Problema com https do windows update.


  • Olá prezados.

    Realizei o bloqueio da porta 443 aqui na empresa e tenho desbloqueado o necessário e relevante na medida que me é solicitado.
    Tudo indo consideravelmente bem, regulação dos acessoe e diminuição nos acessos indevidos.
    Mas me deparei com um problema com o Windows Update, ele possui alguns https que ainda estão bloqueados e não consigo identificá-los. Dai o problema, nada de atualizações por enquanto gafanhotos…
    Já procurei em bastantes locais meios de identificar esses https... Alguém consegue me dar uma dica? Alguém já passou pelo problema?

    Cordialmente.


  • Estou entrando em contato com o Suporte Técnico da Microsoft para solicitar os FQDN em https para atualizações…
    Mando a lista aqui para futuras consultas de quem tiver o mesmo problema...


  • Mano eu uso proxy transparente então comigo agora deu certo.

    A SOLUÇÃO:

    pega esses domínios:

    microsoft.com
    windowsupdate.com
    time.windows.com

    Copia eles e cola em proxy server -> Acl ->Whitelist

    click em Save e corre para o abraço.


  • Esse problema já havia sido resolvido no tópico abaixo.


  • https não passa pelo proxy, não adianta nada colocar em whitelist….
    Ja tentei utilizar essa solução mas não deu gafanhoto  :'(


  • Bom Ivan, então eu entendi… mais você testou? Agora você vai pegar o FQDN  para fazer regras de firewall, liberando esses endereços na 443?


  • @marcosmoya18:

    Bom Ivan, então eu entendi… mais você testou? Agora você vai pegar o FQDN  para fazer regras de firewall, liberando esses endereços na 443?

    Sim ja realizei os testes. Na minha opinião é algo que não tem solução. Se existissem fqdn genéricos seria mais fácil de adicionar esses Aliases pois não seriam precisos os subdominios, porém isso criaria uma brecha na segurança.
    A solução que é cabível, é adicionar os fqdn dos https na lista da regra que criamos… Esse Alias é do tipo host e no lugar do ip inserimos o FQDN (como descrito no quadro explicativo na própria página).

    Tem se mostrado eficiente, e aumentou o controle sobre a rede em 70%. O único empecilho é o fato de ser extremamente complicado encontrar esses fqdn's, por exemplo o do skype é outro que deu muito trabalho....


  • Muito bom mesmo. O interessante é ver o que você fez é muito restritivo, eu creio que 70% é pouco para o seu controle. Claro que tem como melhorar muito mesmo. Mais seria interessante você utilizar o tcpdump/ntop/ pftop / e outros  para ver os sites ou ip´s em que esta procurando. Assim poderia capturar os serviços que mais precisa. O legal no que esta fazendo é que restringe mais os acessos de maneiras de burla o sistema como por exemplo o ultrasurf e Tor, não sei se já testou.


  • Tenta adicionar esses domínios que mandei para testar.

    microsoft.com
    windowsupdate.com
    time.windows.com

    Qualquer coisa vamos testando ai para ver o que pode ser feito. Os outros serviços nós podemos ir vendo como podemos fazer.


  • @marcosmoya18:

    Tenta adicionar esses domínios que mandei para testar.

    microsoft.com
    windowsupdate.com
    time.windows.com

    Qualquer coisa vamos testando ai para ver o que pode ser feito. Os outros serviços nós podemos ir vendo como podemos fazer.

    Possuo uma lista com uns 20 domínios da microsoft (estes ai já estão adicionados), lhe forneço aqui amanha. Hoje acabou o expediente haha
    Vou descansar um pouco porque T.I é coisa de maluco, lhe mando a lista amanha, vlw flws.


  • @Ivan:

    @marcosmoya18:

    Tenta adicionar esses domínios que mandei para testar.

    microsoft.com
    windowsupdate.com
    time.windows.com

    Qualquer coisa vamos testando ai para ver o que pode ser feito. Os outros serviços nós podemos ir vendo como podemos fazer.

    Possuo uma lista com uns 20 domínios da microsoft (estes ai já estão adicionados), lhe forneço aqui amanha. Hoje acabou o expediente haha
    Vou descansar um pouco porque T.I é coisa de maluco, lhe mando a lista amanha, vlw flws.

    Segue a lista que eu fiquei de enviar com os domínios.

    activation.sls.microsoft.com
    au.download.windowsupdate.com
    c.microsoft.com
    crl.microsoft.com
    c2r.microsoft.com
    download.microsoft.com
    download.windowsupdate.com
    go.microsoft.com
    microsoft.com
    genuine.microsoft.com
    images.metaservices.microsoft.com
    mpa.one.microsoft.com
    microsoft.com
    ntservicepack.microsoft.com
    sls.microsoft.com
    stats.update.microsoft.com
    test.stats.update.microsoft.com
    time.windows.com
    urs.microsoft.com
    update.microsoft.com
    redir.metaservices.microsoft.com
    productactivation.one.microsoft.com
    ntservicepack.microsoft.com
    windowsupdate.com
    windowsupdate.microsoft.com
    wustat.windows.com
    www.microsoft.com
    www.windowsupdate.com
    

    Mesmo com todos esses adicionados não consegui liberar o windows update, e o topico que eu criei no suporte da microsoft não me levou a nenhum lugar. Segue o link do topico: http://technet.microsoft.com/en-us/library/bb693717.aspx


  • Ivan tenta fazer o seguinte. Pega uma maquina e monitora ela através do tcpdunp ou então ntop. Acho que conseguiria ser mais certo em qual FQDN ou então em qual ip ele esta tentando acessar.


  • @marcosmoya18:

    Ivan tenta fazer o seguinte. Pega uma maquina e monitora ela através do tcpdunp ou então ntop. Acho que conseguiria ser mais certo em qual FQDN ou então em qual ip ele esta tentando acessar.

    Vou fazer isso, volto pra feedback assim que possível…


  • Como adicionar via Gui essas opção no squid.conf

    acl broken_sites dstdomain .update.microsoft.com

    ssl_bump none broken_sites


  • reginaldo deve ser em Custom ACLS (Before_Auth) em proxy server.


  • Tem mais um domínio que você pode tentar, achei ele nos logs do squid. É o sqm.microsoft.com


  • Nossa, alguém conseguiu resolver essa questão chata ?!


  • @Reginaldo:

    Nossa, alguém conseguiu resolver essa questão chata ?!

    Ainda não, mas estou fazendo os testes com tcpdump ainda… Mas ta complicado


  • Galera Pra mim deu certo da seguinte forma porem só deu nas maquinas que eu ja tinha instalado o certificado dos navegadores (OBS
    antes de aplicar a regra )em custom ACL´s
    Adicionar em custom ACL em primeira regra.
    Custom ACLS (Before_Auth)

    acl broken_sites dstdomain .update.microsoft.com
    ssl_bump none broken_sites

    Espero Ter Ajudado.


  • Windows update não funciona, criado liberação no proxy e no firewall.


  • O meu está funcionando, por exceção… Mas tive que adicionar uns 30 fqdn diferentes...