Clients hinter Proxy erfordern HTTPS-Verbindung zu WSUS

Mit dem kumulativen Update für September ändern Rechner unter Windows 10 ihr Verhalten gegen­über den Windows Server Update Services (WSUS). Wenn Letztere nicht für die Kommu­nikation über HTTPS konfi­guriert wurden, dann können die Clients unter bestimmten Bedingungen keine Updates mehr abrufen.

Während die eigentlichen Update-Daten unter anderem durch digitale Signaturen gegen Mani­pulationen geschützt sind, benötigen Windows Update sowie die WSUS eine verschlüsselte Kommunikation, um die Integrität der Metadaten zu gewährleisten (siehe dazu: WSUS für SSL-Verbindung konfigurieren).

Microsoft empfiehlt daher eine durchgängige HTTPS-Verbindung bis zu den Endpunkten. Windows Update nutzt eine solche grundsätzlich bei der Kommunikation mit einem WSUS-Server. Anwender sollen darüber hinaus dafür sorgen, dass die Verbindung zwischen den Servern einer WSUS-Hierarchie und zu den Clients ebenfalls verschlüsselt ist.

Geändertes Verhalten nach September-Update

Nach der Installation des kumulativen Updates für September (KB4571756) erzwingt Windows 10 eine solche Konfiguration. Wenn die Clients sich über einen Proxy, der nicht für Geräte, sondern für Benutzer konfiguriert ist, mit den WSUS verbinden, dann können sie über HTTP keine Updates mehr bekommen.

Falls Unternehmen auf einen User-basierten Proxy nicht verzichten können und die Kommunikation mit dem WSUS Server weiter über HTTP erfolgt, dann lassen sich Updates mittels einer neuen Einstellung in den Gruppen­richtlinien dennoch abrufen.

KB4571756 installiert eine aktualisierte ADMX-Vorlage, welche die Einstellung Internen Pfad für den Microsoft Updatedienst angeben um eine neue Option ergänzt. Sie heißt Proxy-Verhalten für den Windows Update-Client zur Erkennung von Updates mit einem nicht TLS (HTTP)-basierten Dienst wählen. Dort aktiviert man Verwendung eines Benutzer-Proxys als Fallback, falls die Erkennung mittels System-Proxy fehlschlägt, erlauben.