Du kan skydda WSUS-distributionen (Windows Server® Update Services) genom att använda SSL-protokollet (Secure Sockets Layer). SSL används i WSUS så att klientdatorer och underordnade WSUS-servrar kan autentisera WSUS-servern. SSL används också i WSUS för att kryptera metadata som skickas mellan klientdatorer och underordnade WSUS-servrar. Observera att WSUS endast använder SSL för metadata, inte för innehåll. Notera också att Microsoft Update-uppdateringar distribueras på samma sätt.
Uppdateringar består av två delar:
- Metadata som beskriver uppdateringen
- Filerna som installerar uppdateringen på en dator
Microsoft minskar risken vid överföringar av uppdateringsfiler via icke-krypterade kanaler genom att signera alla uppdateringar. Dessutom beräknas en hash-kontrollsumma som skickas med varje uppdaterings metadata. När en uppdatering har hämtats verifieras den digitala signaturen och hashen i WSUS. Om uppdateringen har modifierats installeras den inte.
Detaljerade anvisningar om hur du konfigurerar SSL på WSUS-servern och på WSUS-klienten finns i WSUS Deployment Guide på
Begränsningar i WSUS-distributioner med SSL
Administratörer som planerar att använda SSL vid implementeringen av WSUS-distributioner bör ha följande två begränsningar i åtanke:
- Serverns arbetsbelastning ökar om du skyddar WSUS-distributionen med SSL. Räkna med en prestandasänkning på runt 10 % på grund av krypteringen av alla metadata som skickas över nätverket.
- Om du använder en fjärr-SQL-server skyddas inte anslutningen mellan WSUS-servern och servern som kör databasen med SSL. Om databasanslutningen måste skyddas bör du överväga att göra följande:
- Placera databasen på WSUS-servern (WSUS-standardkonfigurationen).
- Placera fjärrservern som kör SQL och WSUS-servern i ett privat nätverk.
- Skydda nätverkstrafiken genom att distribuera IPsec i nätverket. Anvisningar om hur du distribuerar IPsec i miljön finns i Windows Server Deployment Guide på
https://go.microsoft.com/fwlink/?LinkId=45154 (sidan kan vara på engelska) .
- Placera databasen på WSUS-servern (WSUS-standardkonfigurationen).
Ytterligare referenser
Att konfigurera en certifikatutfärdare, koppla ett certifikat till WSUS-webbplatsen och sedan starta och konfigurera klientdatorerna så att certifikatet på WSUS-webbplatsen betraktas som tillförlitligt är komplexa administrativa åtgärder. Det här avsnittet innehåller inte stegvisa anvisningar för dessa åtgärder. Det finns emellertid många artiklar som behandlar dessa åtgärder. Mer information och anvisningar om hur du installerar certifikat och hur du konfigurerar miljön finns i följande resurser:
-
Windows Server 2003 PKI-handboken på
https://go.microsoft.com/fwlink/?LinkId=83159 (sidan kan vara på engelska) är en guide för administratörer med information om hur du konfigurerar och hanterar en Windows-certifikatutfärdare.
-
Microsoft Knowledge Base-artikeln 299875 på
https://go.microsoft.com/fwlink/?LinkId=86176 (sidan kan vara på engelska) innehåller stegvisa anvisningar för hur du implementerar SSL i IIS.
-
Automatisk certifikatregistrering i Windows Server 2003 på
https://go.microsoft.com/fwlink/?LinkId=17801 (sidan kan vara på engelska) innehåller anvisningar om hur du registrerar klientdatorer med Windows XP automatiskt i Windows Server 2003 Enterprise-miljöer som är integrerade med Active Directory.
-
Avancerad certifikatregistrering och -hantering på
https://go.microsoft.com/fwlink/?LinkId=83160 (sidan kan vara på engelska) innehåller anvisningar om hur du registrerar klientdatorer automatiskt i andra miljöer.