A Secure Sockets Layer (SSL) protokoll segítségével biztonságosabbá teheti a Windows Server® Update Services (WSUS) telepítését. A WSUS az SSL protokoll használatával engedélyezi az ügyfélszámítógépeknek és az alsóbb rétegbeli WSUS-kiszolgálóknak a WSUS-kiszolgáló hitelesítését. A WSUS ezenkívül az SSL segítségével titkosítja az ügyfélszámítógépek és az alsóbb rétegbeli WSUS-kiszolgálók között zajló metaadat-áramlást. Tudni kell, hogy a WSUS csak metaadatokhoz használja az SSL protokollt, tartalmakhoz nem. A Microsoft Update ugyanilyen módon terjeszti a frissítéseket.
A frissítések két részből állnak:
- A frissítést leíró metaadatok
- A frissítés telepítéséhez szükséges fájlok
A Microsoft az egyes frissítéseket aláírással látja el, hogy csökkentse a frissítési fájlok nem titkosított csatornán keresztüli küldésének kockázatát. Ezenfelül minden frissítési fájlhoz fájlkivonat jön létre, amelyet a rendszer a metaadatokhoz csatol. Egy frissítés letöltésekor a WSUS ellenőrzi a digitális aláírást és a fájlkivonatot. Ha a frissítési fájl módosult, a telepítés nem történik meg.
Az SSL protokoll WSUS-kiszolgálón és WSUS-ügyfélen való konfigurálásának részletes ismertetőjét a WSUS telepítési útmutatójában találja:
A WSUS szolgáltatás SSL protokollal kiegészített telepítésének korlátai
A WSUS szolgáltatás SSL protokollal kiegészített telepítését tervező rendszergazdáknak két korlátozó tényezőt kell figyelembe venniük:
- A WSUS szolgáltatás SSL protokollal való biztonságossá tétele növeli a kiszolgáló terhelését. A hálózaton küldött metaadatok titkosításának számítási igényei miatt a teljesítmény várhatóan körülbelül 10 százalékkal csökken.
- Távoli SQL használatakor a WSUS-kiszolgáló és az adatbázist futtató kiszolgáló közötti kapcsolatot az SSL nem védi. Ha az adatbázis-kapcsolatot is védeni szeretné, a következő megoldások jöhetnek szóba:
- Helyezze az adatbázist a WSUS-kiszolgálóra (ez a WSUS alapértelmezett konfigurációja).
- Az SQL futtatására használt távoli kiszolgálót és a WSUS-kiszolgálót helyezze magánhálózatra.
- A hálózaton használjon IP-biztonságot (IPsec) az adatforgalom biztonságossá tételéhez. Az IPsec adott környezetben való telepítéséről a Windows Server telepítési útmutatójában olvashat részletesebben:
https://go.microsoft.com/fwlink/?LinkId=45154 (előfordulhat, hogy a lap angol nyelven jelenik meg) .
- Helyezze az adatbázist a WSUS-kiszolgálóra (ez a WSUS alapértelmezett konfigurációja).
További hivatkozások
A hitelesítésszolgáltató (CA) létrehozása, a WSUS-webhely tanúsítványának beállítása, majd az ügyfélszámítógépek oly módon történő elindítása, hogy megbízhatónak tekintsék a WSUS-webhelyen lévő tanúsítványt, összetett felügyeleti feladatok. Az egyes feladatok részletes leírására ez a rövid ismertető nem vállalkozik. A témakörben azonban számos cikk és leírás született. A tanúsítványok telepítéséről és a környezet megfelelő beállításáról a következő forrásokban talál bővebb felvilágosítást:
-
A Windows Server 2003 PKI-műveleteket ismertető útmutatója részletesen ismerteti a Windows-hitelesítésszolgáltatók konfigurálásának és működtetésének módját:
https://go.microsoft.com/fwlink/?LinkId=83159 (előfordulhat, hogy a lap angol nyelven jelenik meg) ).
-
A Microsoft Tudásbázis 299875. számú cikke lépésről lépésre bemutatja az SSL protokoll IIS szolgáltatásban való implementálását:
https://go.microsoft.com/fwlink/?LinkId=86176 (előfordulhat, hogy a lap angol nyelven jelenik meg) .
-
A tanúsítványok Windows Server 2003 rendszerben való automatikus igénylését ismertető dokumentum bemutatja, hogyan állíthatók be a Windows XP rendszert futtató ügyfélszámítógépek Active Directoryval integrált Windows Server 2003 Enterprise környezetekben a tanúsítványok automatikus igénylésére:
https://go.microsoft.com/fwlink/?LinkId=17801 (előfordulhat, hogy a lap angol nyelven jelenik meg) .
-
A speciális tanúsítványigénylést és -kezelést ismertető dokumentum bemutatja, hogyan állíthatók be az ügyfélszámítógépek a tanúsítványok automatikus igénylésére más környezetekben:
https://go.microsoft.com/fwlink/?LinkId=83160 (előfordulhat, hogy a lap angol nyelven jelenik meg) .