Не вали все проблемы в кучу.

Сначала смотри лог

access_log /var/log/squid/access.log squid

если винда вообще не обращается к этому покси из-за ошибок конфигурации это одно, если что забыл разрешить, другое :)

Проблема в том, что винда как раз обращается и даже какое-то время ищет обновления, в логе полно записей типа такого:

1288336833.139 146 192.168.1.7 TCP_MISS/200 1430 GET http://www.update.microsoft.com/windowsupdate/v6/shared/images/warning.gif - DIRECT/65.55.200.156 image/gif

Но последняя запись вот такая (вроде тоже не проблема Squid):

1288336833.668 435 192.168.1.7 TCP_MISS/403 1517 GET
http://stats.update.microsoft.com/?error=-2147012867&eventid=620&timeattarget... - DIRECT/207.46.21.58 text/html

Считаю, что это связано с тем что я чего-то еще не разрешил, понять бы только чего именно?

Смотрим, какие коды есть в логе:

cat /var/log/squid/access.log | awk '{ print $4; }' | sort | uniq -c

заинтересовавшие рассматриваем подробнее grep'ом. Понятно, что TCP_MISS/200 и TCP_MISS/304 нас не интересуют ;)

ЗЫ. 0x80072EFD - это ERROR_INTERNET_CANNOT_CONNECT

http://support.microsoft.com/kb/836941

Т.е. чего-то ей не доложили. Вот и смотри в логе - чего :)

Внимательно прошерстил лог. С TCP_DENIED нет вообще ничего майкрософтского. Список доменов, на которые позез MSupdate у меня получился такой:

c.microsoft.com
download.windowsupdate.com
stats.update.microsoft.com
update.microsoft.com
windowsupdate.microsoft.com
www.update.microsoft.com

И все вроде опадает в список разрешенных. Подозреваю, что проблема как-то связана не с ограничением доступа, а какими-то иными параметрами (кэширование?).

Вопрос решен

Тщательный анализ трафика показал, что при обновлении Windows лезет по https на один из узлов microsoft. К сожалению, настроить прозрачный прокси для https нельзя, пришлось открыть доступ через 443 порт к подсетям microsoft. После этого все заработало.

Для тех кому интересно, список подсетей ОбителиЗла: http://www.webboar.com/as/AS8075