{"id":3608,"date":"2020-09-29T11:50:00","date_gmt":"2020-09-29T09:50:00","guid":{"rendered":"https:\/\/les2t.fr\/?p=3608"},"modified":"2020-10-08T11:42:56","modified_gmt":"2020-10-08T09:42:56","slug":"windows-10-wsus-https-obligatoire-des-le-mois-doctobre","status":"publish","type":"post","link":"https:\/\/les2t.fr\/fr_fr\/windows-10-wsus-https-obligatoire-des-le-mois-doctobre\/","title":{"rendered":"Windows 10 \u2013 WSUS \u2013 HTTPS obligatoire d\u00e8s le mois d\u2019octobre"},"content":{"rendered":"\n
\"Banni\u00e8re<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Microsoft a annonc\u00e9 avoir proc\u00e9d\u00e9 \u00e0 des \u00ab am\u00e9liorations de la s\u00e9curit\u00e9 des p\u00e9riph\u00e9riques Windows qui analysent WSUS \u00bb lors du patch Tuesday de septembre. Seulement ces am\u00e9liorations pourraient emp\u00eacher les postes sous Windows 10 d\u2019obtenir la prochaine cumulative Update.<\/p>\n\n\n\n\n\n\n\n

Avec la mise \u00e0 jour cumulative de septembre 2020 de Windows 10, l\u2019\u00e9diteur a introduit des modifications obligeant une communication s\u00e9curis\u00e9e entre le WSUS et l\u2019OS client.<\/p>\n\n\n\n

Pour garantir que vos p\u00e9riph\u00e9riques restent intrins\u00e8quement s\u00e9curis\u00e9s, Microsoft n\u2019autorise plus les serveurs intranet bas\u00e9s sur HTTP \u00e0 tirer parti par d\u00e9faut du proxy utilisateur pour d\u00e9tecter les mises \u00e0 jour. Si vous disposez d\u2019un environnement WSUS non s\u00e9curis\u00e9 avec le protocole TLS\/HTTPS et qu\u2019un p\u00e9riph\u00e9rique n\u00e9cessite un proxy pour se connecter aux serveurs WSUS intranet et que ce proxy n\u2019est configur\u00e9 que pour les utilisateurs (et non pour les p\u00e9riph\u00e9riques), l\u2019analyse des mises \u00e0 jour WSUS ne fonctionnera plus apr\u00e8s la mise \u00e0 jour cumulative de septembre 2020.<\/p>\n\n\n\n

Lorsqu\u2019un p\u00e9riph\u00e9rique re\u00e7oit des mises \u00e0 jour directement de Microsoft Update, celui-l\u00e0 re\u00e7oit des m\u00e9tadonn\u00e9es de mise \u00e0 jour directement des serveurs Microsoft. Ces m\u00e9tadonn\u00e9es sont toujours transmises via HTTPS pour pr\u00e9venir la falsification. Lorsque vous utilisez WSUS ou Configuration Manager pour g\u00e9rer les mises \u00e0 jour de votre organisation, les m\u00e9tadonn\u00e9es de mise \u00e0 jour se d\u00e9placent des serveurs Microsoft vers vos appareils via une cha\u00eene de connexions. Chacune de ces connexions doit \u00eatre prot\u00e9g\u00e9e contre les attaques malveillantes.<\/p>\n\n\n\n

Votre serveur WSUS se connecte aux serveurs Windows Update et re\u00e7oit des m\u00e9tadonn\u00e9es de mise \u00e0 jour. Cette connexion utilise toujours HTTPS, et les fonctionnalit\u00e9s de s\u00e9curit\u00e9 HTTPS prot\u00e8gent les m\u00e9tadonn\u00e9es contre la falsification. Si plusieurs serveurs WSUS sont organis\u00e9s dans une hi\u00e9rarchie, les serveurs en aval re\u00e7oivent des m\u00e9tadonn\u00e9es des serveurs en amont. Vous avez le choix ici soit d\u2019utiliser HTTP soit d\u2019utiliser HTTPS pour ces connexions de m\u00e9tadonn\u00e9es. L\u2019utilisation de http cependant, peut \u00eatre tr\u00e8s dangereuse car elle brise la cha\u00eene de confiance et peut vous laisser vuln\u00e9rable aux attaques. L\u2019utilisation de HTTPS permet au serveur WSUS de prouver qu\u2019il fait confiance aux m\u00e9tadonn\u00e9es qu\u2019il re\u00e7oit du serveur WSUS en amont.<\/p>\n\n\n\n

Afin de maintenir la cha\u00eene de confiance et de pr\u00e9venir les attaques sur vos ordinateurs clients, vous devez vous assurer que toutes les connexions de m\u00e9tadonn\u00e9es au sein de vos organisations (les connexions entre les serveurs WSUS en amont et en aval, et les connexions entre les serveurs WSUS et vos ordinateurs clients) sont prot\u00e9g\u00e9es contre les attaques. Pour ce faire, il est fortement recommand\u00e9 de configurer votre infrastructure WSUS \u00e0 l\u2019aide de HTTPS.<\/p>\n\n\n\n

Pour en savoir plus, consultez-le post Security de Michael Cureton pour Windows Server Update Services (WSUS). https:\/\/techcommunity.microsoft.com\/t5\/windows-it-pro-blog\/security-best-practices-for-windows-server-update-services-wsus\/ba-p\/1587536<\/a><\/p>\n\n\n\n

Mais m\u00eame avec HTTPS configur\u00e9, il est toujours tr\u00e8s important que vous utilisiez un proxy bas\u00e9 sur le syst\u00e8me plut\u00f4t qu\u2019un proxy bas\u00e9 sur l\u2019utilisateur si un proxy est n\u00e9cessaire, bien entendu.<\/p>\n\n\n\n

Car lors de l\u2019utilisation d\u2019un proxy bas\u00e9 sur l\u2019utilisateur, un utilisateur, m\u00eame sans privil\u00e8ges \u00e9lev\u00e9s, peut intercepter et manipuler les donn\u00e9es \u00e9chang\u00e9es entre le client de mise \u00e0 jour et le serveur de mise \u00e0 jour.<\/p>\n\n\n\n

Si vous devez utiliser un proxy bas\u00e9 sur l\u2019utilisateur pour d\u00e9tecter les mises \u00e0 jour lors de l\u2019utilisation d\u2019un serveur intranet bas\u00e9 sur HTTP, malgr\u00e9 les vuln\u00e9rabilit\u00e9s qu\u2019il pr\u00e9sente, assurez-vous de configurer le comportement proxy pour \u00ab Allow user proxy to be used as a fallback if detection using system proxy fails.\u00bb<\/p>\n\n\n\n

Vous pouvez le param\u00e9trer par GPO :<\/p>\n\n\n\n