Windows Server Update Services (WSUS) - Posso ruotare su un computer client?

0

Sto prendendo in considerazione l'installazione di WSUS su un server 2008 per inviare aggiornamenti ai miei client Windows 7. Se lo faccio, seguirò le linee guida sulla tempra emesse da MS (come l'attivazione di SSL).

Una cosa che non riuscivo a trovare (e mi scuso in anticipo se ho perso la documentazione MS pertinente!) è come sono firmati gli aggiornamenti. Ovviamente, gli aggiornamenti scaricati da MS sul server WSUS sono firmati da MS e verificati dal server WSUS (giusto?) Ma la macchina client convalida anche il certificato, oppure gli aggiornamenti sono riscritti dal server WSUS per il trasferimento a il cliente? Sicuramente no, vero?

La mia preoccupazione è che un utente malintenzionato con root sul server WSUS potrebbe essere in grado di accedere facilmente a tutte le macchine connesse, inviando loro un falso aggiornamento. Si tratta di un problema valido o il client esegue la stessa convalida degli aggiornamenti come quando scaricherà gli aggiornamenti direttamente da Windows Update?

Non mi interessa, in questo scenario, che la chiave di Windows Update di Microsoft venga compromessa, e non sono nemmeno preoccupato per un utente malintenzionato sulla casella WSUS che impedisce che gli aggiornamenti vengano trasferiti ai client.

Inoltre, le macchine client sono non unite a un dominio AD, se questo è rilevante. La configurazione viene eseguita localmente su ciascun client.

Grazie.

    
posta randomdude 02.04.2015 - 05:54
fonte

1 risposta

1

Ok, ho fatto qualche ricerca su questo. Non riesco ancora a trovare alcuna parola da parte di MS - presumibilmente pensano che sia una cosa così ovvia da fare che non ha bisogno di tale asserzione.

Esaminando il file WindowsUpdate.log si suggerisce che è in corso il controllo delle firme e l'esame del file wuaueng.dll con un debugger lo verifica. L'aggiornamento di Windows rifiuterà le immagini firmate da qualcuno che non sia MS.

Ho fatto un post sul blog contenente i dettagli cruenti - link .

    
risposta data 04.04.2015 - 06:30
fonte

Leggi altre domande sui tag