{"id":235311,"date":"2020-09-09T09:20:54","date_gmt":"2020-09-09T07:20:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235311"},"modified":"2020-09-24T13:12:19","modified_gmt":"2020-09-24T11:12:19","slug":"windows-10-nderungen-beim-wsus-update-scan","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/09\/windows-10-nderungen-beim-wsus-update-scan\/","title":{"rendered":"Windows 10: Änderungen beim WSUS-Update-Scan"},"content":{"rendered":"

\"Windows[English<\/a>]Mit dem kumulativen Update vom September 2020 f\u00fcr Windows 10 hat Microsoft \u00c4nderungen eingef\u00fchrt, die die Sicherheit von Clients verbessern, die Windows Server Update Services (WSUS) auf Updates scannen. Hier eine kurze \u00dcbersicht zu diesem Thema.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber diesen Tweet auf das Thema aufmerksam geworden – Microsoft hat diesen Techcommunity-Artikel<\/a> zu diesem Thema ver\u00f6ffentlicht.<\/p>\n

\"Tweet\"<\/p>\n

Standardm\u00e4\u00dfig sicher: TLS-Protokoll\/HTTPS Pflicht<\/h2>\n

Ab dem kumulativen September 2020 Update werden HTTP-basierte Intranet-Server standardm\u00e4\u00dfig sicher sein. Um sicherzustellen, dass Clients inh\u00e4rent sicher bleiben, erlaubt Microsoft nun HTTP-basierten Intranet-Servern nicht mehr, standardm\u00e4\u00dfig Benutzer-Proxys zur Erkennung von Aktualisierungen zu nutzen.<\/p>\n

In einer WSUS-Umgebung, die nicht mit dem TLS-Protokoll\/HTTPS gesichert ist, und in der ein Ger\u00e4t einen Proxy ben\u00f6tigt, um erfolgreich eine Verbindung zu Intranet-WSUS-Servern herzustellen – und dieser Proxy ist nur f\u00fcr Benutzer (nicht f\u00fcr Ger\u00e4te) konfiguriert – dann werden alle WSUS Scans auf Updates ab dem kumulativen Update vom September 2020 fehlschlagen.<\/p>\n

Empfehlungen f\u00fcr mehr Sicherheit<\/h2>\n

Um die Sicherheit der WSUS-Infrastruktur zu gew\u00e4hrleisten, empfiehlt Microsoft die Verwendung des TLS\/SSL-Protokolls zwischen den Ger\u00e4ten und den WSUS-Servern. Das Microsoft Update-System (einschlie\u00dflich WSUS) st\u00fctzt sich auf zwei Arten von Inhalten: Update-Nutzdaten und Update-Metadaten.<\/p>\n

Update-Payloads sind die Datendateien, die die Software-Update-Komponenten enthalten, aus denen das Update besteht. Update-Metadaten sind alle Informationen, die das Microsoft Update-System \u00fcber die Updates wissen muss, einschlie\u00dflich der Informationen, welche Updates verf\u00fcgbar sind, auf welche Ger\u00e4te jedes Update angewendet werden kann und wo die Payloads f\u00fcr jedes Update abgerufen werden k\u00f6nnen. Beide Arten von Inhalten sind von entscheidender Bedeutung, und beide m\u00fcssen gesch\u00fctzt werden, damit Ihre Computer sicher und auf dem neuesten Stand bleiben.<\/p>\n

Update-Nutzdaten werden durch verschiedene Mittel vor \u00c4nderungen gesch\u00fctzt, einschlie\u00dflich der \u00dcberpr\u00fcfung digitaler Signaturen und kryptografischer Hash-Verifizierungen. HTTPS bietet eine ordnungsgem\u00e4\u00dfe Chain of Custody, mit der der Kunde nachweisen kann, dass die Daten vertrauensw\u00fcrdig sind.<\/p>\n

Wenn ein Ger\u00e4t Updates direkt von Microsoft Update erh\u00e4lt, erh\u00e4lt dieses Ger\u00e4t Update-Metadaten direkt von Microsoft-Servern. Diese Metadaten werden immer \u00fcber HTTPS \u00fcbertragen, um Manipulationen zu verhindern. Wenn Sie WSUS oder Configuration Manager zur Verwaltung der Updates Ihrer Organisation verwenden, werden die Update-Metadaten \u00fcber eine Kette von Verbindungen von Microsoft-Servern zu Ger\u00e4ten \u00fcbertragen. Jede dieser Verbindungen muss vor b\u00f6swilligen Angriffen gesch\u00fctzt werden.<\/p>\n

Ein WSUS-Server verbindet sich mit Windows Update-Servern und empf\u00e4ngt Update-Metadaten. Diese Verbindung verwendet immer HTTPS, und die HTTPS-Sicherheitsfunktionen sch\u00fctzen die Metadaten vor Manipulationen. Sind mehrere WSUS-Server in einer Hierarchie angeordnet, erhalten die nachgeschalteten Server Metadaten von den vorgeschalteten Servern.<\/p>\n

Hier besteht die Wahl: Es k\u00f6nnen f\u00fcr diese Metadatenverbindungen HTTP oder HTTPS verwendet werden. Die Verwendung von HTTP unterbricht jedoch die Vertrauenskette und macht das Ganze anf\u00e4llig f\u00fcr Angriffe. Durch die Verwendung von HTTPS kann der WSUS-Server beweisen, dass er den Metadaten vertraut, die er vom vorgeschalteten WSUS-Server erh\u00e4lt.<\/p>\n

Um die Vertrauenskette aufrechtzuerhalten und Angriffe auf Ihre Client-Computer zu verhindern, m\u00fcssen Administratoren sicherstellen, dass alle Metadatenverbindungen innerhalb ihrer Organisationen – die Verbindungen zwischen den vor- und nachgeschalteten WSUS-Servern und die Verbindungen zwischen den WSUS-Servern und Ihren Client-Computern – gegen Angriffe verteidigt werden. Zu diesem Zweck empfieht Microsoft dringend, das WSUS-Netzwerk so zu konfigurieren, dass diese Verbindungen \u00fcber HTTPS gesch\u00fctzt sind.<\/p>\n

Weitere Informationen finden Sie in Michael Curetons Post Security Best Practices f\u00fcr Windows Server Update Services (WSUS)<\/a>. In Techcommunity-Artikel<\/a> gibt Microsoft weitere Hilfestellungen zur Konfigurierung des Update-Scans.<\/p>\n

Erg\u00e4nzung:<\/strong> Es kam die Frage auf, f\u00fcr welche Windows-Versionen das obige gilt. Die Antwort findet sich im Beitrag\u00a0Windows 7-10: WSUS muss demn\u00e4chst https unterst\u00fctzen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Mit dem kumulativen Update vom September 2020 f\u00fcr Windows 10 hat Microsoft \u00c4nderungen eingef\u00fchrt, die die Sicherheit von Clients verbessern, die Windows Server Update Services (WSUS) auf Updates scannen. Hier eine kurze \u00dcbersicht zu diesem Thema.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,3694],"tags":[4328,4315,4378,881],"class_list":["post-235311","post","type-post","status-publish","format-standard","hentry","category-update","category-windows-10","tag-sicherheit","tag-update","tag-windows-10","tag-wsus"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235311","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235311"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235311\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}