Tutorial: configurar um ponto de atualização de software para usar o TLS/SSL com um certificado PKI
Aplica-se a: Configuration Manager (branch atual)
Configurar servidores WSUS (Windows Server Update Services) e seus sup (pontos de atualização de software) correspondentes para usar o TLS/SSL pode reduzir a capacidade de um potencial invasor de comprometer remotamente um cliente e elevar privilégios. Para garantir que os melhores protocolos de segurança estejam em vigor, é altamente recomendável usar o protocolo TLS/SSL para ajudar a proteger sua infraestrutura de atualização de software. Este artigo orienta você pelas etapas necessárias para configurar cada um de seus servidores WSUS e o ponto de atualização de software para usar HTTPS. Para obter mais informações sobre como proteger o WSUS, consulte o artigo Proteger WSUS com o Protocolo de Camada de Soquetes Seguros na documentação do WSUS.
Neste tutorial, você vai:
- Obter um certificado PKI, se necessário
- Associar o certificado ao site da Administração do WSUS
- Configurar os serviços Web do WSUS para exigir SSL
- Configurar o aplicativo WSUS para usar o SSL
- Verifique se a conexão de console do WSUS pode usar o SSL
- Configurar o ponto de atualização de software para exigir comunicação SSL com o servidor WSUS
- Verificar a funcionalidade com Configuration Manager
Considerações e limitações
O WSUS usa o TLS/SSL para autenticar computadores cliente e servidores WSUS downstream no servidor WSUS upstream. O WSUS também usa O TLS/SSL para criptografar metadados de atualização. O WSUS não usa TLS/SSL para arquivos de conteúdo de uma atualização. Os arquivos de conteúdo são assinados e o hash do arquivo é incluído nos metadados da atualização. Antes que os arquivos sejam baixados e instalados pelo cliente, a assinatura digital e o hash são verificados. Se marcar falhar, a atualização não será instalada.
Considere as seguintes limitações ao usar o TLS/SSL para proteger uma implantação do WSUS:
- O uso do TLS/SSL aumenta a carga de trabalho do servidor. Você deve esperar uma pequena perda de desempenho por criptografar todos os metadados enviados pela rede.
- Se você usar o WSUS com um banco de dados SQL Server remoto, a conexão entre o servidor WSUS e o servidor de banco de dados não será protegida pelo TLS/SSL. Se a conexão de banco de dados precisar ser protegida, considere as seguintes recomendações:
- Mova o banco de dados WSUS para o servidor WSUS.
- Mova o servidor de banco de dados remoto e o servidor WSUS para uma rede privada.
- Implante o IPsec (Internet Protocol security) para ajudar a proteger o tráfego de rede.
Ao configurar servidores WSUS e seus pontos de atualização de software para usar o TLS/SSL, talvez você queira fazer a fase das alterações para hierarquias de Configuration Manager grandes. Se você optar por fazer a fase dessas alterações, comece na parte inferior da hierarquia e mova-se para cima terminando com o site de administração central.
Pré-requisitos
Este tutorial aborda o método mais comum para obter um certificado para uso com o IIS (Serviços de Informações da Internet). Qualquer método que sua organização use, verifique se o certificado atende aos requisitos de certificado PKI para um ponto de atualização de software Configuration Manager. Assim como em qualquer certificado, a autoridade de certificado deve ser confiável por dispositivos que se comunicam com o servidor WSUS.
- Um servidor WSUS com a função de ponto de atualização de software instalada
- Verifique se você seguiu as práticas recomendadas sobre como desabilitar a reciclagem e configurar limites de memória para WSUS antes de habilitar o TLS/SSL.
- Uma das duas opções a seguir:
- Um certificado PKI apropriado já está no repositório de certificados pessoal do servidor WSUS.
- A capacidade de solicitar e obter um certificado PKI apropriado para o servidor WSUS da autoridade de certificado raiz da Empresa (AC).
- Por padrão, a maioria dos modelos de certificado, incluindo o modelo de certificado WebServer, só emitirá para administradores de domínio. Se o usuário conectado não for um administrador de domínio, sua conta de usuário precisará receber a permissão Registrar no modelo de certificado.
Obter o certificado da AC, se necessário
Se você já tiver um certificado apropriado no repositório de certificados pessoal do servidor WSUS, ignore esta seção e comece com a seção Associar o certificado . Para enviar uma solicitação de certificado para sua AC interna para instalar um novo certificado, siga as instruções nesta seção.
No servidor WSUS, abra um prompt de comando administrativo e execute
certlm.msc. Sua conta de usuário precisa ser um administrador local para gerenciar certificados para o computador local.A ferramenta Gerenciador de Certificados para o dispositivo local é exibida.
Expanda Pessoal e clique com o botão direito do mouse em Certificados.
Selecione Todas as tarefas e solicite novo certificado.
Escolha Avançar para iniciar o registro de certificado.
Escolha o tipo de certificado a ser registrado. A finalidade do certificado é Autenticação do Servidor e o modelo de certificado da Microsoft a ser usado é o Web Server ou um modelo personalizado que tem a Autenticação do Servidor especificada como Uso avançado de chave. Você pode ser solicitado a obter informações adicionais para registrar o certificado. Normalmente, você especificará as seguintes informações no mínimo:
- Nome comum: Encontrado na guia Assunto , defina o valor como FQDN do servidor WSUS.
- Nome amigável: Encontrado na guia Geral , defina o valor como um nome descritivo para ajudá-lo a identificar o certificado posteriormente.
Selecione Registrar e Concluir para concluir o registro.
Abra o certificado se quiser ver detalhes sobre ele, como a impressão digital do certificado.
Dica
Se o servidor WSUS estiver voltado para a Internet, você precisará do FQDN externo no SAN (Nome alternativo do assunto ou assunto) em seu certificado.
Associar o certificado ao site de Administração do WSUS
Depois de ter o certificado no repositório de certificados pessoal do servidor WSUS, associe-o ao site de Administração do WSUS no IIS.
No servidor WSUS, abra o Gerenciador de Serviços de Informações da Internet (IIS).
Acesse Sites>WSUS Administration.
Selecione Associações no menu de ação ou clicando com o botão direito do mouse no site.
Na janela Associações de Site , selecione a linha para https e selecione Editar....
- Não remova a associação de site HTTP. O WSUS usa HTTP para os arquivos de conteúdo de atualização.
Na opção certificado SSL , escolha o certificado a ser associado ao site de Administração do WSUS. O nome amigável do certificado é mostrado no menu suspenso. Se um nome amigável não foi especificado, o campo do
IssuedTocertificado será mostrado. Se você não tiver certeza de qual certificado usar, selecione Exibir e verifique se a impressão digital corresponde à obtida.
Selecione OK quando terminar e feche para sair das associações do site. Mantenha o Gerenciador de Serviços de Informações da Internet (IIS) aberto para as próximas etapas.
Configurar os serviços Web do WSUS para exigir SSL
No Gerenciador do IIS no servidor WSUS, acesse Sites>WSUS Administration.
Expanda o site de Administração do WSUS para ver a lista de serviços Web e diretórios virtuais do WSUS.
Para cada um dos serviços Web WSUS abaixo:
- ApiRemoting30
- Clientwebservice
- DSSAuthWebService
- ServerSyncWebService
- SimpleAuthWebService
Faça as seguintes alterações:
- Selecione Configurações de SSL.
- Habilite a opção Exigir SSL .
- Verifique se a opção Certificados do cliente está definida como Ignorar.
- Selecione Aplicar.
Não defina as configurações de SSL no site de administração WSUS de nível superior, pois determinadas funções, como conteúdo, precisam usar HTTP.
Configurar o aplicativo WSUS para usar o SSL
Depois que os serviços Web forem definidos para exigir SSL, o aplicativo WSUS precisará ser notificado para que ele possa fazer alguma configuração adicional para dar suporte à alteração.
Abra um prompt de comando de administrador no servidor WSUS. A conta de usuário que executa esse comando deve ser membro do grupo administradores do WSUS ou do grupo administradores locais.
Altere o diretório para a pasta ferramentas do WSUS:
cd "c:\Program Files\Update Services\Tools"Configure o WSUS para usar o SSL com o seguinte comando:
WsusUtil.exe configuressl server.contoso.comOnde server.contoso.com é o FQDN do servidor WSUS.
O WsusUtil retorna a URL do servidor WSUS com o número da porta especificado no final. A porta será 8531 (padrão) ou 443. Verifique se a URL retornada é o que você esperava. Se algo foi mal tipado, você poderá executar o comando novamente.
Dica
Se o servidor WSUS estiver voltado para a Internet, especifique o FQDN externo ao executar WsusUtil.exe configuressl.
Verificar se o console do WSUS pode se conectar usando o SSL
O console do WSUS usa o serviço Web ApiRemoting30 para conexão. O SUP (ponto de atualização de software) Configuration Manager também usa esse mesmo serviço Web para direcionar o WSUS para executar determinadas ações, como:
- Iniciando uma sincronização de atualização de software
- Definindo o servidor de upstream adequado para WSUS, que depende de onde o site do SUP reside em sua hierarquia de Configuration Manager
- Adicionando ou removendo produtos e classificações para sincronização do servidor WSUS de nível superior da hierarquia.
- Removendo atualizações expiradas
Abra o console do WSUS para verificar se você pode usar uma conexão SSL com o serviço Web ApiRemoting30 do servidor WSUS. Testaremos alguns dos outros serviços Web mais tarde.
Abra o console do WSUS e selecione Action>Connect to Server.
Insira o FQDN do servidor WSUS para a opção Nome do servidor .
Escolha o número da porta retornado na URL do WSUSutil.
A SSL (Camada de Soquetes Seguros) para se conectar a essa opção de servidor habilita automaticamente quando 8531 (padrão) ou 443 são escolhidos.
Se o servidor do site Configuration Manager estiver remoto do ponto de atualização de software, inicie o console do WSUS no servidor do site e verifique se o console do WSUS pode se conectar pelo SSL.
- Se o console remoto do WSUS não puder se conectar, provavelmente indicará um problema em confiar no certificado, na resolução de nomes ou na porta que está sendo bloqueada.
Configurar o ponto de atualização de software para exigir comunicação SSL com o servidor WSUS
Depois que o WSUS estiver configurado para usar o TLS/SSL, você precisará atualizar o ponto de atualização de software Configuration Manager correspondente para exigir SSL também. Quando você fizer essa alteração, Configuration Manager fará:
- Verifique se ele pode configurar o servidor WSUS para o ponto de atualização de software
- Direcione os clientes a usar a porta SSL quando eles forem orientados a examinar esse servidor WSUS.
Para configurar o ponto de atualização de software para exigir comunicação SSL com o servidor WSUS, siga as seguintes etapas:
Abra o console Configuration Manager e conecte-se ao site de administração central ou ao servidor de site primário para o ponto de atualização de software que você precisa editar.
Acesse Administração>Visão geral> Servidores deConfiguração> de Sitee Funções do Sistema de Site.
Selecione o servidor do sistema de site em que o WSUS está instalado e selecione a função do sistema do site de ponto de atualização de software.
Na faixa de opções, escolha Propriedades.
Habilite a opção Exigir comunicação SSL para o servidor WSUS .
No WCM.log do site, você verá as seguintes entradas ao aplicar a alteração:
SCF change notification triggered. Populating config from SCF Setting new configuration state to 1 (WSUS_CONFIG_PENDING) ... Attempting connection to local WSUS server Successfully connected to local WSUS server ... Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
Exemplos de arquivo de log foram editados para remover informações desnecessárias para esse cenário.
Verificar a funcionalidade com Configuration Manager
Verificar se o servidor do site pode sincronizar atualizações
Conecte o console Configuration Manager ao site de nível superior.
Acesse SoftwareAtualizações>All Software Atualizações deVisão Geral> da Biblioteca> de Software.
Na faixa de opções, selecione Sincronizar Software Atualizações.
Selecione Sim para a notificação perguntando se você deseja iniciar uma sincronização em todo o site para atualizações de software.
- Como a configuração do WSUS foi alterada, ocorrerá uma sincronização completa de atualizações de software em vez de uma sincronização delta.
Abra o wsyncmgr.log para o site. Se você estiver monitorando um site filho, precisará aguardar que o site pai conclua a sincronização primeiro. Verifique se o servidor sincroniza com êxito examinando o log em busca de entradas semelhantes às seguintes:
Starting Sync ... Full sync required due to changes in main WSUS server location. ... Found active SUP SERVER.CONTOSO.COM from SCF File. ... https://SERVER.CONTOSO.COM:8531 ... Done synchronizing WSUS Server SERVER.CONTOSO.COM ... sync: Starting SMS database synchronization ... Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
Verificar se um cliente pode verificar se há atualizações
Quando você altera o ponto de atualização de software para exigir SSL, Configuration Manager clientes recebem a URL do WSUS atualizada quando ele faz uma solicitação de local para um ponto de atualização de software. Testando um cliente, podemos:
- Determine se o cliente confia no certificado do servidor WSUS.
- Se o SimpleAuthWebService e o ClientWebService for WSUS estiverem funcionais.
- Que o diretório virtual de conteúdo do WSUS está funcional, se o cliente tiver obtido um EULA durante a verificação
Identifique um cliente que verifica o ponto de atualização de software recentemente alterado para usar TLS/SSL. Use executar scripts com o script abaixo do PowerShell se precisar de ajuda para identificar um cliente:
$Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath Write-Host "LastGoodSUP- $last" Write-Host "CurrentSUP- $current"Dica
Abra este script no hub comunitário. Para obter mais informações, consulte Links diretos para itens do hub comunitário.
Execute um ciclo de verificação de atualização de software em seu cliente de teste. Você pode forçar uma verificação com o seguinte script do PowerShell:
Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"Dica
Abra este script no hub comunitário. Para obter mais informações, consulte Links diretos para itens do hub comunitário.
Examine o ScanAgent.log do cliente para verificar se a mensagem a ser examinada no ponto de atualização de software foi recebida.
Message received: '<?xml version='1.0' ?> <UpdateSourceMessage MessageType='ScanByUpdateSource'> <ForceScan>TRUE</ForceScan> <UpdateSourceIDs> <ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID> </UpdateSourceIDs> </UpdateSourceMessage>'Examine o LocationServices.log para verificar se o cliente vê a URL correta do WSUS. LocationServices.log
WSUSLocationReply : <WSUSLocationReply SchemaVersion="1 ... <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM" ... </WSUSLocationReply>Examine o WUAHandler.log para verificar se o cliente pode verificar com êxito.
Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531 ... Successfully completed scan.
Fixação de certificado TLS para dispositivos que verificam servidores WSUS configurados por HTTPS
(Introdução na versão 2103)
A partir de Configuration Manager 2103, você pode aumentar ainda mais a segurança das verificações HTTPS no WSUS aplicando a fixação de certificado. Para habilitar totalmente esse comportamento, adicione certificados para seus servidores WSUS ao novo WindowsServerUpdateServices repositório de certificados em seus clientes e verifique se a fixação de certificados está habilitada por meio das Configurações do Cliente. Para obter mais informações sobre as alterações no Agente Windows Update, consulte Verificar alterações e certificados adicionam segurança para dispositivos Windows usando o WSUS para atualizações - Microsoft Tech Community.
Pré-requisitos para impor a fixação de certificado TLS para Windows Update cliente
- Configuration Manager versão 2103
- Verifique se os servidores WSUS e os pontos de atualização de software estão configurados para usar o TLS/SSL
- Adicione os certificados para seus servidores WSUS ao novo
WindowsServerUpdateServicesrepositório de certificados em seus clientes- Ao usar a fixação de certificado com um CMG (gateway de gerenciamento de nuvem), o
WindowsServerUpdateServicesrepositório precisa do certificado CMG. Se os clientes mudarem da Internet para VPN, os certificados de servidor CMG e WSUS serão necessários naWindowsServerUpdateServicesloja.
- Ao usar a fixação de certificado com um CMG (gateway de gerenciamento de nuvem), o
Observação
As verificações de atualização de software para dispositivos continuarão a ser executadas com êxito usando o valor padrão de Sim para a fixação do certificado TLS para Windows Update cliente para detectar a configuração do cliente de atualizações. Isso inclui verificações em HTTP e HTTPS. A fixação de certificado não entra em vigor até que um certificado esteja no repositório do WindowsServerUpdateServices cliente e o servidor WSUS esteja configurado para usar o TLS/SSL.
Habilitar ou desabilitar a fixação de certificado TLS para dispositivos que verificam servidores WSUS configurados por HTTPS
- No console Configuration Manager, vá paraConfigurações de Cliente de Administração>.
- Escolha as Configurações padrão do cliente ou um conjunto personalizado de configurações de cliente e selecione Propriedades na faixa de opções.
- Selecione a guia Software Atualizações nas configurações do Cliente
- Escolha uma das seguintes opções para impor a fixação de certificado TLS para Windows Update cliente para detectar a configuração de atualizações:
- Não: não habilite a aplicação da fixação de certificado TLS para a verificação do WSUS
- Sim: habilita a aplicação da fixação de certificado TLS para dispositivos durante a verificação do WSUS (padrão)
- Verifique se os clientes podem verificar se há atualizações.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de