Auf Englisch lesen

Freigeben über


Verteilen eines Treiberpakets

Dieses Thema beschreibt, wie Sie Ihr Treiberpaket sicher verteilen können. Es beschreibt die Vorteile der Verteilung eines Treiberpakets über Microsoft Windows Update (WU) und die Komplexität der Erstellung Ihres eigenen Verteilungssystems. Windows Update bietet ein robustes, sicheres, global skaliertes und regulatorisches kompatibles Verteilungssystem, das zum Bereitstellen von Treiberupdates verwendet werden sollte.

Verwenden von Windows Update zum Verteilen von Treiberpaketen

Die Verwendung von Windows Update wird dringend für die Verteilung von Treiberpaketen empfohlen. Es bietet viele Vorteile, einschließlich der folgenden.

Nutzen Beschreibung
Kontrollierte Verteilung Eine globale Infrastruktur wird 24 Stunden am Tag verwaltet, um Treiber sicher und zuverlässig zu verteilen.
Erhöhte Sicherheit Treiberpakete, die über Windows Update verteilt werden, werden signiert, und die Binärdateien werden sicher gespeichert, um das Risiko von Manipulationen oder Beschädigungen zu verringern.
Bekannte Kosten Die Verwendung von Windows Update trägt dazu bei, unerwartete Ausgaben zu vermeiden, die bei der Einrichtung und Verwaltung eines unabhängigen Softwareverteilungssystems auftreten können.
Regulierungskonformität Microsoft arbeitet daran, alle Vorschriften, z. B. den Datenschutz, global einzuhalten.
Kundenzufriedenheit Kunden wissen, dass Treiberpakete getestet werden und die Zuverlässigkeit ihres PCs nicht beeinträchtigt wird.

Ein gut durchdachter Softwarebereitstellungsprozess kann benutzern ordnungsgemäß getestete Treiberpakete bereitstellen und gleichzeitig die Supportkosten und -haftung im Zusammenhang mit Windows-Bluescreen-Fehlern minimieren, die durch ein fehlerhaftes Treiberupdate verursacht werden.

Vorbereitung Ihres Treiberpakets für die Bereitstellung über Windows Update

Windows Update verfügt über eine Reihe von Systemen, um zu bestätigen, dass verteilte Treiberpakete qualitativ hoch sind und von einem bekannten, zuverlässigen Anbieter erstellt werden.

Das Windows-Hardwarekompatibilitätsprogramm soll Ihrem Unternehmen helfen, Systeme, Software- und Hardwareprodukte bereitzustellen, die mit Windows kompatibel sind und zuverlässig unter Windows 10, Windows 11 und Windows Server 2022 ausgeführt werden. Das Programm bietet außerdem Anleitungen zum Entwickeln, Testen und Verteilen von Treibern. Mithilfe des Partner Center für Windows Hardware-Dashboards können Sie Übermittlungen verwalten, die Leistung Ihres Geräts oder Ihrer App nachverfolgen, Telemetrie überprüfen und vieles mehr.

Digital signierte Windows Hardware Quality Labs (WHQL)-Treiberpakete können über das Windows Update Programm verteilt werden. WHQL kann Treiberpakete digital signieren, die die Windows Hardware Lab Kit (HLK)-Tests bestehen.

Eine WHQL-Release-Signatur besteht aus einer digital signierten Katalogdatei. Die digitale Signatur ändert nicht die Treiber-Binärdateien oder die INF-Datei, die Sie zu Testzwecken übermitteln.

Sie können ein Treiberpaket über das Windows Update-Programm verteilen, wenn das Treiberpaket:

  • Besteht die Windows Hardware Lab Kit (HLK)-Tests.

  • Qualifiziert für das Windows-Zertifizierungsprogramm.

  • Erhält eine WHQL-Release-Signatur.

  • Erfüllt zusätzliche Anforderungen, die sicherstellen, dass Windows Update das richtige Treiberpaket für das Gerät des Benutzers ermitteln kann, es legal verteilen und automatisch herunterladen kann.

Da die Anforderungen des Windows Update-Programms häufig aktualisiert werden, sollten Sie regelmäßig Windows Hardware Lab Kit auf die neuesten Informationen überprüfen.

Verfahren für sichere Verteilung von Software-Updates

Alle von den Windows Hardware Quality Labs (WHQL) signierten Treiberpakete werden durch die Einbindungsprüfungen und Malware-Scans von Microsoft ausgeführt und müssen diese bestehen, bevor sie zur Signierung genehmigt werden. Die Installation signierter Treiberpakete ermöglicht eine reibungslosere Endbenutzerumgebung.

Distributionssicherheit

Einer der Vorteile der Verwendung von Windows Update besteht darin, dass die Server, der Übertragungsvorgang und die Clientlogik, die die Updates überprüft und anwendet, ein gut getesteter Prozess ist, der über eine Milliarde PCs auf dem neuesten Stand hält. Viele Sicherheitsexperten, die bei Microsoft arbeiten, sind dazu verpflichtet, das System vor immer steigenden, anspruchsvollen Angriffen aufrechtzuerhalten.

Kontrollierter schrittweiser Update-Rollout

Wenn sich ein Drittanbieter dafür entscheidet, sein Treiberpaket über Windows Update zu verteilen, durchläuft das Treiberpaket auch Microsofts Flighting- und Gradual Rollout-Prozesse, um die Qualität zu überwachen und sicherzustellen, dass das Treiberpaket die notwendigen Qualitätskriterien für eine breite Veröffentlichung erfüllt.

Beim graduellen Rollout wird die Windows-Telemetrie verwendet, um sicherzustellen, dass Ihre Kunden die bestmögliche Erfahrung machen. Sollte ein Treiberpaket während der graduellen Rollout-Phase ungesund erscheinen, kann Microsoft die Distribution des Treiberpakets für eine Untersuchung unterbrechen und/oder angemessene Korrekturen anstreben, einschließlich einer von Microsoft initiierten Stornierung des Treiberpakets (Ablauf). Weitere Informationen zur kritischen Verwendung von Distributionsringen finden Sie unter Gradualer Rollout.

Feldtests für bestimmte vom Hersteller ausgewählte PCs

Bevor Sie ein Treiberpaket freigeben, müssen Sie es auf Ziel-PCs testen, die das Update verarbeiten und den Treiber laden. Die Verwendung eines von dem endgültigen Verteilungssystem getrennten Übermittlungssystems kann zu Fehlern führen. Dieser zusätzliche Prozess für frühe Treibertests muss entworfen, erstellt und verwaltet werden.

Hardwarepartner können Treiberpaketupdateszenarien testen, indem sie ein Treiberpaket in Windows Update veröffentlichen und die Testverteilung verwenden. Nach der Veröffentlichung können IHVs/OEMs ihre Clientsysteme so konfigurieren, dass diese Treiber angefordert werden, indem sie einen vordefinierten Registrierungsschlüsselwert konfigurieren. Der Testregistrierungsschlüssel fügt Vorabversionstreiber zur Liste der Produktionstreiber hinzu, die von Windows Update angeboten werden. Durch diese Methode wird verhindert, dass Vorabversionen von Treibern der Öffentlichkeit angeboten werden. Weitere Informationen finden Sie unter Anleitung für die Distribution von selbst gehosteten Desktop-Treibern.

Erstellen eines eigenen Verteilungssystems für Windows-Treiber

Das erneute Erstellen des Windows Update-Systems wird nicht empfohlen, da es mit erhöhtem Risiko, erheblichen Entwicklungsressourcen und Kosten verbunden ist, die schwer zu schätzen sind. Viele Sicherheits- und Zuverlässigkeitsprüfungen sind in den Windows Update-Prozess integriert, der global entwickelt, geschrieben, getestet und implementiert werden muss.

Die Erstellung einer sicheren, regulierungskonformen und globalen Datenpipeline zur Messung der Fahrerqualität ist möglicherweise der schwierigste Teil des Windows Update-Systems, der nachgebildet werden kann. Die meisten Anbieter würden lieber nicht über einen Treiberpaketfehler hören, der weit verbreitete Windows-Ausfälle über öffentliche Nachrichten oder soziale Medien verursacht. Ein besserer Ansatz besteht darin, Echtzeitdaten zu erhalten, um die Bereitstellung des Treiberpakets zu leiten und Treiberpaketupdates anzuhalten und zurückzusetzen, die den PC eines Kunden beschädigen.

Das Entwerfen, Bereitstellen und Verwalten eines Systems zur Distribution von Treibern kann mit erheblichen Kosten verbunden sein. Eine Beschreibung der Praktiken für die sichere Softwarebereitstellung finden Sie in der CISA "Sichere Softwarebereitstellung: Wie Softwarehersteller Zuverlässigkeit für Kunden sicherstellen können".

Viele Windows-Kunden akzeptieren nur von Microsoft signierte Treiber als Möglichkeit, ihre Sicherheitsrisiken zu verringern. Windows 10 im S-Modus erfordert Treibersignierung. Weitere Informationen finden Sie unter Windows 10 im S-Modus Treiberanforderungen und Treibersignierung, Windows Driver Update Management in Microsoft Intune und Microsoft empfohlene Regeln zur Blockierung von Treibern.

Steuerung der Geschwindigkeit des Update-Rollouts mithilfe von Telemetrie

Ein weiteres Element, das für Ihr eigenes Verteilungssystem erstellt werden müsste, ist eine Möglichkeit, die Rollout-Geschwindigkeit auf Basis von Telemetrie zu drosseln.

Ein wichtiges Prinzip des Rollouts von Funktionsupdates ist es, nur Systeme zu aktualisieren, für die Daten eine gute Erfahrung erwarten lassen. Um die Systeme auszuwählen, denen zuerst Updates angeboten werden, werden sowohl menschliche Aufsicht als auch maschinelles Lernen verwendet. Wenn Windows Update erkennt, dass ein System möglicherweise ein Problem hat, bieten wir das Update erst dann an, wenn dieses Problem behoben wurde.

Windows Update startet langsam – um die Updatezulässigkeit gegenüber der Rolloutgeschwindigkeit zu priorisieren. Wenn eine Updateversion für eine neue Funktion verfügbar ist, wird sie zunächst einem kleinen Prozentsatz von "Suchenden" zur Verfügung gestellt. Das sind Benutzer, die Maßnahmen ergreifen, um die Updates frühzeitig zu erhalten. Anschließend wird die Telemetrie sorgfältig überwacht, um über neue Probleme zu erfahren, die auftreten können, wenn mehr Benutzer den Treiber erhalten. Dies geschieht durch die Überwachung der Telemetrie, in enger Zusammenarbeit mit unserem Kundendienstteam, um zu verstehen, was Kunden uns berichten, Feedbackprotokolle und Screenshots direkt über unseren Feedback-Hub zu analysieren und automatisierte Zusammenfassungen von über Social-Media-Kanäle gesendeten Signalen anzuhören. Wenn eine Kombination von Faktoren gefunden wird, die zu einer schlechten Erfahrung führen, wird ein Block erstellt, der verhindert, dass ähnliche Geräte ein Update erhalten, bis eine vollständige Auflösung auftritt. Das Wiederherstellen dieses Systems wäre ein komplexes Vorhaben.

Treiber-Tests – Flighting

Ähnlich wie bei einem Testflug eines neuen Flugzeugs ermöglicht Driver-Flighting im Partner Center für Windows Hardware die Verteilung Ihres Treiberpakets innerhalb definierter Windows Insider Ringe und bietet gleichzeitig eine automatische Überwachung und Auswertung. Nach einem erfolgreichen Testflug und der Genehmigung durch Microsoft wird das Treiberpaket über Windows Update öffentlich verteilt. Nach Abschluss eines Flights wird ein Bericht über die Leistung Ihres Treiberpakets generiert, sodass Sie dessen kritische Funktionen und Updateszenarien bewerten können.

Um Ihr eigenes Distributionssystem zu erstellen, müssen ähnliche Überwachungsfunktionen dupliziert werden.

Messungen der Treiberqualität

Einer der schwierigsten zu duplizierenden Aspekte von Windows Update ist die Treiberpaketqualitätsmaßnahmen und Echtzeitdatenerfassung und -verarbeitung. 78 Billionen Sicherheitssignale werden von Microsoft jeden Tag gesammelt, indem Daten verwendet werden, die Kunden teilen möchten. Diese Datenpipeline wird selektiv geerntet, um umsetzbare Daten für bestimmte Treiberpaketaktualisierungen zu gewinnen. Das Replizieren dieser Datenpipeline ist ein großes und komplexes Unternehmen. Der Datenschutz der Kunden muss in verschiedenen Bereichen der Welt beachtet werden, z. B. in der EU, wo es zusätzliche Anforderungen für die Erfassung, Speicherung und Nutzung von Kundendaten gibt.

Auf der Grundlage der über viele Jahre gewonnenen Erkenntnisse wurden Microsoft-Treibermessungen entwickelt, wie z. B. Prozent der Maschinen ohne Kernel-Modus-Absturz. Die Überwachung der richtigen Daten in Echtzeit ist die einzige Möglichkeit, einen echten Maßstab für die Gesundheit eines Treiberpaket-Updates zu haben.

Plan zur Reaktion auf Sicherheitsvorfälle (SIRP)

Da das Updatesystem ein wichtiges Ziel für Cyberangriffe sein kann, muss es erstellt werden, um sicher zu sein. Darüber hinaus muss es rund um die Uhr überwacht werden, um mögliche Eindringlinge oder Kompromittierungen zu erkennen. Wenn ein Angriff auftritt, muss eine angemessene Reaktion schnell entwickelt und von Sicherheitsexperten implementiert werden. Weitere Informationen zum Erstellen eines Plans zur Reaktion auf Sicherheitsvorfälle (Security Incident Response Plan, SIRP) finden Sie im Leitfaden zur Behandlung von Sicherheitsvorfällen von NIST und Incident Response Plan (IRP) Basics von CISA.

Microsoft Virus Initiative

Die Microsoft Virus Initiative (MVI) hilft Organisationen, die Sicherheitslösungen zu verbessern, auf die sich unsere Kunden verlassen, um sie sicher zu halten. Wir stellen Tools, Ressourcen und Wissen bereit, um gemeinsame Erlebnisse mit hervorragender Leistung, Zuverlässigkeit und Kompatibilität zu unterstützen. Microsoft arbeitet mit MVI-Partnern zusammen, um sichere Bereitstellungsmethoden (Safe Deployment Practices, SDP) zu definieren und zu befolgen, um die Sicherheit und Resilienz unserer gegenseitigen Kunden zu unterstützen.

Wenn Sie ein Antivirenanbieter sind, lesen Sie Microsoft Virus Initiative, um zu erfahren, wie Sie MVI beitreten, um weitere Unterstützung bei der Softwarebereitstellung zu erhalten.

Informationen dazu, wie Sicherheitsanbieter die integrierten Sicherheitsfunktionen von Windows besser für erhöhte Sicherheit und Zuverlässigkeit nutzen können, finden Sie unter den bewährten Methoden der Windows-Sicherheit für die Integration und Verwaltung von Sicherheitstools.

Weitere Ressourcen

Erfahren Sie mehr über die Prinzipien und Praktiken von "secure by design" unter Secure by Design von CISA.

Informationen über die Cybersecurity Executive Order der US-Regierung finden Sie unter The Cybersecurity Executive Order: What's Next for Federal Agencies?.

Informationen zum Erstellen eines Windows 11-Bereitstellungsplans und anderer Informationen zum Bereitstellen von Windows-Updates finden Sie unter Erstellen eines Bereitstellungsplans.

Erkenntnisse zu Treiberupdates aus der Windows 10-Ära finden Sie unter Treiberqualität im Windows-Ökosystem.