Updates Publisher 的安全性考量因素

System Center Updates Publisher 要求安裝工具的使用者,以及執行工具內各種動作的使用者都設定適當的安全性。數位憑證是發佈類別目錄到更新伺服器,以及讓用戶端電腦掃描類別目錄中之更新的必要項目。檢閱下列章節,以確認已設定 Updates Publisher 的最低安全性。

安裝

起始 Updates Publisher 安裝作業的使用者必須是本機電腦上的系統管理員群組成員,否則安裝會失敗。

設定遠端發佈工具資料庫

如果遠端資料庫已設定,在安裝 Updates Publisher 前需要執行一系列步驟。首先,在執行 SQL Server 的遠端電腦建立資料庫,然後再設定使用者帳戶權限。如需詳細資訊,請參閱如何建立 Updates Publisher 資料庫

設定遠端發佈工具資料庫上的防火牆

連線到啟用防火牆的遠端 Updates Publisher 資料庫時,必須設定防火牆,以允許存取 Microsoft SQL Server Database Engine 執行個體。預設執行個體接聽 TCP 連接埠 1433。已命名的執行個體設定用於動態連接埠,這表示當 SQL Server 服務啟動時,他們會連線到可用連接埠。經由防火牆連線到具名執行個體時,請設定 Database Engine 去接聽特定連接埠,以在防火牆中開啟適當連接埠。

Caution注意
開啟防火牆中的連接埠可能會讓伺服器暴露於惡意攻擊下。在開啟連接埠前,請確定了解防火牆系統。
將 TCP/IP 埠號指派給 SQL Server Database Engine
  1. 在 SQL Server Configuration Manager 的樹狀目錄窗格中,依序展開 [SQL Server 2005 Network Configuration]、[通訊協定 - <執行個體名稱>],然後連按兩下 [TCP/IP]

  2. [TCP/IP 內容] 對話方塊的 [IP 位址] 標籤上,出現數個格式為 [IP1][IP2],直到 [IPAll] 的 IP 位址。其中一個位址為回送介面卡的 IP 位址 - 127.0.0.1。其他 IP 位址則為電腦的各個 IP 位址。請識別您要設定的 IP 位址。

  3. 如果[TCP 動態連接埠] 對話方塊包含 0,指出 Database Engine 正在接聽動態連接埠,請刪除 0。

  4. [IPn 內容] 區域方塊的 [TCP 連接埠] 方塊中,鍵入要此 IP 位址接聽的埠號,然後按一下 [確認]

  5. 在樹狀目錄窗格中,按一下 [SQL Server 2005 Services]

  6. 在詳細資料窗格中,用滑鼠右鍵按一下 SQL Server (<執行個體名稱>),然後按一下 [重新啟動] 以停止並重新啟動 SQL Server 服務。

  7. 在設定 SQL Server 接聽特定連接埠後,您必須在防火牆開啟該連接埠。

使用 Updates Publisher

如果符合以下需求,在安裝 Updates Publisher 後,使用者可啟動主控台、執行所有 Updates Publisher 動作 (將類別目錄發佈至更新伺服器除外),以及存取類別目錄和記錄檔:

  • 使用者必須在發佈工具資料庫 (mscuptdb) 上建立 SQL 登入,並具有 System_Center_Updates_Publisher_User 資料庫角色成員資格權限。

  • 預設狀況下,使用者必須有安裝資料夾 %ProgramFiles%\System Center Updates Publisher 的「讀取和執行」、「列示」、「讀取」、「寫入」以及「修改」檔案系統權限。

  • 必須將完全控制權限指派給 [HKLM\Software\Microsoft\PublishingTool] 登錄機碼,讓使用者能夠變更發佈工具資料來源,或執行發佈至更新伺服器。

  • 使用者必須要有軟體更新類別目錄的來源位置存取權,才能將其成功地匯入 Updates Publisher。

低權限使用者

Updates Publisher 提供下列各項,以給予低權限使用者較佳的支援:

  • Updates Publisher 記錄檔儲存於登入使用者的暫存資料夾 - %TEMP%。

  • Updates Publisher 設定為使用者特定,並會被複製到使用者的本機 Application Data 資料夾 - %APPDATA%。

  • 依預設,軟體更新類別目錄會匯出到 %USERPROFILE%\My Documents\My Catalogs 資料夾。

發佈軟體更新類別目錄

如需將軟體更新類別目錄發佈至更新伺服器,使用者必須具有更新伺服器的管理權限,否則無法發佈更新。

更新伺服器連接埠設定

連線到更新伺服器時,使用的連接埠必須在 [設定] 對話方塊的 [更新伺服器] 標籤加以指定。如果未使用 SSL,請使用 HTTP 埠號,而如果啟用「在與更新伺服器通訊時使用安全通訊端層 (SSL)」設定,請使用 HTTPS 埠號。預設 HTTP 連接埠是 80,而預設 HTTPS 連接埠是 443。檢查更新伺服器設定以驗證應該使用哪個連接埠。如需有關設定更新伺服器連接埠設定的詳細資訊,請參閱如何設定更新伺服器

更新伺服器及 Updates Publisher 電腦的憑證需求

在類別目錄發佈至更新伺服器之前,也必須在 [設定] 對話方塊的 [更新伺服器] 標籤設定更新伺服器及用來簽署發佈至更新伺服器之軟體更新的憑證。隨後憑證必須被複製到更新伺服器上的 [信任的發行者] 憑證存放區,如果使用的是自我簽署憑證,則複製到 [信任的根憑證授權單位] 憑證存放區。如果是在更新伺服器遠端,也必須一併將憑證複製到 Updates Publisher 電腦上的憑證存放區。有幾種方法可以將憑證新增到適當的憑證存放區。如需有關設定更新伺服器設定及指定數位憑證的詳細資訊,請參閱如何設定更新伺服器。如需有關將數位憑證新增至更新伺服器及 Updates Publisher 電腦上之適當憑證存放區的詳細資訊,請參閱如何在更新伺服器上設定數位憑證

用戶端電腦安全性

安裝更新及群組原則之前,用戶端電腦上的 Windows Update 代理程式 (WUA) 需要用來簽署已發佈之類別目錄的數位憑證,以允許來自內部網路 Microsoft 更新服務位置的已簽署內容。

憑證需求

在用戶端電腦的 WUA 會驗證用來簽署類別目錄的數位憑證是否在用戶端電腦的「信任的發行者」存放區中。如果找不到憑證,WUA 仍會從類別目錄掃描更新,但無法安裝。如果發佈更新類別目錄時使用自我簽署憑證,例如「WSUS Publishers Self-signed」,憑證也必須在本機電腦上的 「信任的根憑證授權單位」憑證存放區中,以驗證憑證的有效性。如需有關新增數位憑證到用戶端電腦的詳細資訊,請參閱如何在用戶端電腦上設定數位憑證

群組原則需求

必須啟用用戶端電腦上的 [允許來自內部網路 Microsoft 更新服務位置的簽署內容] 群組原則,以讓 WUA 在更新來自內部網路 Microsoft 更新服務位置時,接受 Microsoft 外之發行者所簽署的更新。啟用此原則設定時,如果更新是在本機電腦上的 [信任的發行者] 存放中區簽署,則 WUA 會接受經由內部網路位置接收的更新。如需有關設定此「群組原則」的詳細資訊,請參閱如何在用戶端電腦上設定群組原則

請參閱

顯示: