[Sicurezza] Microsoft update hosts

[gianpietro]

Ragazzi mi serve un aiuto, ieri mi a risposto il centro di supporto di Fortinet, riguardo a un problema riguardo Windows Update e il mio nuovo FortiGate 60D, vedi risposta:

Dear Customer,

Thank you for contacting Fortinet Technical Support. My name is Mehdi and I will be assisting you with this case.

The best way to get around this is to create a policy with no inspection going to the Microsoft update hosts. This will ensure that anything going to Microsoft update sites
will not pass through inspection ,and you will avoid these problems.

Please let me know if any further assistance is needed

Best Regards

Mehdi Tache
EMEA TAC support Engineer


Volevo sapere se possibile, se gli Microsoft update host, sono questi?

127.0.0.1 localhost
192.168.0.21 server
207.46.250.185 update.microsoft.com
207.46.225.221 windowsupdate.microsoft.com
212.187.162.158 download.windowsupdate.com

Bisogna inserirli tutti?

Grazie in anticipo per le eventuali risposte.

[[Claudio]]

Ragazzi mi serve un aiuto ... Volevo sapere se possibile, se gli Microsoft update host, sono questi?

gIAN, non ho idea di cosa tu debba fare, comunque, i primi due ( 127.0.0.1 localhost e 192.168.0.21 server ) ovviamente non hanno nulla da spartire con MSN.

Questi, SI: 207.46.250.185 update.microsoft.com | 207.46.225.221 windowsupdate.microsoft.com

Mentre il 212.187.162.158 download.windowsupdate.com, non risulta faccia parte di un range MSN ( VEDI QUI ).

Bisogna inserirli tutti?

Aspetta, comunque, altre conferme.

[hashcat]

gIAN, non ho idea di cosa tu debba fare, comunque, i primi due ( 127.0.0.1 localhost e 192.168.0.21 server ) ovviamente non hanno nulla da spartire con MSN.

La prima voce è predefinita del file hosts di Windows, la seconda reindirizza le richieste per server ad un indirizzo ip della rete locale (quello del computer filtrato?)

Mentre il 212.187.162.158 download.windowsupdate.com, non risulta faccia parte di un range MSN ( VEDI QUI ).

E' legittimo.

[[Claudio]]

E' legittimo.

Bene (avevo dei dubbi, quindi era meglio aspettare un altro parere); però, in definitiva, quale è la risposta corretta per Gian? (i tre che fanno riferimento a Microsoft sicuro, ma i primi due sono necessari per "richiamare" l'esecuzione - credo di aver capito si tratti di questo - di Microsoft Update??).

[gianpietro]

Ciao [Claudio]

Mi scuso per non aver chiarito meglio il mio problema, avendo attivato sul FortiGate la funzione HTTPS://, Windows Update viene bloccato e non permette gli aggiornamenti,
l'unico modo è togliere l'HTTPS:// e Windows Update funziona correttamente.

Il centro di supporto a integrato una nuova risposta alla precedente:

Dear Customer,

Please refer to the below KB article:

http://kb.fortinet.com/kb/microsites/se ... 2058739981

Best Regards

Mehdi Tache
EMEA TAC support Engineer

[[Claudio]]

Ciao [Claudio]
Mi scuso per non aver chiarito meglio il mio problema, avendo attivato sul FortiGate la funzione HTTPS://, Windows Update viene bloccato e non permette gli aggiornamenti, l'unico modo è togliere l'HTTPS:// e Windows Update funziona correttamente. Il centro di supporto a integrato una nuova risposta alla precedente.

Quindi, mi par di capire che la "questione IP" sia venuta meno, o sbaglio?.

[gianpietro]

Ciao [Claudio]

Mi scuso nuovamente, ma purtroppo non sono un tecnico è per me è come l'arabo, queste informazioni le giro ai ragazzi del laboratorio che eseguono la manutenzione,
e saranno loro a eseguire la configurazione.

[gianpietro]

Niente da fare, anche il secondo tentativo è andato male.

L'assistenza aveva proposto questa soluzione:

Dear Customer,

The best solution will be to configure a firewall policy to allow access to windows update servers and move the policy to top of the policy list.

You need to create FQDN address object for the following FQDN's.

download.microsoft.com
windowsupdate.com
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com

Configure firewall policy without authentication. From interface Webproxy (or Internal) to destination Interface/zone ALL (or External ) but limit the destination address to a group containing Microsoft update FQDN's,
and move the policy to top of the policy table.

Please let me know then in case any issue persists.

Best Regards

Mehdi Tache
EMEA TAC support Engineer


Abbiamo anche provato a inserire un altra lista, vedi qui:

diag firewall fqdn list

https://*.update.microsoft.com: ID(23) REF(2)

http://download.microsoft.com: ID(33) REF(2)

https://*.windowsupdate.microsoft.com: ID(34) REF(2)

http://*.download.windowsupdate.com: ID(49) REF(2)

http://ntservicepack.microsoft.com: ID(59) REF(2)

http://windowsupdate.microsoft.com: ID(87) REF(2)

http://*.update.microsoft.com: ID(164) REF(2)

http://wustat.windows.com: ID(166) REF(2)

http://*.windowsupdate.com: ID(171) REF(2)

http://*.windowsupdate.microsoft.com: ID(175) REF(2)

http://download.windowsupdate.com: ID(217) REF(2)

Ma niente da fare HTTPS:// blocca la richiesta di aggiornamento a Windows Update.


Ma la cosa che mi fa girare le sfere celesti, è che avendo l'assistenza 24x7, e tramite Technical Web Chat, ci è stato risposto che non è possibile risolvere il problema, e di aprire un Ticket.

Abbiamo inoltrato una nuova richiesta in aggiunta al ticket ancora aperto, vediamo cosa ci rispondono.

Volevo chiedere, qualcuno di voi conosce altri indirizzi Windows Update?

[[Claudio]]

Niente da fare, anche il secondo tentativo è andato male. L'assistenza aveva proposto questa soluzione ....

Gian, la cosa è quantomeno curiosa: se EMEA TAC non riesce a fornirvi una soluzione definitiva, significa che il problema che avete esposto non è roba che si ripete (altrimenti la soluzione l'avrebbero e non proporrebbero tentatavi come, invece, stanno facendo).

Volevo chiedere, qualcuno di voi conosce altri indirizzi Windows Update?.

Gian, secondo me fareste prima a contattare (anche) il Supporto Microsoft Italia (però, sembrerebbe più un problema vostro, che di EMEA e/o Microsoft).

[gianpietro]

Ciao [Claudio]

Qesto è quello che succede con HTTPS:// attivo, vedi screenshot:

Questo con HTTPS:// disattivato:

Forse sbagliando, ma sembra che dipenda proprio dal FortiGate 60D

[[Claudio]]

Forse sbagliando, ma sembra che dipenda proprio dal FortiGate 60D

O forse no Gian, visto l'errore che vi segnala (Windows Update errore 0x80072F8F).

Date una OCCHIATA QUI.

[gianpietro]

Ciao [Claudio]

Per quanto riguarda il Supporto Microsoft Italia, è disponibile solo a pagamento.

Ho verificato per quanto riguarda l'ora, sembra tutto a posto, ecco la risposta di Manutenzione sistema, effettua anche il controllo dell'ora, vedi screenshot:

Tieni presente che l'esempio che ti ho fatto nel post precedente riguarda, la ricerca aggiornamenti tramite l'avvio manuale.

Mentre se l'HTTPS:// è attivo, all'accensione del computer, la ricerca rimane congelata all'ultima verifica, vedi screenshot:

Ora vediamo l'eventuale risposta del supporto Fortinet.

Per me non è un grave problema, sapendo come si disattiva l'HTTPS://, comunque gli aggiornamenti di Windows vengono rilasciati normalmente ogni secondo Martedi del mese, alle ore 7 di sera per noi in Italia,
e comunque se ci fossero aggiornamenti aggiuntivi, la notizia verrebbe comunicata nei vari forum.

[[Claudio]]

Ho verificato per quanto riguarda l'ora, sembra tutto a posto, ecco la risposta di Manutenzione sistema ..... Ora vediamo l'eventuale risposta del supporto Fortinet.

Non so cosa dirti Gian; per quanto riguarda Fortinet può anche essere trovino una soluzione, ma è evidente - per via del fatto che il problema che ti riguarda non è ripetitivo, altrimenti, a fronte dello stesso problema con altri utenti, avrebbero già sottomano la soluzione - che il problema non sia loro.

Per me non è un grave problema, sapendo come si disattiva l'HTTPS://

Certo, ma resta comunque fastidioso.