У меня есть сетка, для которой доступ в публичную сеть организован только для аутентифицированных пользователей.
Соответственно, пользователи прописаны, в адресбук добавлены соответствующие сетки и в этих сетках прописаны группы пользователей. Настроена HTML-форма для аутентификации и заворачивание всех неаутентифицированных пользователей на эту страничку. Все работает.
Хочу, чтобы антивирусы и виндовс обновлялись без аутентификации.
Ну, с Касперским все просто. Всего один сервер обновления. У Есет-а в принципе можно прописать два диаппазона адресов. Все это прописано в группу адресов и для них настроено всего одно правило.
С Windows Update дела обстоят куда хуже ( http://forum.windowsfaq.ru/showthread.php?t=76207 ).
Соответственно, возникает идея использовать для обновления HTTP ALG, прописав все URL-ы для обновления в белых листах и "*" - в черный.
Очевидно, что при этом возникает одна простая проблема - HTTP ALG в случае поподания URL из черного списка вместо того, чтобы игнорировать правило, выкидывает HTTP status 401.
Есть какие либо еще идеи помимо прописывания всех IP-шников Windows Update в группу, по которой разрешается пускать трафик для неаутентифицированных пользователей?

Сам же и отвечу. Выношу, дыкскать, идею на обсуждение

По ссылке, которую я давал, товарисчи уже намекали на фильтры по микрософтовским сеткам. Естественно, в этих сетках сайты Windows Update перемешаны с прочими веб-сайтами и сервисами.
Мысль такая:
Забить в адрес-буке эти сетки. А затем, как я уже предлагал, завести HTTP Filter, в котором запретить все, а в белый список добавить URL-ы сайтов обновления (см. KB, приводимый в топике под ссылкой).
Соответственно, создается правило, в котором целевыми являются сетки микрософта, а на сервис установлен фильтр.
Это позволит сделать следующее:
в 99% случаев (т.е. когда пользователи еще не залогиневшить лезут на сайты микрософт), пользователи будут попадать на страницу аутентификации, при этом будет нормально работать Windows Update без аутентификации пользователей.
В оставшемся проценте случаев пользователи наткнуться на ошибку 401, уйти от которой они смогут введя любую другую URL, отличную от микрософтовских.
Что скажете? Проветить концепцию смогу лишь завтра верером....

А как насчет того, чтобы тупо поднять WSUS локально
и не устраивать себе мозговой секес в извращенной форме?

Ну, проблемы две:
1. компы в этой сетке - не моя епархия
2. WSUS тупо поставить некуда бюджетная организация