U kunt het SSL-protocol (Secure Sockets Layer) gebruiken om de WSUS-implementatie (Windows Server® Update Services) te beveiligen. In WSUS wordt SSL gebruikt om toe te staan dat clientcomputers en downstream-WSUS-servers de WSUS-server kunnen verifiëren. Daarnaast wordt SSL gebruikt om de metagegevens te versleutelen die tussen clientcomputers en downstream-WSUS-servers worden uitgewisseld. Houd er rekening mee dat SSL in WSUS alleen voor metagegevens wordt gebruikt, niet voor inhoud. Hieronder ziet u hoe updates door Microsoft Update worden gedistribueerd.
De updates bestaan uit twee delen:
- De metagegevens waarmee de update wordt beschreven.
- De bestanden die nodig zijn om de update op een computer te installeren.
Omdat elke update is ondertekend, loopt u minder risico wanneer updatebestanden via niet-versleutelde kanalen worden verzonden. Daarnaast wordt er een hash berekend, die voor elke update met de metagegevens wordt verzonden. Na het downloaden van de update worden de digitale handtekening en de hash in WSUS gecontroleerd. De update wordt niet geïnstalleerd als deze is gewijzigd.
Zie de implementatiehandleiding voor WSUS op
Beperkingen voor WSUS SSL-implementaties
Administrators die WSUS SSL-implementaties willen toepassen, moeten rekening houden met de volgende twee beperkingen:
- Wanneer u de WSUS-implementatie beveiligt met SSL, neemt de werklast op de server toe. U moet rekening houden met een prestatieverlies van 10% vanwege de extra kosten voor het versleutelen van de metagegevens die via het netwerk worden verzonden.
- Als u met een externe SQL-server werkt, wordt de verbinding tussen de WSUS-server en de server waarop de database wordt uitgevoerd, niet beveiligd met SSL. Neem het volgende in overweging als de databaseverbinding moet worden beveiligd:
- Plaats de database op de WSUS-server (de standaard-WSUS-configuratie).
- Plaats de externe server waarop SQL wordt uitgevoerd en de WSUS-server in een particulier netwerk.
- Implementeer IP-beveiliging (IPsec) in uw netwerk om het netwerkverkeer te beveiligen. Zie de implementatiehandleiding voor Windows Server (
https://go.microsoft.com/fwlink/?LinkId=45154 (de pagina is mogelijk Engelstalig) ) voor instructies over het implementeren van IPsec in uw omgeving.
- Plaats de database op de WSUS-server (de standaard-WSUS-configuratie).
Aanvullende naslaginformatie
Het instellen van een certificeringsinstantie (CA), het binden van een certificaat aan de WSUS-website en het uitvoeren van een bootstrap op de clientcomputers (zodat het certificaat op de WSUS-website wordt vertrouwd) zijn complexe beheertaken. We kunnen in dit onderwerp niet ingaan op de stapsgewijze procedures voor deze taken. Er zijn echter verschillende artikelen over deze onderwerpen beschikbaar. Raadpleeg de volgende bronnen voor meer informatie en instructies over het installeren van certificaten en het instellen van uw omgeving:
-
De bedieningshandleiding voor Windows Server 2003 PKI (
https://go.microsoft.com/fwlink/?LinkId=83159 (de pagina is mogelijk Engelstalig ) is een handleiding voor administrators met informatie over het configureren en bedienen van een Windows-certificeringsinstantie.
-
Artikel 299875 in de Microsoft Knowledge Base (
https://go.microsoft.com/fwlink/?LinkId=86176 (de pagina is mogelijk Engelstalig) ) bevat stapsgewijze instructies voor de implementatie van SSL in IIS.
-
Automatisch inschrijven op certificaten in Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=17801 (de pagina is mogelijk Engelstalig) ) bevat instructies over het automatisch inschrijven van clientcomputers met Windows XP in Windows Server 2003 Enterprise-omgevingen die zijn geïntegreerd met Active Directory Domain Services.
-
Geavanceerde informatie over het inschrijven op certificaten en het beheer ervan (
https://go.microsoft.com/fwlink/?LinkId=83160 ) bevat informatie over het automatisch inschrijven van clientcomputers in andere omgevingen.