{"id":235927,"date":"2020-09-24T12:56:42","date_gmt":"2020-09-24T10:56:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235927"},"modified":"2021-01-28T18:58:59","modified_gmt":"2021-01-28T17:58:59","slug":"windows-7-10-wsus-muss-demnchst-https-untersttzen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/24\/windows-7-10-wsus-muss-demnchst-https-untersttzen\/","title":{"rendered":"Windows 7-10: WSUS muss demnächst https unterstützen"},"content":{"rendered":"

\"Windows[English<\/a>]Heute noch ein Hinweis an die Administratoren unter den Blog-Lesern, die Windows Server Update Services (WSUS) zur Verwaltung der Updates f\u00fcr Client einsetzen. Microsoft fordert, dass die Clients demn\u00e4chst per https mit dem WSUS kommunizieren muss – die September 2020-Updates haben die Basis daf\u00fcr gelegt.<\/p>\n

<\/p>\n

WSUS muss https k\u00f6nnen<\/h2>\n

\"\"Das Thema h\u00e4tte ich jetzt ruhen lassen, wenn Blog-Leser Andreas E. mir nicht auf Facebook eine private Nachricht der Art: 'Der WSUS muss bald https sprechen, sonst redet Windows 10 nicht mehr mit dem' geschickt h\u00e4tte (danke daf\u00fcr).<\/p>\n

Ich selbst betreibe zwar keinen WSUS, hatte das Thema aber vor einigen Tagen schon in meinem Blog-Beitrag Windows 10: \u00c4nderungen beim WSUS-Update-Scan<\/a> angesprochen. Ich hole das Thema aber nochmals hoch, weil die Frage auftauchte, f\u00fcr welche Windows-Versionen das nun gilt.<\/p>\n

F\u00fcr welche Windows-Versionen gilt das denn?<\/h2>\n

Blog-Leser Andreas E. insistierte dann im Laufe der Diskussion mit der Frage 'ich wei\u00df aber nicht ob's nur f\u00fcr [Windows] 10 gilt oder auch f\u00fcr 7 und 8?'. Er hatte mich auf den Techcommunity-Beitrag Changes to improve security for Windows devices scanning WSUS<\/a> von Microsoft hingewiesen, den ich auch schon im Blog-Beitrag Windows 10: \u00c4nderungen beim WSUS-Update-Scan<\/a> verlinkt hatte. Aria Carley von Microsoft erkl\u00e4rt zwar einiges zum Thema, bleibt aber nebul\u00f6s, was die betroffenen Windows-Versionen betrifft. Andreas E. schrieb dazu 'steht nat\u00fcrlich nicht drin. Super!' und erg\u00e4nzte 'ich les es \u00fcberall so als ob es nur f\u00fcr 10 w\u00e4re aber richtig dastehen tuts net'.<\/p>\n

September 2020-Update r\u00fcstet Windows 7 bis 10 sicherheitstechnisch auf<\/h3>\n

Ich habe daher etwas (im eigenen Blog) recherchiert und kann dem abhelfen. In der Beschreibung des kumulativen Update KB4571756<\/a> f\u00fcr Windows 10 Version 2004 findet sich folgender Hinweis auf die interessierende \u00c4nderung:<\/p>\n

Addresses a security vulnerability issue with user proxies and HTTP-based intranet servers. After installing this update, HTTP-based intranet servers cannot leverage a user proxy by default to detect updates. Scans using these servers will fail if the clients do not have a configured system proxy. If you must leverage a user proxy, you must configure the behavior using the Windows Update policy \"Allow user proxy to be used as a fallback if detection using system proxy fails.\" This change does not affect customers who secure their Windows Server Update Services (WSUS) servers with the Transport Layer Security (TLS) or Secure Sockets Layer (SSL) protocols. For more information, see Improving security for devices receiving updates via WSUS<\/a>.<\/p><\/blockquote>\n

Das Update adressiert also eine Sicherheitsl\u00fccke bei Benutzer-Proxies und HTTP-basierten Intranet-Servern. Nach der Installation dieses Updates k\u00f6nnen HTTP-basierte Intranet-Server einen Benutzer-Proxy standardm\u00e4\u00dfig nicht zur Erkennung von Updates nutzen. Also schlagen WSUS-Scans von entsprechenden Clients fehl, wenn die Clients nicht \u00fcber einen konfigurierten System-Proxy verf\u00fcgen. Die Details sind im verlinkten Techcommunity-Beitrag Changes to improve security for Windows devices scanning WSUS<\/a> von Microsoft nachzulesen. Soweit nichts Neues und die Best\u00e4tigung, dass das f\u00fcr Windows 10 2004 gilt.<\/p>\n

Liste der Updates mit ADMX-Aktualisierung<\/h3>\n

Ich bin dann meine Blog-Beitr\u00e4ge zum Patchday vom 8. September 2020 durchgegangen (siehe Links am Artikelende). Die obige Passage habe ich bei der stichprobenartigen \u00dcberpr\u00fcfung in folgenden Updates gefunden:<\/p>\n