Безопасность Центра обновления Windows
Система клиентский компонент Центра обновления Windows (WU) обеспечивает безопасное обновление устройств. Его сквозная защита предотвращает манипуляции с обменом протоколами и обеспечивает установку только утвержденного содержимого. Для некоторых защищенных сред может потребоваться обновить правила брандмауэра и прокси-сервера, чтобы обеспечить правильный доступ к обновлениям Windows. В этой статье приводятся общие сведения о функциях безопасности клиентский компонент Центра обновления Windows.
Общие сведения о безопасности клиентский компонент Центра обновления Windows
Система клиентский компонент Центра обновления Windows распространяет множество содержимого. Ниже приведены некоторые примеры этого содержимого:
- Обновления к операционной системе Windows
- обновления Приложения Microsoft 365 (обновления Office)
- Драйверы оборудования
- Определения антивирусной программы
- Приложения Microsoft Store
Эта система инициируется, когда пользователь взаимодействует со страницей параметров клиентский компонент Центра обновления Windows или когда приложение выполняет вызов API службы клиента WU. Эти вызовы могут выполняться в разное время приложениями Майкрософт и различными частями Windows, такими как Приложения Microsoft 365, Microsoft Defender и Plug and Play (PnP).
При таких взаимодействиях служба клиентский компонент Центра обновления Windows, запущенная на устройстве, активирует серию обменов через Интернет с клиентский компонент Центра обновления Windows серверами Майкрософт. Общий рабочий процесс:
- Устройство Windows устанавливает несколько подключений к службам клиентский компонент Центра обновления Windows по протоколу HTTPS (HTTP через TLS, TCP-порт 443).
- Метаданные обновления обмениваются по этим подключениям и приводят к списку обновлений, приложений, драйверов и других обновлений.
- Устройство решает, следует ли скачивать элементы из результирующего списка и когда.
После того как будет определен список загрузок, фактические двоичные файлы обновления загружаются. Скачивание выполняется через компонент оптимизации доставки через сочетание стандартных HTTP-вызовов (TCP-порт 80) и безопасных одноранговых сетевых вызовов (TCP-порт 7680). Используемый метод основан на конфигурациях или групповых политиках устройства.
При скачивании обновлений с помощью одноранговой сети оптимизации доставки (P2P) содержимое проверяется по получении от каждого однорангового узла. Если запрошенное содержимое недоступно в сети P2P, компонент оптимизации доставки загрузит его по протоколу HTTP.
Независимо от того, какой метод используется для скачивания содержимого, полученные файлы проверяются с помощью цифровых подписей и хэшей файлов перед установкой. Проверка подтверждает, что скачивание предназначено, проверено на подлинность и не было изменено.
Защита подключений к метаданным
Когда клиентский компонент Центра обновления Windows проверяет наличие обновлений, он проходит ряд обменов метаданными между устройством и серверами клиентский компонент Центра обновления Windows. Этот обмен выполняется по протоколу HTTPS (HTTP через TLS). Эти защищенные подключения закреплены сертификатом, что обеспечивает следующее:
- Проверяется сертификат сервера TLS-подключения (доверие к сертификату, срок действия, отзыв, записи SAN и т. д.)
- Издатель сертификата проверяется как подлинный Microsoft клиентский компонент Центра обновления Windows
Подключение завершается ошибкой, если издатель непредвиден или не является допустимым клиентский компонент Центра обновления Windows промежуточным сертификатом. Закрепление сертификатов гарантирует, что устройство подключается к законным серверам Майкрософт и предотвращает атаки типа "злоумышленник в середине".
Так как клиентский компонент Центра обновления Windows подключения TLS закреплены сертификатом, важно, чтобы прокси-серверы TLS передавали эти подключения без перехвата. Полный список DNS-имен, для которых требуются исключения прокси-сервера или брандмауэра, можно найти в статье об устранении неполадок клиентский компонент Центра обновления Windows.
Корпорация Майкрософт не предоставляет IP-адреса или диапазоны IP-адресов для этих исключений, так как они могут отличаться с течением времени по мере внесения изменений, таких как балансировка нагрузки трафика.
Ожидаемое использование сервера клиентский компонент Центра обновления Windows
Серверы службы клиентский компонент Центра обновления Windows используются только компонентами wu. Нет никаких ожиданий, что конечные пользователи будут взаимодействовать с этими удаленными конечными точками. Таким образом, эти конечные точки службы могут не разрешать в веб-браузере должным образом. Пользователь, случайно просматривающий эти конечные точки, может заметить несоблюдение последних ожиданий веб-браузера, таких как общедоступные доверенные PKI, ведение журнала прозрачности сертификатов или требования TLS. Это ожидаемое поведение не ограничивает или иным образом не влияет на безопасность и безопасность клиентский компонент Центра обновления Windows системы.
Пользователи, пытающиеся перейти к конечным точкам службы, могут видеть предупреждения системы безопасности и даже сбои доступа к содержимому. Опять же, это поведение ожидается, так как конечные точки службы не предназначены для доступа к веб-браузеру или случайного использования пользователем.
Защита доставки содержимого
Процесс скачивания двоичных файлов обновления защищен на уровне выше транспорта. Несмотря на то, что содержимое может быть загружено через стандартный http (TCP-порт 80), содержимое проходит тщательный процесс проверки безопасности.
Загрузка распределяется через сети доставки содержимого (CDN), поэтому использование TLS приведет к разрыву цепочки хранения Майкрософт. Так как TLS-подключение к кэшированию CDN завершается в сети CDN, а не в корпорации Майкрософт, сертификаты TLS не относятся к корпорации Майкрософт. Это означает, что клиент WU не может доказать надежность сети CDN, так как корпорация Майкрософт не контролирует сертификаты CDN TLS. Кроме того, подключение TLS к СЕТИ CDN не подтверждает, что содержимым не было манипулировано в сети кэширования CDN. Таким образом, TLS не предоставляет никаких обещаний безопасности для сквозного рабочего процесса клиентский компонент Центра обновления Windows, которые он предоставляет в противном случае.
Независимо от способа доставки содержимого, после скачивания оно проверяется должным образом. Содержимое проверяется на предмет доверия, целостности и намерения с помощью различных методов, таких как проверка цифровой подписи и проверка хэша файлов. Этот уровень проверки содержимого обеспечивает еще больше уровней безопасности, чем только TLS.
Службы Windows Server Update Services (WSUS)
Предприятия, использующие WSUS, имеют аналогичный рабочий процесс. Однако клиентские устройства подключаются к корпоративному серверу WSUS, а не через Интернет к серверам Майкрософт. Организация решает, следует ли использовать подключения HTTP или TLS (HTTPS) для обмена метаданными. Корпорация Майкрософт настоятельно рекомендует использовать подключения TLS и настраивать клиентские устройства с соответствующими конфигурациями закрепления сертификатов TLS для обмена метаданными с WSUS. Дополнительные сведения о закреплении сертификатов TLS WSUS см. в разделе:
- Блог Windows IT Pro: Изменения для повышения безопасности устройств Windows, сканирующих WSUS
- Блог WINDOWS IT Pro: Проверка изменений и сертификатов добавляет безопасность для устройств Windows с помощью WSUS для обновлений
Когда сервер WSUS обновляет свой собственный каталог обновлений, он подключается к службам синхронизации серверов Майкрософт и проверяет наличие обновлений. Процесс синхронизации сервера WSUS аналогичен процессу обмена метаданными для клиентских устройств, подключающихся к клиентский компонент Центра обновления Windows. Подключение WSUS к Майкрософт осуществляется по протоколу TLS и проверяется с помощью сертификата Майкрософт, аналогично закреплению сертификата TLS клиента WU.