Megosztás a következőn keresztül:

Oktatóanyag: Szoftverfrissítési pont konfigurálása A TLS/SSL PKI-tanúsítvánnyal való használatához

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

Ha Windows Server Update Services (WSUS) kiszolgálókat és a hozzájuk tartozó szoftverfrissítési pontokat (SUP) TLS/SSL használatára konfigurálja, azzal csökkentheti a potenciális támadók azon képességét, hogy távolról feltörjék az ügyfelet, és emeljék a jogosultságokat. Annak biztosítása érdekében, hogy a legjobb biztonsági protokollok legyenek érvényben, javasoljuk, hogy a szoftverfrissítési infrastruktúra védelméhez használja a TLS/SSL protokollt. Ez a cikk végigvezeti az egyes WSUS-kiszolgálók és a szoftverfrissítési pont HTTPS használatára való konfigurálásához szükséges lépéseken. A WSUS biztonságossá tételéről további információt a WSUS dokumentációjának Secure WSUS with the Secure Sockets Layer Protocol (Biztonságos WSUS és Secure Sockets Layer Protocol ) című cikkében talál.

Ebben az oktatóanyagban a következőket fogja végezni:

  • PKI-tanúsítvány beszerzése, ha szükséges
  • A tanúsítvány kötése a WSUS felügyeleti webhelyéhez
  • A WSUS-webszolgáltatások konfigurálása SSL megkövetelésére
  • A WSUS-alkalmazás konfigurálása SSL használatára
  • Ellenőrizze, hogy a WSUS-konzolkapcsolat használhatja-e az SSL-t
  • Konfigurálja a szoftverfrissítési pontot úgy, hogy SSL-kommunikációt igényeljen a WSUS-kiszolgálóval
  • Funkciók ellenőrzése a Configuration Manager

Megfontolandó szempontok és korlátozások

A WSUS TLS/SSL használatával hitelesíti az ügyfélszámítógépeket és az alsóbb rétegbeli WSUS-kiszolgálókat a felsőbb rétegbeli WSUS-kiszolgálón. A WSUS TLS/SSL protokollt is használ a frissítési metaadatok titkosításához. A WSUS nem használ TLS/SSL protokollt a frissítések tartalomfájljaihoz. A tartalomfájlok alá vannak írva, és a fájl kivonata szerepel a frissítés metaadatai között. Mielőtt az ügyfél letöltené és telepíti a fájlokat, a rendszer mind a digitális aláírást, mind a kivonatot ellenőrzi. Ha bármelyik ellenőrzés sikertelen, a frissítés nem lesz telepítve.

Vegye figyelembe a következő korlátozásokat, ha TLS/SSL használatával védi a WSUS üzemelő példányát:

  • A TLS/SSL használata növeli a kiszolgáló számítási feladatait. A hálózaton keresztül küldött összes metaadat titkosítása kisebb teljesítménycsökkenést fog okozni.
  • Ha távoli SQL Server-adatbázissal használja a WSUS-t, a WSUS-kiszolgáló és az adatbázis-kiszolgáló közötti kapcsolatot nem védi a TLS/SSL. Ha az adatbázis-kapcsolatot biztonságossá kell tenni, vegye figyelembe a következő javaslatokat:
    • Helyezze át a WSUS-adatbázist a WSUS-kiszolgálóra.
    • Helyezze át a távoli adatbázis-kiszolgálót és a WSUS-kiszolgálót egy magánhálózatra.
    • Az Internet Protocol security (IPsec) üzembe helyezése a hálózati forgalom biztonságossá tételéhez.

Ha a WSUS-kiszolgálókat és azok szoftverfrissítési pontjait TLS/SSL használatára konfigurálja, érdemes lehet a nagyméretű Configuration Manager hierarchiák módosításait szakaszosra bontani. Ha úgy dönt, hogy fázisba helyezi ezeket a módosításokat, kezdje a hierarchia alján, és haladjon felfelé a központi adminisztrációs helyhez érve.

Előfeltételek

Ez az oktatóanyag az Internet Information Services (IIS) szolgáltatással használható tanúsítványok beszerzésének leggyakoribb módszerét ismerteti. A szervezet által használt módszer szerint győződjön meg arról, hogy a tanúsítvány megfelel az Configuration Manager szoftverfrissítési pont PKI-tanúsítványkövetelményeinek. Mint minden tanúsítvány esetében, a WSUS-kiszolgálóval kommunikáló eszközöknek is megbízhatónak kell lenniük a hitelesítésszolgáltatóban.

  • Telepített szoftverfrissítési pont szerepkörrel rendelkező WSUS-kiszolgáló
  • A TLS/SSL engedélyezése előtt ellenőrizze, hogy követte-e az újrahasznosítás letiltásával és a WSUS memóriakorlátainak konfigurálásával kapcsolatos ajánlott eljárásokat .
  • Az alábbi két lehetőség egyike:
    • Egy megfelelő PKI-tanúsítvány már megtalálható a WSUS-kiszolgáló Személyes tanúsítványtárolójában.
    • A WSUS-kiszolgáló megfelelő PKI-tanúsítványának lekérése és beszerzése a vállalati főtanúsítvány-szolgáltatótól (CA).
      • Alapértelmezés szerint a legtöbb tanúsítványsablon, beleértve a WebServer tanúsítványsablont is, csak a tartományi rendszergazdák számára lesz kibocsátva. Ha a bejelentkezett felhasználó nem tartományi rendszergazda, a felhasználói fiókjának Regisztrációs engedélyt kell adnia a tanúsítványsablonon.

Szükség esetén szerezze be a tanúsítványt a hitelesítésszolgáltatótól

Ha már rendelkezik megfelelő tanúsítvánnyal a WSUS-kiszolgáló Személyes tanúsítványtárolójában, hagyja ki ezt a szakaszt, és kezdje a Tanúsítvány kötése című szakaszsal. Ha tanúsítványkérelmet szeretne küldeni a belső hitelesítésszolgáltatónak egy új tanúsítvány telepítéséhez, kövesse az ebben a szakaszban található utasításokat.

  1. A WSUS-kiszolgálóról nyisson meg egy rendszergazdai parancssort, és futtassa a következőt certlm.msc: . A helyi számítógép tanúsítványainak kezeléséhez a felhasználói fióknak helyi rendszergazdának kell lennie.

    Megjelenik a helyi eszköz Tanúsítványkezelő eszköze.

  2. Bontsa ki a Személyes csomópontot, majd kattintson a jobb gombbal a Tanúsítványok elemre.

  3. Válassza a Minden feladat , majd az Új tanúsítvány kérése lehetőséget.

  4. Válassza a Tovább gombot a tanúsítványregisztráció megkezdéséhez.

  5. Válassza ki a regisztrálandó tanúsítvány típusát. A tanúsítvány célja a Kiszolgálóhitelesítés , a használandó Microsoft-tanúsítványsablon pedig a webkiszolgáló vagy egy egyéni sablon, amelynél a Kiszolgálóhitelesítéskibővített kulcshasználatként van megadva. Előfordulhat, hogy a rendszer további információkat kér a tanúsítvány regisztrálásához. Általában a következő információkat kell megadnia legalább:

    • Köznapi név: A Tárgy lapon található beállítás értékeként állítsa be a WSUS-kiszolgáló teljes tartománynevét.
    • Rövid név: Az Általános lapon található értéket adjon meg egy leíró névre, hogy később könnyebben azonosíthassa a tanúsítványt.

    Tanúsítványtulajdonságok ablak a regisztrációval kapcsolatos további információk megadásához

  6. A regisztráció befejezéséhez válassza a Regisztráció, majd a Befejezés lehetőséget.

  7. Nyissa meg a tanúsítványt, ha meg szeretné tekinteni annak részleteit, például a tanúsítvány ujjlenyomatát.

Tipp

Ha a WSUS-kiszolgáló internetkapcsolattal működik, szüksége lesz a külső teljes tartománynévre a tanúsítvány Tulajdonos vagy Tulajdonos alternatív neve (SAN) területén.

A tanúsítvány kötése a WSUS felügyeleti helyéhez

Miután megkapta a tanúsítványt a WSUS-kiszolgáló személyes tanúsítványtárolójában, kösse azt az IIS WSUS felügyeleti webhelyéhez.

  1. A WSUS-kiszolgálón nyissa meg az Internet Information Services (IIS) kezelőjét.

  2. Lépjen a Webhelyek>WSUS-felügyelete elemre.

  3. Válassza a Művelet menü Kötések elemét, vagy kattintson a jobb gombbal a webhelyre.

  4. A Webhelykötések ablakban jelölje ki a https vonalat, majd válassza a Szerkesztés... lehetőséget.

    • Ne távolítsa el a HTTP-helykötést. A WSUS HTTP-t használ a frissítési tartalomfájlokhoz.

  5. Az SSL-tanúsítvány beállításnál válassza ki a WSUS felügyeleti helyéhez kötni kívánt tanúsítványt. A tanúsítvány rövid neve megjelenik a legördülő menüben. Ha nem adott meg felhasználóbarát nevet, akkor megjelenik a tanúsítvány mezője IssuedTo . Ha nem biztos abban, hogy melyik tanúsítványt használja, válassza a Megtekintés lehetőséget, és ellenőrizze, hogy az ujjlenyomat megegyezik-e a beszerzett tanúsítvánnyal.

    Webhelykötés szerkesztése ablak SSL-tanúsítvány kiválasztásával

  6. Ha végzett, kattintson az OK gombra , majd a Bezárás gombra a webhelykötések bezárásához. Tartsa nyitva az Internet Information Services (IIS) kezelőjét a következő lépésekhez.

A WSUS-webszolgáltatások konfigurálása SSL megkövetelésére

  1. A WSUS-kiszolgálón található IIS-kezelőben lépjen a Helyek>WSUS-felügyelete elemre.

  2. Bontsa ki a WSUS felügyeleti webhelyét, hogy megtekinthesse a WSUS webszolgáltatásainak és virtuális könyvtárainak listáját.

  3. Az alábbi WSUS-webszolgáltatások mindegyikéhez:

    • ApiRemoting30
    • ClientWebService
    • DSSAuthWebService
    • ServerSyncWebService
    • SimpleAuthWebService

    Hajtsa végre a következő módosításokat:

    1. Válassza az SSL-beállítások lehetőséget.
    2. Engedélyezze az SSL megkövetelése beállítást.
    3. Ellenőrizze, hogy az Ügyféltanúsítványok beállítás Figyelmen kívül hagyva értékre van-e állítva.
    4. Válassza az Alkalmaz lehetőséget.

Ne állítsa be az SSL-beállításokat a legfelső szintű WSUS felügyeleti webhelyen, mert bizonyos függvényeknek, például a tartalomnak HTTP-t kell használniuk.

A WSUS-alkalmazás konfigurálása SSL használatára

Ha a webszolgáltatások SSL-et igényelnek, a WSUS-alkalmazást értesíteni kell, hogy további konfigurációkat lehessen végezni a módosítás támogatásához.

  1. Nyisson meg egy rendszergazdai parancssort a WSUS-kiszolgálón. A parancsot futtató felhasználói fióknak a WSUS-rendszergazdák vagy a helyi Rendszergazdák csoport tagjának kell lennie.

  2. Módosítsa a könyvtárat a WSUS eszközök mappájára:

    cd "c:\Program Files\Update Services\Tools"

  3. Konfigurálja a WSUS-t az SSL használatára a következő paranccsal:

    WsusUtil.exe configuressl server.contoso.com

    Ahol server.contoso.com a WSUS-kiszolgáló teljes tartománynevét adja meg.

  4. A WsusUtil a WSUS-kiszolgáló URL-címét adja vissza a végén megadott portszámmal. A port értéke 8531 (alapértelmezett) vagy 443 lesz. Ellenőrizze, hogy a visszaadott URL-cím a várt-e. Ha valamit helytelenül gépeltek be, futtassa újra a parancsot.

    A wsusutil configuresl parancs a WSUS HTTPS URL-címét adja vissza

Tipp

Ha a WSUS-kiszolgáló internetkapcsolattal működik, a futtatásakor WsusUtil.exe configuressladja meg a külső teljes tartománynevet.

Annak ellenőrzése, hogy a WSUS-konzol tud-e csatlakozni SSL használatával

A WSUS-konzol az ApiRemoting30 webszolgáltatást használja a kapcsolathoz. A Configuration Manager szoftverfrissítési pont (SUP) ugyanezt a webszolgáltatást használja arra is, hogy a WSUS-t bizonyos műveletek elvégzésére irányítsa, például:

  • Szoftverfrissítések szinkronizálásának kezdeményezése
  • A WSUS megfelelő felsőbb rétegbeli kiszolgálójának beállítása, amely attól függ, hogy a SUP helye hol található a Configuration Manager hierarchiában
  • Termékek és besorolások hozzáadása vagy eltávolítása a hierarchia legfelső szintű WSUS-kiszolgálójáról történő szinkronizáláshoz.
  • Lejárt frissítések eltávolítása

Nyissa meg a WSUS-konzolt, és ellenőrizze, hogy használhat-e SSL-kapcsolatot a WSUS-kiszolgáló ApiRemoting30 webszolgáltatásával. A többi webszolgáltatást később teszteljük.

  1. Nyissa meg a WSUS-konzolt, és válassza az ActionConnect to Server (Műveletcsatlakozás> a kiszolgálóhoz) lehetőséget.

  2. A Kiszolgálónév beállításnál adja meg a WSUS-kiszolgáló teljes tartománynevét .

  3. Válassza ki a WSUSutil URL-címében visszaadott portszámot .

  4. A Secure Sockets Layer (SSL) használata a kiszolgálóhoz való csatlakozáshoz beállítás automatikusan engedélyezi a 8531-es (alapértelmezett) vagy a 443-at.

    Csatlakozás a WSUS-konzolhoz a HTTPS-porton keresztül

  5. Ha a Configuration Manager-helykiszolgáló távol van a szoftverfrissítési ponttól, indítsa el a WSUS-konzolt a helykiszolgálóról, és ellenőrizze, hogy a WSUS-konzol tud-e SSL-en keresztül csatlakozni.

    • Ha a távoli WSUS-konzol nem tud csatlakozni, az valószínűleg problémát jelez a tanúsítvány megbízhatóságával, a névfeloldással vagy a blokkolt porttal kapcsolatban.

Konfigurálja a szoftverfrissítési pontot úgy, hogy SSL-kommunikációt igényeljen a WSUS-kiszolgálóval

Miután a WSUS beállította a TLS/SSL használatát, frissítenie kell a megfelelő Configuration Manager szoftverfrissítési pontot, hogy SSL-t is megköveteljen. Ha ezt a módosítást teszi, Configuration Manager a következőt fogja tenni:

  • Ellenőrizze, hogy képes-e konfigurálni a WSUS-kiszolgálót a szoftverfrissítési ponthoz
  • Az ügyfeleket arra utasíthatja, hogy az SSL-portot használják, amikor a rendszer arra utasítja őket, hogy vizsgáljanak ezen a WSUS-kiszolgálón.

Ha úgy szeretné konfigurálni a szoftverfrissítési pontot, hogy SSL-kommunikációt igényeljen a WSUS-kiszolgálóval, kövesse az alábbi lépéseket:

  1. Nyissa meg a Configuration Manager konzolt, és csatlakozzon a szerkeszteni kívánt szoftverfrissítési pont központi felügyeleti helyéhez vagy elsődleges helykiszolgálójához.

  2. Lépjen a Felügyelet>áttekintése>– Helykonfigurációs>kiszolgálók és helyrendszerszerepkörök lapra.

  3. Válassza ki azt a helyrendszer-kiszolgálót, amelyen a WSUS telepítve van, majd válassza ki a szoftverfrissítési pont helyrendszerszerepkört.

  4. A menüszalagon válassza a Tulajdonságok lehetőséget.

  5. Engedélyezze az SSL-kommunikáció megkövetelése a WSUS-kiszolgálóval beállítást.

    SUP-tulajdonságok, amelyek az SSL-kommunikáció megkövetelése a WSUS-kiszolgálóval lehetőséggel

  6. A webhely WCM.log naplófájljában a következő bejegyzések láthatók a módosítás alkalmazásakor:

    SCF change notification triggered.
Populating config from SCF
Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
...
Attempting connection to local WSUS server
Successfully connected to local WSUS server
...
Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)

A naplófájlok példáit szerkesztettük, hogy eltávolítsuk a forgatókönyv szükségtelen információit.

Funkciók ellenőrzése a Configuration Manager

Ellenőrizze, hogy a helykiszolgáló képes-e szinkronizálni a frissítéseket

  1. Csatlakoztassa a Configuration Manager konzolt a legfelső szintű helyhez.

  2. Lépjen a Szoftverkönyvtár>áttekintő>szoftver Frissítések>Minden szoftver Frissítések.

  3. A menüszalagon válassza a Szoftver szinkronizálása Frissítések lehetőséget.

  4. Válassza az Igen lehetőséget arra az értesítésre, amely megkérdezi, hogy kezdeményezni szeretné-e a szoftverfrissítések webhelyszintű szinkronizálását.

    • Mivel a WSUS konfigurációja megváltozott, a változásszinkronizálás helyett teljes szoftverfrissítések szinkronizálása történik.

  5. Nyissa meg a webhely wsyncmgr.log naplófájlt . Ha gyermekwebhelyet figyel, meg kell várnia, amíg a szülőhely befejezi a szinkronizálást. Ellenőrizze, hogy a kiszolgáló sikeresen szinkronizálódik-e. Ehhez tekintse át a naplóban az alábbihoz hasonló bejegyzéseket:

    Starting Sync
...
Full sync required due to changes in main WSUS server location.
...
Found active SUP SERVER.CONTOSO.COM from SCF File.
...
https://SERVER.CONTOSO.COM:8531
...
Done synchronizing WSUS Server SERVER.CONTOSO.COM
...
sync: Starting SMS database synchronization
...
Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM

Annak ellenőrzése, hogy az ügyfél képes-e frissítéseket keresni

Ha úgy módosítja a szoftverfrissítési pontot, hogy SSL-t igényeljen, Configuration Manager ügyfelek a frissített WSUS URL-címet kapják meg, amikor helykérést intéz egy szoftverfrissítési ponthoz. Az ügyfél tesztelésével a következőt végezhetjük el:

  • Állapítsa meg, hogy az ügyfél megbízik-e a WSUS-kiszolgáló tanúsítványában.
  • Ha a SimpleAuthWebService és a ClientWebService for WSUS működik.
  • Hogy a WSUS-tartalom virtuális könyvtára működik-e, ha az ügyfél a vizsgálat során euLA-t kap

  1. Azonosítsa azt az ügyfelet, amely a közelmúltban TLS/SSL használatára módosított szoftverfrissítési pontot vizsgál. Ha segítségre van szüksége az ügyfél azonosításához, használja a Szkriptek futtatása parancsprogramokat az alábbi PowerShell-szkripttel:

    $Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
$Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
Write-Host "LastGoodSUP- $last"
Write-Host "CurrentSUP- $current"

    Tipp

    Nyissa meg ezt a szkriptet a közösségi központban. További információ: A közösségi központ elemeire mutató közvetlen hivatkozások.

  2. Futtasson egy szoftverfrissítési vizsgálati ciklust a tesztügyfélen. A vizsgálatot a következő PowerShell-szkripttel kényszerítheti:

    Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"

    Tipp

    Nyissa meg ezt a szkriptet a közösségi központban. További információ: A közösségi központ elemeire mutató közvetlen hivatkozások.

  3. Tekintse át az ügyfél ScanAgent.log naplóját , és ellenőrizze, hogy megérkezett-e a szoftverfrissítési ponttal kapcsolatos vizsgálatra vonatkozó üzenet.

    Message received: '<?xml version='1.0' ?>
<UpdateSourceMessage MessageType='ScanByUpdateSource'>
   <ForceScan>TRUE</ForceScan>
   <UpdateSourceIDs>
 		<ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
   </UpdateSourceIDs>
 </UpdateSourceMessage>'

  4. Tekintse át a LocationServices.log fájlt annak ellenőrzéséhez, hogy az ügyfél a megfelelő WSUS URL-címet látja-e. LocationServices.log

    WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
...
<LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
...
</WSUSLocationReply>

  5. Tekintse át a WUAHandler.log fájlt annak ellenőrzéséhez, hogy az ügyfél képes-e a vizsgálatra.

    Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
...
Successfully completed scan.

TLS-tanúsítvány rögzítése HTTPS-konfigurált WSUS-kiszolgálókat beolvasó eszközökhöz

(Bevezetve 2103-ban)

A 2103-Configuration Manager-tól kezdődően tovább növelheti a WSUS-ra irányuló HTTPS-vizsgálatok biztonságát a tanúsítvány rögzítésének kényszerítésével. A viselkedés teljes körű engedélyezéséhez adjon hozzá tanúsítványokat a WSUS-kiszolgálókhoz az ügyfelek új WindowsServerUpdateServices tanúsítványtárolójához, és győződjön meg arról, hogy a tanúsítvány-rögzítés engedélyezve van az ügyfélbeállításokon keresztül. A Windows Update Agent módosításairól további információt a Változások és tanúsítványok vizsgálata windowsos eszközök biztonságának hozzáadása a WSUS használatával a frissítésekhez – Microsoft Tech Community című témakörben talál.

A TLS-tanúsítvány rögzítésének kényszerítési előfeltételei Windows Update-ügyfélhez

  • Configuration Manager 2103-es verzió
  • Győződjön meg arról, hogy a WSUS-kiszolgálók és a szoftverfrissítési pontok TLS/SSL használatára vannak konfigurálva
  • A WSUS-kiszolgálók tanúsítványainak hozzáadása az ügyfelek új WindowsServerUpdateServices tanúsítványtárolójához
    • Ha tanúsítványrögzítést használ egy felhőfelügyeleti átjáróval (CMG), a WindowsServerUpdateServices tárolónak szüksége van a CMG-tanúsítványra. Ha az ügyfelek az internetről VPN-re váltanak, akkor a CMG- és WSUS-kiszolgálótanúsítványokra is szükség van a WindowsServerUpdateServices tárolóban.

Megjegyzés:

Az eszközök szoftverfrissítési vizsgálatai továbbra is sikeresen lefutnak az Igen alapértelmezett érték használatával a TLS-tanúsítvány rögzítésének kényszerítése Windows Update ügyfélen a frissítési ügyfélbeállítás észleléséhez. Ebbe beletartoznak a HTTP-en és a HTTPS-en keresztüli vizsgálatok is. A tanúsítvány rögzítése csak akkor lép érvénybe, ha egy tanúsítvány az ügyfél tárolójában WindowsServerUpdateServices van, és a WSUS-kiszolgáló tLS/SSL használatára van konfigurálva.

TLS-tanúsítvány rögzítésének engedélyezése vagy letiltása HTTPS-konfigurált WSUS-kiszolgálókat beolvasó eszközök esetén

  1. A Configuration Manager-konzolon lépjen a Felügyeleti>ügyfélbeállítások területre.
  2. Válassza az Alapértelmezett ügyfélbeállítások vagy az ügyfélbeállítások egyéni készletét, majd válassza a menüszalag Tulajdonságok elemét .
  3. Válassza a Szoftver Frissítések lapot az Ügyfélbeállítások között
  4. Válassza az alábbi beállítások egyikét a TLS-tanúsítvány rögzítésének kényszerítése Windows Update ügyfél számára a frissítések észleléséhez beállításhoz:
    • Nem: Ne engedélyezze a TLS-tanúsítvány rögzítésének kikényszerítését a WSUS-vizsgálathoz
    • Igen: Engedélyezi a TLS-tanúsítvány rögzítésének kényszerítését az eszközökön a WSUS vizsgálata során (alapértelmezett)
  5. Ellenőrizze, hogy az ügyfelek tudnak-e frissítéseket keresni.

Következő lépések

Szoftverfrissítések központi telepítése