Problema com https do windows update.
-
Olá prezados.
Realizei o bloqueio da porta 443 aqui na empresa e tenho desbloqueado o necessário e relevante na medida que me é solicitado.
Tudo indo consideravelmente bem, regulação dos acessoe e diminuição nos acessos indevidos.
Mas me deparei com um problema com o Windows Update, ele possui alguns https que ainda estão bloqueados e não consigo identificá-los. Dai o problema, nada de atualizações por enquanto gafanhotos…
Já procurei em bastantes locais meios de identificar esses https... Alguém consegue me dar uma dica? Alguém já passou pelo problema?Cordialmente.
-
Estou entrando em contato com o Suporte Técnico da Microsoft para solicitar os FQDN em https para atualizações…
Mando a lista aqui para futuras consultas de quem tiver o mesmo problema... -
Mano eu uso proxy transparente então comigo agora deu certo.
A SOLUÇÃO:
pega esses domínios:
microsoft.com
windowsupdate.com
time.windows.comCopia eles e cola em proxy server -> Acl ->Whitelist
click em Save e corre para o abraço.
-
Esse problema já havia sido resolvido no tópico abaixo.
-
https não passa pelo proxy, não adianta nada colocar em whitelist….
Ja tentei utilizar essa solução mas não deu gafanhoto :'( -
Bom Ivan, então eu entendi… mais você testou? Agora você vai pegar o FQDN para fazer regras de firewall, liberando esses endereços na 443?
-
Bom Ivan, então eu entendi… mais você testou? Agora você vai pegar o FQDN para fazer regras de firewall, liberando esses endereços na 443?
Sim ja realizei os testes. Na minha opinião é algo que não tem solução. Se existissem fqdn genéricos seria mais fácil de adicionar esses Aliases pois não seriam precisos os subdominios, porém isso criaria uma brecha na segurança.
A solução que é cabível, é adicionar os fqdn dos https na lista da regra que criamos… Esse Alias é do tipo host e no lugar do ip inserimos o FQDN (como descrito no quadro explicativo na própria página).Tem se mostrado eficiente, e aumentou o controle sobre a rede em 70%. O único empecilho é o fato de ser extremamente complicado encontrar esses fqdn's, por exemplo o do skype é outro que deu muito trabalho....
-
Muito bom mesmo. O interessante é ver o que você fez é muito restritivo, eu creio que 70% é pouco para o seu controle. Claro que tem como melhorar muito mesmo. Mais seria interessante você utilizar o tcpdump/ntop/ pftop / e outros para ver os sites ou ip´s em que esta procurando. Assim poderia capturar os serviços que mais precisa. O legal no que esta fazendo é que restringe mais os acessos de maneiras de burla o sistema como por exemplo o ultrasurf e Tor, não sei se já testou.
-
Tenta adicionar esses domínios que mandei para testar.
microsoft.com
windowsupdate.com
time.windows.comQualquer coisa vamos testando ai para ver o que pode ser feito. Os outros serviços nós podemos ir vendo como podemos fazer.
-
Tenta adicionar esses domínios que mandei para testar.
microsoft.com
windowsupdate.com
time.windows.comQualquer coisa vamos testando ai para ver o que pode ser feito. Os outros serviços nós podemos ir vendo como podemos fazer.
Possuo uma lista com uns 20 domínios da microsoft (estes ai já estão adicionados), lhe forneço aqui amanha. Hoje acabou o expediente haha
Vou descansar um pouco porque T.I é coisa de maluco, lhe mando a lista amanha, vlw flws. -
Tenta adicionar esses domínios que mandei para testar.
microsoft.com
windowsupdate.com
time.windows.comQualquer coisa vamos testando ai para ver o que pode ser feito. Os outros serviços nós podemos ir vendo como podemos fazer.
Possuo uma lista com uns 20 domínios da microsoft (estes ai já estão adicionados), lhe forneço aqui amanha. Hoje acabou o expediente haha
Vou descansar um pouco porque T.I é coisa de maluco, lhe mando a lista amanha, vlw flws.Segue a lista que eu fiquei de enviar com os domínios.
activation.sls.microsoft.com au.download.windowsupdate.com c.microsoft.com crl.microsoft.com c2r.microsoft.com download.microsoft.com download.windowsupdate.com go.microsoft.com microsoft.com genuine.microsoft.com images.metaservices.microsoft.com mpa.one.microsoft.com microsoft.com ntservicepack.microsoft.com sls.microsoft.com stats.update.microsoft.com test.stats.update.microsoft.com time.windows.com urs.microsoft.com update.microsoft.com redir.metaservices.microsoft.com productactivation.one.microsoft.com ntservicepack.microsoft.com windowsupdate.com windowsupdate.microsoft.com wustat.windows.com www.microsoft.com www.windowsupdate.com
Mesmo com todos esses adicionados não consegui liberar o windows update, e o topico que eu criei no suporte da microsoft não me levou a nenhum lugar. Segue o link do topico: http://technet.microsoft.com/en-us/library/bb693717.aspx
-
Ivan tenta fazer o seguinte. Pega uma maquina e monitora ela através do tcpdunp ou então ntop. Acho que conseguiria ser mais certo em qual FQDN ou então em qual ip ele esta tentando acessar.
-
Ivan tenta fazer o seguinte. Pega uma maquina e monitora ela através do tcpdunp ou então ntop. Acho que conseguiria ser mais certo em qual FQDN ou então em qual ip ele esta tentando acessar.
Vou fazer isso, volto pra feedback assim que possível…
-
Como adicionar via Gui essas opção no squid.conf
acl broken_sites dstdomain .update.microsoft.com
ssl_bump none broken_sites
-
reginaldo deve ser em Custom ACLS (Before_Auth) em proxy server.
-
Tem mais um domínio que você pode tentar, achei ele nos logs do squid. É o sqm.microsoft.com
-
Nossa, alguém conseguiu resolver essa questão chata ?!
-
Nossa, alguém conseguiu resolver essa questão chata ?!
Ainda não, mas estou fazendo os testes com tcpdump ainda… Mas ta complicado
-
Galera Pra mim deu certo da seguinte forma porem só deu nas maquinas que eu ja tinha instalado o certificado dos navegadores (OBS
antes de aplicar a regra )em custom ACL´s
Adicionar em custom ACL em primeira regra.
Custom ACLS (Before_Auth)acl broken_sites dstdomain .update.microsoft.com
ssl_bump none broken_sitesEspero Ter Ajudado.
-
Windows update não funciona, criado liberação no proxy e no firewall.