ISA Server y Windows Update
 

Una de las más comunes consultas que se me realizan en cuanto a Microsoft Internet Security and Aceleration Server (ISA Server), pasa por su relación con Windows Update Services. De buenas a primeras Windows Update Services deja de funcionar, la página de internet de Windows Update arroja errores no documentados, etc. todo parece obra del demonio o de una brujería que sin aviso cayo sobre la red del pobre administrador… pero la realidad es muy distinta.

Para poder hablar de cómo hacer funcionar windows update con ISA Server hay que saber como funcionan ambos, es decir tanto ISA Server como Windows Update.

Escenario:
El escenario típico para la aparición del windows update embrujado se da en redes pequeñas con 1 o más ISA Servers, actuando como firewalls y cache y filtrando accesos por usuarios o grupos.

ISA Server:
En primer término tenemos que tener claro que es ISA Server. ISA Server es un complejo y muy funcional sistema que ejecuta los roles de firewall y proxy, y lo hace a varios niveles y para varios tipos de clientes. ISA Server permite proteger la red, a la vez que permite la navegación por internet, el acceso a correo y otros servicios y la aplicación de permisos en función de direcciones IP, usuarios y grupos, rangos horarios, etc.

Cual es el problema?
Normalmente es problema está dado por un desconocimiento de los tipos de clientes y su funcionamiento con ISA Server y una mala interpretación de cómo se aplican las reglas de Sitio y Contenido, Protocolo, filtros de Paquete y ruteo. Eso hace que queriendo restringir el acceso a 1 o varios sitios utilizando usuarios y grupos, se termine por bloquear otros sitios a los que se quería otorgar acceso.

Comprendiendo los Clientes
No todos los equipos que acceden a internet a través de ISA Server se comportan igual, y esto tiene que ver con el tipo de cliente que estos sean. Para ISA Server pueden existir tres tipos de clientes y/o una combinación de estos. Los equipos que esten configurados con su default gateway a la dirección IP interna del servidor ISA se consideran clientes SecureNAT, estos clientes per se no incorporan en sus peticiones nombres de usuario y por ende no podrán navegar si existe al menos 1 regla con la opción permitir, que solicite autorización por usuario o grupo (… si, si, no me equivoque es la opción permitir y no denegar… luego lo explicaré). Los equipos que tengan instalado el cliente Firewall de ISA Server, son clientes Firewall y siempre incorporarán los datos del usuario a sus peticiones y por último quedan los clientes proxy, es decir aquellos cuyo navegador esta configurado para utilizar a ISA Server como su servidor proxy, éstos también pueden incorporar el nombre de usuario a sus peticiones http. Resumiendo, si utilizamos reglas que filtran por usuarios y/o grupos, los únicos clientes válidos que podemos utilizar son los clientes proxy y los clientes Firewall.
Aclaración: ISA Server tiene una particularidad, cuando se utiliza filtrado por usuarios o grupos, se debe incluir una regla con la opción Permitir que filtre por usuario o grupos, pues si solo se incorporan reglas de denegación, ISA Server las ignorará y la navegación será permitida aunque exista una regla aplicada a usuarios o grupos que la deniege.

WinComprendiendo las Reglas

Comprendiendo las Reglas
ISA Server provee varios tipos de reglas que pueden ser utilizados para restringir la salida a través de ISA Server, las más utilizadas son las reglas de Sitio y Contenido (Site and Content Rules) y las reglas de protocolo (Protocol Rules). Por defecto, al instalarse, no existen reglas de protocolo, por lo que nadie podrá navegar hasta que las mismas sean creadas. Las reglas utilizan los elementos de directiva para su configuración, y es aquí donde normalmente se comenten errores.

Encontes, Como restringir la navegación por usuarios y grupos y permitir el funcionamiento de Windows Update?
Para lograr restringir la navegación y a la vez permitir el funcionamiento de windows update tendremos que configurar adecuadamente las reglas actuales y/o crear nuevas reglas y elementos de directiva. En primera instancia necesitaremos crear un elemento de directiva del tipo “Conjunto de Destinos” o “Destination Set”, este conjunto de destinos que denominaremos udfMicrosoftUpdate, debe incluir las siguientes direcciones web que son las utilizadas por windows update (ver imagen)

 

Debemos ahora, crear una regla que permita que “anonimo” – “anonymous” acceda al sitio de windows update, para ello crearemos una nueva regla de sitio y contenido con estas características.
Nombre: udrMicrosoftLibre
Tipo de Accion: Permitir (Allow)
Configuracion: Permitir basado en destino – Allow acces based on destination
Aplicar a -> Destino Específico -> udrMicrosoftUpdate
Lo demás será por defecto, es decir Agenda Completa, Cualquier tipo de Solicitud y para cualquier tipo de Contenido, y … lo que acabamos de crear no es ni mas ni menos que un acceso anónimo para windows update, por lo que cumplimentado esta paso, los servicios de windows update serán accesibles sin necesidad que la solicitud contenga usuario y contraseña.
Pero aún no funciona !!!.... si, si, falta un pequeño paso.
Para que todo funcione, debemos excluir el destination set "udfMicrosoftUpdate" de cualquier regla, ya sea de “Sitio y Contenido” o bien de “Protocolo” que utilice grupos o usuarios para delimitar el acceso, asi, por ejemplo si tenemos una regla de acceso a todos los sitios (en el ejemplo udfTodosLosDestinos) en la cual restringimos su aplicación solo a grupos o usuarios autorizados, deberemos excluir de dicha regla al udfMicrosoftUpdate, o sea al destino de sitios de windows update (Ver imagen).

Observese que la regla udfTodosLosDestinos, se aplica a todos los destinos excepto al indicado, que es ni más ni menos que udfMicrosoftUpdate.

RESUMEN
En síntesis para que todo funcione debemos asegurarnos que el conjunto de reglas que se van a aplicar a un equipo donde queremos que ISA Server permita el funcionamiento de windows update pero restrinja a un determinado grupo de usuarios cualquier otro destino, tenemos que tener en claro que cualquier regla que tenga asociado un grupo de usuarios debe tener excluido en su asignación al udsMicrosoftUpdate, de lo contrario, al querer verificar ISA Server la pertenencia a grupos de la solicitud de navegación y no poder hacerlo porque la misma no tiene asociada la información del usuario, la navegación se denegará.

 

Volver a lista de Notas