É possível utilizar o protocolo SSL (Secure Sockets Layer) para ajudar a tornar a implementação do Windows Server® Update Services (WSUS) segura. O WSUS utiliza SSL para permitir que os computadores cliente e os servidores WSUS a jusante autentiquem o servidor WSUS. O WSUS também utiliza SSL para encriptar os metadados passados entre computadores cliente e servidores WSUS a jusante. Tenha consciência de que WSUS utiliza SSL apenas para metadados, não para conteúdo. Esta é também a forma como o Microsoft Update distribui actualizações.
As actualizações são compostas por duas partes:
- Os metadados que descrevem a actualização
- Os ficheiros para instalar a actualização num computador
A Microsoft reduz o risco de enviar ficheiros de actualização por um canal não encriptado assinando cada actualização. Adicionalmente, um é calculado e enviado com os metadados para cada actualização. Quando uma actualização é transferida, o WSUS verifica a assinatura digital e o hash. Se a actualização tiver sido alterada, não é instalada.
Para obter passos detalhados para configurar SSL no Servidor WSUS e no Cliente WSUS, consulte o Manual de Implementação do WSUS em
Limitações das implementação de SSL do WSUS
Os administradores que planeiem implementar implementações de SSL de WSUS devem considerar dois problemas limitadores:
- Proteger a implementação do WSUS com SSL aumenta a carga de trabalho do servidor. Deve planear para uma perda de 10 porcento de desempenho causado pelo custo adicional de encriptar todos os metadados enviados pela rede.
- Se estiver a utilizar SQL remoto, a ligação entre o servidor WSUS e o servidor que executa a base de dados não é protegida com SSL. Se a ligação da base de dados tiver de ser protegida, considere as seguintes recomendações:
- Coloque a base de dados no servidor WSUS (a configuração WSUS predefinida).
- Coloque o servidor remoto, que executa o SQL, e o servidor WSUS numa rede privada.
- Implemente segurança IP (IPsec) na rede para proteger o tráfego da rede. Para obter orientações sobre como implementar IPsec no seu ambiente, consulte o Manual de Implementação do Windows Server
https://go.microsoft.com/fwlink/?LinkId=45154 (pode estar em inglês) .
- Coloque a base de dados no servidor WSUS (a configuração WSUS predefinida).
Referências adicionais
Configurar uma Autoridade de Certificação (AC), vincular um certificado ao Web site do WSUS e efectuando o arranque do sistema de computadores cliente para confiarem no certificado no Web site do WSUS são tarefas administrativas complexas. Os procedimentos passo-a-passo para cada tarefa estão além do âmbito deste tópico. Contudo, estão disponíveis diversos artigos sobre o assunto. Para obter mais informações e instruções sobre como instalar certificados e configurar o ambiente, consulte os seguintes recursos:
-
O Guia de Operações de PKI do Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=83159 (pode estar em inglês) ) fornece um guia para administrações sobre como configurar e operar uma Autoridade de Certificação do Windows.
-
O artigo 299875 da base de dados de conhecimento da Microsoft (
https://go.microsoft.com/fwlink/?LinkId=86176 (pode estar em inglês) ) oferece instruções passo-a-passo para implementar SSL em IIS.
-
A Inscrição Automática de Certificado no Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=17801 (pode estar em inglês) ) oferece instruções sobre como inscrever automaticamente computadores cliente com o Windows XP em ambientes do Windows Server 2003 Enterprise integrados com o Active Directory.
-
A Gestão e Inscrição de Certificados Avançada (
https://go.microsoft.com/fwlink/?LinkId=83160 (pode estar em inglês) ) oferece orientação sobre como inscrever automaticamente computadores cliente em outros ambientes.