Kurz notiert: Microsoft führt mit dem September 2020 Update eine Änderung beim Windows Server Update Services (WSUS) ein. Damit soll die Sicherheit verbessert werden, wenn nach Updates über WSUS gesucht und installiert wird.
Hier einmal kurz zusammengefasst:
- Ab dem kumulativen Update vom September 2020 HTTP-basierte Intranet-Server standardmäßig abgesichert sein. Um sicherzustellen, dass Ihre Geräte weiterhin absolut sicher sind, erlauben wir HTTP-basierten Intranet-Servern nicht mehr
- Verfügt die WSUS-Umgebung über kein TLS-Protokoll/HTTPS, werden Softwareaktualisierungs-Scans fehlschlagen
- Um die Sicherheit Ihrer WSUS-Infrastruktur zu gewährleisten, empfiehlt Microsoft die Verwendung des TLS/SSL-Protokolls zwischen Ihren Geräten und Ihren WSUS-Servern.
- Wenn ein Gerät Updates direkt von Microsoft Update erhält, erhält dieses Gerät Update-Metadaten direkt von Microsoft-Servern. Diese Metadaten werden immer über HTTPS übertragen, um Manipulationen zu verhindern.
- Wenn Sie WSUS oder Configuration Manager zur Verwaltung der Updates Ihrer Organisation verwenden, werden die Update-Metadaten über eine Kette von Verbindungen von Microsoft-Servern zu Ihren Geräten übertragen. Jede dieser Verbindungen muss vor böswilligen Angriffen geschützt werden.
- Wenn Sie einen benutzerbasierten Proxy einsetzen müssen, um Updates zu erkennen, während Sie einen HTTP-basierten Intranet-Server verwenden, stellen Sie sicher, dass Sie das Proxy-Verhalten so konfigurieren, dass „Benutzerproxy als Fallback verwendet werden kann, wenn die Erkennung mit System-Proxy fehlschlägt“. Dies kann über die Gruppenrichtlinien eingestellt werden.
- Windows-Komponenten>Windows-Update>Intranet-Speicherort des Microsoft Update-Dienstes angeben
Karl hat noch einen Hinweis dazu auf Twitter gepostet: „Bitte beachten Sie, dass die Konfiguration und Aktivierung von https auf WSUS nicht bedeutet, dass Sie Port 80 auf WSUS IIS für Seitenanbindungen auf WSUS deaktivieren können.“
Alle weiteren Informationen dazu könnt ihr in dem techcommunity-Beitrag nachlesen.
WSUS – Änderungen ab September 2020 für mehr Sicherheit
Kann da mal einer Klartext sprechen?
Bedeutet, dass nach den Updates von gestern Abend eine Verteilung via GPO des bisherigen Standardwerts:
http://%servername%:8530
nicht mehr möglich ist und auf SSL/TLS mit Zertifikat umgestellt werden muss, auch wenn das Ding im Intranet angesprochen wird?
Nein. Das bedeutet es nicht. So konsequent ist Microsoft leider mal wieder nicht. Nur wenn deine Geräte einen Proxy brauchen, um auf den WSUS zuzugreifen, der WSUS kein https nutzt und der Proxy nur für den User verteilt ist, dann gehts in Zukunft nicht mehr.
Aber trotzdem solltest du eigentlich alle Verbindungen verschlüsseln lassen. Ist beim WSUS ja nun auch wirklich kein großer Aufwand. Im IIS aktivieren, für die entsprechenden Ordner SSL forcieren, mit wsusutil SSL aktivieren und für die Clients halt sauber den neuen FQDN mit :8531 verteilen.
https://www.heise.de/newsticker/meldung/Black-Hat-Schadsoftware-per-Windows-Update-mit-WSUS-2775156.html
umstellen auf SSL dauert keine 5min
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/security-best-practices-for-windows-server-update-services-wsus/ba-p/1587536