Windows 7-10: WSUS muss demnächst https unterstützen

[English]Heute noch ein Hinweis an die Administratoren unter den Blog-Lesern, die Windows Server Update Services (WSUS) zur Verwaltung der Updates für Client einsetzen. Microsoft fordert, dass die Clients demnächst per https mit dem WSUS kommunizieren muss – die September 2020-Updates haben die Basis dafür gelegt.

WSUS muss https können

Das Thema hätte ich jetzt ruhen lassen, wenn Blog-Leser Andreas E. mir nicht auf Facebook eine private Nachricht der Art: 'Der WSUS muss bald https sprechen, sonst redet Windows 10 nicht mehr mit dem' geschickt hätte (danke dafür).

Ich selbst betreibe zwar keinen WSUS, hatte das Thema aber vor einigen Tagen schon in meinem Blog-Beitrag Windows 10: Änderungen beim WSUS-Update-Scan angesprochen. Ich hole das Thema aber nochmals hoch, weil die Frage auftauchte, für welche Windows-Versionen das nun gilt.

Für welche Windows-Versionen gilt das denn?

Blog-Leser Andreas E. insistierte dann im Laufe der Diskussion mit der Frage 'ich weiß aber nicht ob's nur für [Windows] 10 gilt oder auch für 7 und 8?'. Er hatte mich auf den Techcommunity-Beitrag Changes to improve security for Windows devices scanning WSUS von Microsoft hingewiesen, den ich auch schon im Blog-Beitrag Windows 10: Änderungen beim WSUS-Update-Scan verlinkt hatte. Aria Carley von Microsoft erklärt zwar einiges zum Thema, bleibt aber nebulös, was die betroffenen Windows-Versionen betrifft. Andreas E. schrieb dazu 'steht natürlich nicht drin. Super!' und ergänzte 'ich les es überall so als ob es nur für 10 wäre aber richtig dastehen tuts net'.

September 2020-Update rüstet Windows 7 bis 10 sicherheitstechnisch auf

Ich habe daher etwas (im eigenen Blog) recherchiert und kann dem abhelfen. In der Beschreibung des kumulativen Update KB4571756 für Windows 10 Version 2004 findet sich folgender Hinweis auf die interessierende Änderung:

Addresses a security vulnerability issue with user proxies and HTTP-based intranet servers. After installing this update, HTTP-based intranet servers cannot leverage a user proxy by default to detect updates. Scans using these servers will fail if the clients do not have a configured system proxy. If you must leverage a user proxy, you must configure the behavior using the Windows Update policy "Allow user proxy to be used as a fallback if detection using system proxy fails." This change does not affect customers who secure their Windows Server Update Services (WSUS) servers with the Transport Layer Security (TLS) or Secure Sockets Layer (SSL) protocols. For more information, see Improving security for devices receiving updates via WSUS.

Das Update adressiert also eine Sicherheitslücke bei Benutzer-Proxies und HTTP-basierten Intranet-Servern. Nach der Installation dieses Updates können HTTP-basierte Intranet-Server einen Benutzer-Proxy standardmäßig nicht zur Erkennung von Updates nutzen. Also schlagen WSUS-Scans von entsprechenden Clients fehl, wenn die Clients nicht über einen konfigurierten System-Proxy verfügen. Die Details sind im verlinkten Techcommunity-Beitrag Changes to improve security for Windows devices scanning WSUS von Microsoft nachzulesen. Soweit nichts Neues und die Bestätigung, dass das für Windows 10 2004 gilt.

Liste der Updates mit ADMX-Aktualisierung

Ich bin dann meine Blog-Beiträge zum Patchday vom 8. September 2020 durchgegangen (siehe Links am Artikelende). Die obige Passage habe ich bei der stichprobenartigen Überprüfung in folgenden Updates gefunden:

• Update KB4574727 für Windows 10 Version 190x
• Update KB4570333 für Windows 10 Version 1809
• KB4577066 (Monthly Rollup) für Windows 8.1/Server 2012 R2
• KB4577051 (Monthly Rollup) für Windows 7/Windows Server 2008 R2

Es betrifft also alle Updates für Windows 7 bis Windows 10 sowie die jeweiligen Server Pendants. Nur bei den Security-only-Updates für Windows 7 SP1 und Windows 8.1 samt Server-Pendants hat Microsoft sich nicht dazu ausgelassen. Geht aber davon aus, dass dies auch für die mit Security-only Updates versorgten Maschinen gilt.

Wolfgang Sommergut schreibt im Windows Pro-Beitrag Clients hinter Proxy erfordern HTTPS-Verbindung zu WSUS, dass KB4571756 eine aktualisierte ADMX-Vorlage installiert. Diese ergänzt den Internen Pfad für den Microsoft Updatedienst um eine neue Option Proxy-Verhalten für den Windows Update-Client zur Erkennung von Updates mit einem nicht TLS (HTTP)-basierten Dienst. Dort aktiviert man Verwendung eines Benutzer-Proxys als Fallback, falls die Erkennung mittels System-Proxy fehlschlägt, erlauben. Das ist im Techcommunity-Beitrag Changes to improve security for Windows devices scanning WSUS beschrieben.

Ein Problem dürfte es bei Windows 7 SP1-/Server 2008 R2-Maschinen geben, die per 0patch abgesichert wurden. Dort steht dann das September 2020-Update nicht zur Verfügung. Hier müsste man ggf. klären, ob man mit Bypass BypassESU weiter kommt – die Zahl der Betroffenen dürfte aber im WSUS-Umfeld bei Null liegen.

Vielleicht helfen die Ausführungen bei Unklarheiten ja weiter – andernfalls einfach schauen, ob die ADMX-Vorlage installiert wurde. Bei neuen Erkenntnissen oder Fehlern im obigem Text könnt ihr ja Rückmeldungen in den Kommentaren hinterlassen.

Ähnliche Artikel:
Patchday: Windows 10-Updates (September 8, 2020)
Patchday: Windows 8.1/Server 2012-Updates (September 8, 2020)
Patchday: Updates für Windows 7/Server 2008 R2 (September 8, 2020)