Windows Update (WU) 系統可確保設備安全更新。 其端到端保護可防止操縱協定交換,並確保僅安裝核准的內容。 某些受保護的環境可能需要更新防火牆和代理規則,以確保可以正確存取 Windows 更新。 本文提供 Windows Update 安全性功能的概觀。
Windows Update 安全性概觀
Windows Update 系統分發大量內容。 此內容的一些範例包括:
- Windows 作業系統的匯報
- Microsoft 365 Apps 更新 (Office 更新)
- 硬體驅動程式
- 防毒定義
- Microsoft Store 應用程式
當使用者與 Windows Update 設定頁面互動,或當應用程式呼叫 WU 用戶端服務 API 時,就會啟動此系統。 這些呼叫可能會由Microsoft應用程式和 Windows 的不同部分在不同時間進行,例如 Microsoft 365 Apps、Microsoft Defender 和 隨插即用 (PnP) 。
當發生此類交互時,設備上運行的 Windows Update 服務將通過互聯網與 Microsoft 的 Windows Update 服務器觸發一系列交換。 一般工作流程為:
- Windows 裝置會使用 HTTPS (HTTP over TLS、TCP 連接埠 443) ,與 Windows Update 服務建立多個連線。
- 更新中繼資料會透過這些連線交換,並產生更新、應用程式、驅動程式和其他更新的清單。
- 裝置會決定是否以及何時從結果清單下載項目。
一旦確定了下載列表,就會下載實際的更新二進位文件。 下載是透過標準 HTTP 呼叫 (TCP 埠 80) ,以及 TCP 埠 7680) 的安全點對點網路呼叫 (混合的傳遞 優化 元件完成。 使用哪種方法取決於裝置的配置/組策略。
使用傳遞優化的點對點 (P2P) 網路下載更新時,內容會在收到每個對等節點時進行完整性驗證。 如果要求的內容在 P2P 網路上無法使用,則傳遞優化元件會使用 HTTP 下載它。
無論使用哪種方法下載內容,產生的檔案都會在安裝之前透過數位簽章和檔案雜湊進行驗證。 驗證確認下載是預期的,已驗證為真實,且未被竄改。
保護中繼資料連線
當 Windows Update 掃描更新時,它會在裝置和 Windows Update 伺服器之間進行一系列中繼資料交換。 此交換是使用 HTTPS (HTTP over TLS) 完成的。 這些安全連線會以憑證固定,確保:
- TLS 連線的伺服器憑證會 (憑證信任、到期、撤銷、SAN 項目等進行驗證 )
- 憑證的簽發者已驗證為正版 Microsoft Windows Update
如果簽發者非預期,或不是有效的 Windows Update 中繼憑證,連線會失敗。 憑證釘選可確保裝置連線到合法的 Microsoft 伺服器,並防止中間人攻擊。
由於 Windows Update TLS 連線是憑證釘選的,因此 TLS Proxy 必須傳遞這些連線而不會被攔截。 如需需要 Proxy/防火牆例外狀況的 DNS 名稱完整清單,請參閱 Windows Update 疑難排解一文。
Microsoft 不會提供這些例外狀況的 IP 位址或 IP 範圍,因為它們可能會隨著時間而有所不同,因為流量負載平衡等目的而進行變更。
預期的 Windows Update 伺服器使用量
Windows Update 服務的伺服器僅由 WU 元件使用。 不期望最終使用者會與這些遠端端點互動。 因此,這些服務端點可能無法在網頁瀏覽器中如預期般解析。 隨意瀏覽這些端點的使用者可能會注意到缺乏對最新 Web 瀏覽器期望的遵守,例如公開信任的 PKI、憑證透明度日誌記錄或 TLS 要求。 此行為是預期的,不會限制或以其他方式影響 Windows Update 系統的安全性。
嘗試瀏覽至服務端點的使用者可能會看到安全性警告,甚至內容存取失敗。 同樣地,此行為是預期的,因為服務端點不是為網頁瀏覽器存取或臨時使用者取用而設計的。
保護內容傳遞
下載更新二進位檔的過程在傳輸上方的一層受到保護。 即使內容可以透過標準 HTTP (TCP 連接埠 80) 下載,內容也會經過嚴格的安全驗證過程。
下載會透過內容傳遞網路 (CDN) 進行負載平衡,因此使用 TLS 會中斷其Microsoft監管鏈。 由於快取 CDN 的 TLS 連線會在 CDN 終止,而不是 Microsoft,因此 TLS 憑證不是 Microsoft 特定的。 這表示 WU 用戶端無法證明 CDN 的可信度,因為 Microsoft 不會控制 CDN TLS 憑證。 此外,與 CDN 的 TLS 連線並不能證明內容未在 CDN 的快取網路中縱。 因此,TLS 不會提供任何安全性承諾給端對端 Windows Update 工作流程,否則會提供。
無論內容如何傳遞,一旦下載,就會經過適當的驗證。 使用各種技術(例如數位簽章驗證和檔案雜湊檢查)驗證內容的信任、完整性和意圖。 這種級別的內容驗證提供了比單獨的 TLS 更多的安全層。
注意
我們與各種全球合作夥伴合作,在本地快取內容,同時執行嚴格的零信任政策。 無論合作夥伴為何,我們都會在用戶端 (Windows) 層進行必要的安全檢查,以確保最大的安全性。 我們在中國境內的內容交付合作夥伴包括百度、CDNetworks、金山軟件、NGAA 和騰訊中國,世界其他地區包括 Akamai、Fastly、GCore、Qwilt 和騰訊全球。 除了傳統的 CDN 交付之外,Windows Update內容還可以從網絡運營商 (ISP、NSP 或互聯網交換) 或基礎設施提供商(如 Edgevana)本地部署的Microsoft連接緩存服務器交付。 有關 MCC 的更多信息,請單擊 此處。 為了增強我們的服務範圍,我們不斷評估最佳選擇,因此提供者名單可能會發生變化。
Windows Server Update Services (WSUS)
使用 WSUS 的企業也有類似的工作流程。 不過,用戶端裝置會連線到其企業的 WSUS 伺服器,而不是透過因特網連線到 Microsoft 的伺服器。 由企業決定是否使用 HTTP 或 TLS (HTTPS) 連線進行中繼資料交換。 Microsoft 強烈建議使用 TLS 連線,並使用適當的 TLS 憑證釘選設定來設定用戶端裝置,以便與 WSUS 進行中繼資料交換。 如需 WSUS TLS 憑證釘選的詳細資訊,請參閱:
- Windows IT 專業人員部落格:改善掃描 WSUS 的 Windows 裝置安全性的變更
- Windows IT 專業人員部落格:掃描變更和憑證會使用 WSUS 進行更新,為 Windows 裝置新增安全性
當 WSUS 伺服器 更新自己的更新目錄時,它會連線到 Microsoft 的伺服器同步處理服務並掃描更新。 WSUS 伺服器同步處理程式類似於連線到 Windows Update 的用戶端裝置的中繼資料交換程式。 WSUS 與 Microsoft 的連線是透過 TLS 進行,並由 Microsoft 憑證驗證,類似於 WU 用戶端的 TLS 憑證釘選。