Organisaties die met behulp van Windows Server Update Services (WSUS) de computers in hun netwerk up-to-date houden moeten controleren dat ze geen gebruik van http en user-proxies maken, anders zullen computers niet meer kunnen controleren of er beveiligingsupdates beschikbaar zijn. Dat heeft Microsoft aangekondigd.
Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen. WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder computers op het netwerk. Het is een integraal onderdeel van Windows Server. De verbinding tussen Microsoft en de WSUS-server vindt plaats via https.
In het geval er meerdere WSUS-servers hiërarchisch zijn ingesteld zullen de downstream-servers de update-metadata van de upsteam-servers ontvangen. Wanneer er http voor deze verbindingen wordt gebruikt zijn organisaties kwetsbaar voor aanvallen en kan de informatie worden aangepast. Om de "chain of trust" in stand te houden en aanvallen op computers in het netwerk te voorkomen moeten alle verbindingen waarbij metadata wordt uitgewisseld via https plaatsvinden, aldus Microsoft.
Organisaties kunnen ervoor kiezen dat computers in het netwerk via een proxy verbinding met een WSUS-server maken om te kijken of er updates beschikbaar zijn. Volgens Microsoft is het belangrijk om hierbij een systeem-gebaseerde proxy te gebruiken en geen user-gebaseerde proxy. Bij een user-gebaseerde proxy wordt de gebruiker geauthenticeerd.
In het geval van een user-gebaseerde proxy kan een gebruiker de data die tussen de updateserver en de computers in het netwerk wordt uitgewisseld onderscheppen en manipuleren, zo stelt Microsoft. Om dit te voorkomen heeft Microsoft deze maand een update voor Windows 10-computers uitgerold die de omgang van computers met WSUS aanpast.
Na installatie van de beveiligingsupdates van deze maand zullen computers die via http en een user-gebaseerde proxy verbinding met de WSUS-server maken geen updatescans bij de WSUS-server kunnen uitvoeren. Daardoor lopen deze computers het risico dat ze geen beveiligingsupdates meer ontvangen en dus kwetsbaar zijn. Om ervoor te zorgen dat computers toch via de WSUS-server naar updates kunnen zoeken adviseert Microsoft het gebruik van https voor de WSUS-omgeving, het gebruik van een systeem-gebaseerde proxy wanneer nodig en het instellen van een fallback-policy.
Deze posting is gelocked. Reageren is niet meer mogelijk.