Considerações sobre segurança do Updates Publisher

  • Artigo

O System Center Updates Publisher requer que o usuário que instalar a ferramenta e os usuários que executarão várias ações na ferramenta tenham a segurança apropriada configurada. Os certificados digitais são necessários para a publicação de catálogos em um servidor de atualizações e para que os computadores clientes verifiquem se há atualizações no catálogo. Consulte as seções a seguir para assegurar-se de que a segurança mínima tenha sido configurada no Updates Publisher.

Instalação

O usuário que iniciar a instalação do Updates Publisher deverá ser membro do grupo de Administradores locais ou a Instalação falhará.

Configurar um banco de dados remoto da Publishing Tool

Se um banco de dados remoto estiver configurado, haverá etapas necessárias antes da instalação do Updates Publisher. Primeiro, crie o banco de dados em um computador remoto que execute o SQL Server e configure as permissões de conta do usuário. Para mais informações, consulte Como criar o banco de dados do Updates Publisher.

Configurar um firewall em um banco de dados remoto da Publishing Tool

Ao conectar-se a um banco de dados remoto do Updates Publisher que tenha firewall ativado, você deve configurar o firewall para permitir acesso à instância do Microsoft SQL Server Database Engine. A instância padrão escuta a porta TCP 1433. As instâncias nomeadas são configuradas para portas dinâmicas, o que significa que conectam-se em uma porta disponível quando o serviço SQL Server é iniciado. Ao conectar-se a uma instância nomeada através de firewall, configure o Database Engine para escutar uma porta específica para que a porta correta possa ser aberta no firewall.

Aviso

A abertura de portas no firewall pode deixar o servidor exposto a ataques maliciosos. Informe-se sobre sistemas de firewall antes de abrir portas.

Para atribuir o número da porta TCP/IP ao SQL Server Database Engine

  1. No SQL Server Configuration Manager, no painel da árvore, expanda Configuração da rede do SQL Server 2005, expanda Protocolos da <nome da instância> e clique duas vezes em TCP/IP.

  2. Na caixa de diálogo Propriedades de TCP/IP, na guia Endereços IP, vários endereços IP serão exibidos no formato IP1, IP2 até IPAll. Um destes endereços é do endereço IP do adaptador de auto-retorno, 127.0.0.1. Os endereços IP adicionais serão exibidos para cada endereço IP do computador. Identifique o endereço IP que deseja configurar.

  3. Se a caixa de diálogo Portas Dinâmicas TCP contiver 0, indicando que a escuta do Database Engine é em portas dinâmicas, exclua o 0.

  4. Na caixa Propriedades de IPn, na caixa Porta TCP, digite o número da porta onde quer a escuta desse endereço IP e clique em OK.

  5. No painel da árvore, clique em Serviços do SQL Server 2005.

  6. No painel de detallhes, clique com o botão direito do mouse em SQL Server (<nome da instância>) e clique em Reiniciar para interromper e reiniciar o serviço do SQL Server.

  7. Após configurar o SQL Server para escuta em uma porta específica, você deve abrir essa porta no firewall.

Utilizar o Updates Publisher

Após a instalação do Updates Publisher, os usuários podem iniciar o console, executar todas as ações do Updates Publisher, com exceção da publicação de catálogos em um servidor de atualizações e acessar arquivos de catálogos e de log, se estes requisitos forem atendidos:

  • O usuário deve ter um logon SQL criado no banco de dados da ferramenta de publicação (mscuptdb) e ter direitos atribuídos de participação de função no banco de dados System_Center_Updates_Publisher_User.

  • O usuário deve, por padrão, ter direitos de Leitura e Execução, Listagem, Leitura, Gravação e Modificação do sistema de arquivos na pasta de instalação, %Arquivos de Programas%\System Center Updates Publisher.

  • As permissões de controle total devem ser atribuídas à chave de registro HKLM\Software\Microsoft\PublishingTool para que o usuário altere a fonte de dados da ferramenta de edição ou execute a publicação no servidor de atualizações.

  • O usuário deve ter acesso ao local de origem dos catálogos de atualizações de software para importá-los com êxito para o Updates Publisher.

Usuários com poucos direitos

O Updates Publisher fornece o seguinte para oferecer melhor suporte aos usuários com poucos direitos:

  • Os arquivos de log do Updates Publisher são armazenados na pasta temporária do usuário conectado, %TEMP%.

  • As configurações do Updates Publisher são específicas do usuário e são copiadas na pasta Dados de Aplicativos local do usuário, %APPDATA%.

  • Os catálogos de atualizações de software serão exportados para a pasta %USERPROFILE%\Meus documentos\Meus catálogos, por padrão.

Publicar catálogos de atualização de software

Para publicar catálogos de atualização de software em um servidor de atualizações, o usuário deve ter direitos administrativos nesse servidor, caso contrário, a publicação das atualizações falhará.

Configurações da porta no Servidor de Atualizações

A porta usada durante a conexão ao servidor de atualizações deve ser especificada na guia Servidor de Atualizações da caixa de diálogo Configurações. Use o número da porta HTTP se SSL não for usado e use o número da porta HTTPS se a configuração Usar Secure Sockets Layer (SSL) ao comunicar-se com o servidor de atualizações estiver ativada. A porta HTTP padrão é 80 e a porta HTTPS padrão é 443. Verifique a configuração do servidor de atualizações para confirmar qual porta deve ser usada. Para mais informações sobre a configuração do Servidor de Atualizações, consulte Como configurar o Servidor de Atualizações.

Requisitos de certificados do Servidor de Atualizações e do computador com o Updates Publisher

O servidor de atualizações e um certificado para autenticar as atualizações de software publicadas no servidor de atualizações também devem ser configurados na guia Servidor de Atualizações da caixa de diálogo Configurações para que os catálogos possam ser publicados no servidor de atualizações. O certificado deve ser copiado no armazenamento de certificados Editores Confiáveis e no armazenamento de certificados Autoridades de Certificação Raiz Confiáveis, se um certificado auto-assinado for usado, no servidor de atualizações. O certificado também deve ser copiado no armazenamento de certificados no computador com o Updates Publisher se ele for remoto em relação ao servidor de atualizações. Há vários métodos para adicionar certificados aos armazenamentos de certificados apropriados. Para mais informações sobre a configuração do servidor de atualizações e como especificar o certificado digital, consulte Como configurar o Servidor de Atualizações. Para mais informações sobre a adição do certificado digital aos armazenamentos de certificados no servidor de atualizações e no computador com o Updates Publisher, consulte Como configurar o Certificado digital no servidor de atualizações.

Segurança dos computadores clientes

O Windows Update Agent (WUA) nos computadores clientes requer o certificado digital usado para autenticar o catálogo publicado para instalar uma atualização e a Diretiva de grupo para permitir conteúdo autenticado de um local do serviço de atualizações da Microsoft na intranet.

Requisitos de certificado

O WUA dos computadores clientes verifica se o certificado digital usado para autenticar o catálogo está nos respectivos armazenamentos de editores confiáveis. Se o certificado não for localizado, o WUA verificará as atualizações do catálogo, mas sua instalação falhará. Se um certificado auto-assinado tiver sido usado durante a publicação do catálogo de atualizações, como o WSUS Publishers Self-signed, o certificado também deverá estar no armazenamento de certificados de Autoridades de Certificação Raiz Confiáveis no computador local para que a validade do certificado seja verificada. Para mais informações sobre a adição do certificado digital aos computadores clientes, consulte Como configurar o Certificado digital em computadores clientes.

Requisitos da Diretiva de grupo

A Diretiva de grupo Permitir conteúdo assinado de um local do serviço de atualizações da Microsoft na intranet deve ser ativada nos computadores clientes para que o WUA aceite atualizações autenticadas por editores além da Microsoft quando a atualização for de um local de serviços de atualização da Microsoft na intranet. Quando a configuração dessa política estiver ativada, o WUA aceitará atualizações recebidas por meio de um local da intranet se as atualizações estiverem autenticadas no armazenamento Editores Confiáveis no computador local. Para mais informações sobre a configuração dessa Diretiva de grupo, consulte Como configurar a Diretiva de grupo em computadores clientes.

Consulte também

Tarefas

Como configurar o Servidor de Atualizações
Como configurar o Certificado digital em computadores clientes
Como configurar o Certificado digital no servidor de atualizações
Como configurar a Diretiva de grupo em computadores clientes
Como criar o banco de dados do Updates Publisher

Referência

Caixa de diálogo Configurações

Outros recursos

Guia de introdução ao Updates Publisher