none
WSUS: best practices per la gestione dei roming clients RRS feed

  • Domanda

  • Buongiorno a tutti,

    vorrei un vostro parere in merito alla gestione degli aggiornamenti tramite WSUS dei cosiddetti "roaming clients", ovvero quei client che per necessità spesso si collegano agli strumenti aziendali da reti differenti esterne all'azienda.

    Scenario attuale
    Il server WSUS è in un dominio aziendale e gestisce gli aggiornamenti dei client che si regisrano tramite GPO nell'opportuno gruppo di computer di riferimento.
    Il server WSUS è configurato con un certificato SSL pubblico (non self-signed) ed ha delle policy di approvazione automatica in base a determinati criteri (tipologia di aggiornamenti/gruppo di PC).

    Inoltre, un prodotto di terze parti pubblica tramite WSUS aggiornamenti di sicurezza anche per prodotti di terze parti.

    Tutto funziona correttamente quando i client sono collegati alle reti aziendali; ovviamente, quando un client portatile (notebook) va fuori dalla rete aziendale, riceve gli aggiornamenti solo se è connesso via VPN.

    In alcuni scenari, i client esterni non si collegano via VPN per diverso tempo, utilizzando connessioni Internet differenti e di conseguenza non ricevono gli aggiornamenti.

    Per evitare di avere dei client non aggiornati per diverso tempo, stavo considerando l'opzione di pubblicare esternamente il server WSUS.

    Oltre ai soliti rischi di sicurezza legati all'esposizione di un servizio all'esterno (patching di IIS, WSUS, ecc.), ci sarebbero altre controindicazioni e/o limitazioni?

    Attendo fiducioso un vostro contributo ;-)

    Grazie mille

    martedì 26 settembre 2017 10:32

Risposte

Tutte le risposte

  • Ovviamente non è raccomandato ma personalmente non vedo grossi problemi relativi alla sicurezza, alla fine WSUS è un webserver, quindi l'importante è prendere le dovute accortezze.
    Considera però che dovrai anche configurare i tuoi certificati come descritto qui:
    https://blogs.technet.microsoft.com/sus/2011/05/09/how-to-create-an-internet-facing-wsus-server-that-uses-different-internal-and-external-names/

    In alternativa, il metodo consigliato è quello di utilizzare Microsoft Intune:
    https://docs.microsoft.com/en-us/intune-classic/deploy-use/keep-windows-pcs-up-to-date-with-software-updates-in-microsoft-intune


    martedì 26 settembre 2017 11:08
    Moderatore
  • Ciao, il problema principale credo sia sulla vpn, in cui i client si aggiornano saturandoti i tunnel. Ad oggi non puoi discriminare su connessioni lente o no per gli aggiornamenti. Pubblicare il server wsus equivale a quel punto a lasciare fuori i roaming clients dalle policy e fargli fare le updates sui server online di Microsoft, sicuramente fai meglio che far diventare pubblico il tuo server, il risultato è sicuramente migliore.

    Boh, non vedo molte soluzioni proficue al tuo problema, personalmente dai miei clienti i pc itineranti sono gestiti o dai proprietari per le updates oppure quando entrano in azienda si fanno l'aggiornamento, è anche vero che la corsa all'update ha poco senso se le updates non le hai testate quindi rischi che poi al commerciale si pianti il pc per 2 ore per aggiornamenti o perchè una update ha fatto qualcosa di strano. le updates vanno fatte ma se hai dei pc in loco su cui puoi poi intervenire ha senso...se sono itineranti c'è un grosso rischio...

    ciao.

    A.

     
    martedì 26 settembre 2017 11:12
    Moderatore
  • Considera però che dovrai anche configurare i tuoi certificati come descritto qui:
    https://blogs.technet.microsoft.com/sus/2011/05/09/how-to-create-an-internet-facing-wsus-server-that-uses-different-internal-and-external-names/

    Nel mio caso ho una configurazione DNS di tipo "split brain", quindi posso usare lo stesso nome DNS sia internamente che esternamente.
    martedì 26 settembre 2017 11:55
  • Ciao, il problema principale credo sia sulla vpn, in cui i client si aggiornano saturandoti i tunnel. Ad oggi non puoi discriminare su connessioni lente o no per gli aggiornamenti. Pubblicare il server wsus equivale a quel punto a lasciare fuori i roaming clients dalle policy e fargli fare le updates sui server online di Microsoft, sicuramente fai meglio che far diventare pubblico il tuo server, il risultato è sicuramente migliore.

    Boh, non vedo molte soluzioni proficue al tuo problema, personalmente dai miei clienti i pc itineranti sono gestiti o dai proprietari per le updates oppure quando entrano in azienda si fanno l'aggiornamento, è anche vero che la corsa all'update ha poco senso se le updates non le hai testate quindi rischi che poi al commerciale si pianti il pc per 2 ore per aggiornamenti o perchè una update ha fatto qualcosa di strano. le updates vanno fatte ma se hai dei pc in loco su cui puoi poi intervenire ha senso...se sono itineranti c'è un grosso rischio...

    ciao.

    A.

     

    Nel mio caso il server WSUS distribuisce anche aggiornamenti di sicurezza per diversi prodotti di terze parti, quindi se dovessi far puntare alcuni client sui server Microsoft otterrei un effetto controproducente perchè:

    1) non avrebbero gli aggiornamenti di sicurezza per i prodotti di terze parti

    2) anche quando sono in azienda, questi client utilizzerebbero i server esterni saturando la rete inutilmente

    Al contrario, puntando sempre al server interno (anche per i prodotti di terze parti), quando i notebook sono fuori dall'azienda (e non posso sapere a priori quanti e quali notebook saranno), continuerebbero a ricevere tutti gli aggiornamenti di sicurezza.

    Nel mio caso non ci sono problemi di banda, perchè dispongo di diverse centinaia di Mb/s.

    Il tema della gestione delle policy di sicurezza (manuale / autonoma) è qualcosa di distinto; ognuno applica la propria strategia, ma l'importante è che ci sia.

    Per eperienza personale posso affermare che per le tematiche di sicurezza è bene non fare affidamento all'utente finale perchè si corre il rischio di avere macchine senza patch installate da anni.

    Preferisco più che ci sia un problema legato ad una patch installata automaticamente che uno creato da una patch non installata (vedy ransomware & co.)

    Grazie comunque per il vostro contributo

    martedì 26 settembre 2017 12:04
  • In una situazione come la tua credo che l'unica soluzione sia quella di implementare un'infrastruttura Direct Access, in questo modo i client sono in pratica sempre connessi alla LAN aziendale senza la necessità di instaurare una VPN, oltre a risolvere i problemi del WSUS risolveresti anche il problemi dell'applicazione delle GPO.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    mercoledì 27 settembre 2017 21:29