Microsoft Update skrze proxy a tunel

[Withy14]

Ahoj, tak dlouhé eseje na mě nemůžeš .

Co se týče nastavení Proxy v IE, tak je docela možná, že to dělá bordel (ve firemní sféře sem to nevypozoroval, ale tam se WSUS chová a ovládá jinak než doma, respektive doma se dotazuje drtivá většina uživatelů Windows přímo serverů MS, respektive jak si zmínil - Akamai, na ně se zapomněl, přitom se je kdysi musel explicitně ve firewallu povolit, ale to je tak 3-4 roky zpět).

Media Home Cinema komunikuje na 80, tudíž je těžké ji odchytit (zároveň je závislá na nastavení Proxy v IE, takže když zakážeš 80 port anebo nastavíš Proxynu, tak ano, může to tenhle program zmást).

Co se týče hlubšího popisu BITS, WSUS, tak se to mohu pokusit popsat (ale bude to na dýl a taky je nutné počítat s tím, že díky tomu, že MS technologie nejsou open-source, tak to mohu popsat jen z vlastní zkušenosti a praxe).

[Reklama]

[Tunelář]

Napiš. Cokoli co mne o čemkoli poučí... budu se těšit.

Co se Windows Update skrze TOR-tunel týká. Ještě jsem původně chtěl vypnout protokol HTTP 1.1, ale nechci si přidělávat práci. Takhle jdou prakticky vždy všechny související požadavky ze stejné IP adresy. Kdo ví co by to dělalo, kdyby šel každý požadavek sólo, určitě by se stalo, že by alespoň některé přišly z odlišných adres.

Mimochodem, vůbec nevím zda nastavení IE má v tomto případě vliv na zbytek systému. To je další věc která způsobuje chaos. Některá nastavení týkající se IE jsou prostě svatá/přebírána pro celý systém.

[Tunelář]

Chybí mi kus skládačky.

Standardní nastavení firewalu (veřejný profil) je povolit veškerou odchozí komunikaci. Toto pravidlo jsem pochopitelně zrušil již dávno, ale protože se domnívám že Windows Update nepatří ani do "základních síťových služeb", ani do "služby Core Networking", ani do "vzdálené pomoci" měl jsem pro ni vytvořeno speciální pravidlo, později nahrazeno pravidlem pro povolení odchozí komunikace všech služeb (tedy těch povolených v systému). Teď jsem tuto komunikaci zakázal ale Windows Update funguje bez jakýchkoli problémů standardním způsobem dál. Nevíte o tom něco?

[Tunelář]

Nic mi nechybí. Kokot su. TOR-tunel má povolenou komunikaci a já Windows Update svedl do toho tunelu. Chaos mi to dělá, protože jeden firewall, který jsem používal kdysi dávno řešil komunikaci i na jiné úrovni než firewall Windows. Na otázku zapomeňte. Díky.

P.S.
Přesně takhle vzniká ten špatný model. Opravit svoje vlastní chybné úsudky je někdy nadlidský výkon.

[Tunelář]

**Myslím, že Windows/Microsoft Update probíhá zhruba takhle:**

Počítač (schválně zatím neuvádím konkrétní služby, pokud máte jistotu doplňte) kontaktuje servery Akamai (v podstatě jde o servery "download.windowsupdate.com" a "ds.download.windowsupdate.com"), jako servery na jemu známých IP adresách (jak se tyto adresy získávají, případně kde se uchovávají či jak se aktualizují nevím), skrze jejich porty 80 a zeptá se jich na adresu serveru Microsoftu (jde o server "update.microsoft.com"), se kterým pak komunikuje skrze jeho port 443.
Od toho serveru Microsoft Update pak počítač obdrží informaci, že má stáhnout to nebo ono a z jaké IP adresy. Toto stahování, nebo komunikace může probíhat jak přes porty 80, tak porty 443 serveru poskytujícího aktualizaci.

Do tohoto procesu má zřejmě co kecat aktuálnost  "Microsoft Certificate Trust List Publisher (CTLs)", jejichž seznam se aktualizuje ze serveru "ctldl.windowsupdate.com" (opět Akamai).  Zda a jak se překládají jména v tomto případě nevím. Pro funkčnost aktualizace seznamů musí být službě Windows Update povolena odchozí komunikace firewallem, ale skoro bych přísahal že stahování zajišťuje IE.
Aktuální CTLs musíte mít i pro spouštění celé řady certifikovaných aplikací. CTLs je známý také jako známý také jako "Microsoft Root Certificate (program)".
Jaký je rozdíl mezi "ctldl.windowsupdate.com" a "ctl.windowsupdate.com" netuším, ale zdá se že "ctl.windowsupdate.com" není server Akamai a zřejmě jde o jediný server. Možná se z něj nestahují žádné listy, ale provádí se k/proti němu dotazy. Zda je nutné nebo vhodné vytvořit nějaké pravidlo pro komunikaci s ním netuším.

**Další zajímavá a do jisté míry související může být komunikace se servery:**
• "crl.microsoft.com" (server Akamai, zřejmě revokace pro certifikáty vydané Microsoftem pro třetí strany)
• "mscrl.microsoft.com" (zřejmě revokace vlastních certifikátů Microsoftu, vydaných pro své vlastní potřeby)

Bez ověření odvolání certifikátů není možné některé procesy (třeba instalaci nových aplikací nebo aktualizací) dokončit. Tato komunikace se zdá probíhat skrze IE (je-li tento kanál ve firewallu otevřen), nicméně URLCache je jen podmnožinou spravovanou CertUtil, takže by to snad mohlo fungovat i samostatně, nebo ve spojitosti s jinou službou.

**Komunikace s těmito servery je zcela v režii IE:**
• "ie9cvlist.ie.microsoft.com" (seznam Kompatibilního zobrazení pro aplikaci IE9, možná i IE10 a IE11)
• "urs.microsoft.com" (Služba SmartScreen)

**Systémový čas:**
"time.windows.com" (jeden ze serverů pro aktualizaci času ve Windows)

**Poznámky k WinHTTP Proxy:**
• Pro nastavení musí mít uživatel práva správce.
• Nastavení WinHTTP Proxy lze importovat z nastavení IE Proxy daného uživatele.
• Při importu nastavení z IE Proxy je třeba dávat pozor zda se importovalo nastavení pro "místní síť" a nebo pro "telefonické připojení a VPN". Pokud totiž není "telefonické připojení a VPN" zrovna aktivní, automaticky je importováno nastavení pro "místní síť". Samotná WinHTTP Proxy má jen jedno nastavení platící pro všechna připojení.
• Kromě parametrů které uvádí nápověda je patrné, díky možnosti importu nastavení z IE, že lze ještě definovat přinejmenším ftp=, sock=
• Parametr "localhost" je použitelný
• Jaká je souvislost se službou WinHTTP WPAD (Win HTTP Auto Proxy) nevím


Doplňte, upřesněte, napomínejte! Jak je-libo, ale ať to má nějakou úroveň a ať se u toho taky člověk něco dozví.

P.S.
Jak se na Root-u používá HTML syntaxe?

[Reklama]

[Tunelář]

Jak se ve Windows Vista/7 (snad i 8) dá povolit/blokovat odchozí PING a TRACERT na firewallu? Nechci slyšet o protokolu. Chci slyšet která ze služeb to je. Vytvořím nové pravidlo a povolím/zakáži službu ...

Díky. Je jich na mne moc a zatím jsem se netrefil.

[Tunelář]

Celkem by mne zajímalo k čemu přesně zamýšlel Microsoft tu WinHTTP proxy použít? Protože takhle jak je to vymyšlené se uživatel připraví o řízení komunikace na Firewallu. Pokud myslíte, že to používám špatně, nebo jsem něco nepochopil, nenastavil, nepřesměroval tak mne opravte.

Jak přesměrováváte, ideálně s nativními prostředky Windows, komunikaci vy, abyste si zachovali detailní kontrolu nad tokem dat který spravuje Firewall.

[Lol Phirae]

Jak se ve Windows Vista/7 (snad i dá povolit/blokovat odchozí PING a TRACERT na firewallu? Nechci slyšet o protokolu. Chci slyšet která ze služeb to je. Vytvořím nové pravidlo a povolím/zakáži službu ...
Díky. Je jich na mne moc a zatím jsem se netrefil.

Zadna ICMP sluzba neni. A nechapu, proc to proboha blokovat???

Windows Firewall with Advanced Security > Outbound Rules> New Rule> Custom Rule> All Programs> Protocol type: ICMPv4 > Customize > Specific ICMP types > IP settings > Block Connection > Apply to Domain/Private/Public> Finish.

[Tunelář]

Zadna ICMP sluzba neni. A nechapu, proc to proboha blokovat???

Windows Firewall with Advanced Security > Outbound Rules> New Rule> Custom Rule> All Programs> Protocol type: ICMPv4 > Customize > Specific ICMP types > IP settings > Block Connection > Apply to Domain/Private/Public> Finish.

Díky za snahu Lole, ale nepsal jsem to "nechci slyšet o protokolu" pro nic za nic. To co píšeš ty je OK a každý to asi zná.

Od Vist dále má ping a tracert zabezpečen průchod standardně nastaveným firewallem (povolena veškerá odchozí komunikace, nastavení ICMP netřeba měnit).

Schválně si zkus zakázat tuto veškerou odchozí komunikaci, ponechej jen základní výchozí pravidla (snadno se to spravují centrem sítí). Ani si nepigneš ani nezjistíš trasu. Když povolíš odchozí komunikaci pro všechny služby dostaneš zpět komunikující ping i tracert.

Povolit všechny služby se mi zrovna nehodí.

Jenže těch služeb jsou mraky a zřejmě půjde o kombinaci několika z nich. Checkbox není dostupný. Zřejmě kvůli přehlednosti ručně definovaných pravidel, aby nemohly obsahovat na první či druhý pohled skrytou funkci. Podobně mi dávají zabrat dvě a více pravidel pravidel vzniklých kvůli různým protokolům.

Nikdo neříkal že chci něco zakázat. Prostě vím o situacích kdy je třeba toto povolit nebo naopak zakázat. Štve mne, že tak banální věc neznám a nemohu dostat snadno pod kontrolu. Nejde mi tedy ani tak o řízení vlastní komunikace (správu ICMP) jako spíše o detailní znalost funkce Windows.

Štve mne Microsoft, který neustále hrne dopředu s milionem zbytečností a dokumentaci, nebo alespoň vypouštění informací, zvládá stále hůře... Už jsem narazil i na to, že některé dokumenty byly staženy bez náhrady (začlenění informace jinam). Staré blogy vývojářů, alespoň obecně vysvětlující principy, tu také nebudou věčně.
Pravidelný redesign webu Microsoftu, s každou novou verzí Office či Windows, na přehlednosti také nepřidává. Připouštím, že knihovna Technetu je celkem konzervativní - snad až na ten zbytečný JS při hledání.

Proč bych si měl kupovat jejich nový SW systém, když jsem nestihl uspokojivě poznat ani vlastnosti jejich tři generace starého systému? Jediné co mne u Windows drží je to, že je celkem znám (a to sám vidíš jak mizerně) a že v těch systémech existuje určitá kontinuita v ovládání i v principech/technologiích. Protože jsem ale sklerotik, tak si neumíš ani představit jak rozsáhlou mám doma vlastní znalostní bázi - abych s tím krámem mohl vůbec pracovat. Když si představím, že bych měl stejným zkušebním obdobím projít znovu, u Linuxu, tak z toho mám osypky. Ale až se jednou naseru... tak ty Widle zahodím (i když nejspíš rovnou i s počítačem).

[Withy14]

Zadna ICMP sluzba neni. A nechapu, proc to proboha blokovat???

Nejspíše měl na mysli echo-reply, echo-request a podobně (to zablokovat jide, nevím, jak to má nastavené Windows firewall, každopádně jde reject echo-reply nebo throw away echo-reply, prvni vrati "cilovy host odmitl dany packet" a druhy vrati "vypresel cas zadosti", ty zpravy z hlavy přesně nevím, akorát že u rejectu tazatel ví, že druhý konec existuje, u throw-away neví). Ve vnitřní síti mi to nepříjde účelné, ale mám to nastavené pro příchozí komunikaci zvenčí, už se párkrát stalo, že se mi někdo chtěl nabourat na nějaké služby.

K Windows Update - obecně celý systém je založen na registrech, takže tyto věci sou i v registrech uloženy (Linux registry nemá a i když je to položka, která dokáže časem zpomalit počítač,tak se přes ní dá ovládat téměř všechno ve Windows a to z jednoho centrálního místa, neberu samozřejmě v potaz aplikace, které registry nepouživají). Registry neobsahují přímý odkaz na Akamai nebo Windows Update servery (počítám, že to bude ukryto buď v nějakem configu nebo dllku), jen jaké je nastavení PC pro příjem updatů. Správně zmiňuješ certifikáty - systém se bez nich nezaktualizuje ba co víc, když mu posuneš datum na out of support (respektive end-of-support pro daný Windows, tak se ti nezaktualizuje a ještě bude na tebe něco řvát), proto se čas od času v aktualizacích objeví Aktualizace kořenových certifikátů. Jinak obecně k time.windows.com (nebo co to je) bych byl skeptický, ještě nikdy se mi nestalo, že by fungoval (respektive v doméně sem to řešil pomocí doménových řadičů). Jak sem psal, mohu vysvětlit, jak to tak nějak může fungovat, ale potřebuji na to čas (mám ve virtuálu připraven Windows server i klienta, ale nasimulovat chování Windows update s BITS na lokálu bude dost těžké, ne že by to nešlo, ale výsledky nebudou tak viditelné jako ve velké síti, budu to muset monitorovat Etherealem nebo něčím podobným, aby to aspoň šlo vidět v paketech).

[Withy14]

Jinak tohle sem našel přímo na strńkách MS:

Control Panel / Windows firewall / Advanced settings (on left side) / Inbound rules / New rule (on right side) :
set "all programs" , protocol "ICMPv4" , ICMP settings click Customize button and choose "specific ICMP types / echo request.  Choose "block".

Ale podotýkám, že tím zenmožníš funkcí všech programů, které toot použivají (a asi jich nebude málo, očekával bych, že jakýkoliv program, který se dotazuje na updaty, se na ně nedotáže, taky ti pravděpodobně přestane chodit internet, protože nebude korektně fungovat 3-way handshaking a pár dalších věcí).

[Withy14]

*Místo inbound rules (příchozí pravidla) použij outbound (odchozí pravidla).

[Lol Phirae]

akorát že u rejectu tazatel ví, že druhý konec existuje, u throw-away neví).

Ale jiste ze to vi. Kdyz ten pakej dropnu, tak je uplne jasne, ze tam je firewall, ktery to zahazuje. Kdyby tam zadna masina nebyla, tak dostanu ICMP Destination Unreachable (ICMP Type 3) s kodem 0 - net unreachable, 1 - host unreachable atd.

Tohle zahazovani a blokovani ICMP je priserna hovadina.

[Tunelář]

"crl.microsoft.com" - Revokace certifikátů podepsaného SW Microsoftu.

"mscrl.microsoft.com" - V minulosti zřejmě revokace certifikátů podepsaných webů Microsoftu. Od roku 2013 je ale v těchto certifikátech vidět, že kopie CRL je umístěna i na serverech "mscrl.microsoft.com" a na jakémsi místě označeném "http://corppki/crl/..." Co to má představovat nevím, zda nějaké lokální úložiště korporátních systémů od MS?

"ctldl.windowsupdate.com" - Stahování CTLs funguje zcela jistě bez IE. Jak je to s "ctl.windowsupdate.com" stále nevím.

[Withy14]

Ale jiste ze to vi. Kdyz ten pakej dropnu, tak je uplne jasne, ze tam je firewall, ktery to zahazuje. Kdyby tam zadna masina nebyla, tak dostanu ICMP Destination Unreachable (ICMP Type 3) s kodem 0 - net unreachable, 1 - host unreachable atd.

Tohle zahazovani a blokovani ICMP je priserna hovadina.

Když je mašina vyplá, a pokusíte se na ni pingnout, co dostanete za opdověď? Když pingnete IP adresu, která je nedostupná, co dostanete za odpověď? Když bude zahlcený síťový prvek v cestě, co dostanete za odpověď? Mám pokračovat?