Windows Update no Windows Server: URLs e portas no firewall/proxy (guia completo, com WSUS e Delivery Optimization)

Saiba exatamente quais portas e domínios liberar no firewall/proxy para que servidores Windows alcancem o Windows/Microsoft Update (com ou sem WSUS) e como validar a conectividade com testes práticos de PowerShell, boas práticas de segurança e um checklist rápido para produção.

Visão geral

Administradores costumam permitir apenas TCP 80/443 de saída e o antigo windowsupdate.microsoft.com. Porém, o ecossistema de atualizações da Microsoft envolve múltiplos endpoints (Windows Update, Microsoft Update, CDN de conteúdo e Delivery Optimization), além de portas específicas quando há WSUS e, opcionalmente, P2P do Delivery Optimization (DO). Abaixo, você encontra uma referência detalhada, com recomendações de arquitetura, exemplos de regras e procedimentos de verificação.

Princípios recomendados

• Permitir por FQDN/domínio, não por faixa de IP. A infraestrutura é distribuída e dinâmica.
• Evitar inspeção TLS nos domínios de atualização. A interceptação costuma quebrar a negociação e gerar erros de assinatura.
• Usar 80/443 de saída para os serviços oficiais e 8530/8531 na comunicação WSUS <> clientes/WSUS, quando aplicável.
• Revisar periodicamente a allowlist, pois endpoints podem evoluir.

Portas necessárias

Porta/Protocolo	Direção	Uso	Observações
TCP 80 (HTTP)	Saída	Windows/Microsoft Update, CDNs e metadados	Usado por BITS e downloads iniciais/redirecionamentos
TCP 443 (HTTPS)	Saída	Windows/Microsoft Update e Delivery Optimization	Tráfego principal de catálogo e conteúdo
TCP 8530	Entrada/saída (interna)	WSUS via HTTP	Entre servidores WSUS e entre clientes <> WSUS
TCP 8531	Entrada/saída (interna)	WSUS via HTTPS	Recomendado quando há TLS interno
TCP 7680	Entrada (interna)	Delivery Optimization P2P	Opcional; apenas se P2P estiver habilitado

Domínios/FQDNs principais para permitir

Direção: saída (egress), via 80/443.

Observação: o uso de curingas (*.) é necessário porque os serviços distribuem carga por subdomínios e CDNs. Mantenha a resolução DNS funcionando e evite inspeção TLS nesses nomes.

FQDN / Padrão	Protocolos	Finalidade
http://windowsupdate.microsoft.com	HTTP	Windows Update clássico (compatibilidade)
http://.windowsupdate.microsoft.com https://.windowsupdate.microsoft.com	HTTP/HTTPS	Catálogo/serviços do Windows Update
http://.update.microsoft.com https://.update.microsoft.com	HTTP/HTTPS	Microsoft Update (produtos além do Windows)
http://*.windowsupdate.com	HTTP	Downloads e metadados
http://download.windowsupdate.com	HTTP	CDN de conteúdo
https://download.microsoft.com	HTTPS	Downloads oficiais da Microsoft
http://*.download.windowsupdate.com	HTTP	Variações de CDN
http://wustat.windows.com	HTTP	Telemetria/estatísticas de atualização
http://ntservicepack.microsoft.com	HTTP	Compatibilidade legada
http://go.microsoft.com	HTTP	Redirecionamentos oficiais
Delivery Optimization (DO) http://dl.delivery.mp.microsoft.com https://dl.delivery.mp.microsoft.com http(s)://*.delivery.mp.microsoft.com	HTTP/HTTPS	Orquestração e distribuição otimizada de conteúdo

Quando você utiliza WSUS

• O primeiro WSUS (que baixa da Microsoft) precisa de saída 80/443 para todos os FQDNs listados acima.
• Comunicação interna entre upstream/downstream WSUS e entre clientes e WSUS usa, por padrão, TCP 8530 (HTTP) e TCP 8531 (HTTPS).
• Se você optou por SSL no WSUS, ajuste a GPO/cliente para usar https://<FQDN-do-WSUS>:8531 e instale o certificado confiável nos clientes.
• Certifique-se de que o serviço WSUSContent (IIS) esteja acessível e que o pool de aplicativos tenha permissões para a pasta de conteúdo.

Delivery Optimization (DO): opções e portas

O DO pode reduzir o tráfego externo baixando por CDN e, opcionalmente, compartilhando blocos entre pares na rede.

• Endpoints em nuvem: além dos FQDNs já listados, muitos ambientes permitem *.do.dsp.mp.microsoft.com (80/443 de saída) para aprimorar a orquestração do DO.
• P2P interno (opcional): abra entrada TCP 7680 para os clientes que participarão do compartilhamento. Use escopos por VLAN/site para reduzir cross talk desnecessário.
• Políticas (GPO/Intune): configure o Download Mode (por ex., LAN ou Group), o percentual de P2P e limites de largura de banda.

Exemplos de regras (modelos)

Firewall (saída) — Windows/Microsoft Update

# Objetivo: permitir egress 80/443 para FQDNs oficiais do Windows/Microsoft Update
Direção: Saída
Ação: Permitir

Portas: TCP 80, TCP 443
Domínios/FQDNs:

- windowsupdate.microsoft.com
- \*.windowsupdate.microsoft.com
- \*.update.microsoft.com
- \*.windowsupdate.com
- download.windowsupdate.com
- \*.download.windowsupdate.com
- download.microsoft.com
- wustat.windows.com
- ntservicepack.microsoft.com
- go.microsoft.com
- dl.delivery.mp.microsoft.com
- \*.delivery.mp.microsoft.com
- \*.do.dsp.mp.microsoft.com (opcional/DO) 

Firewall (interna) — WSUS e DO (P2P)

# WSUS
Portas: TCP 8530 (HTTP), TCP 8531 (HTTPS)
Direção: Entrada/saída (rede interna)
Origem/Destino: Clientes <> Servidor(es) WSUS; WSUS upstream <> downstream

Delivery Optimization P2P (opcional)

Porta: TCP 7680
Direção: Entrada (rede interna)
Escopo: Somente sub-redes de clientes que participarão do P2P 

Proxy e inspeção TLS: o que considerar

• WinHTTP ≠ WinINET: o Windows Update usa contexto de serviço (WinHTTP). Se houver proxy, configure-o para WinHTTP.
• Autenticação no proxy: prefira pass-through por identidade de máquina (Kerberos/NTLM) ou isenção para os FQDNs do Update.
• Sem inspeção TLS para os domínios de atualização. Caso haja SSL break & inspect, inclua exceções por FQDN.
• Se sua segurança exige verificação de revogação, garanta que o próprio proxy resolva endpoints públicos de CRL/OCSP. Evite bloquear o cliente de consultar cadeias de confiança quando necessário.

Comandos úteis de proxy

# Mostrar proxy WinHTTP
netsh winhttp show proxy

Importar das configurações do Internet Options (WinINET)

netsh winhttp import proxy source=ie

Definir proxy explicitamente

netsh winhttp set proxy proxy-server="proxy.exemplo.local:8080" bypass-list="\*.dominio.local;\"

Remover proxy WinHTTP

netsh winhttp reset proxy 

Checklist rápido (produção)

1. Permitir saída 80/443 para todos os FQDNs listados (evite IPs).
2. Se houver WSUS, liberar também 8530/8531 entre clientes/WSUS e entre WSUS upstream/downstream.
3. Se habilitar Delivery Optimization, considerar *.do.dsp.mp.microsoft.com e, se usar P2P, TCP 7680 de entrada entre clientes.
4. Adicionar exceção de inspeção TLS para os domínios de atualização.
5. Validar com os testes de conectividade e revisar logs.

Testes e validação (PowerShell e utilitários nativos)

Testes de rede

# Testar portas em hosts-chave (exemplos)
Test-NetConnection download.windowsupdate.com -Port 80
Test-NetConnection download.windowsupdate.com -Port 443
Test-NetConnection dl.delivery.mp.microsoft.com -Port 443

Resolver DNS

Resolve-DnsName download.windowsupdate.com
Resolve-DnsName dl.delivery.mp.microsoft.com

Validar resposta HTTP (o retorno 200/3xx/403 já comprova passagem)

Invoke-WebRequest -Uri [https://download.microsoft.com](https://download.microsoft.com) -UseBasicParsing 

Diagnóstico do Windows Update

# Ver serviços
Get-Service wuauserv, bits

Forçar detecção/escaneamento (Server 2016+)

UsoClient.exe StartScan

Baixar e aplicar (quando aplicável)

UsoClient.exe StartDownload
UsoClient.exe StartInstall

Log consolidado do Windows Update

Get-WindowsUpdateLog

Visualizar eventos

wevtutil qe Microsoft-Windows-WindowsUpdateClient/Operational /c:50 /f\:text /q:"\*\[System\[(Level=2)]]" 

WSUS (no servidor)

# Teste de conectividade do WSUS com a Microsoft a partir do próprio WSUS
Test-NetConnection download.windowsupdate.com -Port 443

IIS: reciclar pool e verificar bindings (se usar HTTPS)

iisreset
netsh http show sslcert

Sincronização

& "C:\Program Files\Update Services\Tools\WsusUtil.exe" checkhealth
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" reset 

Delivery Optimization

# Status atual de DO
Get-DeliveryOptimizationStatus

Resumo de performance/peering

Get-DeliveryOptimizationPerfSnap

Ver porta P2P local

netstat -ano | findstr :7680 

Modelos de Política (GPO) relevantes

Caminho	Política	Finalidade
Computer Configuration → Administrative Templates → Windows Components → Windows Update	Specify intranet Microsoft update service location	Aponta clientes para o WSUS (HTTP/HTTPS e porta)
Computer Configuration → Administrative Templates → Windows Components → Windows Update	Do not connect to any Windows Update Internet locations	Evita consultas à Internet quando WSUS é obrigatório
Computer Configuration → Administrative Templates → Windows Components → Delivery Optimization	Download Mode	Define P2P (LAN/Group/Internet) e escopo
Computer Configuration → Administrative Templates → Windows Components → Delivery Optimization	Maximum Download/Upload Bandwidth	Limita banda por janelas de horário

Erros comuns e como resolver

• Timeout ou 0x8024401C/0x8024402C: proxy não configurado em WinHTTP ou bloqueio de saída. Corrija o proxy e/ou libere 80/443 para os FQDNs.
• 0x8024500C/assinatura inválida: inspeção TLS quebrando a cadeia. Adicione exceções de inspeção para os domínios de atualização.
• Clientes apontados para WSUS não baixam: verifique 8530/8531 internos, bindings do IIS, certificado (se HTTPS) e aprovação/classificação de atualizações.
• DO P2P não funciona: porta 7680 bloqueada, escopo de peering inadequado ou política de DO em modo “HTTP Only”.
• DNS externo restrito: se o firewall não suporta FQDN dinâmico, use regras por domain name no proxy ou solução com policy-based routing e PAC/WPAD.

Arquiteturas de referência

Servidores sem WSUS (direto na Microsoft)

1. Permitir 80/443 de saída para FQDNs listados.
2. Se houver proxy, configurar WinHTTP com exceções de inspeção TLS.
3. Executar testes de Resolve-DnsName, Test-NetConnection e Invoke-WebRequest.
4. Validar logs do cliente e instalar atualizações.

Com WSUS centralizado

1. WSUS principal com saída 80/443 para FQDNs da Microsoft.
2. Portas internas 8530/8531 liberadas entre clientes e WSUS (e entre WSUSs).
3. GPO apontando para o WSUS, com “Do not connect…” habilitado conforme política.
4. Se usar DO, planejar P2P interno e abrir 7680 onde necessário.

Perguntas rápidas (FAQ)

Preciso liberar por IP? Não. Os endereços mudam frequentemente; use FQDNs.

Posso inspecionar TLS? Não recomendado para os domínios de atualização. Frequentemente causa falhas de validação.

Delivery Optimization é obrigatório? Não. Mas ajuda a reduzir tráfego externo e acelera downloads, especialmente em filiais.

Quais produtos entram em Microsoft Update? Além do Windows, incluem-se Office e outros componentes Microsoft, quando habilitado no cliente.

E se o firewall não suporta FQDN? Use um proxy com allowlist por domínio (via PAC/WPAD) ou soluções que resolvam DNS dinamicamente.

Resumo executivo

• Portas base: TCP 80 e 443 de saída.
• FQDNs: permitir os padrões de windowsupdate, update.microsoft, download.windowsupdate, download.microsoft, wustat, ntservicepack, go.microsoft e os de Delivery Optimization.
• WSUS: 8530/8531 internos; WSUS “pai” precisa de 80/443 de saída para a Microsoft.
• DO: considerar *.do.dsp.mp.microsoft.com; se P2P, abrir 7680 (interna).
• Checklist e scripts acima agilizam a validação e o troubleshooting.

Notas e referência

1. Documentação oficial da Microsoft para configuração do WSUS e endpoints de atualização.
2. Requisitos de acesso à Internet para cenários de gerenciamento e orquestração (inclui menções a Delivery Optimization).
3. Listas de endpoints de segurança e produtos correlatos da Microsoft (ex.: navegadores), úteis quando políticas corporativas são estritas.

Apêndice — snippets prontos

Whitelist de domínios (formato texto)

windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
*.update.microsoft.com
*.windowsupdate.com
download.windowsupdate.com
*.download.windowsupdate.com
download.microsoft.com
wustat.windows.com
ntservicepack.microsoft.com
go.microsoft.com
dl.delivery.mp.microsoft.com
*.delivery.mp.microsoft.com
*.do.dsp.mp.microsoft.com

Verificação rápida pós-mudança (PowerShell)

$hosts = @(
  "download.windowsupdate.com",
  "dl.delivery.mp.microsoft.com",
  "download.microsoft.com"
)
foreach ($h in $hosts) {
  "Testando $h:80";  Test-NetConnection $h -Port 80 | Select-Object -Property ComputerName, RemotePort, TcpTestSucceeded
  "Testando $h:443"; Test-NetConnection $h -Port 443 | Select-Object -Property ComputerName, RemotePort, TcpTestSucceeded
}
"Proxy WinHTTP atual:"; netsh winhttp show proxy

Políticas mínimas (resumo)

• WSUS: “Specify intranet Microsoft update service location” → http(s)://wsus.seu-dominio:8530/8531.
• Sem Internet: “Do not connect to any Windows Update Internet locations” → Enabled (quando WSUS é mandatário).
• DO: “Download Mode” → LAN/Group e ajuste de limites de banda.

---

Esta referência consolida a prática recomendada para liberação de saídas por FQDN, portas e exceções de inspeção, com foco em ambientes de servidores Windows e WSUS. Revise-a em ciclos de mudança ou auditoria de rede.