Windows Update 安全性

• 適用於:

  ✅ Windows 11, ✅ Windows 10

Windows Update (WU) 系統可確保裝置安全地更新。 其端對端保護可防止操作通訊協定交換，並確保只會安裝已核准的內容。 某些受保護的環境可能需要更新防火牆和 Proxy 規則，以確保可以正確存取 Windows 更新。 本文提供 Windows Update 的安全性功能概觀。

Windows Update 安全性概觀

Windows Update 系統會發佈許多內容。 此內容的一些範例包括：

• 匯報 至 Windows 作業系統
• Microsoft 365 Apps Office 更新 (更新)
• 硬體驅動程式
• 防病毒軟體定義
• Microsoft Store 應用程式

當使用者與 Windows Update 設定頁面互動，或應用程式呼叫 WU 用戶端服務 API 時，就會起始此系統。 Microsoft 應用程式和 Windows 的不同部分可能會在不同時間進行這些呼叫，例如 Microsoft 365 Apps、Microsoft Defender 和 隨插即用 (PnP) 。

發生這類互動時，在裝置上執行的 Windows Update 服務將會透過因特網與 Microsoft 的 Windows Update 伺服器觸發一系列的交換。 一般工作流程為：

1. Windows 裝置會使用 HTTPS (HTTP 透過 TLS、TCP 連接埠 443) ，對 Windows Update 服務進行多個連線。
2. 更新元數據會透過這些連線交換，併產生更新、應用程式、驅動程式和其他更新的清單。
3. 裝置會決定是否要從產生的清單下載專案，以及何時下載專案。

一旦決定下載清單之後，就會下載實際的更新二進位檔。 下載是透過 傳遞優化 元件，透過標準 HTTP 呼叫 (TCP 連接埠 80) ，以及 TCP 連接埠 7680) (保護對等網路呼叫。 使用的方法是以裝置的組態/組策略為基礎。

使用傳遞優化的點對點 (P2P) 網路下載更新時，內容會在收到每個對等時驗證完整性。 如果 P2P 網路上無法使用要求的內容，則傳遞優化元件會使用 HTTP 下載它。

不論使用哪一種方法下載內容，產生的檔案會在安裝之前，先透過數位簽名和檔案哈希進行驗證。 驗證會確認下載是預期的內容、已驗證為驗證，而且尚未遭到竄改。

保護元數據連線

當 Windows Update 掃描更新時，它會經歷裝置與 Windows Update 伺服器之間的一系列元數據交換。 此交換是使用 HTTPS (HTTP over TLS) 來完成。 這些安全連線是憑證釘選的，可確保：

• TLS 連線的伺服器證書會 (憑證信任、到期、撤銷、SAN 專案等進行驗證 )
• 憑證的簽發者會驗證為正版 Microsoft Windows Update

如果簽發者是非預期的，或不是有效的中繼憑證 Windows Update 連線就會失敗。 憑證釘選可確保裝置連線到合法的 Microsoft 伺服器，並防止攔截式攻擊。

由於 Windows Update TLS 連線是憑證釘選的，因此 TLS Proxy 請務必在不攔截的情況下傳遞這些連線。 Windows Update 疑難解答一文中可找到需要 Proxy/防火牆例外狀況的 DNS 名稱完整清單。

Microsoft 不會提供這些例外狀況的 IP 位址或 IP 範圍，因為這些位址或 IP 範圍可能會隨著時間而有所不同，因為變更的目的例如流量負載平衡。

預期 Windows Update 伺服器使用量

#D5F09B36A7FE4431E9E34F695DCB69EC0 服務的伺服器僅供 WU 元件使用。 使用者不會預期會與這些遠端端端點互動。 因此，這些服務端點可能無法如預期般在網頁瀏覽器中解析。 使用者隨意瀏覽這些端點時，可能會發現缺乏遵守最新的網頁瀏覽器期望，例如公開信任的 PKI、憑證透明度記錄或 TLS 需求。 這是預期的行為，不會限制或影響 Windows Update 系統的安全性。

嘗試瀏覽至服務端點的使用者可能會看到安全性警告，甚至是內容存取失敗。 同樣地，這是預期的行為，因為服務端點並非專為網頁瀏覽器存取或隨意用戶取用而設計。

保護內容傳遞

下載更新二進位檔的程式會在傳輸層上方受到保護。 雖然內容可以透過標準 HTTP (TCP 連接埠 80) 下載，但內容仍會經過嚴格的安全性驗證程式。

下載會透過內容傳遞網路 (CDN) 進行負載平衡，因此使用 TLS 會中斷其 Microsoft 監管鏈結。 因為快取 CDN 的 TLS 聯機會在 CDN 終止，而不是 Microsoft，所以 TLS 憑證不是 Microsoft 特有的。 這表示 WU 用戶端無法證明 CDN 的可信度，因為 Microsoft 不會控制 CDN TLS 憑證。 此外，與CDN的TLS連線無法證明CDN的快取網路內並未操作內容。 因此，TLS 不會提供任何安全性承諾給它所提供的端對端 Windows Update 工作流程。

不論內容的傳遞方式為何，一旦下載之後，就會正確地驗證內容。 內容會使用各種技術來驗證信任、完整性和意圖，例如數位簽名驗證和檔案哈希檢查。 此層級的內容驗證所提供的安全性層級甚至比單獨使用 TLS 還要多。

Windows Server Update Services (WSUS)

使用 WSUS 的企業也有類似的工作流程。 不過，用戶端裝置會連線到其企業的 WSUS 伺服器，而不是透過因特網連線到 Microsoft 的伺服器。 企業必須決定是否要使用 HTTP 或 TLS (HTTPS) 連線來進行元數據交換。 Microsoft 強烈建議使用 TLS 連線，並使用適當的 TLS 憑證釘選設定來設定用戶端裝置，以便與 WSUS 進行元數據交換。 如需 WSUS TLS 憑證釘選的詳細資訊，請參閱：

• Windows IT 專業人員部落格：改善 Windows 裝置掃描 WSUS 安全性的變更
• Windows IT 專業人員部落格：掃描變更和憑證為使用 WSUS 進行更新的 Windows 裝置新增安全性

當 WSUS 伺服器 更新自己的更新目錄時，它會連線到 Microsoft 的伺服器同步處理服務，並掃描更新。 WSUS 伺服器同步處理程式類似於連線到 Windows Update 之用戶端裝置的元數據交換程式。 WSUS 對 Microsoft 的連線是透過 TLS 進行，並由 Microsoft 憑證驗證，類似於 WU 用戶端的 TLS 憑證釘選。