Можно настроить использование протокола SSL (Secure Sockets Layer) для защиты развертывания WSUS. Использование SSL позволяет клиентским компьютерам и подчиненным WSUS-серверам производить проверку подлинности сервера WSUS. Использование SSL также позволяет шифровать метаданные, передаваемые между клиентскими компьютерами и подчиненными WSUS-серверами. Следует иметь в виду, что шифрование SSL используется WSUS-сервером только для метаданных, а не для содержимого. Таким же образом осуществляется распределение обновлений с центра обновления Майкрософт.
Обновления состоят из двух частей:
- метаданных, в которых описано обновление;
- файлов для установки обновления на компьютер.
Для снижения риска, связанного с отправкой файлов обновлений по незашифрованному каналу, корпорация Майкрософт добавляет подпись для каждого обновления. Кроме того, вычисляется хэш-код и отправляется вместе с метаданными для каждого обновления. При загрузке обновления WSUS проверяет цифровую подпись и хэш-код. Если обновление было изменено, то оно не устанавливается.
Ограничения SSL-развертываний WSUS
Администраторы, планирующие выполнение SSL-развертываний WSUS, должны обратить внимание на следующие две проблемы.
- Защита развертывания WSUS с использованием шифрования SSL
увеличивает нагрузку на сервер. Необходимо учитывать потерю
производительности примерно на 10 процентов, связанную с
шифрованием всех метаданных, передаваемых по сети.
- Если используется удаленный SQL-сервер, то соединение между
WSUS-сервером и сервером, на котором хранится база данных, не
защищается с помощью шифрования SSL. Если требуется защитить
подключение к базе данных, необходимо учитывать следующие
рекомендации:
- Перенесите базу данных на WSUS-сервер (конфигурация WSUS по
умолчанию).
- Поместите удаленный сервер, на котором запущен SQL-сервер, и
WSUS-сервер в частную сеть.
- Установите в сети защиту IPsec (Internet Protocol security) для
защиты сетевого трафика. Для получения указаний по развертыванию
защиты IPsec в вашей среде см. раздел «Обзор IPsec» в руководстве
по развертыванию сервера Windows Server (http://go.microsoft.com/fwlink/?LinkId=45154).
- Перенесите базу данных на WSUS-сервер (конфигурация WSUS по
умолчанию).
Настройка SSL на WSUS-сервере
Самое важное, что необходимо помнить при настройке использования SSL на WSUS-сервере, это то, что в этой конфигурации для сервера WSUS требуется два порта: один порт для шифрованных метаданных, использующих протокол HTTPS и один порт для данных, передаваемых по протоколу HTTP. При настройке использования SSL службами IIS необходимо учитывать следующие моменты.
- Невозможно настроить обязательное использование SSL на всем
веб-узле WSUS. Это означало бы, что весь трафик веб-узла WSUS будет
зашифрован, однако WSUS шифрует только метаданные обновления. Если
клиентский компьютер или другой WSUS-сервер попытается получить от
WSUS файлы обновления через порт HTTPS, передача будет
невозможной.
Чтобы обеспечить максимально возможную защищенность веб-узла WSUS, рекомендуется настроить обязательное использование SSL только для следующих виртуальных корней:
- SimpleAuthWebService
- DSSAuthWebService
- ServerSyncWebService
- APIRemoting30
- ClientWebService
- Содержимое
- Данные
- ReportingWebService
- SelfUpdate
- SimpleAuthWebService
- Необходимо настроить имя сервера сертификатов. Для этого
выполните следующую команду на WSUS-сервере:
wsusutil configuressl certificateName,
где certificateName соответствует имени DNS WSUS-сервера. Например, если клиентские компьютеры будут подключаться к серверу https://myWSUSServer, то вместо certificateName необходимо указать myWSUSServer. Если клиентские компьютеры подключаются к узлу https://myWSUSServer.myDomain.com, то вместо certificateName следует указать myWSUSServer.myDomain.com.
- Сертификат из центра сертификатов необходимо импортировать либо
в хранилище «Доверенные корневые центры сертификации» локального
компьютера, либо в хранилище «Доверенные корневые центры
сертификации» WSUS на подчиненных WSUS-серверах. Если сертификат
импортирован только в хранилище «Доверенные корневые центры
сертификации» локального пользователя, то проверка подчиненного
WSUS-сервера не будет выполняться на вышестоящем сервере. Для
получения дополнительных сведений о сертификатах SSL см. статью
299875 в базе знаний Майкрософт (http://go.microsoft.com/fwlink/?LinkId=86176).
- Сертификат необходимо импортировать на все компьютеры,
обменивающиеся данными с сервером, включая все клиентские
компьютеры, подчиненные серверы, а также компьютеры, на которых
удаленно запущена консоль администрирования WSUS. Сертификат также
необходимо импортировать в хранилище «Доверенные корневые центры
сертификации» локального компьютера или в хранилище «Доверенные
корневые центры сертификации» WSUS.
- При настройке использования SSL службами IIS можно указать
любой порт. Однако порт, который указан при настройке SSL,
определяет порт, который WSUS используется для открытого трафика
HTTP. Рассмотрим следующие примеры.
- Если используется стандартный порт 443 для трафика HTTPS, WSUS
использует порт 80 для открытого трафика HTTP, который обычно
используется для трафика HTTP.
- Если используется любой другой порт для трафика HTTPS, WSUS
предполагает, что открытый трафик HTTP должен передаваться через
порт с предыдущим номером по отношению к порту для трафика HTTPS.
Например, если используется порт 8531 для трафика HTTPS, WSUS
используется порт 8530 для трафика HTTP.
- Если используется стандартный порт 443 для трафика HTTPS, WSUS
использует порт 80 для открытого трафика HTTP, который обычно
используется для трафика HTTP.
Настройка SSL на клиентских компьютерах
При настройке клиентских компьютеров необходимо обратить внимание на следующие три важных предупреждения.
- Необходимо включить URL-адрес для защищенного порта,
прослушиваемого сервером WSUS. Поскольку нельзя требовать
использования SSL на сервере, единственный способ обеспечить
использование клиентскими компьютерами защищенного канала
заключается в использовании URL-адреса с указанием протокола HTTPS.
Если для SSL используется порт, отличный от 443, необходимо также
включить этот порт в URL-адрес.
Например,https://<ssl-servername>
указывает, что WSUS-сервер использует порт 443 для трафика HTTPS, аhttps://<ssl-servername>:3051
указывает WSUS-сервер, который использует для SSL нестандартный порт 3051.
Для получения дополнительных сведений о том, как указать адрес WSUS-сервера на клиентских компьютерах, см. раздел «Настройка расположения службы Windows Update в интрасети» в главе «Настройка клиентов с помощью групповой политики» руководства по развертыванию WSUS (http://go.microsoft.com/fwlink/?LinkId=102460).
- Сертификат на клиентских компьютерах необходимо импортировать
либо в хранилище «Доверенные корневые центры сертификации»
локального компьютера, либо в хранилище «Доверенные корневые центры
сертификации» службы автоматического обновления. Если сертификат
импортирован только в хранилище «Доверенные корневые центры
сертификации» локального пользователя, проверка подлинности сервера
службой автоматического обновления выполнена не будет.
- Клиентские компьютеры должны доверять сертификату для привязки
к WSUS-серверу в службах IIS. В зависимости от типа используемого
сертификата, возможно, придется разрешить клиентам доверять
сертификатам, привязанным к WSUS-серверу. Для получения
дополнительных сведений см. раздел «Дополнительные ссылки»
далее.
Настройка SSL для подчиненных WSUS-серверов
Можно настроить синхронизацию подчиненного сервера с вышестоящим сервером, использующим SSL.
Чтобы настроить синхронизацию подчиненного сервера с вышестоящим сервером, использующим SSL, выполните следующие действия. |
-
В оснастке «Администрирование WSUS» выберите Параметры, а затем выберите Обновление источника и прокси-сервера.
-
В поле Источник обновления установите флажок Синхронизовать с сервером Windows Server Update Services, введите имя вышестоящего сервера и номер порта, используемого для соединений SSL, а затем установите флажок Использовать SSL при синхронизации данных об обновлениях.
-
Нажмите кнопку ОК, чтобы сохранить параметры.
Дополнительные ссылки
- Настройка центра сертификатов, привязка сертификата к веб-узлу
WSUS и последующая самонастройка клиентских компьютеров для
установки доверия сертификату на веб-узле WSUS являются сложными
задачами администрирования. Пошаговые инструкции по выполнению
каждой задачи выходят за рамки настоящего руководства.
Однако имеются несколько статей по этому вопросу. Для получения дополнительных сведений и указаний по установке сертификатов и настройке среды см. следующие ресурсы:
- Руководство по сопровождению инфраструктуры открытого ключа
Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=83159) содержит
указания для администраторов по настройке и использованию центра
сертификации Windows.
- В статье 299875 базы знаний Майкрософт (http://go.microsoft.com/fwlink/?LinkId=86176)
приведены пошаговые инструкции по развертыванию SSL в службах
IIS.
- В руководстве по автоматическому развертыванию сертификатов в
Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17801)
содержатся указания по автоматическому развертыванию клиентских
компьютеров с системой Windows XP в корпоративных средах Windows
Server 2003, интегрированных с Active Directory.
- В руководстве по расширенному управлению и заявкам на
сертификат (http://go.microsoft.com/fwlink/?LinkId=83160)
содержатся указания по автоматическому развертыванию клиентских
компьютеров в других средах.
- Руководство по сопровождению инфраструктуры открытого ключа
Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=83159) содержит
указания для администраторов по настройке и использованию центра
сертификации Windows.
- Windows
Server Update Services