Kurz: Konfigurace bodu aktualizace softwaru pro použití protokolu TLS/SSL s certifikátem PKI

Platí pro: Configuration Manager (Current Branch)

Konfigurace Windows Server Update Services (WSUS) a odpovídajících bodů aktualizace softwaru (SUP) pro použití protokolu TLS/SSL může snížit schopnost potenciálního útočníka vzdáleně ohrozit klienta a zvýšit oprávnění. Abyste měli zajištěné nejlepší protokoly zabezpečení, doporučujeme k zabezpečení infrastruktury aktualizací softwaru použít protokol TLS/SSL. Tento článek vás provede kroky potřebnými ke konfiguraci všech serverů SLUŽBY WSUS a bodu aktualizace softwaru pro použití protokolu HTTPS. Další informace o zabezpečení služby WSUS najdete v článku Secure WSUS with the protokol SSL (Secure Sockets Layer) Protocol v dokumentaci k službě WSUS.

V tomto kurzu budete:

  • Získání certifikátu PKI v případě potřeby
  • Vytvoření vazby certifikátu s webem pro správu služby WSUS
  • Konfigurace webových služeb SLUŽBY WSUS tak, aby vyžadovala protokol SSL
  • Konfigurace aplikace WSUS pro použití protokolu SSL
  • Ověření, že připojení konzoly služby WSUS může používat protokol SSL
  • Konfigurace bodu aktualizace softwaru tak, aby vyžadoval komunikaci SSL se serverem WSUS
  • Ověření funkčnosti pomocí Správce konfigurace

Důležité informace a omezení

Služba WSUS používá protokol TLS/SSL k ověřování klientských počítačů a navazujících serverů SLUŽBY WSUS na server služby WSUS. Služba WSUS také k šifrování metadat aktualizací používá protokol TLS/SSL. Služba WSUS pro soubory obsahu aktualizace protokol TLS/SSL nepou3/4í. Soubory obsahu jsou podepsané a hodnota hash souboru je součástí metadat aktualizace. Před stažením a nainstalování souborů klientem je zaškrtnuté políčko Digitální podpis i hodnota hash. Pokud se kontrola nezdaří, aktualizace se neinstaluje.

Při zabezpečení nasazení služby WSUS pomocí protokolu TLS/SSL zvažte následující omezení:

  • Použití protokolu TLS/SSL zvyšuje zatížení serveru. Od šifrování všech metadat posílaných přes síť byste měli očekávat malou ztrátu výkonu.
  • Pokud používáte službu WSUS se vzdálenou databází SQL Server, není připojení mezi serverem SLUŽBY WSUS a databázovým serverem zabezpečeno protokolem TLS/SSL. Pokud musí být připojení databáze zabezpečené, zvažte následující doporučení:
    • Přesuňte databázi služby WSUS na server služby WSUS.
    • Přesuňte vzdálený databázový server a server SLUŽBY WSUS do privátní sítě.
    • Nasazení protokol IPSec (ISecsec) pro zabezpečení síťového provozu.

Při konfiguraci serverů SLUŽBY WSUS a jejich bodů aktualizace softwaru pro použití protokolu TLS/SSL je možné, že budete chtít postupně provádět změny pro velké Správce konfigurace hierarchie. Pokud se rozhodnete tyto změny postupně provádět, začněte v dolní části hierarchie a posuňte se směrem nahoru, která končí webem centrální správy.

Požadavky

Tento kurz popisuje nejběžnější způsob získání certifikátu pro použití s Internetová informační služba (IIS). Podle toho, jak vaše organizace používá, zajistěte, aby certifikát splňoval požadavky na certifikát PKI pro Správce konfigurace bodu aktualizace softwaru. Stejně jako u jakéhokoli certifikátu musí být certifikační autorita důvěryhodná pro zařízení komunikující se serverem WSUS.

  • Server SLUŽBY WSUS s nainstalovanou rolí bodu aktualizace softwaru
  • Před povolením protokolu TLS/SSL ověřte, že jste před povolením protokolu TLS/SSL postupoval podle doporučených postupů pro zakázání recyklace a konfiguraci limitů paměti pro službu WSUS.
  • Jedna ze dvou následujících možností:
    • Příslušný certifikát PKI už je v osobním úložiště certifikátů serveru WSUS.
    • Možnost požadovat a získat příslušný certifikát PKI pro server SLUŽBY WSUS od vaší Enterprise certifikační autority (CA).
      • Ve výchozím nastavení bude většina šablon certifikátů včetně šablony certifikátu WebServeru vydávat jenom správcům domény. Pokud přihlášený uživatel není správcem domény, bude muset být jeho uživatelskému účtu uděleno oprávnění Zaregistrovat se v šabloně certifikátu.

V případě potřeby získejte certifikát od certifikační autority.

Pokud už máte příslušný certifikát v osobním úložiště certifikátů serveru WSUS, přeskočte tuto část a začněte s částí Vytvořit vazbu certifikátu. Pokud chcete interní certifikační autoritě poslat žádost o certifikát a nainstalovat nový certifikát, postupujte podle pokynů v této části.

  1. Na serveru SLUŽBY WSUS otevřete příkazový řádek pro správu a spusťte certlm.msc . Aby bylo možné spravovat certifikáty pro místní počítač, musí být vaším uživatelským účtem místní správce.

    Zobrazí se nástroj Správce certifikátů pro místní zařízení.

  2. Rozbalte položku Osobní a potom klikněte pravým tlačítkem myši na položku Certifikáty.

  3. Vyberte Všechny úkoly a pak Požádat o nový certifikát.

  4. Zvolte Další a začněte s registrací certifikátů.

  5. Zvolte typ certifikátu, který chcete zaregistrovat. Účelem certifikátu je Ověřování serveru a šablona certifikátu Microsoftu, kterou chcete použít, je Webový server nebo vlastní šablona, která obsahuje ověřování serveru určené jako Rozšířené používání klíčů. Může se zobrazit výzva k zadání dalších informací k registraci certifikátu. Obvykle zadáte minimálně tyto informace:

    • Běžný název: Na kartě Předmět nastavte hodnotu na plně kvalifikovaný název domény serveru WSUS.
    • Popisný název: Na kartě Obecné nastavte hodnotu na popisný název, který vám později pomůže certifikát identifikovat.

    Okno Vlastností certifikátu, ve které můžete zadat další informace pro zápis

  6. Pokud chcete dokončit registraci, vyberte Zaregistrovat se a dokončit.

  7. Pokud chcete zobrazit podrobnosti o certifikátu, například miniaturu certifikátu, otevřete certifikát.

Tip

Pokud je server SLUŽBY WSUS internetový, budete potřebovat externí plně kvalifikovaný název domény v poli Předmět nebo Alternativní název předmětu (SAN) v certifikátu.

Vytvoření vazby certifikátu k webu pro správu služby WSUS

Až budete mít certifikát v osobním úložiště certifikátů serveru WSUS, vytvořte jeho vazbu s webem pro správu služby WSUS ve službě IIS.

  1. Na serveru SLUŽBY WSUS otevřete Správce Internetová informační služba (IIS).

  2. Přejděte na Weby > pro správu služby WSUS.

  3. V nabídce akcí nebo kliknutím pravým tlačítkem myši na web vyberte Vazby.

  4. V okně Vazby webu vyberte řádek pro https a pak vyberte Upravit....

    • Neodebírat vazbu webu HTTP. Služba WSUS používá pro soubory aktualizačního obsahu protokol HTTP.
  5. V části Možnost certifikátu SSL zvolte certifikát, který chcete svázat s webem pro správu služby WSUS. Popisný název certifikátu se zobrazí v rozevírací nabídce. Pokud popisný název nebyl zadán, zobrazí se pole IssuedTo certifikátu. Pokud si nejste jistí, který certifikát chcete použít, vyberte Zobrazit a ověřte, že miniatura odpovídá certifikátu, který jste získali.

    Okno Upravit vazbu webu s výběrem certifikátu SSL

  6. Až to budete mít, vyberte OK a potom Zavřít. Tím ukončíte vazby webu. V Internetová informační služba (IIS) otevřete Správce služby (IIS).

Konfigurace webových služeb SLUŽBY WSUS tak, aby vyžadovala protokol SSL

  1. Ve Správci služby IIS na serveru SLUŽBY WSUS přejděte na Weby pro správu > služby WSUS.

  2. Rozbalte web pro správu služby WSUS, abyste viděli seznam webových služeb a virtuálních adresářů pro službu WSUS.

  3. Pro každou z níže uvedených webových služeb SLUŽBY WSUS:

    • ApiRemoting30
    • ClientWebService
    • DSSAuthWebService
    • ServerSyncWebService
    • SimpleAuthWebService

    Proveďte následující změny:

    1. Vyberte SSL Nastavení.
    2. Povolte možnost Vyžadovat SSL.
    3. Ověřte, jestli je možnost Klientské certifikáty nastavená na Ignorovat.
    4. Vyberte Použít.

Nastavení SSL na webu pro správu služby WSUS nejvyšší úrovně nestavte, protože některé funkce, jako je obsah, potřebují používat protokol HTTP.

Konfigurace aplikace WSUS pro použití protokolu SSL

Jakmile jsou webové služby nastavené tak, aby vyžadovaly SSL, musí být aplikace SLUŽBY WSUS upozorněna, aby tuto změnu podporovala nějaká další konfigurace.

  1. Otevřete příkazový řádek správce na serveru SLUŽBY WSUS. Uživatelský účet s tímto příkazem musí být členem skupiny Správci služby WSUS nebo místní skupiny Administrators.

  2. Změňte adresář na složku nástroje pro službu WSUS:

    cd "c:\Program Files\Update Services\Tools"

  3. Nakonfigurujte službu WSUS tak, aby používejte ssl pomocí následujícího příkazu:

    WsusUtil.exe configuressl server.contoso.com

    Kde server.contoso.com je plně kvalifikovaný název domény serveru SLUŽBY WSUS.

  4. Funkce WsusUtil vrátí adresu URL serveru SLUŽBY WSUS s číslem portu zadaným na konci. Port bude buď 8531 (výchozí) nebo 443. Ověřte, že vrácená adresa URL je to, co jste očekávali. Pokud se něco přepletlo, můžete příkaz spustit znovu.

    Příkaz wsusutil configuressl vrací adresu URL protokolu HTTPS pro službu WSUS.

Tip

Pokud je server SLUŽBY WSUS internetový, zadejte při spuštění externí plně kvalifikovaný název domény WsusUtil.exe configuressl .

Ověření, že se konzole služby WSUS může připojit pomocí protokolu SSL

Konzola služby WSUS používá k připojení webovou službu ApiRemoting30. Bod Správce konfigurace aktualizace softwaru (SUP) také používá stejnou webovou službu k nasměrovaní služby WSUS k určitým akcím, jako jsou:

  • Zahájení synchronizace aktualizací softwaru
  • Nastavení správného nadřazeného serveru pro službu WSUS, který závisí na tom, kde se web SUP nachází ve vaší Správce konfigurace hierarchii
  • Přidání nebo odebrání produktů a klasifikací pro synchronizaci ze serveru WSUS nejvyšší úrovně hierarchie
  • Odebrání aktualizací s vypršenou platností

Otevřete konzolu služby WSUS a ověřte, že můžete použít připojení SSL k webové službě ApiRemoting30 serveru SLUŽBY WSUS. Některé další webové služby otestovat později.

  1. Otevřete konzolu služby WSUS a vyberte > Možnost Připojení na Server.

  2. Zadejte plně kvalifikovaný název domény serveru WSUS pro možnost Název serveru.

  3. Zvolte číslo portu vrácené v adrese URL z nástroje WSUSutil.

  4. Možnost Použít protokol SSL (Secure Sockets Layer) (SSL) pro připojení k tomuto serveru automaticky povolí, když je vybráno 8531 (výchozí) nebo 443.

    Připojení ke konzole služby WSUS přes port HTTPS

  5. Pokud je Správce konfigurace webový server vzdálený od bodu aktualizace softwaru, spusťte konzolu SLUŽBY WSUS ze serveru webu a ověřte, že se konzola služby WSUS může připojit přes protokol SSL.

    • Pokud se vzdálená konzola SLUŽBY WSUS nemůže připojit, pravděpodobně to znamená problém s důvěryhodností certifikátu, překladem názvů nebo blokovaným portem.

Konfigurace bodu aktualizace softwaru tak, aby vyžadoval komunikaci SSL se serverem WSUS

Jakmile je služba WSUS nastavená na používání protokolu TLS/SSL, budete muset aktualizovat odpovídající bod aktualizace Správce konfigurace softwaru tak, aby vyžadoval i ssl. Když tuto změnu změníte, Správce konfigurace:

  • Ověření, že může nakonfigurovat server SLUŽBY WSUS pro bod aktualizace softwaru
  • Přesměrujte klienty na použití portu SSL, když jim někdo řekne, že mají tento server SLUŽBY WSUS prohledat.

Pokud chcete nakonfigurovat bod aktualizace softwaru tak, aby vyžadoval komunikaci SSL se serverem WSUS, postupujte takto:

  1. Otevřete konzolu Správce konfigurace a připojte se k webu centrální správy nebo k serveru primárního webu pro bod aktualizace softwaru, který potřebujete upravit.

  2. Přejděte na Servery pro > > konfiguraci webu s > přehledem pro správu a Role systému webu .

  3. Vyberte server systému webu, na kterém je nainstalovaná služba WSUS, a pak vyberte roli systému lokality bodu aktualizace softwaru.

  4. Na pásu karet zvolte Vlastnosti.

  5. Povolte možnost Vyžadovat komunikaci SSL se serverem SLUŽBY WSUS.

    Vlastnosti SUP zobrazující možnost Vyžadovat komunikaci SSL se serverem WSUS

  6. V souboru WCM.log pro web se při použití změny zobrazí následující položky:

    SCF change notification triggered.
    Populating config from SCF
    Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
    ...
    Attempting connection to local WSUS server
    Successfully connected to local WSUS server
    ...
    Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
    

Příklady souborů protokolu byly upraveny tak, aby se odebírat nepožádné informace pro tento scénář.

Ověření funkčnosti pomocí Správce konfigurace

Ověření, že server webu může synchronizovat aktualizace

  1. Připojení Správce konfigurace na web nejvyšší úrovně.

  2. Přejděte na Software Library > Overview Software Updates All > Software Updates (Přehled softwarových knihoven) – aktualizace softwaru – všechny aktualizace > softwaru.

  3. Na pásu karet vyberte Synchronizovat aktualizace softwaru.

  4. Vyberte Ano u oznámení s dotazem, jestli chcete zahájit synchronizaci aktualizací softwaru pro celou web.

    • Vzhledem k tomu, že se konfigurace služby WSUS změnila, bude namísto rozdílové synchronizace docházet k úplné synchronizaci aktualizací softwaru.
  5. Otevřete wsyncmgr.log webu. Pokud sledujete podřízený web, budete muset počkat, až nadřazený web dokončí synchronizaci jako první. Zkontrolujte, jestli se server úspěšně synchronizuje, a zkontrolujte v protokolu položky podobné následujícímu:

    Starting Sync
    ...
    Full sync required due to changes in main WSUS server location.
    ...
    Found active SUP SERVER.CONTOSO.COM from SCF File.
    ...
    https://SERVER.CONTOSO.COM:8531
    ...
    Done synchronizing WSUS Server SERVER.CONTOSO.COM
    ...
    sync: Starting SMS database synchronization
    ...
    Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
    

Ověření, že klient může vyhledat aktualizace

Když změníte bod aktualizace softwaru tak, aby vyžadoval SSL, Správce konfigurace klienti obdrží aktualizovanou adresu URL služby WSUS, když zažádá o umístění bodu aktualizace softwaru. Testováním klienta můžeme:

  • Zjistěte, jestli klient důvěřuje certifikátu serveru WSUS.
  • Pokud jsou funkce SimpleAuthWebService a ClientWebService pro službu WSUS funkční.
  • Že virtuální adresář obsahu služby WSUS je funkční, pokud klient během kontroly dostal euLA
  1. Identifikujte klienta, který kontroluje bod aktualizace softwaru, který se nedávno změnil na použití protokolu TLS/SSL. Pokud potřebujete pomoct s identifikací klienta, použijte skripty Spustit s níže uvedená skriptem PowerShellu:

    $Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
    $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
    Write-Host "LastGoodSUP- $last"
    Write-Host "CurrentSUP- $current"
    

    Tip

    Otevřete tento skript v centru komunity. Další informace najdete v tématu Přímé odkazy na položky centra komunity.

  2. Spusťte cyklus kontroly aktualizací softwaru na testovacím klientovi. Prohledávání můžete vynutit pomocí následujícího skriptu PowerShellu:

    Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
    

    Tip

    Otevřete tento skript v centru komunity. Další informace najdete v tématu Přímé odkazy na položky centra komunity.

  3. Zkontrolujte scanagent.log klienta a ověřte, že zpráva, která se má zkontrolovat v bodě aktualizace softwaru, byla přijata.

    Message received: '<?xml version='1.0' ?>
    <UpdateSourceMessage MessageType='ScanByUpdateSource'>
       <ForceScan>TRUE</ForceScan>
       <UpdateSourceIDs>
             <ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
       </UpdateSourceIDs>
     </UpdateSourceMessage>'
    
  4. Zkontrolujte LocationServices.log a ověřte, že klient vidí správnou adresu URL služby WSUS. LocationServices.log

    WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
    ...
    <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
    ...
    </WSUSLocationReply>
    
  5. Zkontrolujte wuahandler.log a ověřte, že klient může úspěšně prohledat.

    Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
    ...
    Successfully completed scan.
    

Připnutí certifikátu TLS pro zařízení, která skenovat servery WSUS nakonfigurované protokolem HTTPS

(Zavedeno v 2103)

Počínaje Správce konfigurace 2103 můžete dále zvýšit zabezpečení kontroly HTTPS vůči službě WSUS vynuceným připnutím certifikátu. Pokud chcete toto chování plně povolit, přidejte certifikáty pro servery SLUŽBY WSUS do nového úložiště certifikátů v klientech a zajistěte, aby bylo připnutí certifikátu povolené prostřednictvím klienta WindowsServerUpdateServices Nastavení. Další informace o změnách agenta aktualizace Windows najdete v tématu Kontrola změn a certifikátů, které přidávají zabezpečení pro zařízení Windows pomocí služby WSUS pro aktualizace – Microsoft Tech Community.

Předpoklady pro vynucení připnutí certifikátu TLS pro klienta Windows Update

  • Správce konfigurace verze 2103
  • Ujistěte se, že jsou servery SLUŽBY WSUS a body aktualizace softwaru nakonfigurované na používání protokolu TLS/SSL.
  • Přidání certifikátů pro servery SLUŽBY WSUS do nového úložiště WindowsServerUpdateServices certifikátů v klientech
    • Při používání připnutí certifikátu s bránou pro správu cloudu (CMG) potřebuje úložiště WindowsServerUpdateServices certifikát CMG. Pokud klienti přechádí z internetu na VPN, jsou v obchodě potřeba certifikáty serveru CMG i WindowsServerUpdateServices WSUS.

Poznámka

Kontroly aktualizací softwaru pro zařízení se budou dál úspěšně spouštět s použitím výchozí hodnoty Ano pro vynucení připnutí certifikátu TLS pro klienta Windows Update pro zjišťování nastavení klienta aktualizací. Patří sem prohledávání protokolu HTTP i HTTPS. Připnutí certifikátu se nepro projeví, dokud nebude certifikát v klientském obchodě a server SLUŽBY WSUS je nakonfigurovaný na WindowsServerUpdateServices použití protokolu TLS/SSL.

Povolení nebo zakázání připnutí certifikátu TLS pro zařízení, která skenovat servery SLUŽBY WSUS konfigurované protokolem HTTPS

  1. V Správce konfigurace přejděte na Správa > klienta Nastavení.
  2. Zvolte výchozí nastavení Nastavení nebo vlastní sadu nastavení klienta a potom na pásu karet vyberte Vlastnosti.
  3. Vyberte kartu Aktualizace softwaru v nastavení klienta.
  4. Zvolte jednu z následujících možností pro vynucení připnutí certifikátu TLS pro Windows Aktualizovat klienta pro zjišťování aktualizací:
    • Ne: Nepomáhat vynucení připnutí certifikátu TLS pro skenování pomocí služby WSUS
    • Ano: Povolí vynucení připnutí certifikátu TLS pro zařízení během kontroly služby WSUS (výchozí)
  5. Ověřte, že klienti mohou vyhledat aktualizace.

Další kroky

Nasazení aktualizací softwaru