Применение сертификатов к серверу WSUS

Опубликовано: 12 Апреля, 2023

Если вы когда-либо устанавливали WSUS, вы, вероятно, заметили, что главный экран администратора WSUS выводит предупреждение, если WSUS не настроен на использование SSL-шифрования. Я разговаривал с некоторыми людьми, которые считают, что шифрование SSL не требуется, если сервер WSUS не подключен к Интернету. В конце концов, сервер является доверенным членом вашей сети и обслуживается административным персоналом, поэтому нет необходимости в SSL, если он не обслуживает внешних клиентов, верно?


Если вы остановитесь и подумаете об этом, шифрование загрузок исправлений безопасности кажется немного глупым. Причина, по которой Microsoft рекомендует использовать шифрование SSL с WSUS, на самом деле не имеет ничего общего с шифрованием. Это больше связано с честностью. Шифрование SSL основано на сертификате. Когда клиент подключается к серверу WSUS (или к веб-серверу любого другого типа) и запрашивает шифрование SSL, сервер использует свой сертификат для шифрования данных. Однако в этом случае важнее то, что сертификат подтверждает подлинность сервера, а также подтверждает, что данные не были изменены при передаче.


Итак, почему это важно? Представьте на мгновение, что хакер настроил собственный сервер WSUS. Давайте повысим ставку, сказав, что они модифицировали все патчи на сервере, чтобы они содержали действительно неприятный вредоносный код. После того, как хакер настроил сервер WSUS, он может либо изменить запись хоста на вашем DNS-сервере, чтобы она указывала на его вредоносный сервер, либо использовать вредоносный сценарий, аналогичный тому, что многие шпионские механизмы используют для изменения файла HOSTS вашей рабочей станции. Конечным результатом является то, что ваши клиенты думают, что они подключаются к вашему серверу WSUS, хотя на самом деле они подключены к вредоносному серверу WSUS, который заразил все машины в вашей сети вредоносными троянами. С другой стороны, если ваш сервер WSUS настроен на использование SSL-сертификата, то удостоверение сервера можно будет проверять каждый раз, когда клиент запрашивает исправление.


Получение сертификата


Как я объяснял ранее, шифрование SSL основано на сертификате. Поэтому первым шагом в этом процессе является получение сертификата, который может использовать сервер. Есть несколько авторитетных сторонних центров сертификации, которые продадут вам SSL-сертификат. Я лично использовал VeriSign в прошлом, Thawte и Digicert тоже хороши. Однако Windows Server 2003 можно настроить для работы в качестве центра сертификации. Если ваш сервер WSUS будет обслуживать только внутренних клиентов, то в мире нет причин, по которым вы не можете использовать свой собственный внутренний центр сертификации для предоставления SSL-сертификата и сэкономить на расходах на сторонний сертификат. Для целей этой статьи я буду предполагать, что вы используете сертификат, выданный локальным центром сертификации на базе Windows Server 2003.


Запрос сертификата


Поскольку сертификат исходит от внутреннего центра сертификации, я предполагаю, что у вас еще нет сертификата. Поэтому вы должны отправить запрос сертификата в центр сертификации. Для этого откройте консоль диспетчера информационных служб Интернета (IIS) из меню «Администрирование» сервера WSUS. Когда консоль откроется, перейдите по дереву консоли к веб-сайту, содержащему виртуальные каталоги, связанные с WSUS (по умолчанию это веб-сайт по умолчанию). Щелкните правой кнопкой мыши веб-сайт и выберите команду «Свойства» в появившемся контекстном меню, чтобы отобразить лист свойств веб-сайта. Когда откроется лист свойств сайта, выберите вкладку «Безопасность каталога» и нажмите кнопку «Сертификат сервера». Это заставит Windows запустить мастер сертификатов веб-сервера.


Нажмите «Далее», чтобы пропустить экран приветствия мастера, и вы увидите экран, предлагающий выбрать метод, который вы хотите использовать для веб-сайта. Выберите опцию «Создать новый сертификат» и нажмите «Далее». Следующий экран, который вы увидите, в основном просто спрашивает вас, хотите ли вы запросить сертификат сейчас или позже. Выберите параметр «Отправить запрос немедленно» и нажмите «Далее».


На следующем экране есть несколько важных параметров конфигурации. Во-первых, вы должны указать имя для нового сертификата. Веб-сайт по умолчанию вводится по умолчанию, но вам действительно следует использовать что-то более описательное. Я рекомендую использовать имя, которое включает имя сервера и ссылку на WSUS. Другим важным параметром на этом экране является битовая длина для шифрования. Чем выше длина бита, тем сильнее шифрование. Я знаю, что некоторые люди не согласятся со мной в этом вопросе, но я рекомендую использовать значение по умолчанию — 1024-битное шифрование, даже несмотря на то, что доступно гораздо более сильное шифрование. Причина, по которой я рекомендую это, заключается в том, что более высокие битовые длины, как правило, влияют на производительность, и сервер будет отправлять большой объем зашифрованных данных (подумайте о том, насколько велики некоторые пакеты обновлений). Вы действительно не хотите, чтобы производительность сервера сильно страдала. Кроме того, основная причина, по которой мы используем SSL, заключается в подтверждении личности, а не в шифровании.


Нажмите «Далее», и вам будет предложено ввести название вашей организации и подразделение сервера. Организационная единица в основном просто относится к отделу, который обслуживает сервер. Он не относится к организационному подразделению в смысле Active Directory. Нажмите «Далее», и вам будет предложено ввести общее имя для сервера. Если сервер будет обслуживать внешних клиентов, вам придется использовать DNS-имя сервера. В противном случае вы можете использовать NetBIOS-имя сервера. Нажмите «Далее», и вам будет предложено ввести город и указать, в котором находится сервер. Введите эту информацию (не сокращайте штат) и нажмите «Далее». Затем вам будет предложено ввести номер порта SSL. Перейдите со значением по умолчанию 443, нажмите «Далее», и пришло время выбрать центр сертификации. Предполагая, что вы ранее создали корпоративный центр сертификации, мастер извлечет имена ваших центров сертификации из Active Directory. Все, что вам нужно сделать, это выбрать сервер и нажать «Далее».


На этом этапе вы увидите итоговый экран для вашего запроса сертификата. Убедитесь, что все выглядит правильно, а затем нажмите «Далее», а затем «Готово», чтобы завершить запрос.


Утверждение запроса


Теперь, когда вы отправили запрос, он должен быть одобрен вашим центром сертификации. В зависимости от того, как настроен центр сертификации, сертификат может быть установлен автоматически или администратору может потребоваться перейти на сервер центра сертификации и утвердить запрос. Один из способов узнать, был ли сертификат установлен автоматически, — это перейти на лист свойств веб-сайта по умолчанию, выбрать вкладку «Безопасность каталога» и нажать кнопку «Сертификат сервера», как вы делали ранее. Когда мастер запустится, нажмите «Далее», чтобы пропустить экран приветствия, но обратите внимание на следующий экран, который вы видите. Если он содержит такие параметры, как «Обновить текущий сертификат» и «Удалить текущий сертификат», то запрос выполнен. Нажмите кнопку «Отмена» дважды, чтобы закрыть все открытые диалоговые окна.


Принудительное шифрование SSL


Теперь, когда у вас есть необходимый сертификат, вы должны настроить IIS для его использования. Для этого разверните веб-сайт по умолчанию в консоли диспетчера IIS, а затем щелкните правой кнопкой мыши виртуальный каталог WSUSAdmin и выберите команду «Свойства» в появившемся контекстном меню. Теперь вы увидите страницу свойств виртуального каталога WSUSAdmin. Выберите вкладку «Безопасность каталога» на странице свойств, а затем нажмите кнопку «Изменить», которая находится в разделе «Безопасная связь». Установите флажок «Требовать безопасный канал (SSL)» и нажмите «ОК», «Применить» и «ОК».


Теперь вы должны проверить свою способность доступа к веб-сайту WSUS. Перейдите по адресу http://servername/WSUSAdmin/, запрос должен завершиться ошибкой. Теперь измените HTTP на HTTPS, и запрос должен быть успешным.


Последнее, что вам нужно сделать, это настроить клиентов так, чтобы они использовали HTTPS для загрузки обновлений. Если вы используете групповую политику, чтобы заставить клиентов загружать обновления с вашего сервера WSUS, то процесс прост. Просто измените политику, и все клиенты будут обновляться динамически!


Вывод


В этой статье я объяснил, что хотя шифрование на самом деле не требуется, когда клиенты загружают исправления, важно иметь возможность подтвердить подлинность сервера WSUS. Затем я показал вам, как реализовать SSL-шифрование для этой цели.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023