Kurz: Konfigurace bodu aktualizace softwaru pro použití protokolu TLS/SSL s certifikátem PKI

Platí pro: Configuration Manager (Current Branch)

Konfigurace serverů Windows Server Update Services (WSUS) a jejich odpovídajících bodů aktualizace softwaru (SUP) pro použití protokolu TLS/SSL může snížit schopnost potenciálního útočníka vzdáleně ohrozit klienta a zvýšit oprávnění. Pokud chcete zajistit, aby byly zavedeny nejlepší protokoly zabezpečení, důrazně doporučujeme použít protokol TLS/SSL k zabezpečení infrastruktury aktualizací softwaru. Tento článek vás provede kroky potřebnými ke konfiguraci jednotlivých serverů WSUS a bodu aktualizace softwaru na používání protokolu HTTPS. Další informace o zabezpečení služby WSUS najdete v článku Zabezpečení služby WSUS pomocí protokolu Secure Sockets Layer Protocol v dokumentaci ke službě WSUS.

V tomto kurzu provedete následující:

• V případě potřeby získejte certifikát PKI.
• Vytvoření vazby certifikátu k webu pro správu služby WSUS
• Konfigurace webových služeb WSUS tak, aby vyžadovaly SSL
• Konfigurace aplikace WSUS tak, aby používala SSL
• Ověřte, že připojení ke konzole WSUS může používat PROTOKOL SSL.
• Konfigurace bodu aktualizace softwaru tak, aby vyžadoval komunikaci SSL se serverem WSUS
• Ověření funkčnosti pomocí Configuration Manager

Důležité informace a omezení

Služba WSUS používá protokol TLS/SSL k ověřování klientských počítačů a podřízených serverů WSUS na nadřazeném serveru WSUS. Služba WSUS také používá protokol TLS/SSL k šifrování metadat aktualizací. Služba WSUS nepoužívá pro soubory obsahu aktualizace protokol TLS/SSL. Soubory obsahu jsou podepsané a hodnota hash souboru je zahrnuta v metadatech aktualizace. Před stažením a instalací souborů klientem se zkontroluje digitální podpis i hodnota hash. Pokud se některé z kontrol nezdaří, aktualizace se nenainstaluje.

Pokud k zabezpečení nasazení služby WSUS používáte protokol TLS/SSL, zvažte následující omezení:

• Použití protokolu TLS/SSL zvyšuje zatížení serveru. Při šifrování všech metadat odesílaných přes síť byste měli očekávat malou ztrátu výkonu.
• Pokud používáte službu WSUS se vzdálenou databází SQL Server, připojení mezi serverem WSUS a databázovým serverem není zabezpečené protokolem TLS/SSL. Pokud připojení k databázi musí být zabezpečené, zvažte následující doporučení:
  • Přesuňte databázi WSUS na server WSUS.
  • Přesuňte vzdálený databázový server a server WSUS do privátní sítě.
  • Nasaďte protokol IPsec (Internet Protocol security), který vám pomůže zabezpečit síťový provoz.

Pokud konfigurujete servery WSUS a jejich body aktualizace softwaru tak, aby používaly protokol TLS/SSL, můžete chtít provést postupné změny pro velké hierarchie Configuration Manager. Pokud se rozhodnete tyto změny zavést do fáze, začněte v dolní části hierarchie a přejděte směrem nahoru a konče lokalitou centrální správy.

Požadavky

Tento kurz se zabývá nejběžnější metodou získání certifikátu pro použití s Internetovou informační službou (IIS). Bez ohledu na to, kterou metodu vaše organizace používá, se ujistěte, že certifikát splňuje požadavky na certifikát PKI pro Configuration Manager bod aktualizace softwaru. Stejně jako u jakéhokoli jiného certifikátu musí být certifikační autorita důvěryhodná pro zařízení komunikující se serverem WSUS.

• Server WSUS s nainstalovanou rolí bodu aktualizace softwaru
• Před povolením protokolu TLS/SSL ověřte, že jste postupovali podle osvědčených postupů pro zakázání recyklace a konfigurace limitů paměti pro službu WSUS.
• Jedna z následujících dvou možností:
  • Odpovídající certifikát PKI již v osobním úložišti certifikátů serveru WSUS.
  • Možnost vyžádat a získat odpovídající certifikát PKI pro server WSUS od kořenové certifikační autority organizace
    • Ve výchozím nastavení bude většina šablon certifikátů, včetně šablony certifikátu WebServer, vydávat pouze správcům domény. Pokud přihlášený uživatel není správcem domény, bude nutné jeho uživatelskému účtu udělit oprávnění k zápisu v šabloně certifikátu.

V případě potřeby získejte certifikát od certifikační autority.

Pokud už máte odpovídající certifikát v úložišti osobních certifikátů serveru WSUS, přeskočte tuto část a začněte částí Svázání certifikátu . Pokud chcete odeslat žádost o certifikát interní certifikační autoritě za účelem instalace nového certifikátu, postupujte podle pokynů v této části.

1. Ze serveru WSUS otevřete příkazový řádek pro správu a spusťte příkaz certlm.msc. Aby bylo možné spravovat certifikáty pro místní počítač, musí být váš uživatelský účet místním správcem.

   Zobrazí se nástroj Správce certifikátů pro místní zařízení.

2. Rozbalte položku Osobní a potom klikněte pravým tlačítkem na Certifikáty.

3. Vyberte Všechny úkoly a pak Požádat o nový certifikát.

4. Zvolte Další a zahajte zápis certifikátu.

5. Zvolte typ certifikátu, který chcete zaregistrovat. Účelem certifikátu je Ověřování serveru a šablona certifikátu Microsoftu, která se má použít, je Webový server nebo vlastní šablona, která má ověřování serveru zadané jako Rozšířené použití klíče. Může se zobrazit výzva k zadání dalších informací k registraci certifikátu. Obvykle zadáte minimálně následující informace:

   • Běžný název: Na kartě Předmět nastavte hodnotu na plně kvalifikovaný název domény serveru WSUS.
   • Popisný název: Na kartě Obecné nastavte hodnotu na popisný název, který vám pomůže certifikát později identifikovat.

   

6. Dokončete registraci výběrem možnosti Zaregistrovat a dokončit .

7. Pokud chcete zobrazit podrobnosti, jako je kryptografický otisk certifikátu, otevřete certifikát.

Tip

Pokud je váš server WSUS připojený k internetu, budete potřebovat externí plně kvalifikovaný název domény v poli Subjekt nebo alternativní název subjektu (SAN) v certifikátu.

Vytvoření vazby certifikátu k lokalitě pro správu služby WSUS

Jakmile budete mít certifikát v osobním úložišti certifikátů serveru WSUS, vytvořte vazbu k webu pro správu služby WSUS ve službě IIS.

1. Na serveru WSUS otevřete Správce Internetové informační služby (IIS).

2. Přejděte dočásti Správa služby WSUSpro weby>.

3. V nabídce akcí nebo kliknutím pravým tlačítkem na web vyberte Vazby .

4. V okně Vazby webu vyberte řádek pro https a pak vyberte Upravit....

   • Neodebíjejte vazbu webu HTTP. Služba WSUS používá pro soubory obsahu aktualizace protokol HTTP.

5. V části Certifikát SSL zvolte certifikát, který se má svázat s webem pro správu služby WSUS. Popisný název certifikátu se zobrazí v rozevírací nabídce. Pokud není zadaný popisný název, zobrazí se IssuedTo pole certifikátu. Pokud si nejste jistí, který certifikát použít, vyberte Zobrazit a ověřte, že kryptografický otisk odpovídá tomu, který jste získali.

   

6. Až budete hotovi, vyberte OK a pak Zavřete vazby webu. Nechte správce Internetové informační služby (IIS) otevřený pro další kroky.

Konfigurace webových služeb WSUS tak, aby vyžadovaly SSL

1. Ve Správci služby IIS na serveru WSUS přejděte do částiSpráva služby WSUSpro weby>.

2. Rozbalte web pro správu služby WSUS, abyste viděli seznam webových služeb a virtuálních adresářů pro službu WSUS.

3. Pro každou z následujících webových služeb WSUS:

   • ApiRemoting30
   • ClientWebService
   • DSSAuthWebService
   • ServerSyncWebService
   • SimpleAuthWebService

   Proveďte následující změny:

   1. Vyberte Nastavení SSL.
   2. Povolte možnost Vyžadovat SSL .
   3. Ověřte, že možnost Klientské certifikáty je nastavená na Ignorovat.
   4. Vyberte Použít.

Nenastavujte nastavení SSL na webu pro správu služby WSUS nejvyšší úrovně, protože některé funkce, například obsah, musí používat protokol HTTP.

Konfigurace aplikace WSUS tak, aby používala SSL

Jakmile jsou webové služby nastavené tak, aby vyžadovaly PROTOKOL SSL, musí být aplikace WSUS upozorněna, aby mohl provést další konfiguraci pro podporu této změny.

1. Na serveru WSUS otevřete příkazový řádek správce. Uživatelský účet, který spouští tento příkaz, musí být členem skupiny WSUS Administrators nebo místní skupiny Administrators.

2. Změňte adresář na složku nástrojů pro WSUS:

   cd "c:\Program Files\Update Services\Tools"

3. Pomocí následujícího příkazu nakonfigurujte službu WSUS tak, aby používala PROTOKOL SSL:

   WsusUtil.exe configuressl server.contoso.com

   Kde server.contoso.com je plně kvalifikovaný název domény serveru WSUS.

4. WsusUtil vrátí adresu URL serveru WSUS s číslem portu zadaným na konci. Port bude 8531 (výchozí) nebo 443. Ověřte, že vrácená adresa URL odpovídá očekávání. Pokud se něco zadalo chybně, můžete příkaz spustit znovu.

   

Tip

Pokud je server WSUS připojený k internetu, zadejte externí plně kvalifikovaný název domény při spuštění příkazu WsusUtil.exe configuressl.

Ověřte, že se konzola WSUS může připojit pomocí protokolu SSL.

Konzola WSUS používá pro připojení webovou službu ApiRemoting30. Configuration Manager bod aktualizace softwaru (SUP) používá stejnou webovou službu také k tomu, aby službě WSUS nasměruje, aby podnikla určité akce, například:

• Zahájení synchronizace aktualizací softwaru
• Nastavení správného nadřazeného serveru pro službu WSUS, který závisí na umístění lokality SUP v hierarchii Configuration Manager
• Přidání nebo odebrání produktů a klasifikací pro synchronizaci ze serveru WSUS nejvyšší úrovně hierarchie
• Odebrání aktualizací s vypršenou platností

Otevřete konzolu WSUS a ověřte, že můžete použít připojení SSL k webové službě ApiRemoting30 serveru WSUS. Některé další webové služby otestujeme později.

1. Otevřete konzolu WSUS a vyberte Akce>Připojit k serveru.

2. Jako možnost Název serveru zadejte plně kvalifikovaný název domény serveru WSUS.

3. Zvolte číslo portu vrácené v adrese URL z WSUSutil.

4. Možnost Použít protokol SSL (Secure Sockets Layer) pro připojení k tomuto serveru se automaticky povolí, když zvolíte 8531 (výchozí) nebo 443.

   

5. Pokud je server lokality Configuration Manager vzdálený od bodu aktualizace softwaru, spusťte konzolu WSUS ze serveru lokality a ověřte, že se konzola WSUS může připojit přes protokol SSL.

   • Pokud se vzdálená konzola SLUŽBY WSUS nemůže připojit, pravděpodobně to značí problém s důvěryhodností certifikátu, překladem ip adres nebo blokovaným portem.

Konfigurace bodu aktualizace softwaru tak, aby vyžadoval komunikaci SSL se serverem WSUS

Jakmile je služba WSUS nastavená tak, aby používala protokol TLS/SSL, budete muset aktualizovat odpovídající Configuration Manager bod aktualizace softwaru tak, aby vyžadoval také protokol SSL. Když provedete tuto změnu, Configuration Manager:

• Ověřte, že může nakonfigurovat server WSUS pro bod aktualizace softwaru.
• Nasměrujte klienty, aby používali port SSL, když jim řekneme, že mají zkontrolovat tento server WSUS.

Pokud chcete nakonfigurovat bod aktualizace softwaru tak, aby vyžadoval komunikaci SSL se serverem WSUS, proveďte následující kroky:

1. Otevřete konzolu Configuration Manager a připojte se k lokalitě centrální správy nebo k primárnímu serveru lokality pro bod aktualizace softwaru, který potřebujete upravit.

2. Přejděte naPřehled>správy>Konfigurace>serverů lokality a rolí systému lokality.

3. Vyberte server systému lokality, na kterém je nainstalovaná služba WSUS, a pak vyberte roli systému lokality bodu aktualizace softwaru.

4. Na pásu karet zvolte Vlastnosti.

5. Povolte možnost Vyžadovat komunikaci SSL se serverem WSUS .

   

6. V souboru WCM.log pro web se při použití změny zobrazí následující položky:

   SCF change notification triggered.
   Populating config from SCF
   Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
   ...
   Attempting connection to local WSUS server
   Successfully connected to local WSUS server
   ...
   Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
   

Byly upraveny příklady souborů protokolu, aby se pro tento scénář odebraly nepotřebné informace.

Ověření funkčnosti pomocí Configuration Manager

Ověření, že server lokality může synchronizovat aktualizace

1. Připojte konzolu Configuration Manager k lokalitě nejvyšší úrovně.

2. Přejděte na přehled softwarové knihovny>>Software Aktualizace>Všechny softwarové Aktualizace.

3. Na pásu karet vyberte Synchronizovat software Aktualizace.

4. Vyberte Ano a zobrazí se oznámení s dotazem, jestli chcete zahájit synchronizaci aktualizací softwaru pro celou lokalitu.

   • Vzhledem k tomu, že se konfigurace služby WSUS změnila, dojde k úplné synchronizaci aktualizací softwaru, nikoli k rozdílové synchronizaci.

5. Otevřete soubor wsyncmgr.log pro daný web. Pokud monitorujete podřízenou lokalitu, budete muset nejprve počkat, než nadřazená lokalita dokončí synchronizaci. Ověřte, že se server úspěšně synchronizuje, a to tak, že v protokolu zkontrolujete položky podobné následujícímu:

   Starting Sync
   ...
   Full sync required due to changes in main WSUS server location.
   ...
   Found active SUP SERVER.CONTOSO.COM from SCF File.
   ...
   https://SERVER.CONTOSO.COM:8531
   ...
   Done synchronizing WSUS Server SERVER.CONTOSO.COM
   ...
   sync: Starting SMS database synchronization
   ...
   Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
   

Ověření, že klient může vyhledat aktualizace

Když změníte bod aktualizace softwaru tak, aby vyžadoval protokol SSL, Configuration Manager klienti obdrží aktualizovanou adresu URL služby WSUS, když vytvoří žádost o umístění pro bod aktualizace softwaru. Testováním klienta můžeme:

• Zjistěte, jestli klient důvěřuje certifikátu serveru WSUS.
• Pokud SimpleAuthWebService a ClientWebService pro WSUS jsou funkční.
• Virtuální adresář obsahu WSUS je funkční, pokud klient během kontroly získal smlouvu EULA.

1. Identifikujte klienta, který prohledává bod aktualizace softwaru, který se nedávno změnil tak, aby používal protokol TLS/SSL. Pokud potřebujete pomoc s identifikací klienta, použijte spuštění skriptů s následujícím skriptem PowerShellu:

   $Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
   $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
   Write-Host "LastGoodSUP- $last"
   Write-Host "CurrentSUP- $current"
   

   Tip

   Otevřete tento skript v centru komunity. Další informace najdete v tématu Přímé odkazy na položky centra komunity.

2. Na testovacím klientovi spusťte cyklus kontroly aktualizací softwaru. Kontrolu můžete vynutit pomocí následujícího skriptu PowerShellu:

   Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
   

   Tip

   Otevřete tento skript v centru komunity. Další informace najdete v tématu Přímé odkazy na položky centra komunity.

3. Zkontrolujte soubor ScanAgent.log klienta a ověřte, že byla přijata zpráva pro kontrolu bodu aktualizace softwaru.

   Message received: '<?xml version='1.0' ?>
   <UpdateSourceMessage MessageType='ScanByUpdateSource'>
      <ForceScan>TRUE</ForceScan>
      <UpdateSourceIDs>
    		<ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
      </UpdateSourceIDs>
    </UpdateSourceMessage>'
   

4. Zkontrolujte soubor LocationServices.log a ověřte, že se klientovi zobrazuje správná adresa URL služby WSUS. LocationServices.log

   WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
   ...
   <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
   ...
   </WSUSLocationReply>
   

5. Zkontrolujte protokol WUAHandler.log a ověřte, že klient může úspěšně zkontrolovat.

   Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
   ...
   Successfully completed scan.
   

Připnutí certifikátu TLS pro zařízení kontrolující servery WSUS nakonfigurované protokolem HTTPS

(Zavedeno v 2103)

Od Configuration Manager 2103 můžete dále zvýšit zabezpečení kontrol HTTPS vůči službě WSUS tím, že vynutíte připnutí certifikátu. Pokud chcete toto chování plně povolit, přidejte certifikáty pro servery WSUS do nového WindowsServerUpdateServices úložiště certifikátů na vašich klientech a ujistěte se, že je povolené připnutí certifikátu prostřednictvím nastavení klienta. Další informace o změnách agenta služba Windows Update najdete v tématu Kontrola změn a certifikátů a zvýšení zabezpečení zařízení s Windows pomocí wsus pro aktualizace – Microsoft Tech Community.

Požadavky na vynucení připnutí certifikátu TLS pro klienta služba Windows Update

• Configuration Manager verze 2103
• Ujistěte se, že jsou servery WSUS a body aktualizace softwaru nakonfigurované tak, aby používaly protokol TLS/SSL.
• Přidání certifikátů pro servery WSUS do nového WindowsServerUpdateServices úložiště certifikátů na vašich klientech
  • Pokud používáte připnutí certifikátu s bránou pro správu cloudu (CMG), WindowsServerUpdateServices úložiště potřebuje certifikát CMG. Pokud klienti přejdou z internetu na SÍŤ VPN, v úložišti jsou potřeba WindowsServerUpdateServices certifikáty serveru CMG i WSUS.

Poznámka

Vyhledávání aktualizací softwaru pro zařízení bude nadále úspěšně fungovat s použitím výchozí hodnoty Ano pro nastavení klienta Vynucení připnutí certifikátu TLS pro služba Windows Update klienta pro zjišťování aktualizací. To zahrnuje kontroly přes PROTOKOL HTTP i HTTPS. Připnutí certifikátu se neprojeví, dokud se certifikát nenachází v úložišti klienta WindowsServerUpdateServices a server WSUS není nakonfigurovaný tak, aby používal protokol TLS/SSL.

Povolení nebo zakázání připnutí certifikátu TLS pro zařízení kontrolující servery WSUS nakonfigurované protokolem HTTPS

1. V konzole Configuration Manager přejděte naNastavení klientapro správu>.
2. Zvolte Výchozí nastavení klienta nebo vlastní sadu nastavení klienta a pak na pásu karet vyberte Vlastnosti .
3. V nastavení klienta vyberte kartu Softwarová Aktualizace.
4. Pro nastavení Vynutit připnutí certifikátu TLS pro klienta služba Windows Update pro zjišťování aktualizací zvolte jednu z následujících možností:
   • Ne: Nepovolujte vynucení připnutí certifikátu TLS pro kontrolu WSUS.
   • Ano: Umožňuje vynucování připnutí certifikátu TLS pro zařízení během kontroly WSUS (výchozí nastavení).
5. Ověřte, že klienti můžou vyhledávat aktualizace.

Další kroky

Nasazení aktualizací softwaru