Tutorial: Configurar um ponto de atualização de software para utilizar o TLS/SSL com um certificado PKI

Aplica-se a: Gestor de Configuração (ramo atual)

Configurar Windows Server Update Services servidores (WSUS) e os respetivos pontos de atualização de software (SUP) para utilizar o TLS/SSL pode reduzir a capacidade de um potencial intruso comprometer remotamente um cliente e elevar privilégios. Para garantir que os melhores protocolos de segurança estão em vigor, recomendamos vivamente que utilize o protocolo TLS/SSL para ajudar a proteger a sua infraestrutura de atualização de software. Este artigo percorre os passos necessários para configurar cada um dos seus servidores WSUS e o ponto de atualização do software para utilizar HTTPS. Para obter mais informações sobre a segurança da WSUS, consulte o WSUS Seguro com o artigo do Protocolo de Camada de Tomadas Seguras na documentação WSUS.

Neste tutorial, vai:

• Obtenha um certificado PKI, se necessário
• Vincular o certificado ao site da Administração WSUS
• Configure os serviços web da WSUS para exigir sSL
• Configure a aplicação WSUS para utilizar o SSL
• Verifique se a ligação à consola WSUS pode utilizar sSL
• Configure o ponto de atualização de software para exigir comunicação SSL ao servidor WSUS
• Verificar funcionalidade com Gestor de Configuração

Considerações e limitações

A WSUS utiliza o TLS/SSL para autenticar computadores clientes e servidores WSUS a jusante para o servidor WSUS a montante. A WSUS também utiliza tls/SSL para encriptar metadados de atualização. A WSUS não utiliza TLS/SSL para ficheiros de conteúdo de uma atualização. Os ficheiros de conteúdo são assinados e o hash do ficheiro está incluído nos metadados da atualização. Antes de os ficheiros serem transferidos e instalados pelo cliente, tanto a assinatura digital como o hash são verificados. Se a verificação falhar, a atualização não será instalada.

Considere as seguintes limitações quando utilizar o TLS/SSL para garantir uma implantação WSUS:

• A utilização de TLS/SSL aumenta a carga de trabalho do servidor. Deverá esperar uma pequena perda de desempenho ao encriptar todos os metadados enviados através da rede.
• Se utilizar o WSUS com uma base de dados de SQL Server remota, a ligação entre o servidor WSUS e o servidor de base de dados não é protegida pelo TLS/SSL. Se a ligação à base de dados tiver de ser assegurada, considere as seguintes recomendações:
  • Mova a base de dados WSUS para o servidor WSUS.
  • Mover o servidor de base de dados remoto e o servidor WSUS para uma rede privada.
  • Implemente a segurança IPsec para ajudar a proteger o tráfego de rede.

Ao configurar os servidores WSUS e os seus pontos de atualização de software para utilizar o TLS/SSL, poderá querer fasear as alterações para as grandes hierarquias do Gestor de Configuração. Se optar por fasear estas alterações, comece na parte inferior da hierarquia e avance terminando com o site da administração central.

Pré-requisitos

Este tutorial abrange o método mais comum para obter um certificado para utilização com Serviços de Informação Internet (IIS). Qualquer que seja o método que a sua organização utiliza, certifique-se de que o certificado satisfaz os requisitos do certificado PKI para um ponto de atualização de software do Gestor de Configuração. Como em qualquer certificado, a autoridade de certificado deve ser confiada por dispositivos que comunicam com o servidor WSUS.

• Um servidor WSUS com a função de ponto de atualização de software instalada
• Verifique se seguiu as melhores práticas de reciclagem e configuração dos limites de memória para o WSUS antes de permitir o TLS/SSL.
• Uma das duas seguintes opções:
  • Um certificado PKI apropriado já na loja de certificados pessoais do servidor WSUS.
  • A capacidade de solicitar e obter um certificado PKI apropriado para o servidor WSUS da sua autoridade de certificados de raiz da Enterprise (CA).
    • Por predefinição, a maioria dos modelos de certificado, incluindo o modelo de certificado WebServer, só emitirá para Os Administradores de Domínio. Se o utilizador registado não for um administrador de domínio, a sua conta de utilizador terá de ser concedida a permissão de Inscrição no modelo de certificado.

Obtenha o certificado da AC, se necessário

Se já tiver um certificado apropriado na loja de certificados pessoais do servidor WSUS, salte esta secção e comece com a secção 'Vincular'. Para enviar um pedido de certificado à sua AC interna para instalar um novo certificado, siga as instruções desta secção.

1. A partir do servidor WSUS, abra um pedido de comando administrativo e corra certlm.msc . A sua conta de utilizador tem de ser um administrador local para gerir certificados para o computador local.

   Aparece a ferramenta Certificate Manager para o dispositivo local.

2. Expandir Pessoal, em seguida, clicar à direita em Certificados.

3. Selecione Todas as Tarefas e, em seguida, Solicite novo certificado.

4. Escolha o próximo para iniciar a inscrição do certificado.

5. Escolha o tipo de certificado para se inscrever. O final do certificado é autenticação do servidor e o modelo de certificado da Microsoft a utilizar é o Web Server ou um modelo personalizado que tem autenticação do servidor especificado como Utilização de Chave Melhorada. Pode ser solicitado informações adicionais para inscrever o certificado. Normalmente, irá especificar as seguintes informações no mínimo:

   • Nome comum: Encontrado no separador Assunto, desajei o valor ao FQDN do servidor WSUS.
   • Nome amigável: Encontrado no separador Geral, desa um nome descritivo para ajudá-lo a identificar o certificado mais tarde.

   

6. Selecione Matricular-se e terminar para completar a inscrição.

7. Abra o certificado se quiser ver detalhes sobre o mesmo, como a impressão digital do certificado.

Dica

Se o seu servidor WSUS estiver virado para a Internet, necessitará do FQDN externo no Nome Alternativo Sujeito ou Assunto (SAN) no seu certificado.

Vincular o certificado ao site da Administração WSUS

Assim que tiver o certificado na loja de certificados pessoais do servidor WSUS, ligue-o ao site da Administração WSUS no IIS.

1. No servidor WSUS, abra o Gestor de Serviços de Informação Internet (IIS).

2. Vá à > Administração WSUS dos Sites.

3. Selecione Encadernações do menu de ação ou clicando à direita no site.

4. Na janela 'Encadernações do Site', selecione a linha para https e, em seguida, selecione Editar....

   • Não remova a ligação do site HTTP. A WSUS utiliza HTTP para os ficheiros de conteúdo da atualização.

5. De acordo com a opção de certificado SSL, escolha o certificado para vincular ao site da Administração WSUS. O nome amigável do certificado é mostrado no menu suspenso. Se um nome amigável não foi especificado, então o campo do certificado IssuedTo é mostrado. Se não tiver a certeza de que certificado utilizar, selecione Ver e verifique se a impressão digital corresponde à que obteve.

   

6. Selecione OK quando terminar e, em seguida, feche para sair das ligações do site. Mantenha Serviços de Informação Internet (IIS) Manager aberto para os próximos passos.

Configure os serviços web da WSUS para exigir sSL

1. In IIS Manager no servidor WSUS, vá à > Administração WSUS do Sites.

2. Expanda o site da Administração WSUS para que veja a lista de serviços web e diretórios virtuais para a WSUS.

3. Para cada um dos serviços web da WSUS abaixo:

   • ApiRemoting30
   • ClientWebService
   • DSSAuthWebService
   • ServerSyncWebService
   • SimpleAuthWebService

   Efetue as seguintes alterações:

   1. Selecione Definições SSL.
   2. Ative a opção Requerer SSL.
   3. Verifique se a opção de certificados cliente está definida para Ignorar.
   4. Selecione Aplicar.

Não defina as definições SSL no site de administração WSUS de alto nível, uma vez que certas funções, como o conteúdo, precisam de utilizar HTTP.

Configure a aplicação WSUS para utilizar o SSL

Uma vez que os serviços web são definidos para exigir SSL, a aplicação WSUS precisa ser notificada para que possa fazer alguma configuração adicional para suportar a mudança.

1. Abra um pedido de comando administrativo no servidor WSUS. A conta de utilizador que executa este comando deve ser membro do grupo de administradores da WSUS ou do grupo de administradores locais.

2. Altere o diretório para a pasta de ferramentas para wSUS:

   cd "c:\Program Files\Update Services\Tools"

3. Configure a WSUS para utilizar o SSL com o seguinte comando:

   WsusUtil.exe configuressl server.contoso.com

   Onde server.contoso.com é o FQDN do servidor WSUS.

4. A WsusUtil devolve o URL do servidor WSUS com o número de porta especificado no final. A porta será 8531 (padrão) ou 443. Verifique se o URL devolvido é o que esperava. Se algo foi mal ordenado, pode dirigir o comando novamente.

   

Dica

Se o seu servidor WSUS estiver virado para a Internet, especifique o FQDN externo ao executar WsusUtil.exe configuressl .

Verifique se a consola WSUS pode ligar-se através do SSL

A consola WSUS utiliza o serviço web ApiRemoting30 para ligação. O ponto de atualização de software do Gestor de Configuração (SUP) também utiliza este mesmo serviço web para direcionar a WSUS para tomar certas ações tais como:

• Iniciar uma sincronização de atualização de software
• Configurar o servidor a montante adequado para o WSUS, que depende do local onde o site do SUP reside na sua hierarquia de Gestor de Configuração
• Adicionar ou remover produtos e classificações para sincronização a partir do servidor WSUS de alto nível da hierarquia.
• Remoção de atualizações caducadas

Abra a consola WSUS para verificar se pode utilizar uma ligação SSL ao serviço web ApiRemoting30 do servidor WSUS. Vamos testar alguns dos outros serviços web mais tarde.

1. Abra a consola WSUS e selecione Action > Ligação para Server.

2. Introduza o FQDN do servidor WSUS para a opção nome do Servidor.

3. Escolha o número de porta devolvido no URL da WSUSutil.

4. A camada de tomadas seguras de utilização (SSL) para ligar a esta opção de servidor ativa automaticamente quando são escolhidos 8531 (predefinido) ou 443.

   

5. Se o servidor do site do Seu Gestor de Configuração estiver afastado do ponto de atualização do software, inicie a consola WSUS a partir do servidor do site e verifique se a consola WSUS pode ligar-se ao SSL.

   • Se a consola remota WSUS não conseguir ligar, provavelmente indica um problema em confiar no certificado, na resolução do nome ou na porta bloqueada.

Configure o ponto de atualização de software para exigir comunicação SSL ao servidor WSUS

Uma vez configurado o WSUS para utilizar o TLS/SSL, terá de atualizar o ponto de atualização de software do Gestor de Configuração correspondente para exigir também SSL. Quando escoda esta alteração, o Gestor de Configurações:

• Verifique se pode configurar o servidor WSUS para o ponto de atualização do software
• Direcione os clientes a utilizarem a porta SSL quando lhes for dito para verificarem contra este servidor WSUS.

Para configurar o ponto de atualização do software para exigir comunicação SSL ao servidor WSUS, faça os seguintes passos:

1. Abra a consola 'Gestor de Configuração' e ligue-se ao site da administração central ou ao servidor do site primário para o ponto de atualização do software que precisa de editar.

2. Aceda a servidores de > > configuração do site de visão geral da administração > e funções do sistema de site.

3. Selecione o servidor do sistema de site onde o WSUS está instalado e, em seguida, selecione a função do sistema de site de atualização de software.

4. A partir da fita, escolha Propriedades.

5. Ativar a comunicação SSL requere à opção do servidor WSUS.

   

6. Na .log WCM para o site, verá as seguintes entradas quando aplicar a alteração:

   SCF change notification triggered.
   Populating config from SCF
   Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
   ...
   Attempting connection to local WSUS server
   Successfully connected to local WSUS server
   ...
   Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
   

Os exemplos de registo de ficheiros foram editados para remover informações não precisas para este cenário.

Verificar funcionalidade com Gestor de Configuração

Verifique se o servidor do site pode sincronizar atualizações

1. Ligação a consola do Gestor de Configuração para o site de nível superior.

2. Aceda a atualizações de software da Biblioteca de Software > > > todas as atualizações de software.

3. A partir da fita, selecione Synchronize Software Updates.

4. Selecione Sim para a notificação perguntando se deseja iniciar uma sincronização em todo o site para atualizações de software.

   • Uma vez que a configuração WSUS foi alterada, uma sincronização completa de atualizações de software ocorrerá em vez de uma sincronização delta.

5. Abra o wsyncmgr.log para o local. Se estiver a monitorizar um site infantil, terá de esperar que o local dos pais termine primeiro a sincronização. Verifique se o servidor sincroniza com sucesso, revendo o registo de entradas semelhantes às seguintes:

   Starting Sync
   ...
   Full sync required due to changes in main WSUS server location.
   ...
   Found active SUP SERVER.CONTOSO.COM from SCF File.
   ...
   https://SERVER.CONTOSO.COM:8531
   ...
   Done synchronizing WSUS Server SERVER.CONTOSO.COM
   ...
   sync: Starting SMS database synchronization
   ...
   Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
   

Verifique se um cliente pode pesquisar por atualizações

Quando altera o ponto de atualização do software para exigir SSL, os clientes do Gestor de Configuração recebem o URL WSUS atualizado quando faz um pedido de localização para um ponto de atualização de software. Testando um cliente, podemos:

• Determine se o cliente confia no certificado do servidor WSUS.
• Se o SimpleAuthWebService e o ClientWebService para wSUS estiverem funcionais.
• Que o diretório virtual de conteúdo WSUS é funcional, se o cliente tiver um EULA durante a varredura

1. Identifique um cliente que verifique contra o ponto de atualização de software recentemente alterado para usar TLS/SSL. Use scripts executar com o script abaixo do PowerShell se precisar de ajuda para identificar um cliente:

   $Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
   $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
   Write-Host "LastGoodSUP- $last"
   Write-Host "CurrentSUP- $current"
   

   Dica

   Abra este roteiro no centro comunitário. Para obter mais informações, consulte links diretos para itens do hub da comunidade.

2. Executar um ciclo de verificação de atualização de software no seu cliente de teste. Pode forçar uma digitalização com o seguinte script PowerShell:

   Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
   

   Dica

   Abra este roteiro no centro comunitário. Para obter mais informações, consulte links diretos para itens do hub da comunidade.

3. Reveja o ScanAgent do cliente.log para verificar se a mensagem para verificar contra o ponto de atualização de software foi recebida.

   Message received: '<?xml version='1.0' ?>
   <UpdateSourceMessage MessageType='ScanByUpdateSource'>
      <ForceScan>TRUE</ForceScan>
      <UpdateSourceIDs>
            <ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
      </UpdateSourceIDs>
    </UpdateSourceMessage>'
   

4. Reveja o .log LocationServices para verificar se o cliente vê o URL WSUS correto. LocationServices.log

   WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
   ...
   <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
   ...
   </WSUSLocationReply>
   

5. Reveja a .log WUAHandler para verificar se o cliente pode digitalizar com sucesso.

   Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
   ...
   Successfully completed scan.
   

Certificação TLS para dispositivos que digitalizam servidores WSUS configurados pelo HTTPS

(Introduzido em 2103)

A partir do Gestor de Configuração 2103, pode aumentar ainda mais a segurança das verificações HTTPS contra a WSUS, impondo a fixação de certificados. Para ativar totalmente este comportamento, adicione certificados para os seus servidores WSUS à nova WindowsServerUpdateServices loja de certificados nos seus clientes e certifique-se de que a fixação de certificados é ativada através do Definições do Cliente . Para obter mais informações sobre as alterações ao Agente de Atualização Windows, consulte alterações e certificados de digitalização, adicione segurança para dispositivos Windows utilizando o WSUS para atualizações - Microsoft Tech Community.

Pré-requisitos para a aplicação do certificado TLS para Windows cliente Update

• Versão 2103 do Gestor de Configuração
• Certifique-se de que os seus servidores WSUS e pontos de atualização de software estão configurados para utilizar o TLS/SSL
• Adicione os certificados dos seus servidores WSUS à nova WindowsServerUpdateServices loja de certificados nos seus clientes

Nota

As análises de atualização de software para dispositivos continuarão a funcionar com sucesso utilizando o valor padrão do Certificado Sim para o Certificado De Aplicação TLS que fixa para Windows cliente Update para detetar a definição do cliente de atualizações. Isto inclui digitalizações em HTTP e HTTPS. A fixação do certificado não produz efeitos até que um certificado esteja na loja do cliente WindowsServerUpdateServices e o servidor WSUS esteja configurado para utilizar o TLS/SSL.

Ativar ou desativar a fixação do certificado TLS para dispositivos que analisem servidores WSUS configurados pelo HTTPS

1. A partir da consola Gestor de Configuração, vá para a > Administração Definições.
2. Escolha o Definições do Cliente Predefinido ou um conjunto personalizado de configurações do cliente e, em seguida, selecione Propriedades a partir da fita.
3. Selecione o separador Atualizações de Software nas definições do Cliente
4. Escolha uma das seguintes opções para o certificado Enforce TLS que fixa para Windows cliente Update para detetar a definição de atualizações:
   • Não: Não permitir a aplicação do certificado TLS para a digitalização da WSUS
   • Sim: Permite a aplicação do certificado TLS para dispositivos durante a digitalização da WSUS (padrão)
5. Verifique se os clientes podem procurar por atualizações.

Passos seguintes

Implementar atualizações de software