Sie können das SSL-Protokoll (Secure Sockets Layer) verwenden, um die WSUS-Bereitstellung (Windows Server® Update Services) zu sichern. WSUS ermöglicht Clientcomputern und WSUS-Downstreamservern mithilfe von SSL die Authentifizierung des WSUS-Servers. SSL wird auch verwendet, um die zwischen Clientcomputern und WSUS-Downstreamservern übertragenen Metadaten zu verschlüsseln. Beachten Sie, dass WSUS nur für Metadaten SSL verwendet, nicht für Inhalte. Diese Methode wird auch für die Verteilung von Updates durch Microsoft Update verwendet.

Updates bestehen aus zwei Teilen:

  • Metadaten, die das Update beschreiben

  • Dateien, mit denen das Update auf einem Computer installiert wird

Microsoft reduziert das mit dem Versenden von Updatedateien über einen unverschlüsselten Kanal einhergehende Risiko, indem jedes Update signiert wird. Zudem wird ein Hash berechnet und mit den Metadaten für jedes Update gesendet. Wenn ein Update heruntergeladen wird, überprüft WSUS die digitale Signatur und den Hash. Wurde das Update verändert, wird es nicht installiert.

Detaillierte Anweisungen für die Konfiguration von SSL auf dem WSUS-Server und dem WSUS-Client finden Sie im Bereitstellungshandbuch zu WSUS unter https://go.microsoft.com/fwlink/?LinkId=139832 (möglicherweise in englischer Sprache).

Einschränkungen von WSUS-Bereitstellungen mit SSL

Administratoren, die die Implementierung von WSUS-Bereitstellungen mit SSL planen, sollten die folgenden zwei Einschränkungen berücksichtigen:

  1. Durch das Sichern der WSUS-Bereitstellung mit SSL wird die Arbeitsauslastung des Servers erhöht. Planen Sie einen Leistungsverlust von ungefähr 10 % durch die Verschlüsselung aller über das Netzwerk gesendeten Metadaten ein.

  2. Beim Remotebetrieb von SQL wird die Verbindung zwischen dem WSUS-Server und dem Server mit der Datenbank nicht mit SSL gesichert. Falls die Datenbankverbindung gesichert werden muss, werden folgende Lösungen empfohlen:

    • Speichern Sie die Datenbank auf dem WSUS-Server (WSUS-Standardkonfiguration).

    • Richten Sie den Remoteserver, auf dem SQL ausgeführt wird, und den WSUS-Server in einem privaten Netzwerk ein.

    • Stellen Sie IP-Sicherheit (IPsec) im Netzwerk bereit, um den Netzwerkdatenverkehr zu sichern. Anweisungen zum Bereitstellen von IPsec in der Umgebung finden Sie im Bereitstellungshandbuch zu Windows Server unter https://go.microsoft.com/fwlink/?LinkId=45154 (möglicherweise in englischer Sprache).

Weitere Verweise

Das Einrichten einer Zertifizierungsstelle (Certification Authority, CA), das Binden eines Zertifikats an die WSUS-Website und der anschließende Bootstrap der Clientcomputer, um das Zertifikat auf der WSUS-Website als vertrauenswürdig festzulegen, sind komplexe Verwaltungsaufgaben. Schrittweise Anweisungen für jede dieser Aufgaben würden den Rahmen dieses Themas sprengen. Es sind jedoch verschiedene Artikel zu diesem Thema verfügbar. Weitere Informationen und Anweisungen zum Installieren von Zertifikaten und Einrichten der Umgebung finden Sie in den folgenden Ressourcen:

Siehe auch