Windows Update Server im Internet

[FWStarter]

Hallo zusammen,
nach viel testen komme ich ziemlich gut mit der OPNsense zurecht.
Was mir aber bisher nicht gelungen ist, ist für die Windows 10 Clients das Update über das Internet einzustellen.
Gelungen eigentlich schon, aber es ist nicht richtig gut da das Loch doch etwas groß ist.

Die Vorgabe ist, ein Windows 10 Client darf sich nur zu den Microsoft Update Servern im Internet verbinden. Ansonsten ist jegliche Kommunikation ins Internet verboten.

Der erste Aufbau meiner Regel sieht so auf:

Source: Alias/Hostname   -> Destination: ANY   -> Port: 80, 443

Das funktioniert zwar, aber der Rechner kommt auf jede Internetseite. Idee war nur die Destination mit den Zielservern einzugrenzen.
Bei Microsoft existiert eine Liste mit entsprechenden Server URLs. Allerdings verwenden diese Wildcards. Die OPNsense kann aber mit Wildcards nicht umgehen.


Hat mir jemand einen Tipp wie ich das sinnvoll eingrenzen kann?

[Mks]

Hallo,

und intern einen WSUS Server bereitstellen ist keine Option?
Du musst deine Clients ja bereits verwalten, das wäre die sauberste Lösung.

lg

[superwinni2]

Ich würde einen DNS Filter Server (a la PiHole, AdGuard oder ähnliches mit eigener Pflege) die Filterung übernehmen lassen oder auf einen WSUS Server ausweichen.

Gesendet von meinem OnePlus 8t mit Tapatalk

[FWStarter]

Hallo zusammen,
der WSUS Server muss aber ebenfalls im Internet seine Updates abholen.
Verlagere somit das Problem von Windows 10 auf einen Windows Server.

Warte mal noch ab ob jemand eine Idee hat wie das mit Bordmitteln zu lösen ist. Denke ich werde nicht der einzige sein der vor dem Problem steht/stand.

[superwinni2]

der WSUS Server muss aber ebenfalls im Internet seine Updates abholen.
Verlagere somit das Problem von Windows 10 auf einen Windows Server.

Was ist denn das Problem bzw deine Gefahr wenn der ins Internet geht?
Im Normalfall arbeitet an einem Server kein Benutzer direkt... Und die die dort Zugang haben sollten wissen was sie machen.

Gesendet von meinem OnePlus 8t mit Tapatalk

[FWStarter]

Bei den Admins mache ich mir keine Sorgen. Allerdings möchte ich der Gefahr durch Schadsoftware vorbeugen. Wenn seitens der Firewall nur Zugriff auf "vertrauenswürdige" Microsoft Seiten durchgewunken wird, wäre seitens der Sicherheit vieles gewonnen.

[chemlud]

Ähnlich strenge Regeln für Linux? WSUS kann man auch unter Linux die Updates holen lassen und dann mit den Updates die MS-Dinger updaten. Habe damit aber vor Jahren aufgehört. M.E. wirst du ohne Telemetrie früher oder später Probleme auf den Windows Dingern bekommen. Spätestens wenn irgendwelche Anwendungen nach Hause telefonieren wollen/müssen. Nach Win 7 habe ich aufgehört, zu versuchen die Dinger "sicher" zu betreiben. Keine sensiblen Daten auf MS-Dingern.

[micneu]

oder kein windoof einsetzet

[chemlud]

Das ist oft keine Option, wenn man bestimmte Anwendungen nutzen und komplexe Word-Dateien (kompatibel zu MS-Office) erstellen muss.

[micneu]

wir nutzen macOS mit M$ Office 365, das geht gut hauptsache kein Windoof

[FWStarter]

Also wir verwenden in einem anderen Bereich auch WSUS Server. Das funktioniert seit jahren tadellos und sehr stabil. Daher ist Linux keine alternative zu einem gut funktionierendem WSUS System.

Meine Idee war eine Whitelist im Proxy Modul zu nutzen. Allerdings verwende ich den Webproxy bereits für eine andere Schnittstelle. In der grafischen Oberfläche konnte ich keine Möglichkeit entdecken mehrere Konfigurationen für den Webproxy zu hinterlegen.

Hat jemand vielleicht noch eine Idee wie die Windows Update Server, die dummerweise Wildcard URIs verwenden, in OPNsense eintragen kann?

[FWStarter]

wir nutzen macOS mit M$ Office 365, das geht gut hauptsache kein Windoof

Naja, macOS ist auch nicht gerade der Burner. Zudem die überteuerte Standardhardware zu Applepreise kaufen... nein Danke.
Pest oder Cholera, dann lieber Windows.

[Layer8]

Du könntest für diesen speziellen Host nen Proxy nutzen, alles blocken und die Adressen einschließelich denen mit Wildcard mit Regex-Einträgen freischalten.

[superwinni2]

Was spricht eigentlich gehen die Benutzung der Windows Firewall? Alles dicht machen und nur der WSUS Prozess darf nach außen kommunizieren.

Gesendet von meinem OnePlus 8t mit Tapatalk