Najlepsze rozwiązania dotyczące bezpiecznego wdrażania sterowników systemu Windows

Najlepsze rozwiązania dotyczące bezpiecznego wdrażania sterowników systemu Windows są niezbędne do zapewnienia bezpiecznego, niezawodnego i zgodnego z systemem Windows środowiska użytkownika. W tym artykule opisano najlepsze rozwiązania dotyczące partnerów sprzętu i oprogramowania układowego firmy Microsoft w celu tworzenia i wykonywania niezawodnych planów wdrażania, które minimalizują zakłócenia, nieefektywność i awarie urządzeń.

Podczas gdy niektórzy partnerzy mogą zdecydować się na zarządzanie własnymi procesami dystrybucji poza usługą Windows Update, użyj usługi Windows Update zawsze, gdy jest to możliwe. Usługa Windows Update oferuje kontrolowany, bezpieczny i wydajny ekosystem, który zmniejsza ryzyko niezgodności, luk w zabezpieczeniach i wpływu na użytkowników. Aby uzyskać szczegółowe wskazówki dotyczące dystrybucji pakietów sterowników, zobacz Dystrybucja pakietu sterowników.

Zgodnie z wskazówkami dotyczącymi bezpiecznego wdrażania oprogramowania Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), te najlepsze praktyki podkreślają przejrzystość, wersjonowanie, planowanie wycofania i bezpieczny projekt oprogramowania — podstawowe elementy nowoczesnego wdrażania sterowników.

Aby uzyskać więcej informacji na temat filozofii zabezpieczeń sterowników firmy Microsoft, zobacz wskazówki dotyczące zabezpieczeń sterowników.

Bezpieczny cykl życia implementacji sterowników

Najlepsze rozwiązania dotyczące bezpiecznego wdrażania sterowników są pogrupowane w trzy etapy cyklu życia wdrożenia:

• Przed wdrożeniem

  Koncentruje się na planowaniu, testowaniu wewnętrznym, certyfikacji w laboratorium jakości sprzętu systemu Windows (WHQL), weryfikowaniu zależności i dopasowywaniu kryteriów wdrażania do celów biznesowych i inżynieryjnych przed dystrybucją.

• Dystrybucja

  Obejmuje rzeczywisty rozkład sterownika, w tym korzystanie z usługi Windows Update, jeśli ma to zastosowanie, wdrażanie strategii pierścienia oraz stosowanie najlepszych rozwiązań dotyczących stopniowego wdrażania.

• Monitorowanie i konserwacja po wdrożeniu

  Obejmuje monitorowanie sygnałów kondycji urządzenia, analizowanie danych telemetrycznych i wstrzymanie, wycofywanie lub aktualizowanie wdrożeń na podstawie rzeczywistej wydajności.

Każda sekcja zawiera wskazówki umożliwiające podejmowanie działań, aby pomóc partnerom w zapewnieniu, że wersje sterowników spełniają wysokie standardy niezawodności, bezpieczeństwa i wydajności podczas całego procesu wdrażania.

Testowanie przed wdrożeniem i walidacja

Testowanie, walidacja i ocena zabezpieczeń przed dystrybucją sterownika, aby zapewnić bezpieczne i niezawodne doświadczenie dla użytkowników końcowych. Te kroki uniemożliwiają problemy z wdrażaniem, obniżają koszty pomocy technicznej i zwiększają zadowolenie użytkowników.

Aby zapoznać się z omówieniem zalecanego kompleksowego procesu firmy Microsoft, zobacz przewodnik Tworzenie, testowanie i wdrażanie sterowników .

Testowanie końcowe i walidacja

Przed dystrybucją sterownika, testuj, zweryfikuj i oceń jego bezpieczeństwo. Ten krok zmniejsza ryzyko regresji, luk w zabezpieczeniach i zakłóceń użytkowników.

• Przetestuj różne konfiguracje sprzętowe, aby zapewnić zgodność.
• Sprawdź poprawność pod kątem obsługiwanych wersji systemu Windows i najnowszych aktualizacji obsługi, aby zapobiec regresji.
• Obejmuje zarządzanie energią, testowanie obciążenia, wstrzymywanie i wznawianie oraz walidację scenariusza odzyskiwania.
• Aby uzyskać zgodność i certyfikację, użyj zestawu Windows Driver Kit (WDK) i zestawu Hardware Lab Kit (HLK ).
• Zobacz Testowanie sterownika:
  • Porady dotyczące testowania podczas programowania
  • Testowanie w czasie wykonywania za pomocą programu Visual Studio
  • narzędzia do weryfikowania sterowników

Zabezpieczenia i integralność kodu

Bezpieczeństwo sterowników ma kluczowe znaczenie dla stabilności systemu, ochrony i zgodności z zasadami sterowników systemu Windows.

• Cyfrowo podpisz swój sterownik zgodnie z wymaganiami podpisywania sterowników. Zapoznaj się z wymaganiami dotyczącymi podpisywania kodu sterownika , aby uzyskać więcej wskazówek dotyczących zgodności i zasad.

  • Zadbaj o prawidłowe podpisanie wszystkich sterowników przeznaczonych do wdrożenia, zarówno za pośrednictwem usługi Windows Update, jak i alternatywnych kanałów, aby zapewnić ich integralność i zaufanie.

  • Uzyskaj podpisy narzędzi Windows Hardware Quality Labs (WHQL) dla sterowników, niezależnie od kanału dystrybucji, w tym windows Update, kanałów kontrolowanych przez producenta lub kanałów kontrolowanych przez dostawcę, takich jak witryny internetowe lub narzędzia specyficzne dla przedsiębiorstwa. Dzięki uzyskaniu podpisu wydania WHQL systemy Windows domyślnie ufają pakietom sterowników. Bez niego wymagane są dodatkowe kroki konfiguracji w celu ustanowienia zaufania przy użyciu alternatywnych certyfikatów, co wprowadza złożoność i ryzyko podczas wdrażania. Certyfikat WHQL, który musisz uzyskać, aby otrzymać podpis wydania WHQL, potwierdza, że sterownik przechodzi testy zgodności Microsoftu i spełnia wymagane standardy bezpieczeństwa.

• Postępuj zgodnie z listą kontrolną zabezpieczeń sterowników firmy Microsoft, aby zminimalizować luki w zabezpieczeniach.

• Użyj języka QL kodu w czasie kompilacji i weryfikatora sterowników w czasie wykonywania, aby odkryć potencjalne wady zabezpieczeń.

• Dostosuj swoje praktyki programistyczne do wskazówek dotyczących zabezpieczeń sterowników, które opisują korzyści płynące z dostarczania bezpiecznych i niezawodnych sterowników oraz zawierają wskazówki dotyczące unikania złośliwych lub podatnych na zagrożenia wzorców kodu.

Firma Microsoft zachęca organizacje, które opracowują i publikują sterowniki chroniące przed złośliwym oprogramowaniem, aby uczestniczyć w programie Microsoft Virus Initiative (MVI) poświęconym dostosowaniu technologii chroniących przed złośliwym oprogramowaniem do standardów zabezpieczeń systemu Windows.

Planowanie wdrożenia

Planowanie strategiczne zmniejsza ryzyko, poprawia środowisko użytkownika i zapewnia wydajne dostarczanie i pomoc techniczną.

• Zdefiniuj strategie wdrażania, takie jak stopniowe wdrażanie, wdrożenia pilotażowe, wersje regionalne lub wersje przeznaczone dla sprzętu.

  • Aby zmniejszyć ryzyko i monitorować rzeczywiste zachowanie przed wydaniem globalnym, zobacz Stopniowe wdrażanie.

• Wybierz kanał wdrażania:

  • Użyj usługi Windows Update dla kontrolowanej i bezpiecznej infrastruktury.
  • Aby uzyskać wskazówki dotyczące publikowania, zobacz Dystrybucja sterowników za pośrednictwem usługi Windows Update.
  • Jeśli zarządzasz dystrybucją niezależnie, upewnij się, że ten sam poziom bezpieczeństwa i monitorowania.

• Planowanie scenariuszy awarii poprzez określenie kryteriów wycofywania, identyfikowanie potencjalnych przypadków wycofania i dokumentowanie procedur eskalacji.

• Aby spełnić oczekiwania dotyczące jakości i dostarczania, upewnij się, że współpraca między inżynierami, działem jakości i interesariuszami biznesowymi.

Aby uzyskać więcej informacji, zobacz Tworzenie planu wdrożenia.

Dystrybucja

Aby zachować stabilność systemu i zaufanie użytkowników, należy zapewnić bezpieczne, niezawodne i wydajne dotarcie sterowników do użytkowników. Faza dystrybucji koncentruje się na publikowaniu i dostarczaniu sterowników przy użyciu ustrukturyzowanego, odpornego podejścia, które korzysta z wbudowanej infrastruktury firmy Microsoft. W tej sekcji opisano również bezpieczne rozwiązania dotyczące alternatywnych ścieżek dystrybucji.

Windows Update i inne metody dystrybucji

Windows Update (zalecane):

• Oferuje bezpieczną, automatyczną i kontrolowaną dystrybucję sterowników.
• Integruje się z obsługą systemu Windows i aktualizacjami funkcji.
• Umożliwia stopniowe wdrażanie oparte na telemetrii i wbudowane mechanizmy wycofywania.
• Obsługuje określanie docelowe według identyfikatora sprzętu, wersji systemu operacyjnego i innych kryteriów.

Dowiedz się więcej w temacie Dystrybucja pakietu sterowników.

Kanały wydawcy:

• Może być konieczne w środowiskach niszowych lub kontrolowanych przez przedsiębiorstwo.
• Wymagaj środków bezpieczeństwa zgodnych z zabezpieczeniami Windows Update.
  • Sterowniki powinny być bezpiecznie pakowane i poddawane podpisowi wydania WHQL. Nawet jeśli sterowniki są wdrażane poza usługą Windows Update, powinny one nadal wykonywać testy WHQL i być podpisane cyfrowo. Testowanie i podpisywanie sterowników WHQL zapewniają zgodność z oczekiwaniami firmy Microsoft dotyczącymi jakości i bezpieczeństwa oraz zachowanie zgodności z zabezpieczeniami oferowanymi przez usługę Windows Update.
  • Mechanizmy ręcznego wycofywania i kontroli wersji.
  • Koordynacja z zespołami IT lub użytkownikami końcowymi w celu zapewnienia bezpiecznej instalacji.

Ograniczenia dotyczące zależności sterowników

Te wskazówki dotyczą wszystkich metod dystrybucji, w tym windows Update, portali OEM i narzędzi specyficznych dla przedsiębiorstwa.

System Windows nie gwarantuje ani nie zapewnia mechanizmów ściśle powiązanych zależności między pakietami sterowników. Te zależności obejmują relacje między sterownikami a relacje między sterownikiem a oprogramowaniem układowym, które opierają się na dokładnym dopasowaniu wersji do poprawnego działania. Zamiast tego wszelkie interakcje między sterownikami lub między sterownikami i oprogramowaniem układowym muszą wystąpić za pośrednictwem dobrze zdefiniowanych interfejsów, które używają przechowywania wersji w celu określenia zmian w interfejsie.

Sterowniki i oprogramowanie sprzętowe muszą zapewnić pewien poziom wstecznej i przyszłej zgodności, aby system działał niezależnie od kombinacji wersji sterowników i oprogramowania sprzętowego. System Windows nie obsługuje ściśle powiązanych zależności, w których wymagane są dokładne dopasowania wersji.

Fazy wdrażania

Wdrażanie sterowników to wielostopniowy proces, który zapewnia bezpieczeństwo, niezawodność i minimalne zakłócenia. Fazy wdrażania — wdrażanie pilotażowe, stopniowe wdrażanie i pełne wdrażanie — zmniejszają ryzyko i potwierdzają stabilność sterowników przed pełną dystrybucją. Wskazówki dotyczące bezpiecznego wdrażania oprogramowania CISA podkreślają znaczenie stopniowego wdrażania i zawierają szczegółową oś czasu wdrożenia. Na tej osi czasu pokazano, jak te fazy pasują do ogólnego procesu. Podkreśla, w jaki sposób organizacje mogą dokładnie monitorować wydajność i testować sterowniki przed szerszą dystrybucją.

• Wdrażanie pilotażowe (wdrożenie wewnętrzne):

  • Początkowa wersja dla ograniczonej grupy odbiorców testów.
  • Służy do weryfikowania zachowania w rzeczywistych środowiskach.
  • Umożliwia szybkie reagowanie na regresje lub problemy ze zgodnością.

• Stopniowe wdrażanie (wdrażanie i testowanie kanarkowe):

  • Stopniowo zwiększa ekspozycję na podstawie danych telemetrycznych i diagnostycznych.
  • Pomaga identyfikować problemy systemowe przy jednoczesnym zminimalizowaniu powszechnego wpływu.
  • Dostosuj tempo wdrażania i zakres na podstawie metryk jakości i kondycji urządzenia.

Dowiedz się więcej w temacie Stopniowe wdrażanie aktualizacji sterowników w Centrum deweloperów sprzętu firmy Microsoft.

• Pełne wdrożenie (kontrolowane wdrożenie):
  • Włączone po pomyślnym monitorowaniu faz pilotażu i stopniowego wdrażania.
  • Obsługuje szerszy zasięg w zgodnych systemach globalnie.

Monitorowanie i konserwacja po wdrożeniu

Aktywnie monitoruj niezawodność sterownika po wydaniu, aby wykryć i rozwiązać potencjalne problemy.

Telemetria i wykrywanie problemów

• Użyj raportowania błędów systemu Windows (WER) i raportowania wdrażania sterowników, aby śledzić błędy sterowników, w tym awarie spowodowane przez sterowniki trybu jądra, takie jak awarie systemu (kontrole błędów).

• Zapoznaj się z Centrum rozwoju sprzętu (Hardware Dev Center), aby uzyskać raporty takie jak raport o niepowodzeniach kohorty, raport o niepowodzeniach plug and play, raport dotyczący niezawodności oraz raport podsumowania instalacji i kondycji sterownika.

• Ciągłe monitorowanie problemów z instalacją i problemów ze zgodnością sprzętu w rzeczywistych scenariuszach użycia.

Odpowiedź na problem i aktualizacje sterowników

• Wydawanie poprawek w celu rozwiązania luk w zabezpieczeniach.
• Dostarczaj szybkie poprawki lub nowe wersje sterowników na podstawie danych telemetrycznych.
• Przedpublikacyjne wycofanie kandydatów i alternatywnych sterowników.
• ** Skontaktuj się z pomocą techniczną firmy Microsoft lub kanałami działu obsługi kierowców.

Aby uzyskać więcej informacji na temat narzędzi zabezpieczeń do reagowania na zdarzenia, zobacz Reagowanie na zdarzenia: Najlepsze rozwiązania dotyczące zabezpieczeń systemu Windows dotyczące integrowania narzędzi zabezpieczeń i zarządzania nimi.

Zagadnienia dotyczące zakończenia pomocy technicznej

• Zaplanuj stopniowe wycofywanie starszych sterowników i płynne przechodzenie użytkowników na nowsze rozwiązania.
• Zapewnij czytelną komunikację i obsługę użytkowników podczas przejścia.

Podsumowanie

Bezpieczne wdrażanie to proces ciągły, który obejmuje:

1. Dokładnie weryfikowanie i ocenianie zabezpieczeń przed wydaniem.
2. Stosowanie kontrolowanych strategii dystrybucji w celu zmniejszenia ryzyka.
3. Aktywnie monitorowanie wdrożeń i rozwiązywanie problemów.

Te wytyczne ułatwiają partnerom sprzętu i oprogramowania układowego ulepszanie strategii wdrażania i tworzenie bezpiecznego, niezawodnego ekosystemu systemu Windows. Te najlepsze rozwiązania są zgodne z zasadami zabezpieczeń systemu Microsoft Windows i zaleceniami pomocy technicznej od organizacji, takich jak CISA. Promują one proaktywne i wspólne podejście do niezawodności oprogramowania i kondycji ekosystemu.