Microsoft WSUS staat updatescans bij http en user-proxies niet meer toe
Organisaties die met behulp van Windows Server Update Services (WSUS) de computers in hun netwerk up-to-date houden moeten controleren dat ze geen gebruik van http en user-proxies maken, anders zullen computers niet meer kunnen controleren of er beveiligingsupdates beschikbaar zijn. Dat heeft Microsoft aangekondigd.
Met WSUS hebben organisaties meer controle over de updates die ze binnen hun netwerk uitrollen. WSUS downloadt de updates bij Microsoft en distribueert ze vervolgens onder computers op het netwerk. Het is een integraal onderdeel van Windows Server. De verbinding tussen Microsoft en de WSUS-server vindt plaats via https.
In het geval er meerdere WSUS-servers hiërarchisch zijn ingesteld zullen de downstream-servers de update-metadata van de upsteam-servers ontvangen. Wanneer er http voor deze verbindingen wordt gebruikt zijn organisaties kwetsbaar voor aanvallen en kan de informatie worden aangepast. Om de "chain of trust" in stand te houden en aanvallen op computers in het netwerk te voorkomen moeten alle verbindingen waarbij metadata wordt uitgewisseld via https plaatsvinden, aldus Microsoft.
Organisaties kunnen ervoor kiezen dat computers in het netwerk via een proxy verbinding met een WSUS-server maken om te kijken of er updates beschikbaar zijn. Volgens Microsoft is het belangrijk om hierbij een systeem-gebaseerde proxy te gebruiken en geen user-gebaseerde proxy. Bij een user-gebaseerde proxy wordt de gebruiker geauthenticeerd.
In het geval van een user-gebaseerde proxy kan een gebruiker de data die tussen de updateserver en de computers in het netwerk wordt uitgewisseld onderscheppen en manipuleren, zo stelt Microsoft. Om dit te voorkomen heeft Microsoft deze maand een update voor Windows 10-computers uitgerold die de omgang van computers met WSUS aanpast.
Na installatie van de beveiligingsupdates van deze maand zullen computers die via http en een user-gebaseerde proxy verbinding met de WSUS-server maken geen updatescans bij de WSUS-server kunnen uitvoeren. Daardoor lopen deze computers het risico dat ze geen beveiligingsupdates meer ontvangen en dus kwetsbaar zijn. Om ervoor te zorgen dat computers toch via de WSUS-server naar updates kunnen zoeken adviseert Microsoft het gebruik van https voor de WSUS-omgeving, het gebruik van een systeem-gebaseerde proxy wanneer nodig en het instellen van een fallback-policy.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.