Vous pouvez utiliser le protocole SSL (Secure Sockets Layer) pour vous aider à sécuriser le déploiement de WSUS (Windows Server® Update Services). WSUS se sert du protocole SSL pour autoriser les ordinateurs clients et les serveurs WSUS en aval à authentifier le serveur WSUS. WSUS recourt également à ce protocole pour chiffrer les métadonnées passées entre les ordinateurs clients et les serveurs WSUS en aval. Sachez que WSUS utilise le protocole SSL seulement pour les métadonnées, pas pour le contenu. C’est également par ce biais que Microsoft Update distribue les mises à jour.
Les mises à jour se composent de deux parties :
- les métadonnées décrivant la mise à jour ;
- les fichiers permettant d’installer la mise à jour sur un ordinateur.
Microsoft limite le risque d’envoi des fichiers de mise à jour sur un canal non chiffré en signant chaque mise à jour. En outre, un hachage est calculé et envoyé avec les métadonnées pour chaque mise à jour. Lorsqu’une mise à jour est téléchargée, WSUS vérifie la signature numérique et le hachage. Si la mise à jour a été endommagée, elle n’est pas installée.
Pour connaître la procédure détaillée de configuration du protocole SSL sur le serveur WSUS et le client WSUS, voir le WSUS Deployment Guide (
Limitations des déploiements WSUS avec le protocole SSL
Les administrateurs qui envisagent d’implémenter des déploiements WSUS via SSL doivent tenir compte des deux limitations suivantes :
- La sécurisation du déploiement WSUS à l’aide du protocole SSL augmente la charge de travail sur le serveur. Vous devez prévoir environ 10 % de perte de performance causée par le coût supplémentaire du chiffrement de toutes les métadonnées envoyées sur le réseau.
- Si vous utilisez SQL à distance, la connexion entre le serveur WSUS et le serveur exécutant la base de données n’est pas sécurisée avec le protocole SSL. Si la connexion à la base de données doit être sécurisée, tenez compte des recommandations suivantes :
- Mettez la base de données sur le serveur WSUS (il s’agit de la configuration WSUS par défaut).
- Mettez le serveur distant exécutant SQL et le serveur WSUS sur un réseau privé.
- Déployez la sécurité IP (IPsec) sur votre réseau pour sécuriser le trafic réseau. Pour plus d’informations sur le déploiement de la sécurité IP (IPsec) dans votre environnement, voir le Windows Server Deployment Guide (
https://go.microsoft.com/fwlink/?LinkId=45154 ) (en anglais).
- Mettez la base de données sur le serveur WSUS (il s’agit de la configuration WSUS par défaut).
Références supplémentaires
La configuration d’une autorité de certification (CA), la liaison d’un certificat au site Web WSUS et le démarrage des ordinateurs clients pour approuver le certificat sur le site Web de WSUS sont des tâches d’administration complexes. Les procédures détaillées de chaque étape dépassent la portée de cette rubrique. Plusieurs articles traitant de ces thèmes sont néanmoins disponibles. Pour plus d’informations sur l’installation de certificats et la configuration de votre environnement, reportez-vous aux ressources suivantes :
-
Le guide Windows Server 2003 PKI Operations Guide (
https://go.microsoft.com/fwlink/?LinkId=83159 ) (en anglais) explique aux administrateurs comment configurer et gérer une autorité de certification Windows.
-
L’article n° 299875 (
https://go.microsoft.com/fwlink/?LinkId=86176 ) dans la Base de connaissances Microsoft contient des instructions détaillées sur l’implémentation du protocole SSL dans IIS.
-
L’article Certificate Autoenrollment in Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=17801 ) (en anglais) contient des instructions relatives à l’inscription automatique des ordinateurs clients exécutant Windows XP dans les environnements Windows Server 2003 Enterprise intégrés à Active Directory.
-
L’article Advanced Certificate Enrollment and Management (
https://go.microsoft.com/fwlink/?LinkId=83160 ) (en anglais) décrit la façon d’inscrire automatiquement des ordinateurs clients dans d’autres environnements.