Wichtige Änderung bei WSUS Kommunikation

Zusammen mit den neusten Microsoft September-Updates wurde ein Microsoft Blog-Beitrag von WSUS Program Manager Aria Carley über Änderungen zur Verbesserung der Sicherheit in der Kommunikation zwischen Windows Clients und dem WSUS Server veröffentlicht.

Achtung! Wer derzeit einen WSUS mit den Standardkommunikationsoptionen betreibt, muss dringend Hand an die WSUS Konfiguration anlegen und SSL/TLS aktivieren. Sobald ein Windows Client die September-Updates eingespielt hat, verlangt er bei der Kommunikation mit dem WSUS-Server eine TLS-geschützte Verbindung. Die meisten Standardinstallationen verwenden jedoch nicht-TLS gesicherte Verbindungen über den Port 8530.

Verwenden die Clients dazu auch noch einen Proxy, der per User und nicht per Gerät ausgerollt wird, gibt es weitere Punkte zu beachten.

Microsoft gibt an, dass diese Änderungen die Kommunikation der Clients beim Scannen nach Updates weiter absichern soll. Wie diese Kommunikation jedoch für Angriffe genutzt werden könnte, gibt Microsoft nicht bekannt. Zumal alle Updates digital signiert sind - unabhängig vom gewählten Kommunikationsweg. Eine Manipulation der Updates über eine „Man-in-the-Middle“-Attacke ist damit ohnehin quasi ausgeschlossen.

Das Fazit ist klar: Wer seinen WSUS nicht fit für SSL/TLS gemacht hat, verliert nach Einspielen der September-Updates die WSUS-Kommunikation zu seinen Clients.

Quelle: techcommunity.microsoft.com/t5/windows-it-pro-blog/changes-to-improve-security-for-windows-devices-scanning-wsus/ba-p/1645547

Änderung bei Domänenanmeldung

Am 11.08.2020 war es bei Microsoft wieder soweit - Patch Tuesday. Und während die meisten Neuerungen bei den monatlichen Microsoft Updates ohne weiteres Zutun mit der Installation automatisch übernommen werden, gibt es hin und wieder Änderungen, die uns Admins eiskalt erwischen, wenn man nicht vorher davon weiß und vorbereitet ist. Doch wer liest schon die Änderungshinweise der monatlichen Updates? Wir natürlich! ;-)

Beginnend mit den August 2020-Updates, führt Microsoft eine Änderung zur Absicherung gegen Verwundbarkeiten im sogenannten Netlogon-Protokoll ein. Während die August 2020-Updates die Systeme in die „erste Phase“ der Umstellung führen, werden die Februar 2021-Updates neue Einstellungen auf allen Domänencontrollern erzwingen. Nicht-kompatible Geräte werden ab diesem Zeitpunkt keine Verbindung zur Domäne herstellen können.

Quelle: support.microsoft.com/de-de/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections

Cloud-basierte VPN-Anbieter

Es klingt zu schön um wahr zu sein. Man muss sich nicht mit diesen komplizierten VPN-Verbindungen befassen, sondern installiert einfach einen Router eines Anbieters, trägt eine Kundennummer ein und dieser Anbieter stellt einem über eine Relay-basierte Verbindung eine VPN-Verbindung in eine Industrieanlage her. Ohne Know-How über VPNs haben zu müssen, ohne lästige Port-Weiterleitungen und ohne eine eigene VPN-Infrastruktur betreiben zu müssen. Zugriff auf alle betreuten Anlagen von überall auf der Welt.

Doch was ist, wenn die Cloud-VPN-Infrastruktur des gewählten Anbieters Sicherheitslücken aufweist? Setzen Sie und Ihre Partnerfirmen immer die aktuellsten Software-Versionen ein? Unseren Netzwerkern läuft bei dem Begriff „Cloud-VPN“ regelmäßig ein kalter Schauer über den Rücken. Und aktuelle Sicherheitsenthüllungen bei mehreren Cloud-VPN-Anbietern, die Ende Juli veröffentlicht wurden, tragen zu Recht zur Skepsis solcher Lösungen gegenüber bei (Link siehe „Quellen“).

Auch das BSI weist in seinem Bericht über die Top10 Bedrohungen für Industrieanlagen ausdrücklich auf die Gefahr dieser extern betriebenen Cloud-VPNs hin. Die Empfehlung des BSI lautet in diesem Fall: Private Cloud! Somit behalten Sie die Kontrolle über Ihre eigene Infrastruktur und haben das Know-How in Ihrer eigenen Firma.

novumprojekt bietet als Gold Partner mit den Lösungen von Lancom zuverlässige VPN-Infrastrukturen an, die wir nach Ihren speziellen Anforderungen gemeinsam mit Ihnen in Betrieb nehmen. Auf Wunsch unterstützen wir Sie beim Betrieb der Infrastruktur und geben Tipps zur Anpassung der Sicherheitseinstellungen nach aktuellem Bedarf.

Quelle: www.claroty.com/2020/07/28/vpn-security-flaws/

Quelle: www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS/BSI-CS_005.pdf