Windows Update Server im Internet

Started by FWStarter, December 19, 2021, 05:11:31 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 19, 2021, 05:11:31 PM
Hallo zusammen,
nach viel testen komme ich ziemlich gut mit der OPNsense zurecht.
Was mir aber bisher nicht gelungen ist, ist für die Windows 10 Clients das Update über das Internet einzustellen.
Gelungen eigentlich schon, aber es ist nicht richtig gut da das Loch doch etwas groß ist.

Die Vorgabe ist, ein Windows 10 Client darf sich nur zu den Microsoft Update Servern im Internet verbinden. Ansonsten ist jegliche Kommunikation ins Internet verboten.

Der erste Aufbau meiner Regel sieht so auf:

Source: Alias/Hostname   -> Destination: ANY   -> Port: 80, 443

Das funktioniert zwar, aber der Rechner kommt auf jede Internetseite. Idee war nur die Destination mit den Zielservern einzugrenzen.
Bei Microsoft existiert eine Liste mit entsprechenden Server URLs. Allerdings verwenden diese Wildcards. Die OPNsense kann aber mit Wildcards nicht umgehen.


Hat mir jemand einen Tipp wie ich das sinnvoll eingrenzen kann?

December 19, 2021, 05:17:11 PM #1
Hallo,

und intern einen WSUS Server bereitstellen ist keine Option?
Du musst deine Clients ja bereits verwalten, das wäre die sauberste Lösung.

lg
December 19, 2021, 05:17:12 PM #2
Ich würde einen DNS Filter Server (a la PiHole, AdGuard oder ähnliches mit eigener Pflege) die Filterung übernehmen lassen oder auf einen WSUS Server ausweichen.

Gesendet von meinem OnePlus 8t mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
December 19, 2021, 05:21:55 PM #3
Hallo zusammen,
der WSUS Server muss aber ebenfalls im Internet seine Updates abholen.
Verlagere somit das Problem von Windows 10 auf einen Windows Server.

Warte mal noch ab ob jemand eine Idee hat wie das mit Bordmitteln zu lösen ist. Denke ich werde nicht der einzige sein der vor dem Problem steht/stand.
December 19, 2021, 05:23:43 PM #4
Quote from: FWStarter on December 19, 2021, 05:21:55 PMder WSUS Server muss aber ebenfalls im Internet seine Updates abholen.
Verlagere somit das Problem von Windows 10 auf einen Windows Server.

Was ist denn das Problem bzw deine Gefahr wenn der ins Internet geht?
Im Normalfall arbeitet an einem Server kein Benutzer direkt... Und die die dort Zugang haben sollten wissen was sie machen.

Gesendet von meinem OnePlus 8t mit Tapatalk
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
December 19, 2021, 05:30:39 PM #5
Bei den Admins mache ich mir keine Sorgen. Allerdings möchte ich der Gefahr durch Schadsoftware vorbeugen. Wenn seitens der Firewall nur Zugriff auf "vertrauenswürdige" Microsoft Seiten durchgewunken wird, wäre seitens der Sicherheit vieles gewonnen.

December 19, 2021, 06:23:43 PM #6 Last Edit: December 19, 2021, 06:31:36 PM by chemlud
Ähnlich strenge Regeln für Linux? WSUS kann man auch unter Linux die Updates holen lassen und dann mit den Updates die MS-Dinger updaten. Habe damit aber vor Jahren aufgehört. M.E. wirst du ohne Telemetrie früher oder später Probleme auf den Windows Dingern bekommen. Spätestens wenn irgendwelche Anwendungen nach Hause telefonieren wollen/müssen. Nach Win 7 habe ich aufgehört, zu versuchen die Dinger "sicher" zu betreiben. Keine sensiblen Daten auf MS-Dingern.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
December 19, 2021, 06:29:15 PM #7
oder kein windoof einsetzet :)
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
December 19, 2021, 06:33:19 PM #8
Das ist oft keine Option, wenn man bestimmte Anwendungen nutzen und komplexe Word-Dateien (kompatibel zu MS-Office) erstellen muss.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
December 19, 2021, 06:34:22 PM #9
wir nutzen macOS mit M$ Office 365, das geht gut hauptsache kein Windoof
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
December 19, 2021, 06:37:46 PM #10
Also wir verwenden in einem anderen Bereich auch WSUS Server. Das funktioniert seit jahren tadellos und sehr stabil. Daher ist Linux keine alternative zu einem gut funktionierendem WSUS System.

Meine Idee war eine Whitelist im Proxy Modul zu nutzen. Allerdings verwende ich den Webproxy bereits für eine andere Schnittstelle. In der grafischen Oberfläche konnte ich keine Möglichkeit entdecken mehrere Konfigurationen für den Webproxy zu hinterlegen.

Hat jemand vielleicht noch eine Idee wie die Windows Update Server, die dummerweise Wildcard URIs verwenden, in OPNsense eintragen kann?
December 19, 2021, 06:39:15 PM #11
Quote from: micneu on December 19, 2021, 06:34:22 PM
wir nutzen macOS mit M$ Office 365, das geht gut hauptsache kein Windoof

Naja, macOS ist auch nicht gerade der Burner. Zudem die überteuerte Standardhardware zu Applepreise kaufen... nein Danke.
Pest oder Cholera, dann lieber Windows.
December 19, 2021, 08:32:43 PM #12
Du könntest für diesen speziellen Host nen Proxy nutzen, alles blocken und die Adressen einschließelich denen mit Wildcard mit Regex-Einträgen freischalten.
January 11, 2022, 10:56:43 PM #13
Was spricht eigentlich gehen die Benutzung der Windows Firewall? Alles dicht machen und nur der WSUS Prozess darf nach außen kommunizieren.

Gesendet von meinem OnePlus 8t mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
Print
Go Up Pages1
User actions