Homeoffice und das Problem mit WSUS Updates

Dieser Artikel beschreibt mit welcher Strategie Ihre Windows Computer auch im Homeoffice, mit aktuellen Updates versorgt werden können. Hierzu wird näher auf die Windows Rolle “Microsoft Windows Update Server” eingegangen und wie diese in KMU-Betrieben über eine DMZ sicher angebunden werden kann.

Einleitung

Nicht zuletzt durch die Corona-Krise getrieben sehen sich viele Administratoren mit der Frage konfrontiert, wie Sie aktuelle Windows- und Software-Updates auf Ihre Notebooks verteilen können. Was während regulärer Bürozeiten im Hintergrund gut funktioniert, wird bei einer permanenten oder längerfristigen Abwesenheit mehr und mehr zum Problem. Neben organisatorischen Maßnahmen, wie z. B. einem regelmäßigen Besuch der Büroräume, können auch technische Maßnahmen helfen, diesen Prozess zu optimieren. Ich zeige Ihnen in diesem Artikel das “wie” auf.

Thematische Abgrenzung

In diesem Artikel geht es um die Anbindung des unternehmenseigenen Windows Update Servers an das Internet, damit angeschlossene Client Computer sich selbständig mithilfe des lokalen Windows Update Clients, mit Updates und zusätzlicher Software versorgen können. Konkrete Details zur Umsetzung werden in einem Folgeartikel beschrieben.

Was ist der Microsoft Windows Update Server?

Zunächst ein kleiner Exkurs, zu den Möglichkeiten eines Windows Update Servers (kurz: WSUS).

Funktionen eines Windows Update Servers

Die WSUS Rolle innerhalb des Unternehmens stellt ein Abbild, als auch eine Erweiterung der Microsoft Updates dar. Der Vorteil der eigenen Installation, ist die volle Kontrolle, darüber wann und welche Computergruppe die Updates freigegeben bekommen. Es können dabei nicht nur Windows Updates und Treiber, sondern auch eigene Softwarepakete, an die Unternehmensclients verteilt werden. Dadurch können Administratoren selbständig bestimmen, welche Updatestände Sie für produktive Computer einsetzen wollen, um Best möglichst auf Probleme und Auswirkungen zwischen Updates, der eigenen Unternehmenssoftware reagieren zu können. Des Weiteren stellt ein interner Replica WSUS Server alle bekannten Updates als Kopie zur Verfügung, was bei größeren Unternehmensnetzwerken mit verteilten Standorten, als auch beim erneuten Aufsetzen von Computern, Bandbreite der Internetanbindung spart.

Kosten eines Microsoft Windows Update Servers

Der Windows Update Server wird von Microsoft kostenlos als Rolle bereitgestellt. Er muss auf einem Windows Server hinzugefügt werden. Dies gilt sowohl intern, als auch für einen in der DMZ eingesetzten Replica Server. Doch dazu später mehr.

Interaktion mit eigenen Windows Clients

Jeder Windows Client innerhalb des Unternehmens muss zunächst konfiguriert werden, den eigenen Windows Update Server anzusprechen. Hierzu gibt es passende Einstellungen in der Registrierung, welche mittels Gruppenrichtlinien oder manuell als Registrierungsschlüssel verteilt werden können. Es kann bei der Konfiguration nicht nur das Wann, sondern auch die Abfrageintervalle, als auch eine passende Gruppierung der Clients vorgenommen werden. So hat es sich bewährt, eine Produktive Server und Client Gruppe, als auch jeweils eine Testgruppe mittels Gruppenrichtlinien vorzugeben.

Konfigurationsoptionen für WSUS Server

Interne Windows Update Server spiegeln wie zuvor beschrieben den Microsoft Windows Update Dienst wider und erweitern diesen durch die Möglichkeit zusätzlich eigene Software, als auch das Wann der Installation, selbst bestimmen zu können. Letzteres ist im Rahmen eines kontrollierten Betriebes zielführend, wenn wichtige Termine wie Jahresabschlüsse oder der geregelte Tagesablauf innerhalb der Produktion nicht behindert werden sollen.

Die Funktion eines Replica WSUS Servers ist für abgesetzte Standorte mit geringerer Bandbreite zielführend. So kann über Nacht eine Replikation der freigegebenen Updates erfolgen, welche nicht während der Regelarbeitszeiten über die Leitung für jeden Client separat übertragen werden müssen. Die Replica stellt dabei nicht nur die Bandbreite sicher, Sie kann auch die von den Clients wiederum empfangenen Installationsreports an den zentralen WSUS Server zurückmelden.

Softwareverteilung mittels WSUS

Neben der Möglichkeit spezielle Microsoft Updates über den Windows Update Katalog manuell in den WSUS Server zu integrieren, hat Microsoft die Möglichkeit geschaffen, eigene Softwarepakete mithilfe von WSUS auszubringen.

Beispiele hierzu sind die Verteilung einer Microsoft Office Installation, einem Virenscanner oder VPN Client, als auch notwendige Zusatzpakete wie das .Net Framework. Hierzu kann das kostenfreie Tool WSUS Package Publisher [1] verwendet werden.

Systemanforderungen für den Betrieb eines internen WSUS Servers

Der WSUS Server hat alles was er benötigt von Haus aus dabei. Als Rolle installiert kann dieser mit einer Windows internen SQL Datenbank oder einem SQL Server betrieben werden.

Der WSUS Dienst wird dabei über den Internet Information Server (kurz: IIS) als Webbrowser gestützt und verteilt seine Updates über das HTTP, als auch das HTTP/S Protokoll. Die seitens Microsoft vorgegebenen TCP Ports (8530 für HTTP und 8531 für HTTP/S) können jederzeit den Unternehmensanforderungen angepasst werden. Die lokalen Speicheranforderungen hängen sehr stark von den bei Microsoft heruntergeladenen Sprachen und Optionen ab. Gleiches gilt für die CPU Leistung, als auch den Arbeitsspeicher. Diesen gilt es bei steigender Anzahl an Endgeräten gut im Auge zu behalten, damit eine Überlastung des WSUS Servers ausgeschlossen werden kann.

Damit ist der interne WSUS Server ideal für Betriebe, welche die notwendige Sicherheit als auch die Kontrolle über die Windows Updates, mit dem eigenen Betriebsrisiko abgleichen wollen, um Ausfälle durch Ausnutzung von Sicherheitslücken zu minimieren. Besonders kleine und mittlere Unternehmen profitieren dabei von der effizienten Nutzung der Internetanbindung, als auch der internen Netzwerkauslastung. Dies zahlt positiv auf das unternehmerische Risikomanagement, als auch auf externe Audits ein.

Einen Schritt weiter gedacht – WSUS in der DMZ

Ich wurde kürzlich mit der Anforderung konfrontiert, wie Windows Updates im Homeoffice bei längerfristiger Abwesenheit sinnvoll umgesetzt werden können. Hier standen aufgrund der Corona-Situation neben der Reduzierung der Büroräume, auch die Anbindung von Vertriebsmitarbeitern als Kernelement der Fragestellung zur Umsetzung an.

Was für angebundene Außenstellen mittels Replica Server zielführend ist, ist für den Betrieb in einer demilitarisierten Zone (kurz: DMZ) auch möglich. Die WSUS Rolle basiert auf dem Microsoft Internet Information Server (kurz IIS) und stellt somit einen Webseitendienst dar, welcher auch über das Internet adressierbar gemacht werden kann. Neben Speicheranforderungen, kommen hier jedoch zusätzliche Sicherheitsaspekte, durch die Erreichbarkeit aus dem Internet hinzu.

Windows Update Kommunikation über das Internet

Damit ein Windows Update Client seine definierten Updates erhält, muss er zuvor seinen eigenen Update-Status incl. Inventar und Systemdetails, dem unternehmenseigenen Windows Update Server mitteilen. Diese, zum Teil sicherheitsrelevanten Informationen, sollten dringend über HTTP/s als gesicherte Ende zu Ende Kommunikation übertragen werden.

Der Download der Updates incl. der zusätzlichen Installationspakete sollte zwecks Unveränderbarkeit der Installationspakete auch mittels HTTP/s geschützt werden. Damit können Angreifer nicht unverschlüsselt Informationen in den Datenverkehr einschleusen und somit das Installationspaket verändern oder gar schadhaft manipulieren.

Der Windows Update Client und das HTTP Problem

Dem HTTP/s Download steht eine Eigenschaft des Windows Update Dienstes im Wege. Nach Aktivierung der SSL Kommunikation auf dem WSUS Server, werden lediglich die Systemrelevanten Informationen mittels HTTP/S übertragen (vgl. [2] und [3]

Der Download der Microsoft Updates, als auch das Selbstupdate des lokalen Update-Clients, erfolgen weiterhin unverschlüsselt via HTTP. Damit ist eine Manipulation der Pakete möglich. Der Windows Update Client auf dem Zielsystem überprüft zwar die Signaturen der heruntergeladenen Pakete im Nachhinein, dennoch können Angreifer sowohl den Download als auch den Inhalt so manipulieren, dass die Paketsignaturen zum veränderten Paket passen könnten. Diese unverschlüsselte Kommunikation gilt es einzuschränken.

Externe Erreichbarkeit des eigenen WSUS Servers

Viele kleine und mittelständische Unternehmen (kurz: KMU) besitzen einen Internetzugang, dieser ist oftmals jedoch nicht für einen Serverbetrieb mit eigener DMZ geeignet. Ein normaler DSL-Anschluss ermöglicht zwar den geregelten Bürobetrieb, jedoch stellt dieser im Upload zu wenig Bandbreite zur Verfügung (Stichwort: asynchrones DSL). Erschwerend kommen Themen wie eine dynamische IP-Adresse, als auch das Fehlen passender SSL Zertifikate und einer eigenen Serverhardware für den Betrieb einer DMZ hinzu.

Virtualisierung für KMU-Betriebe

Für kleine und mittlere Unternehmen (kurz: KMU) sind Kosten und Nutzen, erst recht in schweren Zeiten, der entscheidende Faktor. Sofern bisher keine DMZ vorhanden ist, kann hier kurzfristig ohne viel Kostenaufwand ein veralteter PC mit einer Virtualisierungssoftware eingesetzt werden.

Hierfür eignet sich z. B. Proxmox als Virtualisierungslösung ([4]).

Zitat des Herstellers: “Es kombiniert KVM- und Container-basierte Virtualisierung und verwaltet virtuelle Maschinen, Container, Storage, virtuelle Netzwerke und Hochverfügbarkeit-Cluster übersichtlich über die zentrale Managementoberfläche.”

Über eine (TCP Port-) Weiterleitung der Internetzugriffe auf die im WSUS Server konfigurierten Ports kann sowohl der notwendige HTTP als auch HTTP/S Datenverkehr für den Zugriff realisiert werden.

Umgang mit dynamischer Internet IP-Adresse

Viele KMUs betreiben bereits eine eigene Webseite. Moderne Webseiten-Hoster bieten neben dem Webseitenbetrieb, auch die dynamische Namensauflösung (kurz: DynDNS) von Subdomains an. Damit wird ein statischer DNS Name im Internet, bei einer regelmäßig wechselnden DSL IP-Adresse realisiert. Eine alternative hierzu, stellt die Synology Inc. bereit. Wer bereits einen Synology Disk Station als Datenspeicher im Unternehmen einsetzt, kann hier den internen DynDNS Dienst der Disk Station für diese Anforderung nutzen. Die passenden DNS CNAME Einträge beim eigenen Hoster erledigen den Rest.

Zertifikat für den gesicherten HTTP/s Zugriff

Zertifikate für die externe IP-Adresse bedingen immer einen passenden Domainnamen. Dieser wurde im Absatz zuvor als Subdomain angelegt. Das passende Zertifikat für den neuen DNS Namen kann entweder über Geotrust käuflich erworben, ober über LetsEncrypt kostenfrei bereitgestellt werden. Das kostenlose Zertifikat hat lediglich den Nachteil, dass dieses sehr viel schneller seine Gültigkeit verliert, als käuflich erworbene Zertifikate. Zur Verwaltung des Zertifikats bietet sich daher ein autonomes System wie Certbot [5] an.

Firewall / Reverse Proxy

Für die Steuerung der externen Zugriffe sollte eine Firewall, sowie ein Reverse Proxy eingesetzt werden. Entsprechend der aktuellen betrieblichen Serverlandschaft können hier die eigene Firewall, alternativ eine Portweiterleitung der Fritz!Box erfolgen.

Die so weitergeleiteten WSUS Ports, können mithilfe eines Reverse Proxys regelbasiert gesteuert und gefiltert werden. Ein weit verbreiteter und etablierter Reverse Proxy ist NGINX. Er bietet neben Lastverteilung auch die gesicherte Anbindung eines Webserverdienstes wie WSUS an. Dadurch können spezifische Webseitenzugriffe auf URL-Ebene gefiltert und zum WSUS Server weitergeleitet werden.


Zusammengefasst kann bereits mit geringen Kosten und Aufwänden, die Sicherheit der externen Unternehmenscomputer realisiert werden. Administratoren erhalten dabei die Gewissheit, dass Computer gegen aktuelle Sicherheitsrisiken geschützt sind. Entscheider und Geschäftsführer können dadurch Ihre Risikobewertung optimierter an die unternehmerischen Belange ausrichten, was zwangsläufig zu einer verbesserten Risikobewertung, aufgrund aktueller Zahlen, Daten und Fakten führt. Es muss aber wie so oft, “nur noch” gemacht werden.

Sollten Sie Fragen oder Probleme bei der Umsetzung dieser Strategie haben, scheuen Sie sich nicht, mir einen Kommentar zu schreiben oder mit mir in direkten Kontakt zu treten. Ich helfe Ihnen gerne.

Mehr zu diesem Beitrag

Quellen / Einzelnachweise

  1. WSUS Package Publisher https://github.com/DCourtel/Wsus_Package_Publisher
  2. Microsoft Technet Forumseintrag zu WSUS Update Downloads https://social.technet.microsoft.com/Forums/lync/en-US/e87b96a2-2dd3-429b-9611-b5ff00f93d5c/clients-downloading-updates-on-http-from-wsus?forum=winservergen
  3. SpiceWorks Foreneintrag zu SSL Downloads https://community.spiceworks.com/topic/2091224-wsus-client-download-through-ssl
  4. Proxmox Produktwebseite https://www.proxmox.com/de/proxmox-ve
  5. CertBot für automatische Let’s Encrypt Zertifikatsverwaltung https://certbot.eff.org/

tbd.

Änderungshistorie

Erstellt: 2020-06-07Geändert: 2023-04-07
Änderungshistorie: –
2020-06-07: Basis – Layout + Text
2020-06-13: Redaktionelle Überarbeitung
2023-04-07: Update Link zum Wsus Package Publisher

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

dreizehn − zehn =