可以使用安全套接字层 (SSL) 协议帮助保护 Windows Server(R) Update Services (WSUS) 部署的安全。WSUS 使用 SSL 允许客户端计算机和下游 WSUS 服务器对 WSUS 服务器进行身份验证。WSUS 还使用 SSL 加密在客户端计算机和下游 WSUS 服务器之间传递的元数据。请注意,WSUS 仅对元数据而不对内容使用 SSL。这也是 Microsoft Update 分发更新的方法。
更新由两部分组成:
- 描述更新的元数据
- 用于在计算机上安装更新的文件
Microsoft 通过对每个更新进行签名来降低通过非加密通道发送更新文件的风险。此外,还将为每个更新计算哈希并随元数据一起发送。下载更新时,WSUS 将验证数字签名和哈希。如果更新已被更改,则不安装该更新。
有关在 WSUS 服务器和 WSUS 客户端上配置 SSL 的详细步骤,请参阅位于
WSUS SSL 部署的限制
计划实现 WSUS SSL 部署的管理员应考虑以下两个限制问题:
- 使用 SSL 保护 WSUS 部署安全将增加服务器的工作负荷。因为加密通过网络发送的所有元数据的额外耗费,所以应计划损失大约 10% 的性能。
- 如果使用的是远程 SQL,则不使用 SSL 保护 WSUS 服务器和运行数据库的服务器之间的连接安全。如果必须保护数据库连接的安全,则考虑以下建议:
- 将数据库置于 WSUS 服务器上(默认的 WSUS 配置)。
- 将运行 SQL 的远程服务器和 WSUS 服务器置于专用网络上。
- 在网络上部署 IP 安全性 (IPsec) 以保护网络通信的安全。有关如何在您的环境中部署 IPsec 的指南,请参阅“Windows Server 部署指南”
https://go.microsoft.com/fwlink/?LinkId=45154 (可能为英文网页)。
- 将数据库置于 WSUS 服务器上(默认的 WSUS 配置)。
其他参考
设置证书颁发机构 (CA)、将证书绑定到 WSUS 网站,然后引导客户端计算机信任 WSUS 网站上的证书,这些都是非常复杂的管理任务。本主题中未包括每项任务的循序渐进过程。但是,提供了有关该主题的若干文章。有关如何安装证书并设置环境的详细信息和说明,请参阅以下资源:
-
Windows Server 2003 PKI 操作指南 (
https://go.microsoft.com/fwlink/?LinkId=83159 )(可能为英文网页)为管理员提供了有关如何配置和操作 Windows 证书颁发机构的指南。
-
Microsoft 知识库文章 299875 (
https://go.microsoft.com/fwlink/?LinkId=86176 )(可能为英文网页)提供了在 IIS 中实现 SSL 的循序渐进说明。
-
Windows Server 2003 中的证书自动注册 (
https://go.microsoft.com/fwlink/?LinkId=17801 )(可能为英文网页)提供了有关如何在与 Active Directory 集成的 Windows Server 2003 Enterprise 环境中自动注册运行 Windows XP 的客户端计算机的说明。
-
高级证书注册和管理 (
https://go.microsoft.com/fwlink/?LinkId=83160 )(可能为英文网页)提供了有关如何在其他环境中自动注册客户端计算机的指南。