Proxy Autenticado - Atualização automática do Microsoft Security Essentials e Windows Update

Publicado por Rômulo Mazzuco Grandini em 12/04/2012

[ Hits: 22.146 ]

 


Proxy Autenticado - Atualização automática do Microsoft Security Essentials e Windows Update



Este é um problema que aconteceu comigo e com muita gente aqui do VOL, até achei vários tópicos ajudando, mas nunca consegui algo que funcionasse 100% comigo. Portanto, resolvi contribuir com a forma pela qual consegui acabar com este problema chato.

O problema era o seguinte, imaginem um ambiente onde há um Servidor Proxy autenticado, recebendo conteúdo da porta 80 e 443, direcionadas via IPtables.

Neste ambiente há máquinas com Windows XP e Windows 7, e todos apresentavam os mesmos problemas, a seguir:
  • Windows Update não funcionava automaticamente, apenas 'on demand';
  • O antivírus Microsoft Security Essentials não conseguia ler o Proxy setado nos navegadores, e não havia nada que o fizesse atualizar automaticamente, somente 'on demand' também.

Foram meses tentando resolver, testes e mais testes em vão, até que finalmente, achei a solução que funcionou pra mim, com a ajuda do Wireshark, Tail e muita 'ralação' (rsrsrs).

Partirei do princípio que seu IPtables já esteja configurado e direcionando as portas 80 e 443 para o Squid, que também já está configurado para trabalhar de forma autenticada, assim como os navegadores com endereços já setados.

No seu "squid.conf", crie a seguinte ACL antes das linhas de autenticação:

# ---- Windows Update ----
acl microsoft url_regex "/etc/squid/listas/ms-update"
acl domain_watson dstdomain watson.microsoft.com
http_access allow microsoft
http_access allow domain_watson


Agora, é necessário criarmos a pasta "listas" e em seguida, o arquivo "ms-update":

# mkdir /etc/squid/listas
# touch /etc/squid/listas/ms-update


Insira este conteúdo dentro do arquivo "ms-update":

microsoft.com/security/*
microsoft.com/security
microsoft
http://download.microsoft.com/downlo...es/mpam-fe.exe
microsoft
216.52.233.197:443
crl.microsoft.com
nload.mic
go.microsoft.com
donwload.windowsupdate.com/*
update.microsoft.com/*
windowsupdate.com/*
windowsupdate.microsoft.com
windowsmedia.com/*
download.windowsupdate
netservicepack.microsoft.com
windowsupdate.microsoft.com
65.55.184.16
63.80.4.67
63.80.4.58


Após feito isso, reinicie o serviço do Squid e então, ele já irá atualizar 'on demand' (o que em um ambiente empresarial, não é legal. Afinal, funcionário sempre esquece).

Mas aí vem o 'pulo do gato': para que o antivírus da Microsoft entenda o Proxy do navegador, é necessário que utilizemos comandos para importação, porém, após eu usar estes comandos, até o 'update' acabou sendo corrigido e faz automaticamente 100%.

* Vale lembrar que os comandos são diferentes entre o Windows XP e o Windows 7 (Seven).

No Windows XP, abra um Prompt de comando e digite:

proxycfg -u

Já no Windows 7, o 'proxycfg' não está mais disponível, então, abra o Prompt de comando como administrador, clicando com o direito e digite:

netsh winhttp import proxy ie

Após os comandos, reinicie a estação e 'pimba'!

Faça o primeiro 'update' manual e depois durma tranquilo. Eles irão fazer sozinho como de costume em redes sem Proxy!

Por hora, é isso galera. :)

Espero que seja útil à comunidade!

Grande abraço!!!

Outras dicas deste autor

Wine - Atualizando para a versão 1.3 no Debian Squeeze

Leitura recomendada

Otimizando seu cache DNS fuçando no BIND

Configurando o Chromium para utilizar proxy

Quebrando múltiplas senhas WiFi com hashcat

Flash Player (nonfree) no Debian - Instale com facilidade

Apache chroot + MySQL chroot + PHP + ModSecurity + SSH

  

Comentários
[1] Comentário enviado por phrich em 12/04/2012 - 16:26h

Boa dica, vou só complementar uma coisa:

Insira o conteúdo das acls da seguinte maneira:

.microsoft.com*
216.52.233.197
nload.mic
65.55.184.16
63.80.4.67
63.80.4.58

Assim vc não precisa utilizar vários endereços da Micro$oft, visto que vc está utilizando uma acl do tipo url_regex.

[2] Comentário enviado por ch4c4r em 12/04/2012 - 18:39h

Fala phrich, foi até bom que você tocou no assunto pois houve um erro de digitação mesmo, quando li você falando sobre urlregex falei "ué, acho que era dstdomain". Acho que confundi na hora de digitar, o correto que utilizo é a mesma lógica com dstdomain, mas a sua também é totalmente válida! Obrigado pela contribuição, grande abraço!

Tenho anotado vários exemplos pra este arquivo, segue mais um caso a dica minha e do phrich não resolva para os demais:

# ms-update com dstdomain
.microsoft.com
216.52.233.197:443
207.46.21.124
207.46.21.124:443
.nload.mic
.windowsupdate.com
.watson.com
.msftncsi.com
65.55.13.86
65.55.13.86:443
65.55.184.16
63.80.4.67
63.80.4.58


Espero que esse tópico seja definitivo para nunca mais termos problemas com isso! rsrsrs
Abraços :)

[3] Comentário enviado por israelsoares em 24/05/2012 - 14:45h

Poxa vida. Vcs me ajudaram e muito. usei a primeira opção do ch4c4r e funcionou 100%.
Muito obrigado.

Abraços.
Israel Soares

[4] Comentário enviado por thyagobrasileiro em 30/01/2015 - 16:04h

tomar cuidado com os IPs presentes na lista, ao longo do tempo pode ocorrer do ip nao pertencer mais a microsoft

ex
216.52.233.197 pertence ao app56.logmein.com





Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts