Cara Blokir Windows Update di Mikrotik

Sedati – Beberapa waktu lalu sempat dipusingkan dengan update terbaru dari windows dengan kode KB4494441, sempat juga error tersebut aku tulis di blog ini dengan judul Update KB4494441 Windows 10 Membuat Error Aster V2.25, karena memang setelah update aster langsung error, ada catatan bahwa aster running pada safe mode. Sempat bingung error tersebut karena apa? tapi setelah mengunjugi forum aster di forum-en.ibik.ru  dan disana ada yang membahas errornya aster setelah update windows dengan kode KB4494441, dan setelah melakukan uninstall update tersebut langsung lancar lagi. Lantas kepikiran bagaimana blokir update windows di mikrotik.

Kebetulan konfigurasi jaringan internet dirumah kira-kira seperti gambar disamping, dimana dari jaringan Indihome masuk ke mikrotik baru ke WiFi Tenda yang hanya aku gunakan sebagai access poin (AP) saja, sehingga seluruh aktifitas internet setelah mikrotik bisa dikendalikan oleh mikrotik ini, akhirnya mencoba mencari bagaimana cara blokir update windows di mikrotik, meskipun windows yang aku gunakan adalah windows original, saya juga sih kalau update di blok, tapi mau bagaimana lagi dari pada error setelah update kan repot.

Fitur blokir di Mikrotik

Ada 2 cara blokir di mikrotik melalui fitur Firewall, yaitu dengan action drop dan reject, disini aku lebih suka menggunakan action drop meskipun dengan action reject juga bisa.

Cara Setting

Setelah masuk ke Winbox pilih menu IP > Firewall > Layer7 Protocols, disini kita akan memasukan alamat web microsoft yang digunakan untuk update, dari beberapa referensi yang aku baca link tersebut adalah :

  1. download.windowsupdate.com
  2. ntservicepack.microsoft.com
  3. update.microsoft.com
  4. windowsupdate.com
  5. windowsupdate.microsoft.com
  6. ws.microsoft.com
  7. stats.microsoft.com
  8. download.microsoft.com
  9. wustat.windows.com
  10. stats.microsoft.com

Sehingga di layar7 protocols ditambahkan seperti berikut:

^.+(.download.windowsupdate.com|.ntservicepack.microsoft.com|.update.microsoft.com|.windowsupdate.com|.windowsupdate.microsoft.com|.ws.microsoft.com|.stats.microsoft.com|.download.microsoft.com|.wustat.windows.com|.stats.microsoft.com|download.windowsupdate.com|ntservicepack.microsoft.com|update.microsoft.com|windowsupdate.com|windowsupdate.microsoft.com|ws.microsoft.com|stats.microsoft.com|download.microsoft.com|wustat.windows.com|stats.microsoft.com).*\$

Setelah selesai membuat Filter Rules, kira-kira tampilanya seperti ini.

Disamping terlihat saya menambahkan script pada layar7 protocols dengan nama WindowsUpdate. Intinya nanti adalah ketika komputer melakukan akses pada situs-situs yang telah saya masukan dalam layar7 protocols tersebut akan langsung di drop, sehingga komputer tidak bisa melakukan update.

Script blokir

Ada dua cara membuat filter blokir, kira-kira commands line-nya sebagai berikut:

/ip firewall filter add chain=forward action=drop layer7-protocol=WindowsUpdate src-address-list=KOMPUTER_GAME log=yes log-prefix="Windows_Update_Block"

Kenapa ada scr-address-list=KOMPUTER_GAME, iya karena yang aku blokir hanya komputer games saja, jika scr-address-list dikosongkan maka semua komputer akan terblokir.

Berikut tampikan CGI-nya ketika telah berhasil.

Hasil

Cara ini sudah saya gunakan sekitar 2 minggu dan berhasil, windows tidak update meskipun terhubung dengan internet, jika saya lihat di log mikrotik akan terlihat bahwa komputer sebenarnya akan melakukan update tapi terblokir oleh settingan mikrotik tersebut.