次の方法で共有

WSUS の展開をセキュリティで保護する

  • [アーティクル]

ここでは、WSUS サーバーのセキュリティを強化する 3 つの手段について説明します。

  • WSUS を実行している Windows Server 2003 を強化するための推奨設定

  • Active Directory 環境のチェーン化された WSUS サーバー間に認証を追加するための推奨設定

  • WSUS にSecure Sockets Layer プロトコルを実装するための推奨設定

WSUS を実行している Windows Server 2003 の強化

WSUS サーバーを強化するための推奨設定については、「付録 D: セキュリティ設定」を参照してください。推奨設定には、IIS 6.0 や SQL Server 2000 だけでなく、さまざまな Windows Server コンポーネントを強化する方法が含まれています。Windows Server 2003 を実行していない場合、または WSUS のデータベース ソフトウェアとして SQL Server 2000 を使用していない場合は、使用できない推奨設定もあります。

ページのトップへ

Active Directory 環境のチェーン化された WSUS サーバー間への認証の追加

サーバー間の同期の認証を追加することができます。

認証を有効にするには、いくつかの制限があります。認証が必要な WSUS サーバーはすべて Active Directory 環境に置かれている必要があります。また、WSUS サーバーが別のフォレストに属する場合は、この認証方法を正常に機能させるために、フォレスト間に信頼が作成されている必要があります。

認証を有効にするプロセスは 2 つの手順から成ります。最初に、この WSUS サーバーを認証できるダウンストリーム WSUS サーバーの一覧を作成し、それを WSUS の最初のインストール時に作成されたテキスト ファイルに追加します。次に、IIS で、WSUS サーバーへの匿名アクセスを無効にします。以上の 2 つの手順が終了したら、一覧に含めたダウンストリーム コンピュータのみを WSUS サーバーと同期させることができます。以下に、これらの手順について詳しく説明します。

手順 1: 認証一覧を作成する

WSUS セットアップを実行すると、WSUS にアクセスできるコンピュータの明示的な一覧を追加することを可能にする構成ファイルが作成されます。このファイルは、WSUS サーバーのファイル システム (%ProgramFiles%\Update Services\WebServices\Serversyncwebservice\Web.config) に作成されます。

<authorization> 要素を使用して、認証一覧を定義します。<authorization> 要素は、<configuration> 要素と <system.web> 要素の下に追加する必要があります。

次に例を示します。

<configuration> 
<system.web> 
<authorization> 
<allow users="domain\computer_name,domain\computer_name" /> 
<deny users="*" /> 
</authorization> 
</system.web>
</configuration>

認証の開始タグと終了タグの間に、Web サービスへの接続を許可するコンピュータの一覧を指定します。これらのコンピュータは <ドメイン>\<コンピュータ名> の形式で入力する必要があります。複数のコンピュータを指定する場合は、コンマを使用してコンピュータ名を区切ります。アクセスを拒否するコンピュータの明示的な一覧も指定できます。この場合は、ユーザーに適用される最初の項目で評価が終了するため、一覧にする順序が重要になります。

この一覧の XML スキーマについては、MSDN の Web サイト (https://msdn.microsoft.com/ja-jp/library/8d82143t.aspx) を参照してください。

手順 2: IIS を構成する

次の手順は、ServerSyncWebService 仮想ディレクトリへの匿名アクセスを無効にし、統合 Windows 認証を有効にするように IIS を構成することです。

WSUS ServerSynchWebService への匿名アクセスを無効にし、統合 Windows 認証を有効にするように IIS を構成するには

  1. [スタート] メニューの [プログラム]、[管理ツール] の順にポイントし、[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

  2. ローカル コンピュータのノードを展開します。

  3. WSUS Web サイトのノードを展開します。

  4. [SeverSyncWebService] を右クリックし、[プロパティ] をクリックします。

  5. [ディレクトリ セキュリティ] タブで、[認証とアクセス制御] の [編集] をクリックします。

  6. [認証方法] ダイアログ ボックスで、[匿名アクセスを有効にする] チェック ボックスをオフ、[統合 Windows 認証] チェック ボックスをオンにします。

  7. [OK] を 2 度クリックします。

ページのトップへ

Secure Sockets Layer による WSUS のセキュリティ保護

Secure Sockets Layer (SSL) プロトコルを使用して、WSUS の展開をセキュリティで保護することができます。WSUS は、SSL を使用して、クライアント コンピュータとダウンストリーム WSUS サーバーが WSUS サーバーを認証できるようにします。WSUS はまた、クライアントとダウンストリーム WSUS サーバーの間で渡されるメタデータの暗号化にも SSL を使用します。WSUS は、メタデータには SSL だけを使用することに注意してください。これは、Microsoft Update が更新プログラムを配布する方法でもあります。

前に説明したように、更新プログラムは 2 つの部分で構成されます。更新プログラムが何に有用なのかを示すメタデータと、コンピュータに更新プログラムをインストールするためのファイルです。Microsoft は、それぞれの更新プログラムに署名することで、暗号化されていないチャネルを通じて更新ファイルを送信するリスクを軽減します。各更新プログラムは、署名に加えて "ハッシュ" も計算され、各更新プログラムのメタデータと共に送信されます。デジタル署名とハッシュは、更新プログラムがダウンロードされるときに WSUS によって確認されます。更新プログラムが改ざんされていた場合は、インストールされません。

WSUS の SSL 展開に関する制限事項

WSUS の SSL 展開を検討中の管理者は、次の 2 つの制限事項を知っておく必要があります。

SSL を使用して WSUS の展開をセキュリティで保護すると、サーバーの負荷が増大します。回線上で送信されるすべてのメタデータを暗号化するための追加の負荷がかかるため、パフォーマンスが 10 % 程度低下することを考慮して計画する必要があります。

リモート SQL を使用している場合、WSUS サーバーとデータベースを実行しているサーバー間の接続は、SSL によってセキュリティ保護されません。データベース接続をセキュリティで保護する必要がある場合は、次のような構成をお勧めします。

  • データベースを WSUS サーバー上に配置する (既定の WSUS 構成)。

  • SQL と WSUS サーバーを実行しているリモート サーバーをプライベート ネットワーク上に配置する。

  • Internet Protocol security (IPsec) をネットワーク上に展開し、ネットワーク トラフィックをセキュリティで保護する。

環境に IPsec を展開する方法についてのガイダンスは、Microsoft の Web サイトにある IPsec の展開の概要についてのページ (https://go.microsoft.com/fwlink/?LinkId=45154) (英語) を参照してください。

WSUS サーバーでの SSL の構成

SSL を使用するように WSUS サーバーを構成する場合に留意しなければならない最も重要なことは、この構成には 2 つのポートが必要だということです。1 つは HTTPS を使用したメタデータの暗号化用、もう 1 つは非暗号化 HTTP 用です。証明書を使用するように IIS を構成する場合は、次の点に留意してください。

  • WSUS Web サイト全体を SSL を要求するようにセットアップすることはできません。つまり、WSUS サイトへのすべてのトラフィックを暗号化する必要があることになりますが、WSUS ではメタデータ トラフィックしか暗号化されません。クライアント コンピュータまたは別の WSUS サーバーが更新ファイルを WSUS から取得しようとした場合、暗号化されていない HTTP を使用してファイルを配布する方法が WSUS にないため、転送は失敗します。

    WSUS Web サイトをできるだけセキュリティで保護された状態で維持するには、次の仮想ルートに対してのみ、SSL を要求します。

    • SimpleAuthWebService

    • DSSAuthWebService

    • ServerSyncWebService

    • WSUSAdmin

    • ClientWebService

    WSUS の機能を維持するには、次の仮想ルートに対して SSL を要求しないでください。

    • Content

    • ReportingWebService

    • SelfUpdate

  • ダウンストリーム WSUS サーバーにある証明書を、ローカル コンピュータの信頼済みルート CA ストアまたは Windows Server Update Services の信頼済みルート CA ストアのどちらかにインポートする必要があります。証明書がローカル ユーザーの信頼済みルート CA ストアにのみインポートされた場合、ダウンストリーム WSUS サーバーは、アップストリーム サーバーでのサーバー認証に失敗します。

  • SSL を使用するように IIS を構成する場合は、任意のポートを使用できます。ただし、SSL 用にセットアップするポートによって、WSUS で非暗号化 HTTP に使用されるポートが決まります。次に例を示します。

    • HTTPS トラフィックに業界標準ポートである 443 を使用する場合は、非暗号化 HTTP トラフィックにはポート 80 が使用されます。これは HTTP 用の業界標準ポートです。

    • HTTPS トラフィックに上記以外のポートを使用する場合は、非暗号化 HTTP トラフィックは HTTPS 用のポートの前の番号のポートを経由して送信されることになります。たとえば、HTTPS 用のポートが 8531 の場合、WSUS が HTTP 用に使用するポートは 8530 になります。

注意

ポート番号を変更する場合や、HTTPS を使用して WSUS 管理コンソールにアクセスする場合は、[スタート] メニューから WSUS 管理コンソールにアクセスするために、[スタート] メニューに新しい URL のショートカットを新たに作成する必要があります。ショートカット作成の詳細については、Windows Server 2003 のヘルプとサポートを参照してください。

WSUS 管理コンソールにアクセスするためのサンプル SSL URL

ここでは、SSL を使用するように WSUS を構成した場合に、WSUS 管理コンソールへのアクセスに使用するサンプル URL を示します。

業界標準の SSL ポート割り当てを使用した WSUS 管理コンソールへのアクセス

既定のサイトに WSUS をインストールした後、業界標準のポート割り当てを使用するように SSL をセットアップした場合は、https://<WSUS サーバー名>/WSUSAdmin/ という URL を使用して、セキュリティで保護された接続を介して WSUS 管理コンソールにアクセスします。

インストール後に WSUS のポート割り当てを変更し、なおかつ SSL を使用している場合は、前述の規則に従って HTTP プロトコル用のポートが割り当てられます。

カスタムの SSL ポート割り当てを使用した WSUS 管理コンソールへのアクセス

カスタム サイトに WSUS をインストールした後、SSL ポートとしてカスタム ポート 8531 を使用するように SSL をセットアップした場合は、https://<WSUS サーバー名>:8531/WSUSAdmin/ という URL を使用して、セキュリティで保護された接続で WSUS 管理コンソールにアクセスします。

8531 を SSL ポートに使用する必要はありません。任意の空いているポートを使用できますが、割り当てるポートとその前の番号のポートの 2 つの SSL 用のポートが必要です。たとえば、SSL ポートに 2424 を選択した場合、HTTPS 用のポートは 2424、HTTP 用のポートは 2423 になります。

クライアント コンピュータでの SSL の構成

クライアント コンピュータを構成する場合は、2 つの重要な注意事項があります。

  • WSUS サーバーがリッスンしているセキュリティで保護されたポートの URL を含める必要があります。サーバー上で SSL を要求できないので、クライアント コンピュータがセキュリティで保護されたチャネルを確実に使用するには、HTTPS を指定する URL を使用するのが唯一の方法です。SSL に 443 以外のポートを使用している場合は、そのポートも URL に含める必要があります。

    たとえば、クライアントを、カスタム SSL ポート 3051 を使用している WSUS サーバーに関連付けるには、「https://<SSL サーバー名>:3051」と記述します。

    同様に、HTTPS にポート 443 を使用している WSUS サーバーの場合は、「https://<SSL サーバー名>」と記述します。

    クライアント コンピュータを WSUS サーバーに関連付ける方法については、後述の「グループ ポリシーを使用して自動更新を構成する」の「イントラネットの Microsoft の更新サービスの場所を指定する」を参照してください。

  • クライアント コンピュータにある証明書を、ローカル コンピュータの信頼済みルート CA ストアまたは自動更新サービスの信頼済みルート CA ストアのどちらかにインポートする必要があります。証明書がローカル ユーザーの信頼済みルート CA ストアにのみインポートされた場合は、自動更新はサーバー認証に失敗します。

  • クライアント コンピュータは、IIS で WSUS サーバーにバインドする証明書を信頼する必要があります。使用している証明書の種類によっては、クライアントが WSUS サーバーにバインドされた証明書を信頼できるようにサービスをセットアップする必要がある場合があります。詳細については、後述の「関連情報」を参照してください。

自動更新を WSUS に関連付けるためのサンプル SSL URL

ここでは、SSL を使用するように WSUS を構成した場合に、自動更新を WSUS に関連付けるためのサンプル URL を示します。

業界標準の SSL ポート割り当てを使用して自動更新を WSUS に関連付ける

既定のサイトに WSUS をインストールした後、業界標準のポート割り当てを使用するように SSL をセットアップした場合は、https://<WSUS サーバー名> という URL を使用して、自動更新を WSUS サーバーに関連付けます。

カスタムの SSL ポート割り当てを使用して自動更新を WSUS に関連付ける

カスタム サイトに WSUS をインストールした後、SSL ポートとしてカスタム ポート 8531 を使用するように SSL をセットアップした場合は、https://<WSUS サーバー名>: 8531 という URL を使用して、自動更新を WSUS サーバーに関連付けます。

ダウンストリーム WSUS サーバー用の SSL の構成

次の手順は、ダウンストリーム サーバーを、SSL を使用しているアップストリーム サーバーと同期させるための構成方法を示しています。

ダウンストリーム サーバーを、SSL を使用するようにセットアップされているアップストリーム サーバーに接続するには

  1. WSUS コンソールのツール バーで、[オプション]、[同期のオプション] の順にクリックします。

  2. [更新元] ボックスで、[アップストリームの Windows Server Update Services サーバーから同期する] をクリックし、アップストリーム サーバーの名前と SSL 接続に使用するポート番号を入力して、[更新情報の同期時に SSL を使用する] チェック ボックスをオンにします。

  3. [タスク] の [設定の保存] をクリックし、確認のダイアログ ボックスが表示されたら [OK] をクリックします。

SSL の関連情報

証明機関 (CA) をセットアップする、WSUS Web サイトに証明書をバインドする、WSUS Web サイト上の証明書を信頼するようにクライアント コンピュータを起動する、などの管理タスクは複雑です。タスクごとの詳細な手順はこのガイドには含まれていません。

ただし、セットアップに関する記事がいくつかあります。証明書のインストールおよび環境のセットアップの詳細と手順については、Microsoft の Web サイトにある次のページを参照してください。

ページのトップへ