Présentation de Windows Server Update Services - WSUS Accueil > Articles > Serveurs
Auteur  Charles BARJANSKY  Tous les articles de cet auteur Mickael KERBIDI LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT  Tous les articles de cet auteur		3,2/5 Assez Bien 356020 398/1288

5. Sécurisez un serveur WSUS

5.1. Renforcer la sécurité de votre serveur Windows Server 2003 exécutant WSUS

De façon à vous aider pour sécuriser votre serveur WSUS, Microsoft développe dans le White Paper "Deploying Windows Serveur Update Service" (Appendix D) les points sur lesquels vous devez porter votre attention:

• Activer des audits
• Appliquez les options de sécurité
• Configurer les journaux d'événement
• Lancer uniquement les services nécessaires
• Sécuriser les interfaces utilisant les protocoles TCP/IP sur vos serveurs WSUS
• Configurer la sécurité sur IIS 6 et SQL 2000 Serveur

Ces indications concernent uniquement les serveurs sous Windows 2003, utilisant un serveur Microsoft SQL 2000. Certains paramètres doivent être en commun avec les serveurs WSUS s'exécutant sur Windows 2000 Serveur mais rien n'est garanti. Nous n'allons pas ici nous étendre sur les différentes parties concernant la sécurisation de votre serveur WSUS mais je recommande vivement aux personnes ayant des impératifs de sécurité maximale de lire le WhitePaper (voir le chapitre Ressources). Nous allons ci-dessous traiter les points les plus importants

5.2. Ajouter l'authentification entre les serveurs chaînés dans un environnement Active Directory

Afin de sécuriser les communications entre les serveurs WSUS de votre infrastructure, vous avez la possibilité d'exiger une authentification sur vos serveurs WSUS en amont. Par contre, tous vos serveurs devront avoir un compte dans Active Directory pour permettre ce mécanisme. Alors, si vous avez plusieurs domaines ou forêts dans votre entreprise, veillez à vérifier que des relations d'approbation existent entre ceux-ci.

Le processus se fait en deux étapes:

• Création d'une liste de serveurs autorisés sur le serveur amont et l'ajouter à un fichier xml que l'assistant à créer lors de l'installation de WSUS
• Dans IIS, désactiver l'accès anonyme vers le site de WSUS.

Ainsi, seuls les serveurs que vous spécifierez pourront télécharger les mises à jour depuis vos serveurs WSUS en amont.

5.2.1. Création de la liste de serveurs

Le fichier à modifier est le suivant: %ProgramFiles%\UpdateServices\WebServices\Serversyncwebservice\Web.config. Vous devrez alors ajouter une balise <authorization> pour définir la liste des serveurs que vous souhaitez autoriser pour le téléchargement des mises à jour. Cette balise doit se situer après les balises <configuration> et <system.web> comme dans l'exemple suivant:

Comme vous pouvez le voir dans l'exemple, vous pouvez spécifier la listes des serveurs WSUS en les identifiant comme suit, DOMAINE\Nom_Ordinateur, et en les séparant par des virgules grâce à la balise <allow users=" DOMAINE1\Nom_OrdinateurA, DOMAINE1\Nom_OrdinateurB, DOMAINE2\Nom_OrdinateurA..." />. De plus, vous avez aussi la possibilité de déclarer explicitement une liste des serveurs non autorisés: dans l'exemple présenté, * signifie que tous les serveurs non déclarés dans la balise au dessus n'ont pas le droit de télécharger des données depuis ce serveur.

Par contre, veillez à vérifier l'ordre dans lequel vous placez les balises car le serveur exécutera la première condition qu'il pourra vérifier.

5.2.2. Désactivation de l'accès anonyme dans IIS

La seconde étape consiste alors à configurer IIS pour désactiver les accès anonymes vers le répertoire virtuel Serversyncwebservice et permettre l'authentification intégrée à Windows:

• Cliquez sur Tous les programmes dans le menu Démarrer, puis dans la partie Outils d'administration, cliquez sur Gestionnaire des services Internet (IIS).
• Développer le nœud au nom de votre serveur WSUS puis faite de même avec le nœud Site Web puis site WSUS.
• Faites un click droit sur ServerSyncWebService et cliquez ensuite sur propriété.
• Sur l'onglet Sécurité du répertoire, dans la partie Authentification et contrôle d'accès, cliquez sur le bouton Modifier
• Dans la boite de dialogue qui vient de s'ouvrir, décochez la case Activer la connexion anonyme, et sélectionnez la case Authentification Windows Intégrée
• Cliquez ensuite deux fois sur OK.

5.3. Sécurisé WSUS avec Secure Socket Layer

Vous pouvez sécuriser votre déploiement WSUS avec le protocole Secure Socket Layer (SSL). Le SSL va permettre de crypter l'authentification entre les ordinateurs clients ou les serveurs en aval et le serveur WSUS. Il sera aussi utilisé pour crypter les métadonnées (information sur la configuration de l'ordinateur et signature des mises à jour) entre le ordinateurs client et le serveur WSUS.

WSUS, pour éviter de saturer l'activer du serveur Web, transmet les mises à jour aux clients en clair (protocole HTTP et non HTTPS). Mais il transmet au client avec les métadonnées une information de hachage ainsi qu'une signature digitale pour chaque mise à jour via le cryptage SSL (protocole HTTPS). Le client va vérifier si la signature et le hash correspond à la mise à jour. Si elle ne correspond pas, il ne l'installe pas.

5.3.1. Les limites du SSL

Comme pour toute activité de cryptage, celle-ci induit une augmentation de charge de travail de votre ordinateur qui héberge WSUS. En moyenne, l'impact sur votre ordinateur est de l'ordre de 10% de perte de performance.
De plus, si vous utilisez un serveur SQL à distance, le trafic entre le service WSUS et le service SQL ne sera en aucun cas crypté par SSL.
Si vous souhaitez sécurisé les transactions SQL, voici quelques recommandations:

• Installer le service serveur SQL sur la même machine qui héberge la solution WSUS
• Installer les serveurs qui hébergent le service SQL et le service WSUS sur un réseau privé
• Déployer une stratégie de sécurité IP (IPSec) sur votre réseau

5.3.2. Configurer le SSL sur le serveur WSUS

Comme expliqué ci-dessus, tous les dossiers virtuels n'utilise pas le cryptage SSL. Ci-dessous, la liste des dossiers virtuels où il faudra activer le cryptage SSL:

• SimpleAuthWebService
• DSSAuthWebService
• ServerSyncWebService
• WSUSAdmin
• ClientWebService

Et voici la liste des dossiers virtuels où il ne faudra pas activer le cryptage SSL:

• Content
• ReportingWebService
• SelfUpdate

La première étape est celle d'importer votre certificat pour le cryptage SSL dans le compte de l'ordinateur dans la catégorie Autorité de certification racine de confiance
Ensuite, importer le certificat dans les propriétés du site web "Site Web par défaut". Puis pour terminer, activer pour chaque dossier virtuel cité ci-dessus (seulement ceux de la première liste) le cryptage SSL.

Dès lors pour accéder à la console WSUS, vous allez devoir ouvrir la console via le canal sécurisé (HTTPS) à l'adresse suivante: https://NomdelamachineWSUS/WSUSAdmin/
Pour que les ordinateurs clients  puissent accéder au serveur WSUS sécurisé, on va devoir modifier la configuration de celle-ci.

5.3.3. Configurer le SSL sur les ordinateurs clients

Il y a deux étapes pour permettre le bon fonctionnement du service WSUS avec le cryptage SSL

1ere Étape:

Renseigné l'adresse du Serveur WSUS aux ordinateurs clients:

• soit par GPO (stratégie: "Spécifier l'emplacement intranet du service de Mise à jour Microsoft")
• soit par les informations de registre (valeur DWORD WUServer et WUStatusServer)

par l'adresse qui utilise le protocole HTTPS (Exemple: https://wsus.laboratoire-microsoft.lan/)

2eme Étape:

Importer le certificat du site web ou le certificat de l'autorité qui a délivré le certificat pour le site web dans le groupe Autorité de certification racine de confiance sur les ordinateurs clients.
Deux méthodes pour le faire:

• soit par GPO (Importez le certificat dans le noeud Configuration ordinateur\Paramètre Windows\Paramètres de sécurité\Stratégies de sécurité publique\Autorités de certification racine de confiance) et déployer la GPO
• soit manuellement sur chaque machine client (Importez le certificat dans la Console Certificat, Compte de l'ordinateur, Conteneur Autorités de certification racines de confiance)
   

5.3.4. Configurer le SSL pour les serveurs avals WSUS

Si vous utilisez un serveur WSUS en aval pour synchroniser votre serveur WSUS et que ce serveur utilise aussi le cryptage SSL alors utilisé la procédure suivante pour activer le SSL lors des transactions:

• Dans la barre d'outils de la console WSUS, cliquez sur Options
• Cliquez sur le lien Options de synchronisation
• Dans l'encart Source de la mise à jour, renseigné le champ Numéro de port par 443 (port par défaut du protocole HTTPS) et coché la case Utilisez SSL pour la synchronisation des informations de mise à jour

Sommaire

1. Comment préparer l'installation de WSUS
       1.1. Configuration minimale
       1.2. Type de déploiement
       1.3. Détails des options lors de l'installation d'un serveur WSUS
       1.4. Migration d'un serveur SUS vers un serveur WSUS

2. Configuration de la synchronisation et de l'approbation
       2.1. Configuration du service: Site Web d'administration
       2.2. Synchronisation: téléchargement et installation des mises à jour
       2.3. Exporter, importer des mises à jour

3. Gestion des machines clientes
       3.1. Configuration des mises à jour automatiques des clients
       3.2. Utilitaire en ligne de commande
       3.3. Groupe d'ordinateurs WSUS

4. Fonctionnalités de surveillance
       4.1 Rapports
       4.2 Surveillance
       4.3 Outil de débogage

5. Sécurisez un serveur WSUS
       5.1. Renforcer la sécurité de votre serveur Windows Server 2003 exécutant WSUS
       5.2. Ajouter l'authentification entre les serveurs chainés dans un environnement Active Directory
       5.3. Sécurisé WSUS avec Secure Socket Layer

Conclusion

Ressources

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft