Puede usar el protocolo SSL (Capa de sockets seguros) para contribuir a asegurar su implementación de Windows Server® Update Services (WSUS). WSUS usa SSL para permitir a los equipos cliente y servidores WSUS descendentes autenticar el servidor WSUS. WSUS también usa SSL para cifrar los metadatos pasados entre equipos cliente y servidores WSUS descendentes. Tenga presente que WSUS usa SSL solo para metadatos, no para contenido. Ésta también es la manera en la que Microsoft Update distribuye actualizaciones.
La actualización consta de dos partes:
- Los metadatos que describen la actualización
- Los archivos que van a instalar la actualización en un equipo
Microsoft reduce el riesgo de enviar archivos de actualización a través de un canal no cifrado firmando cada actualización. Además, se calcula un hash y se envía con los metadatos para cada actualización. Cuando se descarga una actualización, WSUS comprueba la firma digital y el hash. Si se ha modificado la actualización, ésta no se instala.
Para obtener información detallada sobre los pasos para configurar SSL en el servidor WSUS y en el cliente WSUS, vea la guía de implementación de WSUS en
Limitaciones de implementaciones SSL de WSUS
Los administradores que pretenden implementar implementaciones SSL de WSUS deberían tener en cuenta dos problemas de limitación:
- Asegurar su implementación WSUS con SSL aumenta la carga de trabajo del servidor. Debería prever una pérdida de cerca de un 10 por ciento de rendimiento debido al coste adicional de cifrar todos los metadatos enviados a través de la red.
- Si usa SQL, la conexión entre el servidor WSUS y el servidor que ejecuta la base de datos no está protegida con SSL. Si se debe proteger la conexión de la base de datos, tenga en cuenta las siguientes recomendaciones:
- Coloque las bases de datos en el servidor WSUS (la configuración de WSUS predeterminada)
- Coloque el servidor remoto que ejecuta SQL y el servidor WSUS en una red privada.
- Implementar seguridad IP (IPsec) en la red para proteger el tráfico de red. Para obtener una orientación acerca de cómo implementar IPsec en su entorno, vea la guía de implementación de Windows Server
https://go.microsoft.com/fwlink/?LinkId=45154 (puede estar en inglés) .
- Coloque las bases de datos en el servidor WSUS (la configuración de WSUS predeterminada)
Referencias adicionales
La configuración de una entidad de certificación (CA), el enlace de un certificado al sitio web de WSUS y, a continuación, el arranque de equipos cliente para confiar en el certificado del sitio web de WSUS son tareas administrativas complejas. Los procedimientos detallados para cada tarea están fuera del alcance de este tema. Sin embargo, hay varios artículos disponibles sobre el asunto. Para obtener más información e instrucciones acerca de cómo instalar certificados y configurar el entorno, vea los siguientes recursos:
-
La guía de operaciones de PKI de Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=83159, puede estar en inglés ) ofrece una guía para administradores acerca de cómo configurar y operar una entidad de certificación de Windows.
-
Artículo 299875 de Microsoft Knowledge Base (
https://go.microsoft.com/fwlink/?LinkId=86176, puede estar en inglés ) ofrece instrucciones detalladas para implementar SSL en IIS.
-
Inscripción automática de certificados en Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=17801, puede estar en inglés ) ofrece instrucciones acerca de cómo inscribir automáticamente equipos cliente que ejecutan Windows XP en entornos de Windows Server 2003 Enterprise integrados con Active Directory.
-
Inscripción y administración de certificados avanzados (
https://go.microsoft.com/fwlink/?LinkId=83160, puede estar en inglés ) ofrece instrucciones acerca de cómo inscribir equipos cliente automáticamente en otros entornos.