Sicherheitsüberlegungen für Updates Publisher

Voraussetzung für das Arbeiten mit System Center Updates Publisher ist, dass sowohl für den Benutzer, der das Programm installiert, als auch für den Benutzer, der darin verschiedene Aktionen durchführt, geeignete Sicherheitseinstellungen konfiguriert sind. Für das Veröffentlichen von Katalogen auf einem Updateserver und für die Clientcomputer, die den Katalog auf Updates überprüfen sollen, sind digitale Zertifikate erforderlich. Lesen Sie die folgenden Abschnitte genau durch, um sicherzustellen, dass für den Updates Publisher ausreichende Sicherheitseinstellungen konfiguriert wurden.

Installation

Der Benutzer, der die Installation von Updates Publisher initiiert, muss Mitglied der Administratorgruppe auf dem lokalen Computer sein, oder das Setup schlägt fehl.

Konfigurieren einer Remotedatenbank des Veröffentlichungsprogramms

Wenn eine Remotedatenbank konfiguriert wurde, sind bestimmte Schritte erforderlich, ehe Updates Publisher installiert werden kann. Zuerst müssen Sie die Datenbank auf einem Remotecomputer mit SQL Server anlegen und dann die Berechtigungen für Benutzerkonten konfigurieren. Weitere Informationen finden Sie unter Gewusst wie: Erstellen der Updates Publisher-Datenbank.

Konfigurieren der Firewall einer Remotedatenbank des Veröffentlichungsprogramms

Beim Verbinden mit einer Updates Publisher-Remotedatenbank, die durch eine aktive Firewall geschützt ist, müssen Sie die Firewall so konfigurieren, dass sie den Zugriff auf die Instanz des Microsoft SQL Server-Datenbankmoduls ermöglicht. Die Standardinstanz überwacht TCP-Port 1433. Benannte Instanzen werden für dynamische Ports konfiguriert. Dies bedeutet, dass sie die Verbindung mit einem verfügbaren Port herstellen, sobald der SQL Server-Dienst gestartet wird. Beim Verbinden mit einer benannten Instanz über eine Firewall muss das Datenbankmodul so konfiguriert werden, dass es einen bestimmten Port überwacht, damit in der Firewall der richtige Port geöffnet werden kann.

CautionVorsicht
Wenn Sie in Ihrer Firewall einen Port öffnen, kann der Server der Gefahr bösartiger Angriffe ausgesetzt sein. Informieren Sie sich also genauestens über Firewallsysteme, ehe Sie einen Port öffnen.
So weisen Sie dem Datenbankmodul von SQL Server eine TCP/IP-Portnummer zu
  1. Erweitern Sie im Strukturbereich von SQL Server-Konfigurations-Manager die SQL Server 2005-Netzwerkkonfiguration, erweitern Sie Protokolle für <Instanzname>, und doppelklicken Sie dann auf TCP/IP.

  2. Im Dialogfeld TCP/IP-Eigenschaften werden auf der Registerkarte IP-Adressen mehrere IP-Adressen im Format IP1, IP2 bis IPAlle angezeigt. Bei einer dieser Adressen handelt es sich um die IP-Adresse des Loopbackadapters: 127.0.0.1. Für jede IP-Adresse auf dem Computer werden weitere IP-Adressen angezeigt. Bestimmen Sie die IP-Adresse, die Sie konfigurieren möchten.

  3. Wenn im Dialogfeld Dynamische TCP-Ports der Wert 0 angezeigt wird, bedeutet dies, dass das Datenbankmodul dynamische Ports überwacht. Löschen Sie diesen Wert (0).

  4. Geben Sie im Bereich IPn-Eigenschaften in das Feld TCP-Port die Portnummer ein, die diese IP-Adresse überwachen soll, und klicken Sie dann auf OK.

  5. Klicken Sie im Strukturbereich auf SQL Server 2005-Dienste.

  6. Klicken Sie im Detailbereich mit der rechten Maustaste auf SQL Server (<Instanzname>), und klicken Sie dann auf Neu starten, um den SQL Server-Dienst zu beenden und neu zu starten.

  7. Nachdem Sie SQL Server so konfiguriert haben, dass ein bestimmter Port überwacht wird, müssen Sie diesen Port in der Firewall öffnen.

Arbeiten mit Updates Publisher

Nachdem Updates Publisher installiert wurde, können Benutzer die Konsole aufrufen, alle Updates Publisher-Aktionen mit Ausnahme des Veröffentlichens von Katalogen auf einem Updateserver ausführen und auf Kataloge und Protokolldateien zugreifen, wenn die folgenden Voraussetzungen erfüllt sind:

  • Der Benutzer muss über eine SQL-Anmeldung in der Datenbank des Veröffentlichungsprogramms (mscuptdb) verfügen und die Mitgliedsberechtigungen der Datenbankrolle System_Center_Updates_Publisher_User besitzen.

  • Standardmäßig muss der Benutzer die Dateisystemrechte zum Lesen und Ausführen, zum Ausflisten, Lesen, Schreiben und Ändern für den Installationsordner %Programme%\System Center Updates Publisher besitzen.

  • Der Benutzer muss über die Berechtigung "Vollzugriff" für den Registrierungsschlüssel HKLM\Software\Microsoft\PublishingTool verfügen, um die Datenquelle des Veröffentlichungsprogramms ändern oder um Updates auf dem Updateserver veröffentlichen zu können.

  • Der Benutzer muss Zugriff auf den ursprünglichen Speicherort für Softwareupdatekataloge haben, um sie in Updates Publisher importieren zu können.

Benutzer mit wenigen Berechtigungen

Updates Publisher verfügt über folgende Merkmale, um auch Benutzer mit wenigen Berechtigungen besser zu unterstützen:

  • Die Updates Publisher-Protokolldateien werden im temporären Ordner des angemeldeten Benutzers %TEMP% gespeichert.

  • Die Updates Publisher-Einstellungen sind benutzerspezfisch und werden in den lokalen Ordner für Anwendungsdaten des Benutzers, %APPDATA%, kopiert.

  • Softwareupdatekataloge werden in den Ordner unter %USERPROFILE%\Eigene Dateien\Eigene Kataloge exportiert.

Veröffentlichen von Softwareupdatekatalogen

Zum Veröffentlichen von Softwareupdatekatalogen auf einem Updateserver muss der Benutzer über Administratorrechte auf dem Updateserver verfügen, andernfalls werden die Updates nicht veröffentlicht.

Porteinstellungen für den Updateserver

Der für die Verbindung zum Updateserver zu verwendende Port muss auf der Registerkarte Updateserver im Dialogfeld Einstellungen festgelegt werden. Verwenden Sie die HTTP-Portnummer, wenn SSL nicht verwendet wird, und verwenden Sie die HTTPS-Portnummer, wenn die Einstellung Bei der Kommunikation mit dem Updateserver SSL (Secure Sockets Layer) verwenden aktiviert wurde. Der standardmäßige HTTP-Port ist 80, und der standardmäßige HTTPS-Port ist 443. Der Updateserverkonfiguration können Sie entnehmen, welcher Port verwendet werden muss. Weitere Informationen zum Konfigurieren der Porteinstellungen des Updateservers finden Sie unter Gewusst wie: Konfigurieren des Updateservers.

Zertifikatanforderungen für den Updateserver und den Updates Publisher-Computer

Auf der Registerkarte Updateserver im Dialogfeld Einstellungen muss vor dem Veröffentlichen neben dem Updateserver auch ein Zertifikat zum Signieren der Softwareupdates konfiguiert werden, die auf dem Updateserver veröffentlicht werden sollen. Das Zertifikat muss anschließend in den Zertifikatspeicher Vertrauenswürdige Herausgeber sowie den Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen auf dem Updateserver kopiert werden, wenn ein selbst signiertes Zertifikat verwendet wird. Zudem muss das Zertifikat in den Zertifikatspeicher auf dem Updates Publisher-Computer kopiert werden, wenn dieser sich nicht am selben Standort wie der Updateserver befindet. Für das Hinzufügen der Zertifikate zu den geeignten Zertifikatspeichern gibt es mehrere Methoden. Weitere Informationen zum Konfigurieren der Updateservereinstellungen und zum Angeben des digitalen Zertifikats finden Sie unter Gewusst wie: Konfigurieren des Updateservers. Weitere Informationen zum Hinzufügen des digitalen Zertifikats zum geeigneten Zertifikatspeicher auf dem Updateserver und dem Updates Publisher-Computer finden Sie unter Gewusst wie: Konfigurieren des digitalen Zertifikats auf dem Updateserver.

Sicherheit für Clientcomputer

Der Windows Update Agent (WUA) auf Clientcomputern benötigt das zum Signieren des veröffentlichten Katalogs verwendete digitale Zertifikat vor der Installation eines Updates. Darüber hinaus wird eine Gruppenrichtlinie benötigt, damit signierte Inhalte von einem Microsoft-Updatedienststandort im Intranet zugelassen werden.

Zertifikatanforderungen

Auf Clientcomputern prüft Windows Update Agent, ob sich das digitale Zertifikat, das zum Signieren des Katalogs verwendet wurde, im Zertifikatspeicher Vertrauenswürdige Herausgeber auf dem Clientcomputer befindet. Wird das Zertifikat nicht gefunden, prüft WUA zwar auf Updates im Katalog, kann diese jedoch nicht installieren. Wenn beim Veröffentlichen des Updatekatalogs ein selbstsigniertes Zertifikat verwendet wurde, z. B. WSUS-Herausgeber selbstsigniert, muss sich das Zertifikat auch im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen auf dem lokalen Computer befinden, damit die Gültigkeit des Zertifikats überprüft werden kann. Weitere Informationen zum Hinzufügen des digitalen Zertifikats auf Clientcomputern finden Sie unter Gewusst wie: Konfigurieren des digitalen Zertifikats auf Clientcomputern.

Gruppenrichtlinienanforderungen

Auf Clientcomputern muss die Gruppenrichtlinie Inhalt von einem internen Pfad für einen Microsoft Updatedienst zulassen aktiviert sein, damit WUA Updates akzeptiert, die von anderen Herausgebern als Microsoft signiert wurden, wenn das Update von einem internen Pfad für einen Microsoft Updatedienst stammt. Wenn die Richtlinieneinstellung aktiviert ist, akzeptiert WUA über einen Speicherort im Intranet übermittelte Updates, wenn die Updates im Zertifikatspeicher Vertrauenswürdige Herausgeber auf dem lokalen Computer signiert sind. Weitere Informationen zum Konfigurieren dieser Gruppenrichtlinie finden Sie unter Gewusst wie: Konfigurieren der Gruppenrichtlinie auf Clientcomputern.

Siehe auch

Anzeigen: