Używanie protokołu SSL (Secure Socket Layer) pozwala zabezpieczyć wdrażanie programu Windows Server® Update Services (WSUS). Program WSUS używa protokołu SSL, aby umożliwić komputerom klienckim i serwerom podrzędnym programu WSUS uwierzytelnianie serwera WSUS. Program WSUS używa protokołu SSL także do szyfrowania metadanych przekazywanych między komputerami klienckimi a serwerami podrzędnymi programu WSUS. Należy pamiętać, że program WSUS używa protokołu SSL tylko w odniesieniu do metadanych, a nie do zawartości. W ten sposób również usługa Microsoft Update rozpowszechnia aktualizacje.
Aktualizacje składają się z dwóch części. Są to:
- Metadane opisujące aktualizację
- Pliki instalujące aktualizację na komputerze
Przez podpisywanie każdej aktualizacji firma Microsoft zmniejsza ryzyko przesłania plików aktualizacji nieszyfrowanym kanałem. Dodatkowo w przypadku każdej aktualizacji jest obliczana wartość skrótu i jest ona wysyłana wraz z metadanymi. Po pobraniu aktualizacji program WSUS weryfikuje podpis cyfrowy oraz wartość skrótu. Jeśli aktualizacja została zmodyfikowana, nie zostanie zainstalowana.
Czynności prowadzące do skonfigurowania protokołu SSL na serwerze WSUS i kliencie WSUS opisano szczegółowo w Przewodniku dotyczącym wdrażania programu WSUS na stronie
Ograniczenia dotyczące wdrażania protokołu SSL do użytku z programem WSUS
Administratorzy planujący wdrożenie protokołu SSL do użytku z programem WSUS powinni rozważyć dwie kwestie, które mogą spowodować powstanie ograniczeń:
- Zabezpieczenie wdrożenia programu WSUS za pomocą protokołu SSL zwiększa obciążenie serwera. Należy się liczyć ze spadkiem wydajności rzędu 10% spowodowanym dodatkowymi kosztami szyfrowania wszystkich metadanych przesyłanych przez sieć.
- W przypadku korzystania ze zdalnego serwera SQL połączenie między serwerem WSUS a serwerem, na którym jest uruchomiona baza danych, nie jest zabezpieczone protokołem SSL. Jeśli istnieje konieczność zabezpieczenia połączenia z bazą danych, należy uwzględnić następujące zalecenia:
- Umieść bazę danych na serwerze WSUS (domyślna konfiguracja programu WSUS).
- Umieść serwer zdalny, na którym działa oprogramowanie SQL, oraz serwer WSUS w sieci prywatnej.
- Zabezpiecz ruch sieciowy, wdrażając w sieci protokół IP Security (IPsec). Wskazówki, jak wdrożyć protokół IPsec w danym środowisku, można znaleźć w Przewodniku wdrażania systemu Windows Server pod adresem
https://go.microsoft.com/fwlink/?LinkId=45154 (strona może zostać wyświetlona w języku angielskim) .
- Umieść bazę danych na serwerze WSUS (domyślna konfiguracja programu WSUS).
Dodatkowe informacje
Skonfigurowanie urzędu certyfikacji (CA), powiązanie certyfikatu z witryną programu WSUS w sieci Web, a następnie skonfigurowanie komputerów klienckich tak, aby ufały certyfikatowi używanemu przez witrynę programu WSUS w sieci Web, to złożone zadana administracyjne. Procedury krok po kroku opisujące sposób wykonania każdego zadania wykraczają poza zakres tego tematu. Dostępnych jest jednak kilka artykułów na ten temat. Więcej informacji oraz instrukcji związanych z instalowaniem certyfikatów i konfigurowaniem środowiska można uzyskać, korzystając z następujących zasobów:
-
Przewodnik operacyjny infrastruktury kluczy publicznych (PKI) w systemie Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=83159 - strona może zostać wyświetlona w języku angielskim ) zawiera wskazówki przeznaczone dla administratorów na temat sposobu konfigurowania i obsługi urzędu certyfikacji systemu Windows.
-
Artykuł numer 299875 w bazie wiedzy Microsoft Knowledge Base (
https://go.microsoft.com/fwlink/?LinkId=86176 - strona może zostać wyświetlona w języku angielskim ) przedstawia szczegółowe procedury implementacji protokołu SSL w usługach IIS.
-
Dokument Autorejestrowanie certyfikatów w systemie Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=17801 - strona może zostać wyświetlona w języku angielskim ) zawiera instrukcje umożliwiające automatyczne rejestrowanie komputerów klienckich z systemem Windows XP w środowiskach systemu Windows Server 2003 Enterprise zintegrowanych z usługą Active Directory.
-
Artykuł Zaawansowane rejestrowanie certyfikatów i zarządzanie nimi (
https://go.microsoft.com/fwlink/?LinkId=83160 - strona może zostać wyświetlona w języku angielskim ) zawiera instrukcje umożliwiające automatyczne rejestrowanie komputerów klienckich w innych środowiskach.