목적: Nat 없는 서브넷에 Window 보안 자동 패치 구성 


1. 퍼블릭 망에 있는 인스턴스에 WSUS 서버 구성

WSUS 서버 역할은 조직내의 최신 Microsoft 업데이트를 배포 합니다

WSUS 서버는 HTTP 프로토콜에 포트 8530 사용하고 HTTPS 프로토콜에 포트 8531 사용하여 클라이언트 워크스테이션에 업데이트를 제공합니다.

 

# windows server 2019 기준

Server manager -> 역할  기능 추가

 

Installation type -> role-based 기반 설치

 

Server selection -> server pool 선택

텍스트이(가) 표시된 사진

자동 생성된 설명

 

Server roles -> Windows server update services 체크

텍스트이(가) 표시된 사진

자동 생성된 설명

 

Role 추가후 확인시 IIS, WSUS가 두개가 추가됨

WAUS -> content -> 경로 선택

     클라이언트에게 배포될 업데이트 패키지 파일을 저장할 경로

텍스트이(가) 표시된 사진

자동 생성된 설명

Confirmation -> 설치 진행

텍스트이(가) 표시된 사진

자동 생성된 설명

설치후 rebooting 진행

Server manager -> Tools -> windows update service 구성 실행

 

텍스트이(가) 표시된 사진

자동 생성된 설명

Choose upstream server -> microsoft에서 직접 업데이트 

  다른 WSUS 서버에서 받아 올려면 아래 클릭

텍스트이(가) 표시된 사진

자동 생성된 설명

Specify Proxy Server -> 다음

   업스트림 서버에 엑세스시 프록시 서버를 사용할 예정이라면 use a proxyserver when synchronzing 항목 체크 

텍스트이(가) 표시된 사진

자동 생성된 설명

업스트림 서버와 연결



2. 페쇠망(NAT X) VPC 인스턴스에 WSUS 연동

 실행창 -> gpedit.msc 

Computer configuration -> administrative Template -> windows componerts 

-> windows update->specify intranet Microsoft update service location 

인트라넷 업데이트 서비스에서 업데이트를 검색하도록 설정

  http://’wsus서버 IP’:8530

  설정한 정보을 저장하기 위해 실행창에서 gpupdate /force 실행


 

3. 엔드포인트 만들기

해당 서비스 엔드포인트 각각 생성

    ssm – Systems Manager API의 엔드포인트

    ec2messages – Run Command 메시징 서비스의 엔드포인트

    ssmmessages – Session Manager 메시징 서비스의 엔드포인트 

   

 서비스 이름(Service Name):  추가할 AWS 서비스 선택

 VPC:  사용자 인스턴스의 [VPC ID]를 선택

 서브넷:  VPC의 사설망 [서브넷 ID(Subnet ID)]를 선택

 DNS 이름 활성화: 엔드포인트에 대해 활성화(Enable for this endpoint)를 선택

 보안 그룹:  기존 보안 그룹을 선택하거나 새로운 보안 그룹을 생성(이 보안 그룹은 서비스와 통신하는 VPC의 리소스에서 인바운드 HTTPS(포트 443) 트래픽을 허용)


4. 인스턴스에 IAM 역활 생성

   



  대상 인스턴스에 해당 IAM 역할 부여



5. SSM 패치 관리자에서 스케줄 등록


System Manager -> 플릿 관리자에서 해당 SSM agent가 올라왔는지 확인







  Systems Manager -> 노드 관리 -> 패치 관리자



패치 기준 생성





 패치 그룹에 위에서 만든 패치 기준을 선택