È possibile utilizzare il protocollo SSL (Secure Sockets Layer) per proteggere la distribuzione di Windows Server® Update Services (WSUS) in cui SSL viene utilizzato per consentire ai computer client e ai server WSUS downstream di autenticare il server WSUS, nonché per crittografare i metadati passati tra i computer client e i server WSUS downstream. Tenere presente che SSL viene utilizzato in Windows Server Update Services solo per i metadati, non per il contenuto. Consente inoltre a Microsoft Update di distribuire gli aggiornamenti.
Gli aggiornamenti sono costituiti da due tipi di componenti:
- I metadati che descrivono l'aggiornamento
- I file necessari per installare l'aggiornamento in un computer
Microsoft consente di ridurre il rischio che i file di aggiornamento vengano inviati attraverso un canale non crittografato inserendo una firma in ogni aggiornamento, per il quale viene inoltre calcolato e inviato un hash insieme ai metadati. Quando viene scaricato un aggiornamento, Windows Server Update Services verifica la firma digitale e l'hash. Se l'aggiornamento è stato modificato, non viene installato.
Per informazioni dettagliate sulla configurazione di SSL nel server WSUS e nel client WSUS, vedere la guida alla distribuzione di Windows Server Update Services all'indirizzo
Limiti delle distribuzioni di Windows Server Update Services con SSL
Gli amministratori che pianificano l'implementazione delle distribuzioni di Windows Server Update Services con SSL devono tenere in considerazione due limiti:
- La protezione della distribuzione di Windows Server Update Services con SSL aumenta il carico di lavoro del server. È consigliabile pianificare una perdita di prestazioni del 10% a causa del costo aggiuntivo della crittografia di tutti i metadati inviati in rete.
- Se si utilizza un server SQL remoto, la connessione tra il server WSUS e il server che esegue il database non viene protetta mediante SSL. Se è necessario proteggere la connessione al database, tenere presenti le indicazioni seguenti:
- Posizionare il database nel server WSUS (configurazione predefinita di Windows Server Update Services).
- Posizionare il server remoto che esegue SQL e il server WSUS in una rete privata.
- Distribuire IPsec in rete per proteggere il traffico di rete. Per ulteriori informazioni sulla distribuzione di IPsec nell'ambiente in uso, vedere la guida alla distribuzione di Windows Server
https://go.microsoft.com/fwlink/?LinkId=45154 .
- Posizionare il database nel server WSUS (configurazione predefinita di Windows Server Update Services).
Ulteriori riferimenti
La configurazione di un'Autorità di certificazione (CA), il binding di un certificato al sito Web Windows Server Update Services e il successivo bootstrap dei computer client per considerare attendibile il certificato in tale sito Web sono attività amministrative complesse. Le procedure dettagliate per ogni attività non rientrano nell'ambito di questo argomento. In merito sono tuttavia disponibili diversi articoli. Per ulteriori informazioni e istruzioni sull'installazione dei certificati e sulla configurazione dell'ambiente in uso, vedere le risorse seguenti:
-
Nella guida operativa per l'infrastruttura a chiave pubblica di Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=83159 ) sono disponibili indicazioni per consentire agli amministratori di configurare e utilizzare un'Autorità di certificazione di Windows.
-
Nell'articolo 299875 della Microsoft Knowledge Base (
https://go.microsoft.com/fwlink/?LinkId=86176 ) sono disponibili istruzioni dettagliate per l'implementazione di SSL in IIS.
-
Nella pagina relativa alla registrazione automatica dei certificati in Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=17801 ) sono disponibili istruzioni relative alla registrazione automatica dei computer client che eseguono Windows XP in ambienti Windows Server 2003 Enterprise integrati con Active Directory.
-
Nella pagina relativa alla registrazione e gestione avanzate dei certificati (
https://go.microsoft.com/fwlink/?LinkId=83160 ) sono disponibili indicazioni relative alla registrazione automatica dei computer client in altri ambienti.