TechNet ホーム > 更新プログラム管理 > 計画と査定 : 概要 > 手順 8: WSUS サーバーを構成する

計画と査定 : Windows Server Update Services (WSUS) を使用する

手順 8k: セキュリティを強化する

ここでは、WSUS サーバーのセキュリティをさらに強化する 3 つの手段について説明します。

WSUS を実行している Windows Server 2003 を強化するための推奨設定

Active Directory 環境のチェーン化された WSUS サーバー間に認証を追加するための推奨設定

WSUS に Secure Sockets Layer プロトコルを実装するための推奨設定

*

WSUS を実行している Windows Server 2003 を強化する

WSUS サーバーを強化するための推奨設定については、「付録 D: セキュリティ設定」を参照してください。このような推奨設定には、IIS 6.0 や SQL Server 2000 だけでなく、多くの Windows Server コンポーネントを強化する方法が含まれています。Windows Server 2003 を実行していない場合、または SQL Server 2000 を WSUS のデータベース ソフトウェアとして使用していない場合は、すべての推奨設定を使用できるとは限りません。

Active Directory 環境のチェーン化された WSUS サーバー間に認証を追加する

サーバー間の同期の認証を追加できます。

認証を有効にするには、いくつかの制限があります。認証が必要な WSUS サーバーは Active Directory 環境に配置されている必要があります。また、WSUS サーバーが別のフォレストに属する場合は、この認証方法を正常に機能させるために、フォレスト間に信頼が作成されている必要があります。

認証を有効にするプロセスは 2 つの手順で構成されます。最初に、この WSUS サーバーを認証できるダウンストリーム WSUS サーバーの一覧を作成し、WSUS の最初のインストール時に作成されたテキスト ファイルにその一覧を追加します。次に、IIS で、WSUS サーバーへの匿名アクセスを無効にします。この 2 つの手順を完了したら、一覧に含めたダウンストリーム コンピュータのみを WSUS サーバーと同期させることができます。以下に、各手順について詳しく説明します。

手順 1: 認証一覧を作成する

WSUS セットアップを実行すると、WSUS にアクセスできるコンピュータの明示的な一覧を追加できるようにする構成ファイルが作成されます。このファイルは、次の場所にある WSUS サーバーのファイル システムに作成されます。

%Program Files%\Update Services\WebServices\Serversyncwebservice\Web.config

<authorization> 要素を使用して、認証一覧を定義します。<authorization> 要素は、<configuration> 要素と <system.web> 要素の下に追加する必要があります。

次に例を示します。

<configuration>

<system.web>

<authorization>

<allow users="domain\computer_name,domain\computer_name" />

<deny users="*" />

</authorization>

</system.web>

</configuration>

認証の開始タグと終了タグの間に、Web サービスへの接続を許可するコンピュータの一覧を指定します。これらのコンピュータは <ドメイン>\<コンピュータ名> の形式で入力する必要があります。複数のコンピュータを指定する場合は、コンマを使用してコンピュータ名を区切ります。アクセスを拒否するコンピュータの明示的な一覧も指定できます。この場合は、ユーザーに適用される最初の項目で評価が終了するため、一覧内の順序が重要になります。

この一覧の XML スキーマについては、MSDN の Web サイト (http://msdn.microsoft.com/library/ja/?url=/library/ja/cpgenref/html/gngrfauthorizationsection.asp) を参照してください。

手順 2: IIS を構成する

次の手順では、ServerSyncWebService 仮想ディレクトリへの匿名アクセスを無効にし、統合 Windows 認証を有効にするように IIS を構成します。

WSUS ServerSynchWebService への匿名アクセスを無効にして統合 Windows 認証を有効にするように IIS を構成するには

1.

[スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] の順にポイントし、[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

2.

ローカル コンピュータのノードを展開します。

3.

WSUS Web サイトのノードを展開します。

4.

[SeverSyncWebService] を右クリックし、[プロパティ] をクリックします。

5.

[ディレクトリ セキュリティ] タブの [認証とアクセス制御] で、[編集] をクリックします。

6.

[認証方法] ダイアログ ボックスで、[匿名アクセスを有効にする] チェック ボックスをオフにし、[統合 Windows 認証] チェック ボックスをオンにします。

7.

[OK] を 2 回クリックします。

Secure Sockets Layer で WSUS をセキュリティで保護する

Secure Sockets Layer (SSL) プロトコルを使用して、WSUS の展開をセキュリティで保護できます。WSUS は、SSL を使用して、クライアント コンピュータとダウンストリーム WSUS サーバーが WSUS サーバーを認証できるようにします。また、クライアントとダウンロード WSUS サーバーの間で渡されるメタデータの暗号化にも SSL を使用します。WSUS は、メタデータには SSL だけを使用することに注意してください。これは、Microsoft Update が更新プログラムを配布する方法でもあります。

前述のとおり、更新プログラムは 2 つの部分で構成されます。1 つは更新プログラムが何に有用なのかを示すメタデータ、もう 1 つはコンピュータに更新プログラムをインストールするためのファイルです。Microsoft は、それぞれの更新プログラムに署名することで、暗号化されていないチャネルを介して更新ファイルを送信するリスクを軽減します。各更新プログラムへの署名に加え、"ハッシュ" も計算されて各更新プログラムのメタデータと共に送信されます。デジタル署名とハッシュは、更新プログラムがダウンロードされるときに WSUS によって確認されます。更新プログラムが改ざんされていた場合は、インストールされません。

WSUS の SSL 展開に関する制限事項

WSUS の SSL 展開を検討している管理者は、次の 2 つの制限事項を知っておく必要があります。

SSL を使用して WSUS の展開をセキュリティで保護すると、サーバーの負荷が増加します。回線上で送信されるすべてのメタデータを暗号化する際に追加のコストがかかるため、パフォーマンスが約 10% 低下することを考慮して計画する必要があります。

リモート SQL を使用している場合、WSUS サーバーとデータベースを実行しているサーバー間の接続は、SSL によってセキュリティで保護されません。データベース接続をセキュリティで保護する必要がある場合は、次のような構成をお勧めします。

データベースを WSUS サーバー上に配置する (既定の WSUS 構成)。

SQL と WSUS サーバーを実行しているリモート サーバーをプライベート ネットワークに配置する。

インターネット プロトコル セキュリティ (IPsec) をネットワーク上に展開し、ネットワーク トラフィックをセキュリティで保護する。

環境に IPsec を展開する方法に関するガイダンスについては、Microsoft Web サイトの「Windows Server 2003 IPSec Concepts」 (英語) を参照してください。

WSUS サーバーで SSL を構成する

SSL を使用するように WSUS サーバーを構成する場合に最も重要な注意事項は、この構成では 2 つのポートが必要だということです。1 つは HTTPS を使用したメタデータの暗号化用、もう 1 つは非暗号化 HTTP 用です。証明書を使用するように IIS を構成する場合は、次の点に留意してください。

WSUS Web サイト全体で SSL を要求するようにセットアップすることはできません。つまり、WSUS サイトへのすべてのトラフィックは暗号化が必要になりますが、WSUS ではメタデータ トラフィックしか暗号化されません。クライアント コンピュータまたは別の WSUS サーバーが更新ファイルを WSUS から取得しようとした場合、暗号化されていない HTTP を使用してファイルを配布する方法が WSUS にないため、転送は失敗します。

WSUS Web サイトをできるだけセキュリティで保護された状態にしておくには、次の仮想ルートに対してのみ SSL を要求します。

SimpleAuthWebService

DSSAuthWebService

ServerSyncWebService

WSUSAdmin

ClientWebService

WSUS の機能を維持するには、次の仮想ルートに対して SSL を要求しないでください。

Content

Reporting Web Service

SelfUpdate

ダウンストリーム WSUS サーバーにある証明書を、ローカル コンピュータの信頼されたルート CA ストアまたは Windows Server Update の信頼されたルート CA ストアのいずれかにインポートする必要があります。証明書がローカル ユーザーの信頼されたルート CA ストアにインポートされた場合のみ、ダウンストリーム WSUS サーバーは、アップストリーム サーバーでのサーバー認証に失敗します。

SSL を使用するように IIS を構成する場合は、任意のポートを使用できます。ただし、SSL 用にセットアップするポートによって、WSUS で非暗号化 HTTP に使用されるポートが決まります。次に例を示します。

HTTPS トラフィックに業界標準ポート 443 を使用する場合は、非暗号化 HTTP トラフィックにポート 80 が使用されます。これは HTTP 用の業界標準ポートです。

HTTPS トラフィックに上記以外のポートを使用する場合、非暗号化 HTTP トラフィックは HTTPS 用のポートの前の番号のポートを経由して送信されることになります。たとえば、HTTPS 用のポートが 8531 の場合、WSUS は HTTP 用のポートとして 8530 を使用します。

: ポート番号を変更する場合や、HTTPS を使用して WSUS 管理コンソールにアクセスする場合は、[スタート] メニューに新しい URL へのショートカットを新しく作成して、[スタート] メニューから WSUS 管理コンソールにアクセスできるようにする必要があります。ショートカット作成の詳細については、Windows Server 2003 のヘルプとサポートを参照してください。

WSUS 管理コンソールにアクセスするためのサンプル SSL URL

ここでは、SSL を使用するように WSUS を構成した場合に WSUS 管理コンソールへのアクセスに使用するサンプル URL を示します。

業界標準の SSL ポート割り当てを使用して WSUS 管理コンソールにアクセスする
既定のサイトに WSUS インストールした後、業界標準のポート割り当てを使用するように SSL をセットアップした場合は、次の URL を使用して、セキュリティで保護された接続を介して WSUS 管理コンソールにアクセスします。

https://<WSUS サーバー名>/WSUSAdmin/

: インストール後に WSUS のポート割り当てを変更し、SSL を使用している場合は、上記の規則に従って HTTP プロトコル用のポートが割り当てられます。

カスタムの SSL ポート割り当てを使用して WSUS 管理コンソールにアクセスする
カスタム サイトに WSUS をインストールした後、SSL ポートとしてカスタム ポート 8531 を使用するように SSL をセットアップした場合は、次の URL を使用して、セキュリティで保護された接続を介して WSUS 管理コンソールにアクセスします。

https://<WSUS サーバー名>:8531/WSUSAdmin/

: SSL ポートに 8531 を使用する必要はありません。任意の空いているポートを使用できますが、SSL 用のポートが 2 つ必要になります。1 つは割り当てるポート、もう 1 つはその前の番号のポートです。たとえば、SSL ポートに 2424 を選択した場合、HTTPS 用のポートは 2424、HTTP 用のポートは 2423 になります。

クライアント コンピュータで SSL を構成する

クライアント コンピュータを構成する場合、2 つの重要な注意事項があります。

WSUS サーバーがリッスンしている、セキュリティで保護されたポートの URL を含める必要があります。サーバー上で SSL を要求できないため、クライアント コンピュータがセキュリティで保護されたチャネルを確実に使用するには、HTTPS を指定する URL を使用するしかありません。SSL に 443 以外のポートを使用している場合は、そのポートも URL に含める必要があります。

たとえば、カスタム SSL ポート 3051 を使用している WSUS サーバーにクライアントを関連付けるには、「https://<SSL サーバー名>:3051」と記述します。

同様に、HTTPS にポート 443 を使用している WSUS サーバーの場合は、「https://<SSL サーバー名>」と記述します。

クライアント コンピュータを WSUS サーバーに関連付ける方法の詳細については、「グループ ポリシーを使用して自動更新を構成する」の「イントラネットの Microsoft の更新サービスの場所を指定する」を参照してください。

クライアント コンピュータにある証明書を、ローカル コンピュータの信頼されたルート CA ストアまたは自動更新サービスのルート CA ストアのいずれかにインポートする必要があります。証明書がローカル ユーザーの信頼されたルート CA ストアにインポートされた場合のみ、自動更新はサーバー認証に失敗します。

クライアント コンピュータは、IIS で WSUS サーバーにバインドする証明書を信頼する必要があります。使用している証明書の種類によっては、クライアントが WSUS サーバーにバインドされた証明書を信頼できるようにサービスをセットアップする必要がある場合があります。詳細については、後の「関連情報」を参照してください。

自動更新を WSUS に関連付けるためのサンプル SSL URL

ここでは、SSL を使用するように WSUS を構成した場合に、自動更新を WSUS に関連付けるためのサンプル URL を示します。

業界標準の SSL ポート割り当てを使用して自動更新を WSUS に関連付ける
既定のサイトに WSUS をインストールした後、業界標準のポート割り当てを使用するように SSL をセットアップした場合は、次の URL を使用して、自動更新を WSUS サーバーに関連付けます。

https://<WSUS サーバー名>

カスタムの SSL ポート割り当てを使用して自動更新を WSUS に関連付ける
カスタム サイトに WSUS をインストールした後、SSL ポートとしてカスタム ポート 8531 を使用するように SSL をセットアップした場合は、次の URL を使用して、自動更新を WSUS サーバーに関連付けます。

https://<WSUS サーバー名>:8531

ダウンストリーム WSUS サーバー用に SSL を構成する

SSL を使用しているアップストリーム サーバーと同期するようにダウンストリーム サーバーを構成する手順は次のとおりです。

SSL を使用するようにセットアップされているアップストリームサーバーにダウンストリームサーバーを接続するには

1.

WSUS コンソールのツール バーで、[オプション] をクリックし、[同期のオプション] をクリックします。

2.

[更新元] ボックスで、[アップストリームの Windows Server Update Services サーバーから同期する] をクリックし、アップストリーム サーバーの名前と SSL 接続に使用するポート番号を入力して、[更新情報の同期時に SSL を使用する] チェック ボックスをオンにします。

3.

[タスク] の [設定の保存] をクリックし、確認のダイアログ ボックスが表示されたら [OK] をクリックします。

SSL の関連情報

証明機関 (CA) をセットアップする、WSUS Web サイトに証明書をバインドする、WSUS Web サイト上の証明書を信頼するようにクライアント コンピュータを起動するなどは、複雑な管理タスクです。各タスクの詳細な手順はこのガイドには含まれていません。

ただし、セットアップに関する記事がいくつかあります。証明書のインストールおよび環境のセットアップの詳細と手順については、Microsoft Web サイトにある次のページを参照してください。

Windows 証明機関の構成および操作方法に関する管理者向けのガイド : 「Windows Server 2003 PKI Operations Guide」(英語)

Web サイトで SSL をセットアップする手順 : MSDN の「Web サーバー上で SSL を設定する方法

Active Directory と統合された Windows Server 2003 Enterprise 環境で Windows XP を実行しているクライアント コンピュータを自動的に登録する方法 : TechNet の「Certificate Autoenrollment in Windows Server 2003」 (英語)

その他の環境でクライアント コンピュータを自動的に登録する方法に関するガイダンス : 「Advanced Certificate Enrollment and Management」(英語)


**
**