion à Windows Update à l’aide du pare-feu Windows Defender et vous donne aussi d’autres solutions comme avec un firewall tiers.

Comment bloquer la connexion à Windows Update avec le parefeu-Windows Defender

Introduction

Si vous souhaitez empêcher Windows Update de fonctionner, vous pouvez créer une règle de pare-feu qui bloque l’accès aux serveurs de mise à jour de Microsoft.
En effet, le pare-feu Windows Firewall permet de créer des règles de blocages.
Il est possible de créer des règles qui visent des processus précis comme svchost.exe ou des services, comme le service Windows Update (wuausrv).
Mais à cause de mécanismes de sécurité interne, comme je l’explique en fin de cet article, cela ne fonctionne pas.
Par contre, on peut envisager de bloquer les adresses IP utilisées par Windows Update.
C’est ce que je vous propose de faire ici.

Deux inconvénients :

• Les adresses IP peuvent changer dans le temps ou selon votre emplacement géographique. Il est possible qu’il faille ajuster la règle dans le temps. Elles peuvent fonctionner en France mais ne pas fonctionner en Belgique ou au Québec
• Si ces adresses IP sont partagées avec d’autres services de Microsoft, ces derniers seront aussi bloqués

Ce n’est donc pas la solution idéale, la meilleure solution est d’utiliser un pare-feu tiers car ce dernier est capable de cibler le service Windows Update.
J’explique ces aspects dans la fin de cet article.

Importer une règle de blocage de Windows Update dans le pare-feu Windows (Méthode 1)

Dans cette méthode, je mets à disposion un fichier contenant les règles sortantes du pare-feu de Windows que vous pouvez importer.
Voici comment faire :

• Téléchargez les règles de pare-feu incluant le blocage de Windows Update :

Bloquer-Windows-Update.wfw

• Décompressez le fichier ZIP à l’empalcement de votre choix avec l’Explorateur de fichiers ou avec 7-zip
• Puis sur votre clavier, appuyez sur les touches+R
• Puis saisissez wf.msc

• Faites un clic droit puis importer la stratégie

• Sur le message d’avertissement qui demande une confirmation pour importer les règles, faites oui.
• Puis naviguez dans les dossiers pour sélectionner le fichier Bloquer-Windows-Update.wfw

• Si l’import réussi, vous obtenez le message suivant

• Faites une recherche de mise à jour, si Windows Update est bloqué, cela doit retourner “erreur rencontrée“

Vous pouvez à tout moment, depuis les fonctions avancées du pare-feu Windows, accédez à la règle depuis les règles sortantes.
Faites un clic dorit sur “Block Windows Update” et Désactiver, si vous souhaitez que la règle ne s’applique plus.
Pour modifier la liste des adresses IP bloquées, double-cliquez dessus et allez dans l’onglet Etendue, elle apparaîssent dans la seconde partie de la fenêtre.

Firewall Windows Defender : les bon réglages

En PowerShell : plus fexible mais pour les utilisateurs confirmés (Méthode 2)

Dans cette seconde méthode, je vous donne les commandes PowerShell pour ajouter la règle de blocage Windows Update dans le pare-feu de Windows.
Voici comment faire :

• Appuyez sur le raccourci clavier  + X ou cliquez avec le bouton droit de la souris sur le menu Démarrer puis sélectionnez “Terminal Windows (admin)“. Plus d’informations : Comment ouvrir Windows Terminal
• Puis passez la commande suivante :

New-NetFirewallRule -DisplayName "Block Windows Update" -Direction Outbound -Action Block -Protocol TCP -RemotePort 80,443 -RemoteAddress 65.55.163.0/24, 13.74.179.0/24, 191.232.139.0/24, 20.36.222.0/24, 20.42.23.0/24, 191.232.139.0/24, 20.36.218.0/24, 95.101.0.0/24, 95.101.1.0/24, 13.78.168.0/24, 93.184.221.0/24, 13.83.184.0/24, 13.107.4.0/24, 13.83.148.0/24, 40.78.107.0/24, 20.97.190.0/24, 20.72.235.0/24, 2.23.97.0/24, 40.83.50.0/24, 52.152.180.0/24, 193.187.214.0/24, 20.163.45.0/24, 4.154.131.0/24, 20.3.187.0/24, 40.69.42.0/24, 20.199.120.0/24, 199.232.18.0/24, 51.104.15.0/24, 20.189.173.0/24, 13.107.246.0/24, 40.127.240.0/24 -Profile Any

• Explication des paramètres :
  • -DisplayName “Block Windows Update” → Nom de la règle.
  • -Direction Outbound → Bloque les connexions sortantes de Windows Update.
  • -Action Block → Empêche l’accès aux serveurs.
  • -Protocol TCP -RemotePort 80,443 → Bloque le HTTP/HTTPS utilisé par Windows Update.
  • -RemoteAddress → Liste des adresses IP utilisées par Windows Update.
  • –Profile Any → Applique la règle à tous les profils réseau (Domaine, Privé, Public).

• Pour désactiver la règle temporairement et ainsi autoriser la connexion aux serveurs Windows Update :

Set-NetFirewallRule -DisplayName "Block Windows Update" -Enabled False

• Pour réactiver la règle :

Set-NetFirewallRule -DisplayName "Block Windows Update" -Enabled True

• Enfin vous souhaitez supprimer la règle, utilisez la commande suivante :

Remove-NetFirewallRule -DisplayName "Block Windows Update"

Comment bloquer la connexion à Windows Update avec un pare-feu tiers

La solution la plus simple et la plus efficace est d’utiliser un firewall tiers pour bloquer la connexion aux serveurs de Microsoft.
En effet, ces derniers ont des règles pour le service Windows Update ou à minima pour le processus svchost.exe.
Dès lors, d’un simple clic, vous pouvez bloquer la connexion pour ce composant de Windows.

Par exemple, ci-dessous, avec Fort Firewall, il est extrême simple de bloquer le téléchargement des mises à jour de Windows.

Autre exemple, avec Glasswire, il suffit de désactiver la règle pour le processus hôte (svchost.exe), dès lors Windows Update n’est plus en mesure de se connecter aux serveurs distants.

Ce qui ne fonctionne pas pour bloquer la connexion à Windows Update

Windows possède des mécanismes internes qui rend le blocage de Windows Update avec les outils internes difficiles.
Cela vient du fait, que les logiciels malveillants ont eu tendance à en abuser pour rendre les machines vulnérables.

Voici deux façons de faire qui ne fonctionnent pas :

Pour empêcher Windows Update de parvenir de se connecter aux serveurs de misesà jour, on peut envisager d’ajouter les adresses des Windows Update dans le fichier HOSTS en vue de bloquer la résolution DNS.
Par exemple, on peut cibler les adresses suivantes : windowsupdate.microsoft.com, update.microsoft.com ou
download.windowsupdate.com.
Et bien, j’ai testé et cela ne fonctionne pas.
De plus, cela va générer des alertes antivirus, par exemple Windows Defender va émettre des détections du type SettingsModifier:Win32/PossibleHostsFileHijack.

Comme expliqué en introduction, on peut créer des règles de pare-feu de Windows plus précises en visant le processus svchost.exe et le service wuauserv.
Le but est que le blocage ne s’applique qu’au service Windows Update.
En PowerShell, cela donne :

New-NetFirewallRule -DisplayName "Block Windows Update" -Direction Outbound -Action Block -Protocol TCP -RemotePort 80,443 -Program "%SystemRoot%\System32\svchost.exe" -Service wuauserv -Profile Any

Dans l’interface du pare-feu avancé de Windows, il faut se rendre dans l’onglet Programmes et services.
De là, on peut cibler un programme ou un service Windows.

Mais au moment de valider les propriétés de la règle, un message indique que les règles qui spécifient des processus hôtes, par exemple svchost.exe, risquent de ne pas fonctionner comme prévu car elles peuvent entrer en conflit avec des règles de sécurisations renforcées des services Windows.

Je confirme que ces règles de blocages de Windows Update ne fonctionnent pas.

Liens

• Les mises à jour de fonctionnalités de Windows 10/11
• Les mises à jour cumulatives ou de qualité de Windows
• Les mises à jour Windows Update de Windows 10 : fonctionnement et paramétrage
• Configurer Windows Update sur Windows 11
• Comment désinstaller une mise à jour de Windows
• Comment désactiver les mises à jour Windows Update de Windows 11
• Windows 10, 11 : Bloquer/masquer une mise à jour sur Windows Update
• Bloquer la connexion à Windows Update
• Comment afficher et supprimer l’historique de mise à jour Windows Update
• Comment réparer ou réinitialiser Windows Update
• Erreurs Windows Update : Mise à jour impossible à installer
• Désactiver l’optimisation de livraison de Windows 10/11
• 5 outils gratuits pour réparer Windows Update
• Régler l’heure d’installation des mises à jour de Windows 10
• Windows Update : un problème s’est produit, essayez de rouvrir les paramètres plus tard
• Mise à jour KB de Windows : tout savoir

L’article Bloquer la connexion à Windows Update est apparu en premier sur malekal.com.