Для повышения безопасности развертывания служб Windows Server® Update Services (WSUS) можно использовать протокол SSL. Службы WSUS используют протокол SSL, чтобы позволить клиентским компьютерам и нижестоящим серверам WSUS выполнить проверку подлинности сервера WSUS. Службы WSUS также используют протокол SSL для шифрования метаданных, передаваемых между клиентскими компьютерами и нижестоящими серверами WSUS. Будьте внимательны, службы WSUS используют протокол SSL только для метаданных, но не для содержимого. Этот способ используется для распространения обновлений и Центром обновления Майкрософт.
Обновления состоят из двух частей:
- метаданные, описывающие обновление;
- файлы, устанавливаемые на компьютер.
Корпорация Майкрософт уменьшает опасность передачи файлов обновлений по нешифрованным каналам, подписывая каждое обновление. Кроме того, для каждого обновления вычисляется хэш-значение, отправляемое вместе с метаданными. После загрузки обновления служба WSUS проверяет цифровую подпись и хэш-значение. Если обновление было изменено, оно не устанавливается.
Подробные действия по настройке SSL на сервере WSUS и на клиенте WSUS см. в руководстве по развертыванию WSUS на странице
Ограничения SSL-развертываний WSUS
При планировании SSL-развертываний WSUS администраторам следует учитывать два ограничения:
- Защита развертывания WSUS с помощью SSL повышает нагрузку на сервер. Следует планировать примерную потерю 10 процентов быстродействия из-за дополнительных действий по шифрованию всех метаданных, передаваемых по сети.
- При использовании удаленного сервера SQL Server соединение между сервером WSUS и сервером базы данных не защищается с помощью протокола SSL. Если необходимо защищенное подключение к базе данных, можно воспользоваться следующими рекомендациями:
- Поместите базу данных на сервер WSUS (конфигурация WSUS по умолчанию).
- Поместите удаленный сервер, на котором работает SQL Server, и сервер WSUS в частную сеть.
- Разверните в своей сети решения IPsec, чтобы защитить трафик по сети. Инструкции по развертыванию IPsec в используемой среде см. в руководстве по серверу развертывания Windows (
https://go.microsoft.com/fwlink/?LinkId=45154 ).
- Поместите базу данных на сервер WSUS (конфигурация WSUS по умолчанию).
Дополнительные источники информации
Установка Центра сертификатов (ЦС), привязка сертификата к веб-сайту WSUS и последующая начальная загрузка клиентских компьютеров для подтверждения сертификата на веб-сайте WSUS являются сложными задачами администрирования. Пошаговые процедуры для выполнения каждой из этих задач в данном разделе не описываются. Но доступен ряд статей по соответствующим темам. Дополнительные сведения и инструкции об установке сертификатов и настройке используемой среды см. в следующих ресурсах:
-
Руководство по эксплуатации Windows Server 2003 PKI (
https://go.microsoft.com/fwlink/?LinkId=83159 ) содержит руководство для администраторов по настройке и эксплуатации Центра сертификации Windows.
-
Статья 299875 базы знаний Майкрософт (
https://go.microsoft.com/fwlink/?LinkId=86176 ) предоставляет пошаговые инструкции по реализации протокола SSL в IIS.
-
Технический справочник по автоматической регистрации сертификатов в Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkId=17801 ) содержит инструкции по автоматическому развертыванию клиентских компьютеров с операционными системами Windows XP в корпоративных средах Windows Server 2003, интегрированных со службами Active Directory.
-
Статья «Дополнительные возможности при регистрации сертификатов и управлении ими» (
https://go.microsoft.com/fwlink/?LinkId=83160 ) предоставляет инструкции по автоматическому запрашиванию сертификатов клиентских компьютеров в других средах.