Windows Server® Update Services (WSUS) dağıtımınızın güvenliğini sağlamaya yardım etmek üzere Güvenli Yuva Katmanı (SSL) protokolünü kullanabilirsiniz. WSUS, istemci bilgisayarlarının ve akış aşağı WSUS sunucularının WSUS sunucusunun kimlik bilgilerini doğrulamasını sağlamak için SSL kullanır. WSUS ayrıca istemci bilgisayarlarıyla akış aşağı WSUS sunucuları arasında geçirilen meta verileri şifrelemek için de SSL kullanır. WSUS'nin SSL'yi içerik için değil, yalnızca meta veriler için kullandığına dikkat edin. Microsoft Update de güncelleştirmeleri bu şekilde dağıtır.
Güncelleştirmeler iki bölümden oluşur:
- Güncelleştirmeyi açıklayan meta veriler
- Bilgisayara güncelleştirmeyi yükleyecek dosyalar
Microsoft, her güncelleştirmeyi imzalayarak, şifrelenmemiş bir kanal üzerinden güncelleştirme dosyalarını göndermenin riskini azaltır. Ayrıca, her güncelleştirme için bir karma hesaplanır ve meta verilerle birlikte gönderilir. Bir güncelleştirme yüklendiğinde, WSUS dijital imzayı ve karmayı doğrular. Güncelleştirme değiştirilmişse yüklenmez.
WSUS Sunucusu'nda ve WSUS İstemcisi'nde SSL'yi yapılandırma konusunda ayrıntılı adımlar için, bkz. WSUS Dağıtım Kılavuzu
WSUS SSL dağıtımlarının sınırlamaları
WSUS SSL dağıtımı gerçekleştirmeyi planlayan yöneticiler, iki sınırlayıcı konuyu göz önünde bulundurmalıdır:
- WSUS dağıtımınızın güvenliğini SSL ile sağlamak, sunucunun iş yükünü artırır. Ağ üzerinden gönderilen tüm meta verilerin şifrelenmesinden doğan ek maliyet nedeniyle, yaklaşık yüzde 10 performans kaybı beklemelisiniz.
- Uzak SQL kullanıyorsanız, WSUS sunucusuyla veritabanını çalıştıran sunucu arasındaki bağlantının güvenliği SSL ile sağlanmaz. Veritabanı bağlantısının güvenliğini sağlamak gerekiyorsa, şu önerileri düşünün:
- Veritabanını WSUS sunucusuna yerleştirin (varsayılan WSUS yapılandırması).
- SQL çalıştıran uzak sunucuyu ve WSUS sunucusunu bir özel ağa yerleştirin.
- Ağ trafiğinin güvenliğini sağlamak için ağınızda IP güvenliğini (IPsec) dağıtın. Ortamınızda IPsec'in nasıl dağıtılacağı hakkında yönergeler için, bkz. Windows Server Dağıtım Kılavuzu
https://go.microsoft.com/fwlink/?LinkId=45154 (bu sayfa İngilizce içeriğe sahip olabilir) .
- Veritabanını WSUS sunucusuna yerleştirin (varsayılan WSUS yapılandırması).
Ek başvurular
Sertifika Yetkilisi (CA) kurmak, WSUS Web sitesine sertifika bağlamak ve ardından istemci bilgisayarlarının WSUS Web sitesindeki sertifikaya güvenmelerini sağlamak karmaşık yönetim görevleridir. Her görev için adım adım yönergeler bu konunun kapsamı dışındadır. Ancak, konu üzerine çeşitli makaleler bulunmaktadır. Sertifikaları nasıl yükleyeceğiniz ve ortamınızı nasıl kuracağınız hakkında daha fazla bilgi ve yönergeler için, şu kaynaklara bakın:
-
Windows Server 2003 PKI İşlemleri Kılavuzu (
https://go.microsoft.com/fwlink/?LinkId=83159 [bu sayfa İngilizce içeriğe sahip olabilir] ), yöneticilere Windows Sertifika Yetkilisi'nin nasıl yapılandırılacağı ve çalıştırılacağı hakkında bir kılavuz sağlar.
-
Microsoft Bilgi Bankası makalesi 299875 (
https://go.microsoft.com/fwlink/?LinkId=86176 [bu sayfa İngilizce içeriğe sahip olabilir] ), IIS'de SSL uygulamak için adım adım yönergeler sunar.
-
Windows Server 2003'teki Otomatik Sertifika Kaydı (
https://go.microsoft.com/fwlink/?LinkId=17801 [bu sayfa İngilizce içeriğe sahip olabilir] ), Active Directory ile tümleşik Windows Server 2003 Enterprise ortamlarında, Windows XP çalıştıran istemci bilgisayarlarının sertifika kaydının otomatik olarak nasıl yapılacağı hakkında yönergeler sunar.
-
Gelişmiş Sertifika Kaydı ve Yönetimi (
https://go.microsoft.com/fwlink/?LinkId=83160 [bu sayfa İngilizce içeriğe sahip olabilir] ), diğer ortamlarda istemci bilgisayarlarının sertifika kaydının otomatik olarak nasıl yapılacağı hakkında rehberlik sunar.