K zabezpečení nasazení služby WSUS (Windows Server® Update Services) můžete využít protokol SSL. Služba WSUS používá protokol SSL, aby bylo možné klientské počítače a podřízené servery ověřit na serveru WSUS. Také pomocí něj šifruje metadata předávaná mezi klientskými počítači a podřízenými servery WSUS. Je třeba mít na paměti, že služba WSUS používá protokol SSL jen pro metadata, nikoli pro obsah. To je také způsob, jakým služba Microsoft Update distribuuje aktualizace.
Aktualizace se skládají ze dvou částí:
- Metadata, která popisují aktualizaci
- Soubory k instalaci aktualizace do počítače
Společnost Microsoft redukuje riziko odesílání souborů aktualizace přes nezašifrovaný kanál tím, že je každá aktualizace podepsána. Dále se vypočte hodnota hash, která je odeslána s metadaty jednotlivých aktualizací. Při stahování aktualizace služba WSUS digitální podpis a hodnotu hash ověří. Pokud je zjištěno, že byla aktualizace pozměněna, není nainstalována.
Podrobné pokyny ke konfiguraci protokolu SSL na serveru WSUS a v klientovi WSUS naleznete v Průvodci nasazením služby WSUS na adrese
Omezení pro nasazení protokolu SSL služby WSUS
Správci, kteří plánují implementaci nasazení protokolu SSL služby WSUS, by měli zvážit dvě omezení:
- Zabezpečení nasazení služby WSUS pomocí protokolu SSL zvyšuje zatížení serveru. Měli byste počítat s přibližně 10% snížením výkonu v důsledku dalšího zatížení při šifrování všech metadat odesílaných přes síť.
- Jestliže používáte vzdálený server SQL, nebude spojení mezi serverem WSUS a serverem, na kterém je spuštěna databáze, zabezpečeno pomocí protokolu SSL. Pokud je připojení databáze nutné zabezpečit, zvažte následující doporučení:
- Umístěte databázi na server WSUS (výchozí konfigurace služby WSUS).
- Umístěte vzdálený server, na kterém je spuštěn server SQL a WSUS, do privátní sítě.
- Pro účely zabezpečení síťového přenosu nasaďte do sítě protokol IPsec. Informace týkající se nasazení protokolu IPsec ve vašem prostředí naleznete v Průvodci nasazením systému Windows Server:
https://go.microsoft.com/fwlink/?LinkId=45154 (stránka může být v angličtině) .
- Umístěte databázi na server WSUS (výchozí konfigurace služby WSUS).
Další informace
Nastavení certifikační autority, spojení certifikátu s webem služby WSUS a spouštění klientských počítačů pro vytvoření vztahu důvěryhodnosti klientských počítačů na webu služby WSUS jsou složité úlohy správy. Podrobné postupy k těmto jednotlivým úlohám nelze v tomto tématu podat. K dispozici je však několik článků na toto téma. Další informace a pokyny o instalaci certifikátů a nastavení prostředí naleznete v následujících zdrojích informací:
-
Provozní příručka pro systém Windows Server 2003 PKI (
https://go.microsoft.com/fwlink/?LinkId=83159 (stránka může být v angličtině) ) obsahuje pokyny pro správce týkající se konfigurace a provozu certifikační autority systému Windows.
-
Článek znalostní báze Microsoft Knowledge Base 299875 (
https://go.microsoft.com/fwlink/?LinkId=86176 (stránka může být v angličtině) ) obsahuje podrobné pokyny k implementaci protokolu SSL v rámci služby IIS.
-
Téma Automatická registrace certifikátů v systému Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=17801 (stránka může být v angličtině) ) nabízí pokyny k automatické registraci klientských počítačů se systémem Windows XP v prostředích Windows Server 2003 Enterprise integrovaných se službou Active Directory.
-
Pokyny k automatické registraci klientských počítačů v jiných prostředích naleznete v tématu Pokročilá registrace a správa certifikátů (
https://go.microsoft.com/fwlink/?LinkId=83160 (stránka může být v angličtině) ).