Sie können das SSL-Protokoll (Secure Sockets Layer) verwenden, um die WSUS-Bereitstellung (Windows Server® Update Services) zu sichern. WSUS ermöglicht Clientcomputern und WSUS-Downstreamservern mithilfe von SSL die Authentifizierung des WSUS-Servers. SSL wird auch verwendet, um die zwischen Clientcomputern und WSUS-Downstreamservern übertragenen Metadaten zu verschlüsseln. Beachten Sie, dass WSUS nur für Metadaten SSL verwendet, nicht für Inhalte. Diese Methode wird auch für die Verteilung von Updates durch Microsoft Update verwendet.
Updates bestehen aus zwei Teilen:
- Metadaten, die das Update beschreiben
- Dateien, mit denen das Update auf einem Computer installiert wird
Microsoft reduziert das mit dem Versenden von Updatedateien über einen unverschlüsselten Kanal einhergehende Risiko, indem jedes Update signiert wird. Zudem wird ein Hash berechnet und mit den Metadaten für jedes Update gesendet. Wenn ein Update heruntergeladen wird, überprüft WSUS die digitale Signatur und den Hash. Wurde das Update verändert, wird es nicht installiert.
Detaillierte Anweisungen für die Konfiguration von SSL auf dem WSUS-Server und dem WSUS-Client finden Sie im Bereitstellungshandbuch zu WSUS unter
Einschränkungen von WSUS-Bereitstellungen mit SSL
Administratoren, die die Implementierung von WSUS-Bereitstellungen mit SSL planen, sollten die folgenden zwei Einschränkungen berücksichtigen:
- Durch das Sichern der WSUS-Bereitstellung mit SSL wird die Arbeitsauslastung des Servers erhöht. Planen Sie einen Leistungsverlust von ungefähr 10 % durch die Verschlüsselung aller über das Netzwerk gesendeten Metadaten ein.
- Beim Remotebetrieb von SQL wird die Verbindung zwischen dem WSUS-Server und dem Server mit der Datenbank nicht mit SSL gesichert. Falls die Datenbankverbindung gesichert werden muss, werden folgende Lösungen empfohlen:
- Speichern Sie die Datenbank auf dem WSUS-Server (WSUS-Standardkonfiguration).
- Richten Sie den Remoteserver, auf dem SQL ausgeführt wird, und den WSUS-Server in einem privaten Netzwerk ein.
- Stellen Sie IP-Sicherheit (IPsec) im Netzwerk bereit, um den Netzwerkdatenverkehr zu sichern. Anweisungen zum Bereitstellen von IPsec in der Umgebung finden Sie im Bereitstellungshandbuch zu Windows Server unter
https://go.microsoft.com/fwlink/?LinkId=45154 (möglicherweise in englischer Sprache) .
- Speichern Sie die Datenbank auf dem WSUS-Server (WSUS-Standardkonfiguration).
Weitere Verweise
Das Einrichten einer Zertifizierungsstelle (Certification Authority, CA), das Binden eines Zertifikats an die WSUS-Website und der anschließende Bootstrap der Clientcomputer, um das Zertifikat auf der WSUS-Website als vertrauenswürdig festzulegen, sind komplexe Verwaltungsaufgaben. Schrittweise Anweisungen für jede dieser Aufgaben würden den Rahmen dieses Themas sprengen. Es sind jedoch verschiedene Artikel zu diesem Thema verfügbar. Weitere Informationen und Anweisungen zum Installieren von Zertifikaten und Einrichten der Umgebung finden Sie in den folgenden Ressourcen:
-
Das PKI-Betriebshandbuch (Public Key-Infrastruktur) zu Windows Server 2003 unter
https://go.microsoft.com/fwlink/?LinkId=83159 (möglicherweise in englischer Sprache) richtet sich an Administratoren und enthält Anweisungen zum Konfigurieren und Verwenden einer Windows-Zertifizierungsstelle.
-
Der Microsoft Knowledge Base-Artikel 299875 unter
https://go.microsoft.com/fwlink/?LinkId=86176 (möglicherweise in englischer Sprache) enthält detaillierte Anweisungen für die Implementierung von SSL in IIS.
-
Das Whitepaper zur automatischen Zertifikatregistrierung in Windows Server 2003 unter
https://go.microsoft.com/fwlink/?LinkId=17801 (möglicherweise in englischer Sprache) enthält Anweisungen für die automatische Registrierung von Clientcomputern mit dem Betriebssystem Windows XP in Windows Server 2003 Enterprise-Umgebungen mit Active Directory-Integration.
-
Das Whitepaper zur erweiterten Zertifikatregistrierung und -verwaltung unter
https://go.microsoft.com/fwlink/?LinkId=83160 (möglicherweise in englischer Sprache) enthält Anweisungen für die automatische Registrierung von Clientcomputern in anderen Umgebungen.