Microsoft adviseert organisaties om https bij WSUS te gebruiken
Organisaties die van Windows Server Update Services (WSUS) gebruikmaken om de computers in hun netwerk te updaten doen er verstandig aan om https in te stellen, zo adviseert Microsoft. Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen.
WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder computers op het netwerk. Het is een integraal onderdeel van Windows Server. "Op een moment dat malware-aanvallen in allerlei sectoren aan het toenemen zijn, kan het configureren van WSUS met https de mogelijkheid van een potentiële aanvaller verder beperken om een client op afstand te compromitteren en rechten te verhogen", zegt Microsofts Michael Cureton.
Microsoft raadt dan ook aan om https voor WSUS te configureren, aangezien dit voor een hoger beveiligingsniveau zorgt. Hiervoor moeten organisaties wel eerst een tls-certificaat regelen. Vervolgens wordt in dit document het instellen van https uitgelegd. Cureton merkt op dat het instellen van https voor een klein prestatieverlies van de server kan zorgen.
https://www.securityweek.com/default-wsus-configuration-puts-organizations-risk-researchers (artikel uit 2015)
Standaard https-connectie en bij terugswitchen eerst een popup!
Dat is geen vervanging. Dat is gewoon een van de vele producten die zijn ontstaan omdat WSUS achter liep. Als er een discussie is over de veiligheid van Windows, kun je ook niet aankomen met Sophos om te bewijzen dat het probleem is opgelost.
Al klopt het wel dat ook Microsoft iets nieuws heeft: SCCM.
Alleen hebben ze daar niet gelijk ook HTTP mee verlaten. Wachtwoorden gaan nog steeds (standaard) onversleuteld over het netwerk. En wil je gaan werken met versleuteld verkeer, moet je een PKI opzetten. Standaard certificaten lijken, vooralsnog, niet te werken.
Peter
Dat is geen vervanging. Dat is gewoon een van de vele producten die zijn ontstaan omdat WSUS achter liep. Als er een discussie is over de veiligheid van Windows, kun je ook niet aankomen met Sophos om te bewijzen dat het probleem is opgelost.
Al klopt het wel dat ook Microsoft iets nieuws heeft: SCCM.
Alleen hebben ze daar niet gelijk ook HTTP mee verlaten. Wachtwoorden gaan nog steeds (standaard) onversleuteld over het netwerk. En wil je gaan werken met versleuteld verkeer, moet je een PKI opzetten. Standaard certificaten lijken, vooralsnog, niet te werken.
Peter
"wachtwoorden gaan nog steeds onversleuteld over het netwerk"... geen idee waar dat op gebaseerd is.
SCCM ondersteunt TLS: https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/security/enable-tls-1-2
WSUS trouwens ook, sinds jaar en dag. Maar niet iedereen heeft dat zo geconfigureerd, vandaar het advies om dat wel te doen.
SCCM is een tijdje geleden opgegaan in Microsoft Endpoint Configuration Manager.
SCCM/MEM ondersteunt elke PKI die je wilt:
https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/network/pki-certificate-requirements
Standaard https-connectie en bij terugswitchen eerst een popup!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
