Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie opisano sposób bezpiecznego dystrybuowania pakietu sterowników . Opisuje on zalety dystrybucji pakietu sterowników za pośrednictwem usługi Microsoft Windows Update (WU) i złożoności tworzenia własnego systemu dystrybucji. Usługa Windows Update zapewnia niezawodny, bezpieczny, globalnie skalowany i zgodny z przepisami system dystrybucji, który powinien służyć do dostarczania aktualizacji sterowników.
Dystrybuowanie pakietów sterowników przy użyciu usługi Windows Update
Korzystanie z usługi Windows Update jest zdecydowanie zalecane w przypadku dystrybucji pakietów sterowników. Oferuje wiele korzyści, w tym następujące.
| Korzyść | Opis |
|---|---|
| Dystrybucja kontrolowana | Globalna infrastruktura jest zarządzana 24 godziny na dobę, aby pewnie i bezpiecznie rozprowadzać sterowniki. |
| Zwiększone bezpieczeństwo | Pakiety sterowników dystrybuowane za pośrednictwem usługi Windows Update są podpisane, a pliki binarne są bezpiecznie przechowywane w celu zmniejszenia ryzyka naruszenia lub uszkodzenia. |
| Znany koszt | Korzystanie z usługi Windows Update pomaga uniknąć nieprzewidzianych wydatków, które mogą pochodzić z ustanawiania niezależnego systemu dystrybucji oprogramowania i zarządzania nim. |
| Zgodność z przepisami | Firma Microsoft współpracuje ze wszystkimi przepisami, takimi jak prywatność, na całym świecie. |
| Zadowolenie klientów | Klienci wiedzą, że pakiety sterowników są testowane, a niezawodność komputera nie będzie mieć wpływu. |
Dobrze zaprojektowany proces wdrażania oprogramowania może dostarczać użytkownikom prawidłowo przetestowane pakiety sterowników, jednocześnie minimalizując koszty pomocy technicznej i odpowiedzialność związaną z błędami niebieskiego ekranu systemu Windows spowodowanymi przez wadliwą aktualizację sterownika.
Przygotowywanie pakietu sterowników do dostarczania usługi Windows Update
Usługa Windows Update ma wiele systemów w celu potwierdzenia, że pakiety sterowników rozproszonych są wysokiej jakości i tworzone przez znanego, niezawodnego dostawcę.
Program zgodności sprzętu systemu Windows został zaprojektowany w celu ułatwienia firmie dostarczania systemów, oprogramowania i sprzętu, które są zgodne z systemem Windows i działają niezawodnie w systemach Windows 10, Windows 11 i Windows Server 2022. Program zawiera również wskazówki dotyczące opracowywania, testowania i dystrybucji sterowników. Korzystając z pulpitu nawigacyjnego Partner Center for Windows Hardware
Laboratoria Jakości Sprzętu Windows (WHQL) podpisane cyfrowo pakiety sterowników mogą być dystrybuowane za pośrednictwem programu Windows Update. Program WHQL może cyfrowo podpisywać pakiety sterowników , które przechodzą testowanie zestawu Windows Hardware Lab Kit (HLK) .
Podpis WHQL składa się z cyfrowo podpisanego pliku katalogowego . Podpis cyfrowy nie zmienia plików binarnych sterownika ani pliku INF przesyłanego do testowania.
Pakiet sterowników można dystrybuować za pośrednictwem programu Windows Update, jeśli pakiet sterowników:
Przechodzi testy zestawu Windows Hardware Lab Kit (HLK).
Kwalifikuje się do programu certyfikacji systemu Windows.
Spełnia dodatkowe wymagania, które zapewniają, że usługa Windows Update może określić prawidłowy pakiet sterowników dla urządzenia użytkownika, może ją legalnie dystrybuować i automatycznie pobierać.
Ponieważ wymagania programu Windows Update są często aktualizowane, należy regularnie sprawdzać zestaw Windows Hardware Lab Kit, aby uzyskać najnowsze informacje.
Procedury bezpiecznej aktualizacji oprogramowania do dystrybucji
Wszystkie podpisane pakiety sterowników Windows Hardware Quality Labs (WHQL) przechodzą przez kontrole przetwarzania i skanowanie w poszukiwaniu złośliwego oprogramowania firmy Microsoft i muszą je zdać przed zatwierdzeniem do podpisania. Instalowanie podpisanych pakietów sterowników umożliwia bezproblemowe środowisko użytkownika końcowego.
Zabezpieczenia dystrybucji
Jedną z zalet korzystania z usługi Windows Update jest to, że serwery, proces transmisji i logika klienta, która weryfikuje i stosuje aktualizacje, jest dobrze przetestowanym procesem, który utrzymuje na bieżąco ponad miliard komputerów. Wielu ekspertów ds. zabezpieczeń, którzy pracują w firmie Microsoft, zajmuje się utrzymywaniem systemu przed coraz większymi, zaawansowanymi atakami.
Kontrolowane stopniowe wdrażanie aktualizacji
Jeśli dostawca innej firmy zdecyduje się rozpowszechniać pakiet sterowników za pośrednictwem usługi Windows Update, pakiet sterowników przechodzi również przez procesy "flighting" firmy Microsoft i procesy stopniowego wdrażania, aby monitorować jakość i zapewnić, że pakiet sterowników spełnia niezbędne kryteria jakości do szerokiego zastosowania.
Stopniowe wdrażanie wykorzystuje dane telemetryczne systemu Windows, aby zapewnić klientom jak najlepsze doświadczenie. Jeśli pakiet sterowników wydaje się być w złym stanie podczas fazy stopniowego wdrażania, firma Microsoft może wstrzymać dystrybucję pakietu sterowników w celu zbadania i/lub podjęcia odpowiednich działań naprawczych, w tym anulowania pakietu sterowników przez firmę Microsoft (jego wygaśnięcia). Aby uzyskać więcej informacji na temat krytycznego znaczenia użycia pierścieni dystrybucji, zobacz Stopniowe wdrażanie.
Testowanie w terenie dla komputerów wybranych przez określonego dostawcę
Przed wydaniem pakietu sterowników należy przetestować go na docelowych komputerach, które będą przetwarzać aktualizację i ładować sterownik. Użycie systemu dostarczania oddzielnego niż końcowy system dystrybucji może prowadzić do błędów. Ten dodatkowy proces wczesnego testowania sterowników musi być zaprojektowany, utworzony i zarządzany.
Partnerzy sprzętowi mogą testować scenariusze aktualizacji pakietów sterowników, publikując pakiet sterowników w usłudze Windows Update i korzystając z dystrybucji testowej. Po publikacji IHVs/OEM-y mogą skonfigurować swoje systemy klienckie, aby zażądać tych sterowników, konfigurując wstępnie zdefiniowaną wartość klucza rejestru. Klucz rejestru testowania dodaje sterowniki wersji wstępnej do listy sterowników produkcyjnych oferowanych przez usługę Windows Update. Ta metoda ogranicza oferowanie sterowników wstępnych do ogółu społeczeństwa. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące dystrybucji testów dla sterowników pulpitów hostowanych samodzielnie.
Tworzenie własnego systemu dystrybucji dla sterowników systemu Windows
Ponowne utworzenie systemu Windows Update nie jest zalecane, ponieważ wiąże się ze zwiększonym ryzykiem, znacznymi zasobami programistycznymi i kosztami, które są trudne do oszacowania. Wiele kontroli zabezpieczeń i niezawodności jest wbudowanych w proces usługi Windows Update, który należy zaprojektować, napisać, przetestować i zaimplementować globalnie na dużą skalę.
Tworzenie bezpiecznego i zgodnego z przepisami, globalnego potoku danych w celu mierzenia jakości sterowników, może być najtrudniejszą częścią systemu Windows Update do replikacji. Większość dostawców wolałaby nie usłyszeć o awarii pakietu sterowników, która powoduje powszechne awarie systemu Windows za pośrednictwem publicznych serwisów informacyjnych lub mediów społecznościowych. Lepszym rozwiązaniem jest posiadanie danych w czasie rzeczywistym w celu kierowania wdrażaniem pakietu sterowników i zatrzymywaniem i wycofywaniem aktualizacji pakietów sterowników, które uszkadzają komputer klienta.
Projektowanie, wdrażanie i zarządzanie systemem dystrybucji sterowników może wiązać się ze znacznymi kosztami. Opis bezpiecznych praktyk wdrażania oprogramowania można znaleźć w artykule CISA
Wielu klientów z systemem Windows będzie akceptować tylko podpisane sterowniki firmy Microsoft jako sposób na zmniejszenie narażenia na zabezpieczenia. System Windows 10 w trybie S wymaga podpisania sterownika. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sterowników w trybie S Windows 10 oraz Podpisywanie sterowników, Zarządzanie aktualizacjami sterowników Windows w Microsoft Intune i Zalecane przez Microsoft zasady blokowania sterowników.
Kontrolowanie szybkości wdrażania aktualizacji przy użyciu telemetrii
Innym elementem, który należy utworzyć dla własnego systemu dystrybucji, jest sposób ograniczania szybkości wdrażania na podstawie telemetrii.
Ważną zasadą wdrożenia aktualizacji funkcji jest aktualizowanie tylko tych systemów, dla których dane wskazują, że będą miały dobre doświadczenie. Zarówno nadzór człowieka, jak i uczenie maszynowe są używane do wybierania systemów, które są oferowane aktualizacje jako pierwsze. Jeśli usługa Windows Update wykryje, że system może mieć problem, nie zaoferujemy aktualizacji do momentu rozwiązania tego problemu.
Usługa Windows Update zaczyna się powoli — aby określić priorytety niezawodności aktualizacji w porównaniu z szybkością wdrażania. Gdy jest dostępna nowa wersja aktualizacji funkcji, jest ona po raz pierwszy udostępniana małym procentom "osób poszukujących", użytkowników, którzy podejmują działania w celu wczesnego pobierania aktualizacji. Następnie dane telemetryczne są uważnie monitorowane, aby dowiedzieć się więcej o nowych problemach, które mogą wystąpić w miarę odbierania sterownika przez większej liczby użytkowników. Dzieje się tak, obserwując dane telemetryczne, ściśle współpracując z naszym zespołem obsługi klienta, aby zrozumieć, co klienci zgłaszają nam, analizując dzienniki opinii i zrzuty ekranu bezpośrednio za pośrednictwem naszego Centrum opinii oraz słuchając automatycznych podsumowań sygnałów wysyłanych za pośrednictwem kanałów mediów społecznościowych. Jeśli okaże się, że kombinacja czynników powoduje złe działanie, zostanie utworzony blok, który uniemożliwia podobnym urządzeniom odbieranie aktualizacji do momentu wystąpienia pełnej rozdzielczości. Odtworzenie tego systemu byłoby złożonym przedsięwzięciem.
Testowanie sterowników — flighting
Podobnie jak w przypadku lotu testowego nowego samolotu, flighting sterowników w Centrum Partnerskim dla sprzętu systemu Windows umożliwia dystrybucję pakietu sterowników w zdefiniowanych kręgach programu Windows Insider, zapewniając jednocześnie automatyczne monitorowanie i ocenę. Po pomyślnym locie testowym i zatwierdzeniu przez firmę Microsoft pakiet sterowników jest dystrybuowany publicznie za pośrednictwem usługi Windows Update. Raport wydajności pakietu sterowników zostanie wygenerowany po zakończeniu lotu, umożliwiając ocenę jego krytycznych funkcji i scenariuszy aktualizacji.
Aby utworzyć własny system dystrybucji, podobne funkcje monitorowania muszą być zduplikowane.
Miary jakości kierowców
Jednym z najtrudniejszych do zduplikowania aspektów usługi Windows Update jest miary jakości pakietu sterowników oraz pozyskiwanie i przetwarzanie danych w czasie rzeczywistym. 78 bilionów sygnałów zabezpieczeń jest zbieranych przez firmę Microsoft każdego dnia przy użyciu danych wybranych przez klientów do udostępnienia. Ten pipeline danych jest selektywnie zbierany w celu pozyskiwania praktycznych danych dla określonych aktualizacji pakietów sterowników. Replikowanie tego przepływu danych jest dużym i złożonym przedsięwzięciem. Prywatność klientów musi być przestrzegana i w różnych obszarach świata, takich jak UE, gdzie istnieją dodatkowe wymagania dotyczące zbierania, przechowywania i wykorzystywania danych klientów.
Korzystając z wiedzy zdobytej przez wiele lat, zostały opracowane miary sterowników firmy Microsoft, takie jak procent maszyn bez awarii trybu jądra. Monitorowanie prawidłowych danych w czasie rzeczywistym jest jedynym sposobem posiadania prawdziwej miary kondycji aktualizacji pakietu sterowników.
Plan reagowania na zdarzenia zabezpieczeń (SIRP)
Ponieważ system aktualizacji może być istotnym celem cyberataków, należy go utworzyć, aby był bezpieczny. Ponadto musi być monitorowany przez całą dobę w celu ewentualnego włamania lub naruszenia bezpieczeństwa. W przypadku wystąpienia włamań należy szybko rozwinąć i wdrożyć odpowiednią odpowiedź przez ekspertów ds. zabezpieczeń. Aby uzyskać więcej informacji na temat tworzenia planu reagowania na zdarzenia zabezpieczeń (SIRP), zobacz Przewodnik obsługi zdarzeń zabezpieczeń komputerów z NIST i plan reagowania na zdarzenia (IRP) podstawowe z CISA.
Inicjatywa wirusów firmy Microsoft
Program Microsoft Virus Initiative (MVI) pomaga organizacjom w ulepszaniu rozwiązań zabezpieczeń, z których korzystają nasi klienci, aby zapewnić im bezpieczeństwo. Udostępniamy narzędzia, zasoby i wiedzę, aby wspierać lepsze wspólne doświadczenia przy dużej wydajności, niezawodności i zgodności. Firma Microsoft współpracuje z partnerami MVI w celu zdefiniowania i przestrzegania bezpiecznych praktyk wdrażania (SDP) w celu zapewnienia bezpieczeństwa i odporności naszych wzajemnych klientów.
Jeśli jesteś dostawcą oprogramowania antywirusowego, zobacz Microsoft Virus Initiative, aby dowiedzieć się, jak dołączyć do mvI, aby uzyskać więcej pomocy dotyczącej wdrażania oprogramowania.
Aby uzyskać informacje na temat tego, jak dostawcy zabezpieczeń mogą lepiej wykorzystać zintegrowane funkcje zabezpieczeń systemu Windows w celu zwiększenia bezpieczeństwa i niezawodności, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń systemu Windows dotyczące integrowania narzędzi zabezpieczeń i zarządzania nimi.
Dodatkowe zasoby
Aby dowiedzieć się więcej na temat bezpieczeństwa zgodnie z zasadami i praktykami projektowania, odwiedź stronę Secure by DesignCISA.
Aby uzyskać informacje na temat orderu wykonawczego cyberbezpieczeństwa ze strony rządu Stanów Zjednoczonych, zobacz The Cybersecurity Executive Order: What's Next for Federal Agencies? (Co dalej dla agencji federalnych?.
Aby uzyskać informacje na temat tworzenia planu wdrożenia systemu Windows 11 i innych informacji na temat wdrażania aktualizacji systemu Windows, zobacz Tworzenie planu wdrożenia.
Aby zapoznać się z wnioskami na temat aktualizacji sterowników z ery Windows 10, zobacz Jakość sterowników w ekosystemie Windows.