(本ブログは以下元記事の抄訳でございます。)
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/changes-to-improve-security-for-windows-devices-scanning-wsus/ba-p/1645547
皆様、こんにちは。WSUS サポート チームです。
今日は WSUS へスキャンを行うクライアントのセキュリティ向上の為の変更点について紹介します。
Windows 10 の 2020 年 9 月の累積更新プログラムでは、Windows Server Update Services (WSUS) をスキャンして更新プログラムを取得するクライアントのセキュリティの向上に寄与する変更を導入しました。 この記事では、これらの変更点と、クライアントが引き続き更新プログラムをスキャンするために必要なアクションの概要を説明し、組織内のクライアントのセキュリティを向上させるための基本的な推奨事項をご案内します。
既定で HTTP ベースのサーバーがセキュアになりました
2020 年 9 月以降の累積更新プログラムから、HTTP ベースのイントラネットサーバーが既定で IE のユーザー プロキシを利用して更新プログラムを検出することを認めなくなりました。 その為、 TLS プロトコル 及び HTTPS で保護されていない WSUS 環境があり、クライアントがイントラネットの WSUS に正常に接続するために IE のユーザー プロキシを必要とする場合、クライアントが 2020 年 9 月以降の累積更新プログラムを適用後は、WSUS に対するスキャンが失敗するようになります。
セキュリティ強化のための推奨事項
WSUS のセキュリティを確保するために、マイクロソフトは、クライアントと WSUS 間で TLS/SSL プロトコルを使用することを推奨しています。
Microsoft Update (WSUS を含む) は、コンテンツファイルとカタログ情報 (メタデータ) という 2 種類のコンテンツに依存しています。どちらのコンテンツも非常に重要であり、コンピュータを安全かつ最新の状態に保つために、どちらも保護する必要がございます。
各種コンテンツの説明は以下でございます。
コンテンツファイル :
更新プログラムの実体となるファイルそのものです。デジタル署名チェックや暗号ハッシュ検証など、複数の手段で改ざんから保護されています。HTTPS は、データが信頼できることを証明するためにクライアントが使用する適切な Chain of Custody を提供します。
カタログ情報 (メタデータ) :
どの更新プログラムが利用可能か、更新プログラムを適用できるデバイスはどれか、更新プログラムの実体ファイルを取得する場所はどこかなどの情報が含まれるファイルです。デバイスが Microsoft Update から直接アップデートを受信する場合、そのデバイスは Microsoft サーバから直接アップデートのカタログ情報 (メタデータ)を受信します。このカタログ情報 (メタデータ)は、改ざんを防ぐために常に HTTPS を介して送信されます。WSUS または Configuration Manager を使用して組織の更新を管理する場合、メタデータは一連の接続を介して Microsoft サーバーからデバイスに送信されます。これらの接続の各々は、悪意のある攻撃から保護される必要があります。また、WSUS サーバーは、Windows Update に接続し、更新プログラムのカタログ情報 (メタデータ) を受信します。この接続には常に HTTPS を使用し、HTTPS のセキュリティ機能によりカタログ情報 (メタデータ)の改ざんを防止します。複数の WSUS サーバーを階層的に配置している場合、下流側のサーバーは上流側のサーバーからカタログ情報 (メタデータ)を受信します。これらの接続には HTTP または HTTPS を使用することができます。しかし、HTTP を使用すると、外部から攻撃されやすくなるため、非常に危険でございます。反対に、HTTPS を使用すると、下流側の WSUS は上流側の WSUS から受信したカタログ情報 (メタデータ)を信頼していることを証明することができます。
まとめ
外部からクライアントコンピュータへの攻撃を防ぐためには、組織内のすべての上流と下流の WSUS 間の接続、および WSUS とクライアントコンピュータ間の接続が攻撃から防御されていることを確認する必要があります。このため、HTTPS を使用してこれらの接続を保護するように WSUS ネットワークを構成することを強くお勧めします。
HTTPS を構成しても、プロキシが必要な場合
HTTPS を構成しても、プロキシが必要な場合は、ユーザーベースのプロキシではなく、システムベースのプロキシを使用することが非常に重要です。ユーザーベースのプロキシを使用すると、たとえ権限を持たないユーザーであっても、更新クライアントと更新サーバーの間で交換されるデータを傍受して操作することが可能となってしまいます。