Partager via

Considérations de sécurité pour Updates Publisher

  • Article

System Center Updates Publisher exige que l'utilisateur qui l'installe et celui qui effectue diverses actions dans l'outil disposent d'autorisations appropriées. Des certificats numériques sont requis dans le cadre de la publication des catalogues au niveau d'un serveur de mise à jour et lorsque les ordinateurs clients recherchent les mises à jour du catalogue. Prenez connaissance des sections suivantes pour vérifier que la sécurité minimale a bien été configurée pour Updates Publisher.

Installation

L'utilisateur qui lance l'installation de Updates Publisher doit appartenir au groupe des administrateurs locaux, faute de quoi l'installation échouera.

Configuration d'une base de données distante pour l'outil de publication

Si une base de données distante est configurée, plusieurs opérations doivent être effectuées avant l'installation de Updates Publisher. Créez tout d'abord la base de données sur un ordinateur distant exécutant SQL Server, puis configurez les autorisations du compte d'utilisateur. Pour plus d'informations, consultez la section Création de la base de données Updates Publisher.

Configuration du pare-feu pour une base de données distante de l'outil de publication

Si vous vous connectez à une base de données Updates Publisher distante pour laquelle un pare-feu est activé, vous devez configurer ce pare-feu de manière à autoriser l'accès à l'instance du moteur de base de données Microsoft SQL Server. L'instance par défaut écoute sur le port TCP 1433. Les instances nommées sont configurées pour des ports dynamiques, ce qui signifie qu'elles se connectent à tout port disponible lorsque le service SQL Server est démarré. En cas de connexion à une instance nommée via un pare-feu, configurez le moteur de base de données pour qu'il écoute sur un port précis, de manière à pouvoir ouvrir le port approprié dans le pare-feu.

Avertissement

L'ouverture de ports dans votre pare-feu peut rendre votre serveur vulnérable aux attaques. Veillez à bien comprendre le fonctionnement du pare-feu avant d'ouvrir des ports.

Attribution d'un numéro de port TCP/IP au moteur de base de données de SQL Server

  1. Dans l'arborescence du Gestionnaire de configuration SQL Server, développez Configuration du réseau SQL Server 2005, développez Protocoles pour <nom d'instance>, puis double-cliquez sur TCP/IP.

  2. Dans la boîte de dialogue Propriétés de TCP/IP, l'onglet Adresses IP contient plusieurs adresses IP en format IP1, IP2 jusqu'à IPAll. L'une de ces adresses IP est celle de la carte de bouclage (127.0.0.1). D'autres adresses IP sont indiquées pour chaque adresse IP de l'ordinateur. Identifiez celle que vous voulez configurer.

  3. Si la boîte de dialogue Ports TCP dynamiques contient 0, ce qui indique que le moteur de base de données écoute sur des ports dynamiques, supprimez le 0.

  4. Dans la zone Propriétés IPn, entrez, dans la zone Port TCP, le numéro de port sur lequel cette adresse IP doit écouter, puis cliquez sur OK.

  5. Dans le volet d'arborescence, cliquez sur Services SQL Server 2005.

  6. Dans le volet d'informations, cliquez à l'aide du bouton droit sur SQL Server (<nom d'instance>), puis cliquez sur redémarrer pour arrêter et redémarrer le service SQL Server.

  7. Lorsque vous avez configuré SQL Server pour qu'il écoute sur un port précis, vous devez ouvrir ce port sur le pare-feu.

Utilisation de Updates Publisher

Une fois Updates Publisher installé, les utilisateurs peuvent démarrer la console, procéder à l'ensemble des actions de Updates Publisher, à l'exception de la publication des catalogues au niveau d'un serveur de mise à jour, et accéder aux fichiers journaux et aux catalogues si les exigences suivantes sont respectées :

  • L'utilisateur doit disposer d'un compte SQL dans la base de données de l'outil de publication (mscuptdb) et disposer des droits d'adhésion au rôle de base de données System_Center_Updates_Publisher_User.

  • L'utilisateur doit disposer, par défaut, des droits de lecture et d'exécution, de liste, de lecture, d'écriture et de modification du système de fichiers au niveau du dossier d'installation, %ProgramFiles%\System Center Updates Publisher.

  • Les autorisations de contrôle total doivent être accordées à la clé de Registre HKLM\Software\Microsoft\PublishingTool pour que l'utilisateur puisse modifier la source de données de l'outil de publication ou effectuer la publication au niveau du serveur de mise à jour.

  • L’utilisateur doit disposer d’un accès à l’emplacement source des catalogues de mises à jour de logiciels pour pouvoir les importer dans Updates Publisher.

Utilisateurs à droits restreints

Updates Publisher fournit les fonctionnalités suivantes pour mieux soutenir les utilisateurs à droits restreints :

  • Les fichiers journaux Updates Publisher sont stockés dans le dossier temporaire de l'utilisateur connecté, %TEMP%.

  • Les paramètres de Updates Publisher sont spécifiques à l'utilisateur et sont copiés dans son dossier Application Data local, %APPDATA%.

  • Les catalogues de mises à jour de logiciels sont exportés par défaut dans le dossier %USERPROFILE%\Mes Documents\My Catalogs.

Publication des catalogues de mises à jour de logiciels

Pour publier des catalogues de mises à jour de logiciels au niveau d'un serveur de mise à jour, l'utilisateur doit disposer de droits d'administrateur au niveau du serveur de mise à jour, faute de quoi les mises à jour ne seront pas publiées.

Paramètres du port du serveur de mise à jour

Le port utilisé pour connecter le serveur de mise à jour doit être spécifié sous l’onglet Serveur de mise à jour de la boîte de dialogue Paramètres. Utilisez le numéro de port HTTP si le protocole SSL n'est pas utilisé et le numéro de port HTTPS si le paramètre Utilisez SSL (Secure Sockets Layer) lors de la communication avec le serveur de mise à jour est activé. Le port HTTP par défaut est le port 80 et le port HTTPS par défaut est le port 443. Consultez la configuration du serveur de mise à jour afin de savoir quel port utiliser. Pour plus d'informations sur la configuration des paramètres du port du serveur de mise à jour, consultez la section Configuration du serveur de mise à jour.

Exigences en matière de certificats du serveur de mise à jour et de l'ordinateur Updates Publisher

Le serveur de mise à jour et un certificat de signature des mises à jour de logiciels publié au niveau du serveur de mise à jour doivent également être configurés au niveau de l'onglet Serveur de mise à jour de la boîte de dialogue Paramètres avant la publication des catalogues au niveau du serveur de mise à jour. Le certificat doit ensuite être copié dans le magasin de certificats Éditeurs approuvés et le magasin de certificats Autorités de certification racines de confiance, en cas d'utilisation d'un certificat signé automatiquement, au niveau du serveur de mise à jour. Le certificat doit également être copié dans le magasin de certificat sur l’ordinateur Updates Publisher celui-ci est distant du serveur de mise à jour. Il existe plusieurs méthodes pour ajouter les certificats aux magasins de certificats appropriés. Pour plus d'informations sur la configuration des paramètres du serveur de mise à jour et de la définition du certificat numérique, consultez la section Configuration du serveur de mise à jour. Pour plus d'informations sur l'ajout du certificat numérique aux magasins de certificats adaptés au niveau du serveur de mise à jour et de l'ordinateur Updates Publisher, consultez la section Configuration du certificat de signature sur le serveur de mise à jour.

Sécurité des ordinateurs clients

L'application Windows Update Agent (WUA) des ordinateurs clients nécessite l'utilisation d'un certificat numérique pour signer le catalogue publié avant installation d'une mise à jour et d'une règle de groupe pour autoriser le contenu signé à partir d'un emplacement de service de mise à jour Microsoft Intranet.

Exigences en matière de certificats

L'application WUA des ordinateurs clients vérifie que le certificat numérique utilisé pour signer le catalogue figure dans le magasin des éditeurs dignes de confiance de l'ordinateur client. Si le certificat n'est pas localisé, WUA recherchera les mises à jour à partir du catalogue mais ne parviendra pas à les installer. En cas d'utilisation d'un certificat signé automatiquement lors de la publication du catalogue de mises à jour, tel que le certificat auto-signé de l'éditeur WSUS, le certificat doit également se trouver dans le magasin de certificats des autorités de certification racines de confiance de l'ordinateur local afin de permettre de vérifier la validité du certificat. Pour plus d'informations sur l'ajout du certificat numérique aux ordinateurs clients, consultez la section Configuration du certificat numérique sur les ordinateurs clients.

Exigences en matière de stratégie de groupe

La règle de groupe d'autorisation du contenu signé à partir d'un emplacement de service de mise à jour Microsoft Intranet doit être activée sur les ordinateurs clients pour permettre à l'application WUA d'accepter les mises à jour signées par des éditeurs autres que Microsoft lorsque la mise à jour provient d'un emplacement de service de mise à jour Intranet. Lorsque ce paramètre de règle est activé, l'application WUA accepte les mises à jour reçues d'un emplacement Intranet si les mises à jour sont signées dans le magasin Éditeurs approuvés de l'ordinateur local. Pour plus d'informations sur la configuration de cette règle de groupe, consultez la section Configuration de la stratégie de groupe sur les ordinateurs clients.

Voir aussi

Tâches

Configuration du serveur de mise à jour
Configuration du certificat numérique sur les ordinateurs clients
Configuration du certificat de signature sur le serveur de mise à jour
Configuration de la stratégie de groupe sur les ordinateurs clients
Création de la base de données Updates Publisher

Référence

Boîte de dialogue Paramètres

Autres ressources

Premiers pas avec Updates Publisher