sicurezza Windows Update

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Il sistema Windows Update (WU) garantisce che i dispositivi vengano aggiornati in modo sicuro. La protezione end-to-end impedisce la manipolazione degli scambi di protocolli e garantisce l'installazione solo del contenuto approvato. Alcuni ambienti protetti potrebbero dover aggiornare le regole del firewall e del proxy per garantire che gli aggiornamenti di Windows siano accessibili correttamente. Questo articolo offre una panoramica delle funzionalità di sicurezza di Windows Update.

panoramica della sicurezza Windows Update

Il sistema Windows Update distribuisce una moltitudine di contenuti. Alcuni esempi di questo contenuto includono:

• Aggiornamenti al sistema operativo Windows
• aggiornamenti Microsoft 365 Apps (aggiornamenti di Office)
• Driver hardware
• Definizioni antivirus
• App di Microsoft Store

Questo sistema viene avviato quando un utente interagisce con la pagina delle impostazioni Windows Update o quando un'applicazione effettua una chiamata all'API del servizio client WU. Queste chiamate possono essere effettuate in diversi momenti da applicazioni Microsoft e parti diverse di Windows, ad esempio Microsoft 365 Apps, Microsoft Defender e Plug and Play (PnP).

Quando si verificano tali interazioni, il servizio Windows Update in esecuzione nel dispositivo attiverà una serie di scambi su Internet con i server Windows Update di Microsoft. Il flusso di lavoro generale è:

1. Un dispositivo Windows effettua più connessioni ai servizi Windows Update tramite HTTPS (HTTP su TLS, porta TCP 443).
2. I metadati degli aggiornamenti vengono scambiati su queste connessioni e comportano un elenco di aggiornamenti, app, driver e altri aggiornamenti.
3. Il dispositivo decide se e quando scaricare elementi dall'elenco risultante.

Dopo aver stabilito l'elenco dei download, vengono scaricati i file binari di aggiornamento effettivi. Il download viene eseguito tramite il componente Ottimizzazione recapito tramite una combinazione di chiamate HTTP standard (porta TCP 80) e chiamate di rete peer-to-peer sicure (porta TCP 7680). Il metodo usato si basa sui criteri di configurazione/gruppo del dispositivo.

Quando si scaricano gli aggiornamenti usando la rete peer-to-peer (P2P) di Ottimizzazione recapito, il contenuto viene convalidato al momento della ricezione da ogni peer. Se il contenuto richiesto non è disponibile nella rete P2P, il componente Ottimizzazione recapito lo scaricherà tramite HTTP.

Indipendentemente dal metodo usato per scaricare il contenuto, i file risultanti vengono quindi convalidati tramite firme digitali e hash di file prima di essere installati. La convalida conferma che il download è quello previsto, viene verificato come autentico e non è stato manomesso.

Protezione delle connessioni ai metadati

Quando Windows Update analizza la disponibilità di aggiornamenti, esegue una serie di scambi di metadati tra il dispositivo e i server Windows Update. Questo scambio viene eseguito usando HTTPS (HTTP su TLS). Queste connessioni protette vengono aggiunte al certificato, garantendo che:

• Il certificato server della connessione TLS viene convalidato (attendibilità del certificato, scadenza, revoca, voci SAN e così via)
• L'autorità di certificazione del certificato viene convalidata come microsoft Windows Update autentica

La connessione non riesce se l'autorità di certificazione è imprevista o non è un certificato intermedio Windows Update valido. L'aggiunta di certificati garantisce che il dispositivo si connetta a server Microsoft legittimi e impedisce attacchi man-in-the-middle.

Poiché Windows Update connessioni TLS sono aggiunte al certificato, è importante che i proxy TLS passino queste connessioni senza intercettazione. L'elenco completo dei nomi DNS che richiedono eccezioni proxy/firewall è disponibile nell'articolo Windows Update risoluzione dei problemi.

Microsoft non fornisce indirizzi IP o intervalli IP per queste eccezioni perché potrebbero differire nel tempo in quanto vengono apportate modifiche per scopi come il bilanciamento del carico del traffico.

Utilizzo previsto Windows Update server

I server del servizio Windows Update vengono usati esclusivamente dai componenti WU. Non ci si aspetta che gli utenti finali interagiscano con questi endpoint remoti. Di conseguenza, questi endpoint di servizio potrebbero non essere risolti come previsto in un Web browser. Un utente che accede casualmente a questi endpoint può notare una mancanza di conformità alle aspettative più recenti del Web browser, ad esempio requisiti di PKI attendibili pubblicamente, registrazione della trasparenza dei certificati o TLS. Questo comportamento è previsto e non limita o influisce in altro modo sulla sicurezza del sistema Windows Update.

Gli utenti che tentano di passare agli endpoint del servizio possono visualizzare avvisi di sicurezza e persino errori di accesso al contenuto. Anche in questo caso, questo comportamento è previsto perché gli endpoint di servizio non sono progettati per l'accesso al Web browser o l'utilizzo casuale degli utenti.

Protezione del recapito del contenuto

Il processo di download dei file binari di aggiornamento è protetto a un livello superiore al trasporto. Anche se il contenuto può essere scaricato tramite HTTP standard (porta TCP 80), il contenuto passa attraverso un rigoroso processo di convalida della sicurezza.

I download vengono sottoposti a bilanciamento del carico tramite reti per la distribuzione di contenuti (CDN), quindi l'uso di TLS interrompe la catena di custodia Microsoft. Poiché una connessione TLS a una rete CDN di memorizzazione nella cache termina alla rete CDN, non a Microsoft, i certificati TLS non sono specifici di Microsoft. Ciò significa che il client WU non può dimostrare l'attendibilità della rete CDN perché Microsoft non controlla i certificati TLS della rete CDN. Inoltre, una connessione TLS a una rete CDN non dimostra che il contenuto non è stato modificato all'interno della rete di memorizzazione nella cache della rete CDN. Pertanto, TLS non offre alcuna promessa di sicurezza al flusso di lavoro end-to-end Windows Update che altrimenti fornisce.

Indipendentemente dal modo in cui il contenuto viene recapitato, una volta scaricato, viene convalidato correttamente. Il contenuto viene convalidato per l'attendibilità, l'integrità e l'intenzione usando varie tecniche, ad esempio la convalida della firma digitale e i controlli hash dei file. Questo livello di convalida del contenuto offre livelli di sicurezza ancora maggiori rispetto alla sola TLS.

Windows Server Update Services (WSUS)

Le aziende che usano WSUS hanno un flusso di lavoro simile. Tuttavia, i dispositivi client si connettono al server WSUS dell'organizzazione anziché a Internet ai server Microsoft. Spetta all'organizzazione decidere se usare connessioni HTTP o TLS (HTTPS) per lo scambio di metadati. Microsoft consiglia vivamente di usare le connessioni TLS e di configurare i dispositivi client con configurazioni di aggiunta di certificati TLS appropriate per lo scambio di metadati con WSUS. Per altre informazioni sull'aggiunta di certificati WSUS TLS, vedere:

• Blog di Windows IT Pro: Modifiche per migliorare la sicurezza per i dispositivi Windows che eseguano l'analisi di WSUS
• Blog di Windows IT Pro: Analizzare le modifiche e i certificati per aggiungere sicurezza ai dispositivi Windows che usano WSUS per gli aggiornamenti

Quando un server WSUS aggiorna il proprio catalogo di aggiornamenti, si connette ai servizi di sincronizzazione server di Microsoft e analizza la disponibilità di aggiornamenti. Il processo di sincronizzazione del server WSUS è simile al processo di scambio di metadati per i dispositivi client che si connettono a Windows Update. La connessione da WSUS a Microsoft è tramite TLS ed è verificata dal certificato Microsoft, in modo analogo all'aggiunta di certificati TLS del client WU.