목적: Nat 없는 서브넷에 Window 보안 자동 패치 구성
1. 퍼블릭 망에 있는 인스턴스에 WSUS 서버 구성
WSUS 서버 역할은 조직내의 최신 Microsoft 업데이트를 배포 합니다
WSUS 서버는 HTTP 프로토콜에 포트 8530을 사용하고 HTTPS 프로토콜에 포트 8531을 사용하여 클라이언트 워크스테이션에 업데이트를 제공합니다.
# windows server 2019 기준
Server manager -> 역할 및 기능 추가
Installation type -> role-based 기반 설치
Server selection -> server pool 선택
Server roles -> Windows server update services 체크
Role 추가후 확인시 IIS, WSUS가 두개가 추가됨
WAUS -> content -> 경로 선택
클라이언트에게 배포될 업데이트 패키지 파일을 저장할 경로
Confirmation -> 설치 진행
설치후 rebooting 진행
Server manager -> Tools -> windows update service 구성 실행
Choose upstream server -> microsoft에서 직접 업데이트
다른 WSUS 서버에서 받아 올려면 아래 클릭
Specify Proxy Server -> 다음
업스트림 서버에 엑세스시 프록시 서버를 사용할 예정이라면 use a proxyserver when synchronzing 항목 체크
업스트림 서버와 연결
2. 페쇠망(NAT X) VPC 인스턴스에 WSUS 연동
실행창 -> gpedit.msc
Computer configuration -> administrative Template -> windows componerts
-> windows update->specify intranet Microsoft update service location
인트라넷 업데이트 서비스에서 업데이트를 검색하도록 설정
http://’wsus서버 IP’:8530
설정한 정보을 저장하기 위해 실행창에서 gpupdate /force 실행
3. 엔드포인트 만들기
해당 서비스 엔드포인트 각각 생성
ssm – Systems Manager API의 엔드포인트
ec2messages – Run Command 메시징 서비스의 엔드포인트
ssmmessages – Session Manager 메시징 서비스의 엔드포인트
서비스 이름(Service Name): 추가할 AWS 서비스 선택
VPC: 사용자 인스턴스의 [VPC ID]를 선택
서브넷: VPC의 사설망 [서브넷 ID(Subnet ID)]를 선택
DNS 이름 활성화: 엔드포인트에 대해 활성화(Enable for this endpoint)를 선택
보안 그룹: 기존 보안 그룹을 선택하거나 새로운 보안 그룹을 생성(이 보안 그룹은 서비스와 통신하는 VPC의 리소스에서 인바운드 HTTPS(포트 443) 트래픽을 허용)
4. 인스턴스에 IAM 역활 생성
대상 인스턴스에 해당 IAM 역할 부여
5. SSM 패치 관리자에서 스케줄 등록
System Manager -> 플릿 관리자에서 해당 SSM agent가 올라왔는지 확인
Systems Manager -> 노드 관리 -> 패치 관리자
패치 기준 생성
패치 그룹에 위에서 만든 패치 기준을 선택
