Руководство. Настройка точки обновления программного обеспечения для использования TLS/SSL с PKI-сертификатом
Относится к Configuration Manager (Current Branch)
Настройка серверов Windows Server Update Services (WSUS) и соответствующих точек обновления программного обеспечения (SUP) для использования TLS/SSL может снизить способность потенциального злоумышленника удаленно компрометировать клиент и повышать привилегии. Чтобы обеспечить наличие наилучших протоколов безопасности, настоятельно рекомендуется использовать протокол TLS/SSL для защиты инфраструктуры обновлений программного обеспечения. В этой статье описаны действия, необходимые для настройки каждого сервера WSUS и точки обновления программного обеспечения для использования ПРОТОКОЛА HTTPS. Дополнительные сведения о защите WSUS см. в статье Защита WSUS с помощью протокола протокола уровня безопасных сокетов документации по WSUS.
В этом руководстве описан порядок выполнения перечисленных ниже задач.
- При необходимости получите PKI-сертификат
- Привязка сертификата к веб-сайту администрирования WSUS
- Настройка веб-служб WSUS для требования SSL
- Настройка приложения WSUS для использования SSL
- Убедитесь, что подключение к консоли WSUS может использовать SSL
- Настройка точки обновления программного обеспечения для необходимости подключения SSL к серверу WSUS
- Проверка функциональности с помощью Configuration Manager
Рекомендации и ограничения
Службы WSUS используют ПРОТОКОЛ TLS/SSL для проверки подлинности клиентских компьютеров и подчиненных серверов WSUS на вышестоящем сервере WSUS. WSUS также использует TLS/SSL для шифрования метаданных обновления. СЛУЖБЫ WSUS не используют TLS/SSL для файлов содержимого обновления. Файлы содержимого подписываются, а хэш файла включается в метаданные обновления. Перед загрузкой и установкой файлов клиентом проверяется цифровая подпись и хэш. В случае сбоя любой из проверок обновление не будет установлено.
Учитывайте следующие ограничения при использовании TLS/SSL для защиты развертывания WSUS.
- Использование TLS/SSL увеличивает рабочую нагрузку сервера. При шифровании всех метаданных, отправляемых по сети, следует ожидать небольшой потери производительности.
- При использовании WSUS с удаленной базой данных SQL Server соединение между сервером WSUS и сервером базы данных не защищено протоколом TLS/SSL. Если подключение к базе данных должно быть защищено, рассмотрите следующие рекомендации.
- Переместите базу данных WSUS на сервер WSUS.
- Переместите удаленный сервер базы данных и сервер WSUS в частную сеть.
- Разверните протокол IPsec, чтобы защитить сетевой трафик.
При настройке серверов WSUS и их точек обновления программного обеспечения для использования TLS/SSL может потребоваться поэтапное внесение изменений в большие иерархии Configuration Manager. Если вы решили поэтапно выполнить эти изменения, начните с нижней части иерархии и перейдите вверх, заканчивая сайтом центра администрирования.
Предварительные условия
В этом руководстве рассматривается наиболее распространенный способ получения сертификата для использования со службами IIS. Какой бы метод ни использовался в вашей организации, убедитесь, что сертификат соответствует требованиям PKI-сертификата для точки обновления программного обеспечения Configuration Manager. Как и в случае с любым сертификатом, центр сертификации должен быть доверенным с устройств, взаимодействующих с сервером WSUS.
- Сервер WSUS с установленной ролью точки обновления программного обеспечения
- Перед включением TLS/SSL убедитесь, что вы следовали рекомендациям по отключению повторного использования и настройке ограничений памяти для WSUS.
- Один из двух следующих вариантов:
- Соответствующий PKI-сертификат уже находится в хранилище личных сертификатов сервера WSUS.
- Возможность запрашивать и получать соответствующий PKI-сертификат для сервера WSUS из корневого центра сертификации (ЦС).
- По умолчанию большинство шаблонов сертификатов, включая шаблон сертификата WebServer, выдаются только администраторам домена. Если пользователь, выполнивший вход, не является администратором домена, его учетной записи пользователя потребуется предоставить разрешение на регистрацию в шаблоне сертификата.
При необходимости получите сертификат из ЦС
Если у вас уже есть соответствующий сертификат в хранилище личных сертификатов сервера WSUS, пропустите этот раздел и начните с раздела Привязка сертификата . Чтобы отправить запрос на сертификат во внутренний ЦС для установки нового сертификата, следуйте инструкциям в этом разделе.
На сервере WSUS откройте командную строку администратора и выполните команду
certlm.msc
. Ваша учетная запись пользователя должна быть локальным администратором для управления сертификатами для локального компьютера.Откроется средство диспетчера сертификатов для локального устройства.
Разверните узел Личный, а затем щелкните правой кнопкой мыши пункт Сертификаты.
Выберите Все задачи и запросить новый сертификат.
Нажмите кнопку Далее , чтобы начать регистрацию сертификата.
Выберите тип сертификата для регистрации. Сертификат предназначен для проверки подлинности сервера , а шаблон сертификата Майкрософт для использования — веб-сервер или пользовательский шаблон с проверкой подлинности сервера , указанным как расширенное использование ключа. Возможно, вам будет предложено ввести дополнительные сведения о регистрации сертификата. Как правило, необходимо указать как минимум следующие сведения:
- Общее имя: На вкладке Тема задайте полное доменное имя сервера WSUS.
- Понятное имя: На вкладке Общие задайте для значения описательное имя, которое поможет вам определить сертификат позже.
Нажмите кнопку Регистрация , а затем готово , чтобы завершить регистрацию.
Откройте сертификат, если вы хотите просмотреть сведения о нем, например отпечаток сертификата.
Совет
Если сервер WSUS подключен к Интернету, вам потребуется внешнее полное доменное имя в поле Subject или Subject Alternative Name (SAN) в сертификате.
Привязка сертификата к сайту администрирования WSUS
Получив сертификат в личном хранилище сертификатов сервера WSUS, привяжите его к сайту администрирования WSUS в IIS.
На сервере WSUS откройте диспетчер служб IIS.
Перейдите в разделАдминистрирование WSUSсайтов>.
Выберите Привязки в меню действий или щелкните правой кнопкой мыши сайт.
В окне Привязки сайта выберите строку https, а затем выберите Изменить....
- Не удаляйте привязку сайта HTTP. WSUS использует ПРОТОКОЛ HTTP для файлов содержимого обновления.
В разделе SSL-сертификат выберите сертификат для привязки к сайту администрирования WSUS. Понятное имя сертификата отображается в раскрывающемся меню. Если понятное имя не указано, отображается поле сертификата
IssuedTo
. Если вы не знаете, какой сертификат использовать, выберите Вид и убедитесь, что отпечаток соответствует полученному.По завершении нажмите кнопку ОК , а затем — Закрыть , чтобы выйти из привязок сайта. Чтобы выполнить следующие действия, не закрывайте диспетчер служб IIS.
Настройка веб-служб WSUS для требования SSL
В диспетчере IIS на сервере WSUS перейдите в разделАдминистрирование WSUSсайтов>.
Разверните сайт администрирования WSUS, чтобы просмотреть список веб-служб и виртуальных каталогов для WSUS.
Для каждой из следующих веб-служб WSUS:
- ApiRemoting30
- ClientWebService
- DSSAuthWebService
- ServerSyncWebService
- SimpleAuthWebService
Внесите следующие изменения:
- Выберите Параметры SSL.
- Включите параметр Требовать SSL .
- Убедитесь, что для параметра Сертификаты клиента задано значение Игнорировать.
- Нажмите Применить.
Не устанавливайте параметры SSL на сайте администрирования WSUS верхнего уровня, так как некоторые функции, такие как содержимое, должны использовать HTTP.
Настройка приложения WSUS для использования SSL
Когда веб-службам будет задано требование SSL, приложение WSUS должно быть уведомлено, чтобы он смог выполнить дополнительную настройку для поддержки изменения.
Откройте командную строку администратора на сервере WSUS. Учетная запись пользователя, выполняющая эту команду, должна быть членом группы администраторов WSUS или локальной группы администраторов.
Измените каталог на папку tools для WSUS:
cd "c:\Program Files\Update Services\Tools"
Настройте СЛУЖБЫ WSUS для использования SSL с помощью следующей команды:
WsusUtil.exe configuressl server.contoso.com
Где server.contoso.com — это полное доменное имя сервера WSUS.
WsusUtil возвращает URL-адрес сервера WSUS с номером порта, указанным в конце. Порт будет иметь значение 8531 (по умолчанию) или 443. Убедитесь, что возвращенный URL-адрес соответствует ожидаемому. Если что-то было введено неправильно, можно выполнить команду еще раз.
Совет
Если сервер WSUS подключен к Интернету, укажите внешнее полное доменное имя при запуске WsusUtil.exe configuressl
.
Убедитесь, что консоль WSUS может подключаться по протоколу SSL
Консоль WSUS использует для подключения веб-службу ApiRemoting30. Точка обновления программного обеспечения Configuration Manager (SUP) также использует эту же веб-службу, чтобы направить WSUS на выполнение определенных действий, таких как:
- Инициализация синхронизации обновлений программного обеспечения
- Настройка правильного вышестоящего сервера для WSUS, который зависит от расположения сайта SUP в иерархии Configuration Manager.
- Добавление или удаление продуктов и классификаций для синхронизации с сервера WSUS верхнего уровня иерархии.
- Удаление просроченных обновлений
Откройте консоль WSUS, чтобы убедиться, что вы можете использовать SSL-подключение к веб-службе ApiRemoting30 сервера WSUS. Мы протестируем некоторые другие веб-службы позже.
Откройте консоль WSUS и выберите Действие>Подключиться к серверу.
Введите полное доменное имя сервера WSUS для параметра Имя сервера .
Выберите номер порта , возвращенный в URL-адресе из WSUSutil.
Параметр Использовать ssl для подключения к этому серверу автоматически включается при выборе 8531 (по умолчанию) или 443.
Если сервер сайта Configuration Manager удален от точки обновления программного обеспечения, запустите консоль WSUS с сервера сайта и убедитесь, что консоль WSUS может подключаться по протоколу SSL.
- Если удаленной консоли WSUS не удается подключиться, скорее всего, это указывает на проблему с доверием к сертификату, разрешению имен или блокировке порта.
Настройка точки обновления программного обеспечения для необходимости подключения SSL к серверу WSUS
После настройки WSUS для использования TLS/SSL необходимо обновить соответствующую точку обновления программного обеспечения Configuration Manager, чтобы также требовать ssl. При внесении этого изменения Configuration Manager:
- Убедитесь, что сервер WSUS может настроить для точки обновления программного обеспечения.
- Направляйте клиентам использовать SSL-порт, когда им будет предложено проверить этот сервер WSUS.
Чтобы настроить точку обновления программного обеспечения так, чтобы она требовала ssl-связь с сервером WSUS, выполните следующие действия.
Откройте консоль Configuration Manager и подключитесь к сайту центра администрирования или серверу первичного сайта для точки обновления программного обеспечения, которая требуется изменить.
Перейдите в раздел Администрирование>Общие сведения>о серверах конфигурации>сайта и ролях системы сайта.
Выберите сервер системы сайта, на котором установлены службы WSUS, а затем выберите роль системы сайта точки обновления программного обеспечения.
На ленте выберите Свойства.
Включите параметр Требовать ssl-связь с сервером WSUS .
В WCM.log для сайта при применении изменения вы увидите следующие записи:
SCF change notification triggered. Populating config from SCF Setting new configuration state to 1 (WSUS_CONFIG_PENDING) ... Attempting connection to local WSUS server Successfully connected to local WSUS server ... Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
Примеры файлов журнала были изменены, чтобы удалить ненужные сведения для этого сценария.
Проверка функциональности с помощью Configuration Manager
Проверка того, что сервер сайта может синхронизировать обновления
Подключите консоль Configuration Manager к сайту верхнего уровня.
Перейдите в раздел Библиотека> программного обеспеченияОбзор>Обновления>программного обеспечения Все обновления программного обеспечения.
На ленте выберите Синхронизировать обновления программного обеспечения.
Выберите Да в уведомлении о том, хотите ли вы инициировать синхронизацию на уровне сайта для обновлений программного обеспечения.
- После изменения конфигурации WSUS будет выполняться полная синхронизация обновлений программного обеспечения, а не разностная синхронизация.
Откройте wsyncmgr.log сайта. Если вы отслеживаете дочерний сайт, необходимо сначала дождаться завершения синхронизации родительского сайта. Убедитесь, что сервер успешно синхронизируется, просмотрите журнал на наличие записей, аналогичных следующим:
Starting Sync ... Full sync required due to changes in main WSUS server location. ... Found active SUP SERVER.CONTOSO.COM from SCF File. ... https://SERVER.CONTOSO.COM:8531 ... Done synchronizing WSUS Server SERVER.CONTOSO.COM ... sync: Starting SMS database synchronization ... Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
Проверка того, что клиент может проверять наличие обновлений
При изменении точки обновления программного обеспечения на требование SSL клиенты Configuration Manager получают обновленный URL-адрес WSUS при отправке запроса на расположение для точки обновления программного обеспечения. Протестировав клиент, мы можем:
- Определите, доверяет ли клиент сертификату сервера WSUS.
- Если SimpleAuthWebService и ClientWebService для WSUS работают.
- Что виртуальный каталог содержимого WSUS работает, если клиент получил лицензионное соглашение во время проверки
Определите клиента, который проверяет точку обновления программного обеспечения, которая недавно была изменена на использование TLS/SSL. Если вам нужна помощь с определением клиента, используйте скрипты запуска с приведенным ниже скриптом PowerShell:
$Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath Write-Host "LastGoodSUP- $last" Write-Host "CurrentSUP- $current"
Совет
Откройте этот скрипт в центре сообщества. Дополнительные сведения см. в разделе Прямые ссылки на элементы центра сообщества.
Запустите цикл проверки обновлений программного обеспечения в тестовом клиенте. Принудительная проверка выполняется с помощью следующего сценария PowerShell:
Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
Совет
Откройте этот скрипт в центре сообщества. Дополнительные сведения см. в разделе Прямые ссылки на элементы центра сообщества.
Проверьте ScanAgent.log клиента, чтобы убедиться, что сообщение для проверки точки обновления программного обеспечения получено.
Message received: '<?xml version='1.0' ?> <UpdateSourceMessage MessageType='ScanByUpdateSource'> <ForceScan>TRUE</ForceScan> <UpdateSourceIDs> <ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID> </UpdateSourceIDs> </UpdateSourceMessage>'
Просмотрите LocationServices.log , чтобы убедиться, что клиент видит правильный URL-адрес WSUS. LocationServices.log
WSUSLocationReply : <WSUSLocationReply SchemaVersion="1 ... <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM" ... </WSUSLocationReply>
Просмотрите WUAHandler.log , чтобы убедиться, что клиент может успешно сканировать.
Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531 ... Successfully completed scan.
Закрепление сертификатов TLS для устройств, сканирующих серверы WSUS, настроенные по протоколу HTTPS
(Представлено в версии 2103)
Начиная с Configuration Manager 2103, вы можете дополнительно повысить безопасность проверки HTTPS для WSUS, применяя закрепление сертификата. Чтобы полностью включить это поведение, добавьте сертификаты для серверов WSUS в новое WindowsServerUpdateServices
хранилище сертификатов на клиентах и убедитесь, что закрепление сертификатов включено с помощью параметров клиента. Дополнительные сведения об изменениях в агенте Центра обновления Windows см. в статье Проверка изменений и сертификатов добавляет безопасность для устройств Windows с помощью WSUS для обновлений — Техническое сообщество Майкрософт.
Предварительные требования для принудительного закрепления сертификатов TLS для клиента Центра обновления Windows
- Configuration Manager версии 2103
- Убедитесь, что серверы WSUS и точки обновления программного обеспечения настроены на использование TLS/SSL.
- Добавление сертификатов для серверов WSUS в новое
WindowsServerUpdateServices
хранилище сертификатов на клиентах- При использовании закрепления сертификатов с помощью шлюза управления облаком (CMG) хранилищу
WindowsServerUpdateServices
требуется сертификат CMG. Если клиенты переключаются из Интернета в VPN, в хранилище требуютсяWindowsServerUpdateServices
сертификаты сервера CMG и WSUS.
- При использовании закрепления сертификатов с помощью шлюза управления облаком (CMG) хранилищу
Примечание.
Проверка обновлений программного обеспечения для устройств продолжит успешно выполняться с использованием значения по умолчанию Да для параметра Принудительное закрепление сертификата TLS для клиента Центра обновления Windows для обнаружения обновлений . Сюда входят проверки по протоколу HTTP и HTTPS. Закрепление сертификата не вступают в силу, пока сертификат не находится в хранилище клиента WindowsServerUpdateServices
и сервер WSUS не будет настроен на использование TLS/SSL.
Включение или отключение закрепление сертификатов TLS для устройств, сканирующих серверы WSUS, настроенные по протоколу HTTPS
- В консоли Configuration Manager перейдите в раздел Администрирование>параметров клиента.
- Выберите Параметры клиента по умолчанию или настраиваемый набор параметров клиента, а затем выберите Свойства на ленте.
- Выберите вкладку Обновления программного обеспечения в параметрах клиента.
- Выберите один из следующих параметров для параметра Принудительное закрепление сертификата TLS для клиента Центра обновления Windows для обнаружения обновлений :
- Нет. Не включайте принудительное закрепление сертификатов TLS для проверки WSUS.
- Да: включает принудительное закрепление сертификатов TLS для устройств во время сканирования WSUS (по умолчанию)
- Убедитесь, что клиенты могут проверять наличие обновлений.