Informazioni sulla protezione per Updates Publisher

  • Articolo

In System Center Updates Publisher è necessario che l'utente che installa lo strumento così come quelli che eseguono diverse azioni con lo strumento dispongano delle autorizzazioni appropriate. Per pubblicare i cataloghi su un server degli aggiornamenti e per far sì che i computer client possano analizzare gli aggiornamenti nel catalogo sono necessari i certificati digitali. Fare riferimento alle seguenti sezioni per verificare che siano stati configurati i requisiti minimi per Updates Publisher.

Installazione

L'utente che avvia l'installazione di Updates Publisher deve essere un membro del gruppo Administrators sul computer locale o l'installazione non potrà essere eseguita.

Configurazione di un database di uno strumento di pubblicazione remoto

Se si configura un database remoto, è necessario eseguire alcune operazioni prima di poter installare Updates Publisher. Innanzitutto, creare il database su un computer remoto con SQL Server e poi configurare le autorizzazioni per l'account utente. Per maggiori informazioni, vedere Come creare il database di Updates Publisher.

Configurazione dei firewall sul database di uno strumento di pubblicazione remoto

Quando ci si connette ad un database di Updates Publisher remoto per il quale è abilitato un firewall, è necessario configurare il firewall in modo che consenta l'accesso all'istanza del Motore di database di Microsoft SQL Server. Per impostazione predefinita, la comunicazione avviene sulla porta TCP 1433. Vengono configurate delle istanze denominate per le porte dinamiche in modo che sia possibile connettersi alla prima porta disponibile quando il servizio SQL Server viene avviato. Quando ci si connette ad una istanza denominata tramite un firewall, configurare il Motore del database perché comunichi con una porta specifica in modo che questa possa essere aperta nel firewall.

Avviso

Se nel firewall le porte sono aperte, si espone il server al pericolo di attacchi dannosi. Accertarsi di aver compreso correttamente il funzionamenti dei sistemi firewall prima di aprire le porte.

Per assegnare un numero porta TCP/IP al Motore di database di SQL Server

  1. In Gestione configurazione di SQL Server, nel riquadro dell'albero, espandere SQL Server 2005 Network Configuration, espandere Protocols for <nome istanza> e fare doppio clic su TCP/IP.

  2. Nella finestra di dialogo Proprietà TCP/IP, nella scheda Indirizzo IP, molti indirizzi IP appaiono nel formato IP1, IP2, fino a IPAll. Uno di questi indirizzi è per l'indirizzo IP della scheda loopback, 127.0.0.1. Compaiono inoltre altri indirizzi IP per ognun indirizzo IP sul computer. Individuare l'indirizzo IP da configurare.

  3. Se la finestra di dialogo Porte dinamiche TCP contiene il valore 0, ad indicare che il Motore del database sta comunicando sulle porte dinamiche, cancellare il valore 0.

  4. Nell'area Proprietà IPn, nella casella Porta TCP, digitare il numero della porta che si desidera comunichi con questo indirizzo IP e fare clic su OK.

  5. Nel riquadro dell'albero, fare clic su Servizi di SQL Server 2005.

  6. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su SQL Server (<nome istanza>) e poi fare clic su riavvia per interrompere e riavviare il servizio SQL Server.

  7. Dopo aver configurato SQL Server perché comunichi con una specifica porta, è necessario aprire quella porta sul firewall.

Utilizzo di Updates Publisher

Dopo aver installato Updates Publisher, gli utenti possono avviare la console, eseguire tutte le operazioni di Updates Publisher (con l'eccezione della pubblicazione dei cataloghi su un server dedicato) e accedere ai cataloghi e ai file di registro, a patto che siano soddisfatti i seguenti requisiti:

  • L'utente deve disporre di un account di accesso SQL creato nel database dello strumento di pubblicazione (mscuptdb) e devono essergli stati assegnati i diritti di appartenenza al ruolo System_Center_Updates_Publisher_User.

  • Per impostazione predefinita, l'utente deve avere diritti di Lettura ed esecuzione, Visualizzazione contenuto cartella, Lettura, Scrittura e Modifica a livello di file system nella cartella di installazione, %Programmi%\System Center Updates Publisher.

  • Se l'utente dovrà modificare l'origine dei dati per lo strumento di pubblicazione o eseguire la pubblicazione su un server degli aggiornamenti, alla chiave del Registro di sistema HKLM\Software\Microsoft\PublishingTool devono essere assegnate le autorizzazioni di livello Controllo completo.

  • L'utente deve poter accedere alla cartella di origine dei cataloghi degli aggiornamenti per poterli importare in Updates Publisher.

Utenti con diritti limitati

Per poter supportare al meglio gli utenti con diritti limitati, Updates Publisher prevede che:

  • I file di registro di Updates Publisher vengano memorizzati nella cartella dei file temporanei dell'utente connesso, %TEMP%.

  • Le impostazioni di Updates Publisher siano specifiche per utente e vengano copiate nella cartella Dati applicazione dell'utente, %APPDATA%.

  • Per impostazione predefinita, i cataloghi degli aggiornamenti software vengano esportati nella cartella %PROFILO_UTENTE%\My Documents\My Catalogs.

Pubblicazione dei cataloghi degli aggiornamenti software

Per pubblicare i cataloghi degli aggiornamenti software su server degli aggiornamenti, l'utente deve disporre dei diritti di amministrazione su quel server, altrimenti la pubblicazione non potrà avvenire.

Impostazioni della porta per Update Server

La porta utilizzata per la connessione al server degli aggiornamenti deve essere specificata nella scheda Server aggiornamenti della finestra di dialogo Impostazioni. Utilizzare il numero della porta HTTP se non si utilizza il protocollo SSL o il numero della porta HTTPS se si utilizza il protocollo SSL. La porta HTTP predefinita è 80 e la porta HTTPS predefinita è 443. Controllare la configurazione del server degli aggiornamenti per individuare la porta da utilizzare. Per maggiori informazioni sulla configurazione delle impostazioni della porta per il server degli aggiornamenti, vedere Come configurare il server degli aggiornamenti.

Requisiti relativi ai certificati per il server degli aggiornamenti e il computer con Updates Publisher

Nella scheda Server aggiornamenti nella finestra di dialogo Impostazioni è necessario configurare anche il server degli aggiornamenti e un certificato per firmare gli aggiornamenti pubblicati sul server dedicato così da poter eseguire l'operazione di pubblicazione. Il certificato deve poi essere copiato nell'archivio Autori attendibili (e nell'archivio Autorità di certificazione radice disponibile nell'elenco locale se si utilizza un certificato autofirmato) sul server degli aggiornamenti. Il certificato dovrà essere copiato anche nell'archivio sul computer con Updates Publisher, se questo si connette in remoto al server degli aggiornamenti. Sono disponibili numerosi metodi per inserire i certificati nell'archivio appropriato. Per maggiori informazioni sulla configurazione delle impostazioni del server degli aggiornamenti e la specifica del certificato digitale, vedere Come configurare il server degli aggiornamenti. Per maggiori informazioni su come aggiungere il certificato digitale nell'archivio appropriato sul server degli aggiornamenti e sul computer con Updates Publisher, vedere Come configurare il certificato digitale sul server degli aggiornamenti.

Protezione per i computer client

Windows Update Agent (WUA) per computer client ha bisogno del certificato digitale utilizzato per firmare i cataloghi pubblicati per poter installare un aggiornamento e della configurazione di Criteri di gruppo per poter accettare i contenuti firmati provenienti da un percorso del servizio di aggiornamento Microsoft nella rete Intranet.

Requisiti relativi ai certificati

WUA sui computer client verifica che il certificato digitale utilizzato per firmare il catalogo si trovi nell'archivio Autori attendibili sul computer client. Se il certificato non viene individuato, WUA analizzerà gli aggiornamenti dal catalogo, ma non potrà installarli. Se la pubblicazione del catalogo degli aggiornamenti è stata eseguita utilizzando un certificato autofirmato (ad esempio, WSUS Publishers Self-signed), il certificato deve trovarsi nell'archivio Autorità di certificazione radice disponibile nell'elenco locale sul computer locale così che sia possibile verificarne la validità. Per maggiori informazioni sull'aggiunta del certificato digitale sui computer client, vedere Come configurare il certificato digitale sui computer client.

Requisiti per Criteri di gruppo

Sui computer client è necessario che sia abilitata l'impostazione di Criteri di gruppo Consenti contenuto firmato da percorso del servizio di aggiornamento Microsoft nella rete Intranet affinché WUA possa accettare gli aggiornamenti firmati da autori diversi da Microsoft quando l'aggiornamento proviene da un percorso del servizio di aggiornamento Microsoft nella rete Intranet. Quando questa impostazione è abilitata, WUA accetterà gli aggiornamenti ricevuti attraverso la rete Intranet se gli aggiornamenti risultano firmati nell'archivio Autori attendibili sul computer locale. Per maggiori informazioni sulla configurazione di questa impostazione di Criteri di gruppo, vedere Come configurare Criteri di gruppo sui computer client.

Vedere anche

Operazioni

Come configurare il server degli aggiornamenti
Come configurare il certificato digitale sui computer client
Come configurare il certificato digitale sul server degli aggiornamenti
Come configurare Criteri di gruppo sui computer client
Come creare il database di Updates Publisher

Informazioni di riferimento

Finestra di dialogo Impostazioni

Altre risorse

Informazioni preliminari su Updates Publisher