Hi,
wir planen hier einen Software Update Service-Server aufzustellen, haben aber Sicherheitsbedenken:
Das Teil steht zwar hinter dem Firmen-Firewall, muss aber aus dem Content-Scanning rausgenommen werden, weil das die Update-Verbindung mit den MS-Servern wegfiltern würde. Jetzt läuft darauf ja auf dem SUS-Server ein IIS, er bietet also einiges an Angriffsfläche. Wie kann man - entweder durch Maßnahmen auf dem SUS oder durch Firewall-Regeln - die Verbindung ins Internet so zunageln, dass wirklich nur noch der Update darüber laufen kann? Die Internetseiten von MS selber dürften ja nicht unbedingt so in Stein gemeisselt sein, dass man eine entsprechende Positivliste generieren kann, oder?
Gruß
Stefan
Hallo Stephan
Meist wird hier von Microsoft ein ISA Server empfohlen, dort wird nur der vom Administrator aufgerufene Server zum Download der Updatepackete genutzt. Alles andere bleibt außen vor. Dieser ISA Server ist sehr vielseitig, eine Information darueber lohnt sich alle mal.
Masei1202
Hi,
Meist wird hier von Microsoft ein ISA Server empfohlen, dort
wird nur der vom Administrator aufgerufene Server zum Download
der Updatepackete genutzt. Alles andere bleibt außen vor.
Noch’n Firewall? Wir haben doch schon zwei hintereinander…
Ich habe aber inzwischen in einem anderen Forum gefunden, dass man nur vier Adressen freigeben muss und den Rest sperren kann.
Das reicht an Sicherheit.
Gruß und Danke
Stefan