您可以使用安全通訊端層 (SSL) 通訊協定來協助保護 Windows Server(R) Update Services (WSUS) 部署的安全。WSUS 會使用 SSL,讓用戶端電腦和下游 WSUS 伺服器驗證 WSUS 伺服器。WSUS 也會使用 SSL 來加密用戶端電腦和下游 WSUS 伺服器之間傳送的中繼資料。請注意,WSUS 只會針對中繼資料使用 SSL,而非針對內容。這也是 Microsoft Update 散佈更新的方法。
更新包含兩個部分:
- 描述更新的中繼資料
- 要在電腦上安裝更新的檔案
Microsoft 藉由簽署每個更新,來降低透過非加密通道傳送更新檔案的風險。此外,會針對每個更新計算雜湊,並利用中繼資料進行傳送。下載更新時,WSUS 會驗證數位簽章和雜湊。如果更新已遭更改,便不會安裝。
如需在 WSUS 伺服器和 WSUS 用戶端上設定 SSL 的詳細步驟,請參閱《WSUS 部署指南》
WSUS SSL 部署限制
正在規劃實作 WSUS SSL 部署的系統管理員應將下列兩個限制問題納入考量:
- 利用 SSL 保護 WSUS 部署安全會增加伺服器的工作量。您應該計劃損失約 10% 的效能,因為這是加密所有透過網路傳送之中繼資料時所需的額外花費。
- 如果使用的是遠端 SQL,則 WSUS 伺服器和執行資料庫之伺服器間的連線並不是利用 SSL 進行保護。如果必須保護資料庫連線,請考量下列建議:
- 將資料庫放置於 WSUS 伺服器上 (預設的 WSUS 設定)。
- 將執行 SQL 的遠端伺服器和 WSUS 伺服器放置於私人網路上。
- 在網路上部署 IP 安全性 (IPSEC),以保護網路流量的安全。如需如何在環境中部署 IPsec 的指引,請參閱《Windows Server 部署指南》
https://go.microsoft.com/fwlink/?LinkId=45154 (可能為英文網頁) 。
- 將資料庫放置於 WSUS 伺服器上 (預設的 WSUS 設定)。
其他參考資料
設定憑證授權單位 (CA)、將憑證繫結至 WSUS 網站,然後啟動用戶端電腦程序以便在 WSUS 網站上信任該憑證,這些都是複雜的系統管理工作。每個工作的逐步程序都已超出本主題的範圍。不過,仍提供有關此主題的數篇文章。如需如何安裝憑證和設定環境的相關資訊及指示,請參閱下列資源:
-
《Windows Server 2003 PKI 操作指南》
https://go.microsoft.com/fwlink/?LinkId=83159 (可能為英文網頁) ,可為系統管理員提供如何設定和操作 Windows 憑證授權單位的指南。
-
Microsoft 知識庫文章 299875
https://go.microsoft.com/fwlink/?LinkId=86176 (可能為英文網頁) 可提供在 IIS 中實作 SSL 的逐步指示。
-
<Windows Server 2003 中的憑證自動註冊>(
https://go.microsoft.com/fwlink/?LinkId=17801 (可能為英文網頁) 可提供如何在已與 Active Directory 整合的 Windows Server 2003 Enterprise 環境中,自動註冊執行 Windows XP 之用戶端電腦的相關指示。
-
<進階憑證註冊和管理>(
https://go.microsoft.com/fwlink/?LinkId=83160 ) 可提供如何在其他環境中自動註冊用戶端電腦的相關指示。