SSL in WSUS einrichten und aktivieren
Blickdicht
Veröffentlicht in Ausgabe 02/2024 - SCHWERPUNKT
Seit Jahren sorgen die Windows Server Update Services (WSUS) in Microsoft-Netzwerken dafür, dass Server, Workstations und auch Workloads aktuell gehalten werden. WSUS ist daher ein wichtiger Serverdienst, der auch in Windows Server 2022 und dessen Nachfolger Windows Server 2025 enthalten ist. Grundsätzlich ist es möglich, WSUS mit dem Azure Update Management zu verknüpfen, um die Updatekontrolle aus der Cloud mit lokalen Serverdiensten zu verbinden. Der lokale Dienst bleibt so zukunftssicher und lässt sich problemlos in modernen Infrastrukturen integrieren.
Prinzipiell ist es dabei sinnvoll, auch diesen Dienst vor Angriffen zu schützen und nicht nur zu installieren, mit dem Assistenten einzurichten und anschließend zu nutzen. So gibt es einige Punkte, die sich im Betrieb von WSUS verbessern lassen. Standardmäßig verwendet WSUS beispielsweise das HTTP-Protokoll für die Kommunikation mit den Clients und der Verwaltungskonsole. In diesem Artikel zeigen wir, wie Sie die Kommunikation zwischen WSUS-Clients, also Arbeitsstationen und Servern, sicherer gestalten, ohne dabei an Stabilität und Komfort einzubüßen.
Darum ist SSL für WSUS wichtig
Eine wichtige Rolle spielt dabei die SSL-Verschlüsselung, die Sie für die Verbindung zwischen WSUS-Managementkonsole und WSUS sowie für die Verbindung zwischen WSUS und Clients aktivieren können. Das ist auch sehr sinnvoll, da ansonsten Daten unverschlüsselt durch das Netzwerk laufen, die Cyberkriminelle abgreifen oder manipulieren könnten. Beispiel dafür sind die Versionen von Betriebssystemen, fehlende Patches oder freigegebene Aktualisierungen, die Rückschlüsse auf Schwachstellen geben.
Seit Jahren sorgen die Windows Server Update Services (WSUS) in Microsoft-Netzwerken dafür, dass Server, Workstations und auch Workloads aktuell gehalten werden. WSUS ist daher ein wichtiger Serverdienst, der auch in Windows Server 2022 und dessen Nachfolger Windows Server 2025 enthalten ist. Grundsätzlich ist es möglich, WSUS mit dem Azure Update Management zu verknüpfen, um die Updatekontrolle aus der Cloud mit lokalen Serverdiensten zu verbinden. Der lokale Dienst bleibt so zukunftssicher und lässt sich problemlos in modernen Infrastrukturen integrieren.
Prinzipiell ist es dabei sinnvoll, auch diesen Dienst vor Angriffen zu schützen und nicht nur zu installieren, mit dem Assistenten einzurichten und anschließend zu nutzen. So gibt es einige Punkte, die sich im Betrieb von WSUS verbessern lassen. Standardmäßig verwendet WSUS beispielsweise das HTTP-Protokoll für die Kommunikation mit den Clients und der Verwaltungskonsole. In diesem Artikel zeigen wir, wie Sie die Kommunikation zwischen WSUS-Clients, also Arbeitsstationen und Servern, sicherer gestalten, ohne dabei an Stabilität und Komfort einzubüßen.
Darum ist SSL für WSUS wichtig
Eine wichtige Rolle spielt dabei die SSL-Verschlüsselung, die Sie für die Verbindung zwischen WSUS-Managementkonsole und WSUS sowie für die Verbindung zwischen WSUS und Clients aktivieren können. Das ist auch sehr sinnvoll, da ansonsten Daten unverschlüsselt durch das Netzwerk laufen, die Cyberkriminelle abgreifen oder manipulieren könnten. Beispiel dafür sind die Versionen von Betriebssystemen, fehlende Patches oder freigegebene Aktualisierungen, die Rückschlüsse auf Schwachstellen geben.
Das ist besonders relevant in Umgebungen, in denen Updates über unsichere oder öffentlich zugängliche Netzwerke verteilt werden. Die Implementierung von SSL sichert die Authentizität der Updatequelle und gewährleistet, dass die Clients Updates von einem vertrauenswürdigen Server erhalten. Zudem hilft SSL, die Integrität der übertragenen Daten zu wahren, da Änderungen an den Daten während der Übertragung erkannt werden. Insgesamt trägt der Einsatz von SSL dazu bei, die Sicherheit des gesamten Updateprozesses in einer Windows-Server-Umgebung zu stärken und stellt eine wichtige Komponente in einer umfassenden Sicherheitsstrategie dar.
Verwendung von SSL in WSUS
Um SSL in WSUS einzurichten, installieren Sie zunächst ein Serverzertifikat auf dem Server. Dieses bildet die Grundlage für die SSL-Kommunikation. Falls bereits Zertifikate vorhanden sind, lassen sich diese natürlich auch für diese Verbindung verwenden. Sauberer und nachvollziehbarer ist es aber, wenn Sie für die Webschnittstellen von WSUS ein eigenes Zertifikat nutzen. Dabei können Sie auf eine interne Zertifizierungsstelle zurückgreifen, zum Beispiel auf die Active Directory Certificate Services (ADCS). Angesichts der ständig steigenden Sicherheitsanforderungen benötigen die meisten Unternehmen meistens ohnehin mehrere interne Zertifikate.
Die Active Directory Certificate Services bieten den Vorteil, dass Computer, die Mitglied im Active Directory sind, über Gruppenrichtlinien automatisch das Zertifikat der Zertifizierungsstelle erhalten und dieser damit vertrauen. Bei WSUS und auch bei anderen Serverdiensten ist es aber auch möglich, selbstsignierte Zertifikate zu verwenden. Das ist in kleineren Umgebungen durchaus sinnvoll und das Verteilen von Zertifikaten ist auch ohne Active-Directory-Zertifikatsdienste mit Gruppenrichtlinien und natürlich auch manuell möglich. Wir schauen uns nachfolgend an, wie Sie ein Zertifikat aus den ADCS abrufen sowie ein selbstsigniertes verwenden.
Vorteile selbstsignierter Zertifikate
Der Einsatz selbstsignierter Zertifikate in einer WSUS-Umgebung bietet verschiedene Vorteile, insbesondere in Bezug auf Kosteneffizienz und vereinfachte Implementierung. Da selbstsignierte Zertifikate intern erstellt werden, entfallen die Aufwände für den Erwerb von Zertifikaten und dem Betrieb einer Zertifizierungsstelle. Das kann gerade in kleinen und mittelständischen Unternehmen, wo die Budgets begrenzt sind, eine kostengünstige Lösung darstellen. Außerdem ermöglicht das Erstellen selbstsignierter Zertifikate eine schnelle und unkomplizierte Inbetriebnahme, da keine Abhängigkeit von externen Anbietern besteht und der Prozess vollständig unter der Kontrolle des Administrators liegt. Es ist daher nicht notwendig, nur für WSUS eine Zertifizierungsstelle zu betreiben. Wenn aber bereits eine vorhanden ist, dann können Sie diese natürlich auch nutzen.
Auf der anderen Seite bringt die Verwendung selbstsignierter Zertifikate auch Nachteile mit sich. So bietet diese Art von Zertifikaten weniger Vertrauen, da sie nicht durch eine Zertifizierungsstelle validiert werden. Das kann insbesondere in größeren, verteilten oder heterogenen Netzwerken zu Herausforderungen führen, da die Zertifikate auf allen beteiligten Systemen manuell zu installieren und als vertrauenswürdig einzustufen sind. Außerdem sind selbstsignierte Zertifikate anfälliger für bestimmte Sicherheitsrisiken, da sie häufig nicht dieselbe strenge Validierung und Sicherheitsfeatures wie von Zertifizierungsstellen ausgestellte Zertifikate aufweisen. Das kann potenzielle Sicherheitslücken eröffnen, besonders wenn nicht auf regelmäßige Erneuerung und sorgfältige Sicherheitspraktiken geachtet wird.
Zertifikat für WSUS erstellen und verteilen
Die Installation eines Zertifikats für WSUS erfolgt wie die übliche Installation von Serverzertifikaten im IIS-Manager. Diesen starten Sie über den Befehl inetmgr auf dem WSUS-Server. Nach einem Klick auf den Servernamen und einem Doppelklick auf "Serverzertifikate" unter "IIS" stehen Ihnen auf der rechten Seite verschiedene Möglichkeiten zur Verfügung, ein Serverzertifikat für WSUS zu installieren. Sie können hier Zertifikate importieren ("Importieren"), einen Antrag erstellen und die Datei im Webinterface einreichen ("Zertifikatsanforderung erstellen") oder mit "Domänenzertifikat erstellen" direkt bei der internen Zertifizierungsstelle einreichen und sofort abholen. Dies läuft über den integrierten Assistenten.
Über den Link "Selbstsigniertes Zertifikat erstellen" stellen Sie auch ohne interne Zertifizierungsstelle ein Zertifikat auf dem Server für WSUS bereit. Wählen Sie unter "Zertifikatsspeicher für das neue Zertifikat auswählen" die Option "Webhosting".
Im Fall eines selbstsignierten Zertifikats sollten Sie dieses noch auf die Clients verteilen, damit diese dem Zertifikat vertrauen. Das kann auch über Gruppenrichtlinien erfolgen. Exportieren Sie in jedem Fall das installierte Zertifikat im Internetinformationsdienste-Manager, wenn Sie mit einem selbstsignierten Zertifikat arbeiten. Öffnen Sie dazu das Zertifikat mit einem Doppelklick. Auf der Registerkarte "Details" können Sie mit "In Datei kopieren" selbstsignierte Zertifikate exportieren. Wählen Sie im Export-Assistenten die Option "Nein, privaten Schlüssel nicht exportieren" und danach im Assistenten die Option "Syntaxstandard für kryptografischer Meldungen", um das Zertifikat als P7B-Datei zu exportieren.
Speichern Sie die Datei in einem Verzeichnis, auf das Sie später bei der Verteilung über GPO zugreifen können. Das Verteilen des Zertifikats auf die Zielrechner ist über seine P7B-Datei mit Gruppenrichtlinien wie auch manuell möglich. Kopieren Sie dazu das Zertifikat auf die einzelnen Computer, doppelklicken Sie darauf und lassen Sie es in den Speicher für vertrauenswürdige Stammzertifizierungsstellen kopieren. Wenn Sie mit Active Directory-Zertifikatsdiensten arbeiten, ist das nicht notwendig, da in diesem Fall das Zertifikat der Stammzertifizierungsstelle automatisch per GPO an die Clients verteilt wird. Das ist einer der Vorteile bei der Verwendung von ADCS.
Gruppenrichtlinien für WSUS erstellen
Sie können für die Verteilung des selbstsignierten Zertifikats dasselbe GPO verwenden, das Sie auch für die Verteilung der Update-Einstellungen verwenden. In kleinen Umgebungen bietet sich auch die "Default Domain Policy" an, aber in den meisten Fällen ist es besser, diese auf dem Standard zu belassen und ein eigenes GPO für WSUS zu erstellen und zu verteilen. Die Verteilung des Zertifikats steuern Sie über "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Richtlinien für öffentliche Schlüssel / Vertrauenswürdige Stammzertifizierungsstellen".
Über das Kontextmenü importieren Sie die zuvor exportierte P7B-Datei des selbstsignierten Zertifikats. Auf Clients, die dieses GPO verwenden, wird das selbstsignierte Zertifikat unter "Vertrauenswürdige Stammzertifizierungsstellen / Zertifikate" installiert. Wenn Sie die Active-Directory-Zertifikatsdienste verwenden, taucht das Zertifikat der Zertifizierungsstelle automatisch dort auf. Die auf einem Client installierten Zertifikate verwalten Sie mit "certlm.msc". Dadurch können Sie kontrollieren, ob das Zertifikat auch überall vorhanden ist.
SSL in WSUS konfigurieren
Nachdem Sie das Serverzertifikat installiert und an die Clients verteilt haben, aktivieren Sie SSL in WSUS. Rufen Sie dazu zunächst im IIS-Manager "Sites / WSUS-Verwaltung" auf. Klicken Sie anschließend auf der rechten Seite auf "Bindungen" und ändern Sie die Bindung für SSL, die auf den Port 8531 verweist. Hier können Sie auch das installierte Zertifikat auf dem Server auswählen. Achten Sie darauf, dass Sie das gleiche Zertifikat auswählen, das Sie auch auf den Clients verwenden. Zusätzlich müssen Sie noch die SSL-Einstellungen für die folgenden Unterverzeichnisse der WSUS-Administrationsseite aufrufen und dort die Option "SSL erforderlich" aktivieren:
- ApiRemoting30
- ClientWebService
- DssAuthWebService
- ServerSyncWebService
- SimpleAuthWebService
Aktivieren Sie die Option "SSL erforderlich", aber nicht bei "Content" und "Inventory". Andernfalls können Clients keine Updates vom Server herunterladen.
WSUS-Konsole für SSL vorbereiten
Nachdem Sie SSL für WSUS aktiviert haben, erhalten Sie beim Aufruf der WSUS-Verwaltungskonsole eine Fehlermeldung, da diese die HTTP-Verbindung nicht mehr öffnen kann. Damit die Konsole wieder funktioniert, starten Sie zunächst eine Kommandozeile und wechseln in das Verzeichnis "C:\Program Files\Update Services\Tools". Geben Sie den Befehl
wsusutil ConfigureSSL <Name des Zertifikats> ein. Als Name des Zertifikats verwenden Sie in der Regel den Servernamen, also zum Beispielwsusutil ConfigureSSL dc1.joos.lab
Öffnen Sie anschließend erneut die WSUS-Verwaltungskonsole und entfernen Sie die veraltete HTTP-Verbindung. Fügen Sie über das Kontextmenü eine neue Verbindung hinzu. Geben Sie den Servernamen und die korrekte Portnummer für die SSL-Verbindung ein. Aktivieren Sie zusätzlich die Option "Verbindung mit diesem Server über SSL herstellen". Den Port sehen Sie, wenn Sie über "Start / Verwaltung" den Internetinformationsdienste-Manager starten und auf "WSUS-Verwaltung" klicken. Im rechten Bereich finden Sie unter "Website durchsuchen" den Port für die HTTPS-Verbindung. Alternativ erhalten Sie den Port in der WSUS-Konsole im unteren Bereich unter "Serverstatistik". Standardmäßig kommt Port 8531 zum Einsatz, der sich aber durchaus anpassen lässt.
Wenn Sie nach erfolgreicher Verbindung auf den Servernamen in der Konsole klicken, sehen Sie im unteren Bereich unter "Verbindung" in der Mitte des Fensters, dass der Typ auf "SSL" gesetzt ist. Die Kommunikation zwischen Verwaltungskonsole und WSUS-Server ist daher jetzt sicher.
Nun konfigurieren Sie das GPO für das Updatemanagement für SSL. Beachten Sie, dass Sie in den Gruppenrichtlinien für die Clientverbindung den Port für die Verbindung vom Standardport 8530 auf 8531 ändern müssen, beziehungsweise auf den Port, den Sie für SSL konfiguriert haben. Die Einstellungen finden Sie unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Update". Passen Sie die Einstellung "Internen Pfad für den Microsoft Update-Dienst angeben" an und verwenden Sie hier die SSL-Verbindung, zum Beispiel "https://dc1.joos.lab:8531".
Übergeordnete Server und SSL mit WSUS
Wenn Sie in Ihrem Unternehmen mehrere WSUS-Server einsetzen, ist es nicht notwendig, dass sich alle Server direkt mit Microsoft synchronisieren. Sie können auch einen Upstream-Server definieren, von dem die anderen WSUS-Server ihre Updates beziehen. Auf Wunsch lassen sich nicht nur die Updates, sondern auch die Einstellungen abgleichen. Auf diese Weise richten Sie einen einzelnen WSUS-Server ein und verteilen dessen Daten und Patches auf andere WSUS-Server im Unternehmen. Auch hier spielt die Kommunikation über SSL eine wichtige Rolle.
Die Einstellungen dazu finden Sie in den "Optionen" der WSUS-Verwaltungskonsole unter "Updatequelle und Proxy". Nachdem Sie den Quell-WSUS-Server eingerichtet und für SSL konfiguriert haben, rufen Sie auf den untergeordneten WSUS-Servern "Optionen / Updatequelle und Proxyserver" auf. Aktivieren Sie die Option "Von einem anderen Windows Server Update Services-Server synchronisieren". Geben Sie im Fenster den Servernamen und den Port 8530 ein, falls Sie kein SSL konfiguriert haben.
Wenn Sie SSL verwenden, nutzen Sie den entsprechenden Port, in der Regel 8531. Wenn Sie Upstream-Server eingerichtet haben, bevor Sie SSL auf dem Quellserver aktiviert haben, müssen Sie an dieser Stelle noch die URL ändern, zum Beispiel in "dc1.joos.lab". Im Fenster zur Steuerung des Upstream-Servers können Sie auch festlegen, dass der untergeordnete WSUS-Server die Einstellungen ebenfalls vom übergeordneten Server erhält. Aktivieren Sie dazu die Option "Dieser Server ist ein Replikat des Upstream-Servers".
Nachdem Sie diese Option aktiviert haben, müssen Sie auf den untergeordneten Servern keine Updates mehr freigeben, da WSUS auch diese Option synchronisiert. Nach einigen Stunden sollten die Server synchronisiert sein. Im Bereich "Downstream Server" der WSUS-Verwaltungskonsole sehen Sie die untergeordneten WSUS-Server. In diesem Bereich können Sie den zu verwaltenden Server auch zur aktuellen Konsole hinzufügen und so mehrere Server in einer WSUS-Konsole verwalten und bezüglich SSL konfigurieren.
Clientverbindung einrichten
Haben Sie SSL aktiviert und alle Einstellungen angepasst, starten Sie entweder den Server neu oder starten Sie zumindest mit "iisreset" den IIS mit WSUS neu. Nach einem Neustart der Clients oder der Eingabe von gpupdate in der Kommandozeile holen sich auch die Clients die neuen Einstellungen aus dem verwendeten GPO. Danach sollten die Rechner weiterhin in der Lage sein, Updates vom WSUS-Server zu beziehen. Mit wuauclt /detectnow /reportnow können Sie die Systeme bei Bedarf erneut verbinden. Die Clients müssen weiterhin in der WSUS-Konsole unter "Computer" erscheinen. Wenn die Einstellungen der Gruppenrichtlinie auf einem Computer noch nicht gespeichert sind, hat Windows die Gruppenrichtlinie möglicherweise noch nicht angewendet.
In diesem Fall können Sie mit dem Befehl
gpupdate /force die Aktualisierung der Gruppenrichtlinie auf dem Client erzwingen. Dazu benötigen Sie eine Eingabeaufforderung mit Administratorrechten. Unterstützung bei Problemen mit der Anwendung von Gruppenrichtlinien bietet auch das Kommandozeilentool "gpresult", zum Beispiel mit gpresult /h <HTML-Datei>. Die HTML-Datei enthält die angewandten Gruppenrichtlinien-Einstellungen. Hier sehen Sie, ob die neuen SSL-Einstellungen und auch das Zertifikat verteilt werden. Sollten nach dieser Zeit immer noch nicht alle Rechner auftauchen, versuchen Sie folgende Schritte zur Fehlerbehebung:1. Benennen Sie auf dem Rechner, der nicht im WSUS angezeigt wird, die Datei "\Windows\System32\wuaueng.dll" in "wuaueng.old" um.
2. Kopieren Sie dann die Datei "wuaueng.dll" vom WSUS-Server aus dem gleichen Verzeichnis auf den fehlenden Computer.
3. Starten Sie den Computer neu.
4. Nach dem Einloggen sollten auch die Dateien, die mit "wu*" beginnen, im Verzeichnis "\Windows\System32" aktualisiert sein.
5. Geben Sie in der Eingabeaufforderung den Befehl
wuauclt /detectnow ein.Sollte dies nicht funktionieren, löschen Sie noch die Einträge für den WSUS im Registryschlüssel "HKLM / SOFTWARE / Microsoft / Windows / CurrentVersion / WindowsUpdate". Es ist jedoch sinnvoll, diese vorher zu exportieren, um sie im Notfall später wieder importieren zu können. Geben Sie anschließend den Befehl
wuauclt /detectnow /reauthorization ein. ein. Um zu überprüfen, ob ein Windows-10/11-Rechner erfolgreich an WSUS angebunden wurde und die Einstellungen in den Gruppenrichtlinien funktionieren, genügt es, "rsop.msc" als Administrator auf dem Rechner auszuführen. Die Einstellungen der Gruppenrichtlinien sollten nun angezeigt werden.Hier sehen Sie die verschiedenen Settings, die Sie per GPO auf die Rechner übertragen. Die Verbindung zwischen Client und WSUS-Server lässt sich auch über den Link "https://<WSUS-Server>:8531/selfupdate/wuident.cab" testen. Nach dem Öffnen des Links muss der Client in der Lage sein, die Datei "wuident.cab" herunterzuladen. Ist das der Fall, ist die Verbindung zwischen Client und Server erfolgreich.
Windows-Update-Probleme beheben
Bei Schwierigkeiten mit der Installation von Windows-Updates und der Anbindung an WSUS ist das kostenlose "Reset Windows Update Tool" [1] ein wertvolles Hilfsmittel. Das Werkzeug zeigt nach dem Start ein Menü zur Behebung von Problemen mit Windows-Updates an, in dem Reset Windows Update Tool die Einstellungen der Windows-Funktionen zurücksetzt und versucht, das Problem zu beheben.
Das Tool steht auf der Downloadseite als Skript und als portables Programm zur Verfügung. Es ist also keine Installation notwendig, um Windows Update zu reparieren. Über die verschiedenen Menüpunkte nach dem Start können Probleme mit Updates behoben oder neue Aktualisierungen gesucht und installiert werden. Im Vordergrund stehen jedoch die Troubleshooting-Funktionen des Tools, die insbesondere bei Problemen hilfreich sind. Bei der Integration von SSL in die WSUS-Infrastruktur kann dies bei der Problembehebung durchaus relevant sein.
Fazit
WSUS wird in vielen Netzwerken ein wichtiger Bestandteil bei der Verteilung von Updates bleiben. Standardmäßig bietet der Installations- und Einrichtungsassistent jedoch keine Konfiguration von SSL an. Diese sollte daher unbedingt nach der Installation von WSUS erfolgen. Ohne SSL können Angreifer mit Tools wie Nmap oder Wireshark noch mehr Informationen auslesen und für mögliche Angriffe nutzen, als ohnehin schon.
(dr)
Link-Codes
[1] Reset Windows Update Tool: https://wureset.com/