Поделиться через

Обеспечение безопасности при использовании Updates Publisher

  • Статья

Пользователи, которые устанавливают System Center Updates Publisher и выполняют с его помощью различные действия, должны иметь соответствующие настройки параметров безопасности. Для публикации каталогов на сервере обновлений и для поиска обновлений в каталоге клиентскими компьютерами требуются цифровые сертификаты. Ознакомьтесь со следующими разделами и убедитесь, что параметры безопасности удовлетворяют минимальным требованиям Updates Publisher.

Установка

Пользователь, который запускает установку Updates Publisher, должен быть членом группы "Администраторы" на локальном компьютере. В противном случае установка невозможна.

Настройка удаленной базы данных средства публикации

Если удаленная база данных настроена, перед установкой Updates Publisher требуется выполнить следующие действия. Прежде всего необходимо создать базу данных на удаленном компьютере с SQL Server и настроить права учетной записи пользователя. Дополнительные сведения см. в разделе Создание базы данных Updates Publisher.

Настройка брандмауэра для удаленной базы данных средства публикации

При подключении к удаленной базе данных Updates Publisher с включенным брандмауэром необходимо настроить брандмауэр таким образом, чтобы был разрешен доступ к экземпляру ядра базы данных Microsoft SQL Server. Экземпляр по умолчанию прослушивает TCP-порт 1433. Именованные экземпляры настроены для динамического использования портов. Это означает, что они подключаются к доступному порту в момент запуска службы SQL Server. При подключении к именованному экземпляру через брандмауэр необходимо настроить ядро базы данных для прослушивания определенного порта, чтобы соответствующий порт мог быть открыт в брандмауэре.

Предупреждение

Открытые порты в брандмауэре могут сделать сервер уязвимым для вредоносных атак. Обязательно ознакомьтесь с системой брандмауэра, прежде чем открывать порты.

Назначение номера порта TCP/IP ядру базы данных SQL Server

  1. На панели дерева диспетчера конфигурации SQL Server разверните конфигурацию сети SQL Server 2005, затем разверните Протоколы для<имя экземпляра> и дважды щелкните TCP/IP.

  2. В диалоговом окне Свойства TCP/IP на вкладке IP-адреса будут показаны несколько IP-адресов в формате IP1, IP2 и так далее до IPAll. Один из этих адресов является IP-адресом адаптера замыкания на себя (127.0.0.1). Для каждого IP-адреса на компьютере отображаются дополнительные IP-адреса. Определите IP-адрес, который необходимо настроить.

  3. Если диалоговое окно Динамические TCP-порты содержит 0, это означает, что ядро базы данных прослушивает динамические порты. Удалите 0.

  4. В области Свойства IPn в поле TCP-порт введите номер порта, который будет прослушиваться этим IP-адресом, и щелкните OK.

  5. На панели дерева щелкните Службы SQL Server 2005.

  6. На панели сведений щелкните правой кнопкой мыши SQL Server (<имя экземпляра>), затем щелкните перезапустить, чтобы остановить и перезапустить службу SQL Server.

  7. После настройки SQL Server для прослушивания определенного порта необходимо открыть этот порт в брандмауэре.

Использование Updates Publisher

После установки Updates Publisher пользователи могут запускать консоль, выполнять все действия Updates Publisher (за исключением публикации каталогов на сервере обновлений) и получать доступ к каталогам и файлам журналов, если выполнены следующие требования.

  • Пользователь должен иметь имя входа SQL в базе данных средства публикации (mscuptdb) и иметь членство в роли System_Center_Updates_Publisher_User.

  • По умолчанию пользователь должен иметь права для чтения, выполнения, просмотра, записи и изменения в папке установки %ProgramFiles%\System Center Updates Publisher.

  • Должен быть разрешен полный доступ к разделу реестра HKLM\Software\Microsoft\PublishingTool, чтобы пользователь мог изменять источник данных средства публикации или выполнять публикацию на сервере обновлений.

  • Для успешного импорта каталогов обновлений в Updates Publisher пользователь должен иметь доступ к адресу источника каталогов обновлений.

Пользователи с ограниченными правами

Для лучшей поддержки пользователей с ограниченными правами Updates Publisher предоставляет следующие средства.

  • Файлы журналов Updates Publisher хранятся в папке временных файлов пользователя, выполнившего вход (%TEMP%).

  • Параметры Updates Publisher устанавливаются для каждого пользователя и копируются в локальную папку "Application Data" пользователя (%APPDATA%).

  • Каталоги обновлений программного обеспечения по умолчанию экспортируются в папку %USERPROFILE%\My Documents\My Catalogs.

Публикация каталогов обновлений программного обеспечения

Для публикации каталогов обновления на сервере обновлений пользователь должен иметь права администратора на сервере обновлений. В противном случае обновления опубликованы не будут.

Параметры порта для сервера обновлений

Порт, используемый для подключения к серверу обновлений, должен быть указан на вкладке Сервер обновлений диалогового окна Параметры. Если SSL не используется, укажите номер порта HTTP. Если включен параметр "Использовать безопасное SSL-подключение к серверу обновлений", укажите номер порта HTTPS. По умолчанию порт HTTP имеет номер 80, а порт HTTPS - номер 443. Проверьте конфигурацию сервера обновлений и выясните, какой порт необходимо использовать. Дополнительные сведения о настройке параметров портов сервера обновлений см. в разделе Настройка сервера обновлений.

Требования к сертификатам сервера обновлений и компьютера с Updates Publisher

Сервер обновлений и сертификат, который используется для подписи публикуемых на сервере обновлений, также должны быть настроены на вкладке Сервер обновлений диалогового окна Параметры, прежде чем можно будет публиковать обновления на сервере обновлений. Затем сертификат необходимо скопировать на сервер обновлений в хранилище сертификатов Доверенные издатели и в хранилище сертификатов Доверенные корневые центры сертификации, если используется самозаверяющий сертификат. Кроме того, сертификат должен быть скопирован в хранилище сертификатов на компьютере с Updates Publisher, если он является удаленным для сервера обновлений. Существует несколько способов добавления сертификатов в соответствующие хранилища сертификатов. Дополнительные сведения о настройке параметров сервера обновлений и указании цифрового сертификата см. в разделе Настройка сервера обновлений. Дополнительные сведения о добавлении цифрового сертификата в соответствующие хранилища сертификатов на сервере обновлений и компьютере с Updates Publisher см. в разделе Настройка цифрового сертификата на сервере обновлений.

Безопасность клиентских компьютеров

Для доступа к подписанному содержимому службы обновлений Майкрософт в интрасети агенту обновления Windows (WUA) на клиентских компьютерах требуется цифровой сертификат, которым подписан опубликованный каталог до установки обновления, а также групповая политика.

Требования к сертификатам

Агент обновления Windows (WUA) на клиентских компьютерах проверяет, чтобы цифровой сертификат, который использовался для подписи каталога, находился в хранилище "Доверенные издатели" клиентского компьютера. Если сертификат не найден, обновления из каталога будут проверены, но не будут установлены. Если при публикации каталогов обновлений был использован самозаверяющий сертификат, например "WSUS Publishers Self-signed", то такой же сертификат должен находиться в доверенных корневых центрах сертификации на локальном компьютере для проверки срока действия сертификата. Дополнительные сведения о добавлении цифрового сертификата на клиентских компьютерах см. в разделе Настройка цифрового сертификата на клиентских компьютерах.

Требования к групповой политике

Чтобы принимать с помощью WUA обновления, подписанные издателями, отличными от Майкрософт, должна быть включена групповая политика Разрешить подписанное содержимое службы обновлений Майкрософт в интрасети при получении обновления от службы обновлений Майкрософт в интрасети. Когда функция групповой политики включена, агент WUA принимает обновления из интрасети, если обновления подписаны в хранилище Доверенные издатели на локальном компьютере. Дополнительные сведения о настройке этой групповой политики см. в разделе Настройка групповой политики на клиентских компьютерах.

См. также

Задачи

Настройка сервера обновлений
Настройка цифрового сертификата на клиентских компьютерах
Настройка цифрового сертификата на сервере обновлений
Настройка групповой политики на клиентских компьютерах
Создание базы данных Updates Publisher

Ссылка

Диалоговое окно "Параметры"

Другие ресурсы

Приступая к работе с Updates Publisher