Puede usar el protocolo SSL (Capa de sockets seguros) para contribuir a asegurar su implementación de Windows Server® Update Services (WSUS). WSUS usa SSL para permitir a los equipos cliente y servidores WSUS descendentes autenticar el servidor WSUS. WSUS también usa SSL para cifrar los metadatos pasados entre equipos cliente y servidores WSUS descendentes. Tenga presente que WSUS usa SSL solo para metadatos, no para contenido. Ésta también es la manera en la que Microsoft Update distribuye actualizaciones.

La actualización consta de dos partes:

  • Los metadatos que describen la actualización

  • Los archivos que van a instalar la actualización en un equipo

Microsoft reduce el riesgo de enviar archivos de actualización a través de un canal no cifrado firmando cada actualización. Además, se calcula un hash y se envía con los metadatos para cada actualización. Cuando se descarga una actualización, WSUS comprueba la firma digital y el hash. Si se ha modificado la actualización, ésta no se instala.

Para obtener información detallada sobre los pasos para configurar SSL en el servidor WSUS y en el cliente WSUS, vea la guía de implementación de WSUS en https://go.microsoft.com/fwlink/?LinkId=139832 (puede estar en inglés).

Limitaciones de implementaciones SSL de WSUS

Los administradores que pretenden implementar implementaciones SSL de WSUS deberían tener en cuenta dos problemas de limitación:

  1. Asegurar su implementación WSUS con SSL aumenta la carga de trabajo del servidor. Debería prever una pérdida de cerca de un 10 por ciento de rendimiento debido al coste adicional de cifrar todos los metadatos enviados a través de la red.

  2. Si usa SQL, la conexión entre el servidor WSUS y el servidor que ejecuta la base de datos no está protegida con SSL. Si se debe proteger la conexión de la base de datos, tenga en cuenta las siguientes recomendaciones:

    • Coloque las bases de datos en el servidor WSUS (la configuración de WSUS predeterminada)

    • Coloque el servidor remoto que ejecuta SQL y el servidor WSUS en una red privada.

    • Implementar seguridad IP (IPsec) en la red para proteger el tráfico de red. Para obtener una orientación acerca de cómo implementar IPsec en su entorno, vea la guía de implementación de Windows Server https://go.microsoft.com/fwlink/?LinkId=45154 (puede estar en inglés).

Referencias adicionales

La configuración de una entidad de certificación (CA), el enlace de un certificado al sitio web de WSUS y, a continuación, el arranque de equipos cliente para confiar en el certificado del sitio web de WSUS son tareas administrativas complejas. Los procedimientos detallados para cada tarea están fuera del alcance de este tema. Sin embargo, hay varios artículos disponibles sobre el asunto. Para obtener más información e instrucciones acerca de cómo instalar certificados y configurar el entorno, vea los siguientes recursos:

Vea también