Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ez a témakör a illesztőprogram-csomagbiztonságos terjesztését ismerteti. Ismerteti az illesztőprogram-csomagok Microsoft Windows Update (WU) használatával történő terjesztésének előnyeit és a saját terjesztési rendszer létrehozásának összetettségét. A Windows Update robusztus, biztonságos, globálisan skálázott és szabályozásilag megfelelő terjesztési rendszert biztosít, amelyet az illesztőprogram-frissítések továbbításához kell használni.
Illesztőprogram-csomagok terjesztése a Windows Update használatával
A Windows Update használata erősen ajánlott az illesztőprogram-csomagok terjesztéséhez. Számos előnnyel jár, többek között az alábbiakat is.
| Haszon | Leírás |
|---|---|
| Szabályozott elosztás | A globális infrastruktúrát folyamatosan irányítják a nap 24 órájában, hogy a meghajtók biztonságosan elosztásra kerüljenek. |
| Nagyobb biztonság | A Windows Update-en keresztül terjesztett illesztőprogram-csomagok aláírva vannak, és a bináris fájlok biztonságosan vannak tárolva, hogy csökkenjen az illetéktelen módosítás vagy a sérülés kockázata. |
| Ismert költség | A Windows Update használata segít elkerülni a független szoftverterjesztési rendszer létrehozásával és kezelésével járó váratlan költségeket. |
| Jogszabályi megfelelőség | A Microsoft globálisan igyekszik megfelelni az összes szabályozásnak, például az adatvédelemnek. |
| Ügyfél-elégedettség | Az ügyfelek tudják, hogy az illesztőprogram-csomagok teszteltek, így a számítógép megbízhatósága nem fog romlani. |
A jól megtervezett szoftvertelepítési folyamat megfelelően tesztelt illesztőprogram-csomagokat biztosít a felhasználóknak, miközben minimalizálja a windowsos kék képernyő hibás illesztőprogram-frissítés által okozott támogatási költségeit és felelősségét.
Az illesztőprogram-csomag előkészítése a Windows Update kézbesítéséhez
A Windows Update számos olyan rendszerrel rendelkezik, amelyek megerősítik, hogy az elosztott illesztőprogram-csomagok kiváló minőségűek, és egy ismert, megbízható, szállító hozta létre.
A Windows hardverkompatibilitási program célja, hogy a vállalat olyan rendszereket, szoftvereket és hardvertermékeket biztosítson, amelyek kompatibilisek a Windows rendszerrel, és megbízhatóan futnak Windows 10, Windows 11 és Windows Server 2022 rendszeren. A program útmutatást is nyújt az illesztőprogramok fejlesztéséhez, teszteléséhez és terjesztéséhez. A Partnerközpont Windowsos hardver irányítópultján kezelheti a beküldéseket, nyomon követheti az eszköz vagy alkalmazás teljesítményét, áttekintheti a telemetriát és még sok minden mást.
Windows Hardware Quality Labs (WHQL) digitálisan aláírt illesztőprogram-csomagok a Windows Update programon keresztül terjeszthetők. A WHQL képes digitálisan aláírni azokat az illesztőprogram-csomagokat, amelyek megfelelnek a Windows Hardware Lab Kit (HLK) tesztelésen.
A WHQL kiadási aláírása egy katalógusfájl, amely digitálisan alá van írva . A digitális aláírás nem módosítja az illesztőprogram bináris fájljait vagy a teszteléshez beküldött INF-fájlt.
Az illesztőprogram-csomagot a Windows Update programon keresztül terjesztheti, ha az illesztőprogram-csomag:
Átadja a Windows Hardware Lab Kit (HLK) tesztelését.
Jogosult a Windows minősítési programra.
Megfelel a további követelményeknek, amelyek biztosítják, hogy a Windows Update meg tudja határozni a felhasználó eszközének megfelelő illesztőprogram-csomagot, jogszerűen terjeszthesse és automatikusan letölthesse azt.
Mivel a Windows Update program követelményei gyakran frissülnek, a legújabb információkért rendszeresen ellenőrizze Windows Hardware Lab Kit.
Disztribúciós biztonságos szoftverfrissítési eljárások
A Windows Hardverminőségi tesztkörnyezetek (WHQL) által aláírt illesztőprogram-csomagok mindegyike a Microsoft betöltési és kártevővizsgálatain keresztül fut, és az aláírás jóváhagyása előtt át kell mennie. Az aláírt illesztőprogram-csomagok telepítése gördülékenyebb végfelhasználói élményt biztosít.
Terjesztési biztonság
A Windows Update használatának egyik előnye, hogy a kiszolgálók, az átviteli folyamat és a frissítéseket érvényesítő és alkalmazó ügyféllogika egy jól tesztelt folyamat, amely több mint egymilliárd számítógép naprakészen tart. A Microsoftnál dolgozó számos biztonsági szakértő elkötelezett a rendszer fenntartásáért az egyre növekvő, kifinomult támadások ellen.
Szabályozott fokozatos frissítés bevezetése
Ha egy külső gyártó úgy dönt, hogy a Windows Update-en keresztül terjeszti az illesztőprogram-csomagot, az illesztőprogram-csomag a Microsoft fázisos tesztelési és fokozatos bevezetési folyamatain is végighalad a minőség megfigyelése és annak biztosítása érdekében, hogy megfeleljen a széles körben történő kiadáshoz szükséges minőségi feltételeknek.
A fokozatos bevezetés a Windows telemetriával biztosítja, hogy az ügyfelek a lehető legjobb élményben részesüljenek. Ha egy illesztőprogram-csomag állapota nem megfelelő a fokozatos bevezetési fázisban, a Microsoft dönthet úgy, hogy felfüggeszti az illesztőprogram-csomag terjesztését vizsgálat céljából, és/vagy megfelelő szervizelést kér, beleértve a Microsoft által kezdeményezett illesztőprogram-csomag törlését (lejáratát). A terjesztési körök kritikus használatáról további információt a Fokozatos bevezetéscímű témakörben talál.
Adott szállító által kiválasztott számítógépek mezőtesztelése
Az illesztőprogram-csomag kiadása előtt kötelező tesztelni a frissítést feldolgozó és az illesztőprogramot betöltő célszámítógépeken. A végső terjesztési rendszerétől eltérő kézbesítési rendszer használata hibákhoz vezethet. Ezt a korai illesztőprogram-tesztelési folyamatot tervezni, létrehozni és felügyelni kell.
A hardverpartnerek tesztelhetik az illesztőprogram-csomag frissítési forgatókönyveit úgy, hogy közzétesznek egy illesztőprogram-csomagot a Windows Update-ben, és tesztelik a disztribúciót. A közzétételt követően az IHV-k/OEM-k konfigurálhatják az ügyfélrendszereiket, hogy egy előre meghatározott beállításkulcs-érték konfigurálásával igényeljék ezeket az illesztőprogramokat. A tesztkulcs előzetes verziójú illesztőprogramokat ad a Windows Update által kínált éles illesztőprogramok listájához. Ez a módszer korlátozza, hogy az előzetes illesztőprogramok a nyilvánosság számára legyenek kínálva. További információért lásd: Útmutató a saját üzemeltetésű asztali illesztőprogramok teszteléséhez.
Saját terjesztési rendszer létrehozása Windows-illesztőprogramokhoz
A Windows Update rendszer újbóli létrehozása nem ajánlott, mivel nagyobb kockázattal, jelentős fejlesztési erőforrásokkal és nehezen megbecsülhető költségekkel jár. Számos biztonsági és megbízhatósági ellenőrzés van beépítve a Windows Update folyamatába, amelyeket globálisan nagy léptékben kell megtervezni, írni, tesztelni és megvalósítani.
Az illesztőprogramok minőségének mérésére biztonságos és jogszabályi előírásoknak megfelelő globális adatfolyamat létrehozása lehet a Windows Update rendszer legnehezebb része a replikálásban. A legtöbb gyártó inkább nem hallana olyan illesztőprogram-csomag hibáról, amely széles körű Windows-kimaradást okoz nyilvános hírcsatornákon vagy közösségi médián keresztül. Jobb módszer, ha valós idejű adatokkal rendelkezik az illesztőprogram-csomag üzembe helyezésének irányításához, valamint az ügyfél számítógépét károsító illesztőprogram-csomagfrissítések leállításához és visszaállításához.
Az illesztőprogramok terjesztési rendszerének tervezése, üzembe helyezése és kezelése jelentős költséggel jár. A biztonságos szoftvertelepítési eljárások leírását a CISA Biztonságos szoftvertelepítés: Hogyan biztosíthatják a szoftvergyártók a megbízhatóságot az ügyfelek számára.
Sok Windows-ügyfél csak a Microsoft által aláírt illesztőprogramokat fogadja el a biztonsági kitettség csökkentése érdekében. A Windows 10 S üzemmódban illesztőprogram-aláírást igényel. További információkért lásd: Windows 10 S módban az illesztőprogramokra vonatkozó követelmények és illesztőprogram-aláírás, Windows-illesztőprogramok frissítéskezelése a Microsoft Intune-ban, valamint a Microsoft által ajánlott illesztőprogram-tiltási szabályok.
Frissítés bevezetési sebességének szabályozása telemetriával
Egy másik elem, amelyet létre kell hoznia a saját terjesztési rendszeréhez, a telemetria alapján a bevezetés sebességének szabályozására használható.
A funkciófrissítések bevezetésének egyik fontos alapelve, hogy csak azokat a rendszereket frissítsék, amelyekről az adatok szerint jó tapasztalat várható. Az emberi felügyelet és a gépi tanulás egyaránt a frissítéseket felkínáló rendszerek kiválasztására szolgál. Ha a Windows Update azt észleli, hogy egy rendszernek problémája lehet, a probléma megoldásáig nem fogjuk felajánlani a frissítést.
A Windows Update lassan indul el – a frissítés megbízhatóságának rangsorolása a bevezetési sebesség felett. Ha egy új funkciófrissítési kiadás elérhető, először a "keresők" kis százaléka számára elérhetővé válik, azok a felhasználók, akik műveletet végeznek a frissítések korai lekérése érdekében. Ezután a telemetriát gondosan figyeljük, hogy megismerjük az esetlegesen felmerülő új problémákat, amikor több felhasználó kapja meg az illesztőprogramot. Ez a telemetriai adatok megtekintésével, az ügyfélszolgálati csapattal való szoros partneri kapcsolattal, a visszajelzési naplók és képernyőképek közvetlenül a Visszajelzési központon keresztül történő elemzésével, valamint a közösségimédia-csatornákon keresztül küldött jelek automatikus összegzésének figyelésével történik. Ha olyan tényezők kombinációját találják, amelyek rossz élményt eredményeznek, a rendszer olyan blokkot hoz létre, amely megakadályozza, hogy a hasonló eszközök a teljes felbontásig frissítést kapjanak. A rendszer újraalkotása összetett vállalkozás lenne.
Illesztőprogram-tesztelés – repülés
Az új repülőgép tesztrepüléséhez hasonlóan a illesztőprogram tesztelési repülése a Partnerközpont a Windows Hardverhez lehetővé teszi, hogy az illesztőprogram-csomagot meghatározott Windows Insider-körökön belül ossza el, miközben automatikus monitorozást és értékelést biztosít. A Microsoft sikeres tesztrepülése és jóváhagyása után az illesztőprogram-csomag nyilvánosan elérhetővé lesz osztva a Windows Update-ben. A rendszer a repülés befejezése után jelentést készít az illesztőprogram-csomag teljesítményéről, amely lehetővé teszi a kritikus funkciók kiértékelését és a forgatókönyvek frissítését.
Saját terjesztési rendszer létrehozásához a hasonló figyelési funkciókat duplikálni kell.
Vezetőminőségi mértékek
A Windows Update egyik legnehezebben duplikálandó aspektusa az illesztőprogram-csomag minőségi mértéke, valamint a valós idejű adatgyűjtés és -feldolgozás. A Microsoft naponta 78 billió biztonsági jelet gyűjt, az ügyfelek által megosztott adatok használatával. Ezt az adatfolyamot szelektíven gyűjti össze a rendszer, hogy az egyes illesztőprogram-csomagfrissítésekhez használható adatokat gyűjtsön. Az adatfolyam replikálása nagy és összetett feladat. Tiszteletben kell tartani az ügyfelek magánéletét a világ különböző területein, például az EU-ban, ahol további követelmények vonatkoznak az ügyféladatok gyűjtésére, tárolására és használatára.
Az évek során szerzett ismereteket felhasználva Microsoft-illesztőprogram-mértékek lettek kifejlesztve, például Kernel módú összeomlás nélküli gépek százalékos aránya. A megfelelő adatok valós idejű monitorozása az egyetlen módja annak, hogy az illesztőprogram-csomag frissítésének állapotának valódi mértéke legyen.
Biztonsági incidenskezelési terv (SIRP)
Mivel a frissítési rendszer a kibertámadások jelentős célpontja lehet, a biztonság érdekében létre kell hozni. Emellett éjjel-nappal figyelni kell az esetleges behatolást vagy kompromittálódást. Behatolás esetén a biztonsági szakértőknek gyorsan ki kell alakítaniuk és végre kell hajtaniuk a megfelelő választ. A biztonsági incidensre adott választerv (SIRP) létrehozásáról további információkért tekintse meg a NIST által kiadott Computer Security Incident Handling Guide és a CISA által kiadott Incident Response Plan (IRP) Basics című útmutatókat.
Microsoft Virus Initiative
A Microsoft Virus Initiative (MVI) segítségével a szervezetek fejleszthetik azokat a biztonsági megoldásokat, amelyekre ügyfeleink támaszkodnak, hogy biztonságban maradjanak. Olyan eszközöket, erőforrásokat és ismereteket biztosítunk, amelyek nagy teljesítménnyel, megbízhatósággal és kompatibilitással támogatják a jobb együttélés élményét. A Microsoft az MVI-partnerekkel együttműködve határozza meg és követi a biztonságos üzembehelyezési eljárásokat (SDP) a kölcsönös ügyfeleink biztonságának és rugalmasságának támogatása érdekében.
Ha Ön vírusirtó gyártó, tekintse meg Microsoft Virus Initiative, amelyből megtudhatja, hogyan csatlakozhat az MVI-hez a szoftvertelepítéssel kapcsolatos további segítségért.
További információ arról, hogy a biztonsági szállítók hogyan tudják jobban kihasználni a Windows integrált biztonsági képességeit a nagyobb biztonság és megbízhatóság érdekében, lásd ajánlott Windows biztonsági eljárásokat a biztonsági eszközökintegrálásához és kezeléséhez.
További erőforrások
Ha többet szeretne megtudni a biztonságról tervezési alapelvek és eljárások alapján, látogasson el a CISA Secure by Design.
Az Egyesült Államok kormányának kiberbiztonsági végrehajtói megrendelésével kapcsolatos információkért lásd A kiberbiztonsági végrehajtói rendelet: Mi a következő lépés a szövetségi ügynökségek számára?.
A Windows 11-alapú üzemi terv létrehozásáról és a Windows-frissítések telepítésével kapcsolatos egyéb információkért lásd: Üzembehelyezési terv létrehozása.
A Windows 10 korszakában tanult illesztőprogram-frissítésekről Illesztőprogramok minősége a Windows-ökoszisztémábancímű témakörben olvashat.