Distribuce balíčku ovladačů
Toto téma popisuje, jak bezpečně distribuovat balíček ovladačů . Popisuje výhody distribuce balíčku ovladačů prostřednictvím služby Microsoft Windows Update (WU) a složitosti vytvoření vlastního distribučního systému. Služba Windows Update poskytuje robustní, zabezpečený, globálně škálovaný a regulační distribuční systém, který by se měl použít k poskytování aktualizací ovladačů.
Distribuce balíčků ovladačů pomocí služby Windows Update
Použití služby Windows Update důrazně doporučujeme pro distribuci balíčků ovladačů. Nabízí mnoho výhod, včetně následujících.
| Prospěch | Popis |
|---|---|
| Řízené rozdělení | Globální infrastruktura je spravována 24 hodin denně, aby byly ovladače bezpečně a spolehlivě distribuovány. |
| Zvýšené zabezpečení | Balíčky ovladačů distribuované prostřednictvím služby Windows Update jsou podepsané a binární soubory se bezpečně ukládají, aby se snížilo riziko manipulace nebo poškození. |
| Známé náklady | Použití služby Windows Update pomáhá vyhnout se neočekáženým výdajům, které mohou být součástí vytváření a správy nezávislého distribučního systému softwaru. |
| Dodržování právních předpisů | Microsoft pracuje na dodržování všech předpisů, jako je ochrana osobních údajů, na globální bázi. |
| Spokojenost zákazníků | Zákazníci vědí, že balíčky ovladačů jsou testovány a spolehlivost jejich počítače nebude ovlivněna. |
Dobře navržený proces nasazení softwaru může uživatelům dodávat správně otestované balíčky ovladačů a současně minimalizovat náklady na podporu a odpovědnost spojenou se selháními modrých obrazovek Windows způsobených chybnou aktualizací ovladačů.
Příprava balíčku ovladače pro doručování služby Windows Update
Služba Windows Update má řadu systémů, které ověřují, že balíčky distribuovaných ovladačů jsou vysoce kvalitní a vytvářejí se známým spolehlivým dodavatelem.
Program Kompatibility hardwaru systému Windows je navržen tak, aby pomohl vaší společnosti dodávat systémy, softwarové a hardwarové produkty kompatibilní s Windows a spolehlivě fungovat na Windows 10, Windows 11 a Windows Serveru 2022. Program také poskytuje pokyny pro vývoj, testování a distribuci ovladačů. Pomocí řídicího panelu Partner Center pro Hardware pro Windows můžete spravovat odesílání, sledovat výkon zařízení nebo aplikace, kontrolovat telemetrii a mnoho dalšího.
Windows Hardware Quality Labs (WHQL) digitálně podepsané balíčky ovladačů lze distribuovat prostřednictvím programu Windows Update. WHQL může digitálně podepsat balíčky ovladačů , které projdou testováním Windows Hardware Lab Kit (HLK) .
Podpis verze WHQL se skládá z digitálně podepsaného katalogového souboru . Digitální podpis nemění binární soubory ovladače ani soubor INF, který odešlete k testování.
Balíček ovladačů můžete distribuovat prostřednictvím programu Windows Update, pokud balíček ovladače:
Projde Windows Hardware Lab Kit (HLK) testováním.
Kvalifikuje se pro certifikační program Windows.
Obdrží podpis verze WHQL.
Splňuje další požadavky, které zajistí, že služba Windows Update dokáže určit správný balíček ovladačů pro zařízení uživatele, může ho právně distribuovat a může ho automaticky stáhnout.
Vzhledem k tomu, že požadavky programu Windows Update se často aktualizují, měli byste pravidelně kontrolovat Windows Hardware Lab Kit pro nejnovější informace.
Postupy distribuce bezpečných aktualizací softwaru
Všechny balíčky ovladačů podepsaných systémem Windows Hardware Quality Labs (WHQL) se spouští prostřednictvím kontrol příjmu dat a kontrol malwaru společnosti Microsoft a musí před schválením pro podpis projít. Instalace podepsaných balíčků ovladačů umožňuje plynulejší prostředí pro koncové uživatele.
Zabezpečení distribuce
Jednou z výhod používání služby Windows Update je to, že servery, proces přenosu a logika klienta, která ověřuje a používá aktualizace, je dobře otestovaný proces, který udržuje více než jednu miliardu počítačů v aktualizovaném stavu. Mnoho odborníků na zabezpečení, kteří pracují v Microsoftu, se věnuje udržování systému proti stále rostoucím, sofistikovaným útokům.
Řízené postupné zavádění aktualizací
Pokud se dodavatel třetí strany rozhodne distribuovat balíček ovladačů prostřednictvím služby Windows Update, balíček ovladačů také prochází testovací verzí společnosti Microsoft a postupné zavádění procesů, aby sledoval kvalitu a zajistil, že balíček ovladačů splňuje potřebná kritéria kvality pro širokou verzi.
Postupné zavedení používá telemetrii Windows k zajištění co nejlepšího možného prostředí pro vaše zákazníky. Pokud se balíček ovladače během postupné fáze zavedení jeví jako problémový, může se společnost Microsoft rozhodnout pozastavit distribuci balíčku ovladače za účelem šetření a/nebo přijmout vhodná opatření, včetně zrušení balíčku ovladače iniciovaného Microsoftem. Další informace o kritickém použití distribučních kroužků naleznete v tématu Postupné zavedení.
Testování v terénu pro konkrétní počítače vybrané dodavatelem
Před vydáním balíčku ovladače je nutné ho otestovat na cílových počítačích, které budou aktualizaci zpracovávat a načíst ovladač. Použití systému doručování odděleného od konečného distribučního systému může vést k chybám. Tento další proces pro včasné testování ovladačů musí být navržen, vytvořen a spravován.
Partneři hardwaru můžou testovat scénáře aktualizace balíčků ovladačů publikováním balíčku ovladače do služby Windows Update a použitím testovací distribuce. Po publikování můžou výrobci hardwaru IHV/OEM nakonfigurovat některé klientské systémy tak, aby si tyto ovladače vyžádaly prostřednictvím konfigurace předdefinované hodnoty klíče registru. Testovací klíč registru přidá předběžné ovladače do seznamu produkčních ovladačů nabízených službou Windows Update. Tato metoda brání veřejnosti v nabízení předběžných ovladačů. Další informace najdete v tématu Pokyny k distribuci testů pro ovladače pro samostatně hostované stolní počítače.
Vytvoření vlastního distribučního systému pro ovladače Windows
Opětovné vytvoření systému Windows Update se nedoporučuje, protože zahrnuje zvýšené riziko, významné vývojové prostředky a náklady, které se obtížně odhadují. Mnoho kontrol zabezpečení a spolehlivosti je integrovaných do procesu služby Windows Update, který by byl potřeba navrhnout, psát, testovat a implementovat globálně ve velkém měřítku.
Vytvoření zabezpečeného a regulačně vyhovujícího globálního datového kanálu pro měření kvality řidičů může být nejobtížnější částí systému Windows Update, kterou lze replikovat. Většina dodavatelů by raději neslyšela o selhání balíčku ovladačů, které způsobuje rozsáhlé výpadky Windows prostřednictvím veřejných informačních kanálů nebo sociálních médií. Lepším přístupem je mít data v reálném čase, jež pomáhají řídit nasazení balíčku ovladačů a umožňují pozastavit a vrátit zpět aktualizace balíčku ovladačů, které poškodí PC zákazníka.
Při navrhování, nasazování a správě distribučního systému ovladačů můžou být značné náklady. Popis postupů bezpečného nasazení softwaru najdete v tématu CISA Bezpečné nasazení softwaru: Jak mohou výrobci softwaru zajistit spolehlivost pro zákazníky.
Mnoho zákazníků s Windows bude přijímat pouze podepsané ovladače Microsoftu jako způsob, jak snížit riziko ohrožení zabezpečení. Windows 10 v režimu S vyžaduje podepisování ovladačů. Další informace najdete v tématu Požadavky na ovladače Windows 10 v režimu S a Podepisování ovladačů, Správa aktualizací ovladačů systému Windows v Microsoft Intune a Doporučená pravidla blokování ovladačů od Microsoftu.
Řízení rychlosti zavádění aktualizací pomocí telemetrie
Dalším prvkem, který je potřeba vytvořit pro vlastní distribuční systém, je způsob, jak omezovat rychlost zavedení na základě telemetrie.
Důležitým principem při zavádění aktualizací funkcí je aktualizovat pouze ty systémy, u kterých data ukazují, že nabídnou dobrý uživatelský zážitek. Lidské dohled i strojové učení slouží k výběru systémů, které jsou nabízeny jako první. Pokud služba Windows Update zjistí, že systém může mít problém, nebudeme tuto aktualizaci nabízet, dokud se tento problém nevyřeší.
Služba Windows Update se spouští pomalu – aby bylo možné určit prioritu spolehlivosti aktualizací oproti rychlosti zavedení. Když je k dispozici nová verze aktualizace funkcí, zpřístupní se nejprve malé procento "hledačů", kteří podniknou akci, aby aktualizace získali včas. Telemetrie se pak pečlivě monitoruje, abyste se dozvěděli o všech nových problémech, ke kterým může dojít, když ovladač obdrží více uživatelů. To se provádí sledováním telemetrie, úzce spolupracujeme s naším týmem zákaznických služeb, abyste pochopili, co nám zákazníci hlásí, analyzují protokoly zpětné vazby a snímky obrazovky přímo prostřednictvím našeho centra Feedback a poslouchají automatizované souhrny signálů odesílaných prostřednictvím kanálů sociálních médií. Pokud se zjistí kombinace faktorů, které mají za následek špatný zážitek, vytvoří se blok, který brání podobným zařízením v přijímání aktualizace, dokud nedojde k úplnému řešení. Opětovné vytvoření tohoto systému by bylo složitým závazkem.
Testování ovladačů – postupné uvolňování
Podobně jako testovací let nového letadla flighting ovladače v Partnerském centru pro hardware windows umožňuje distribuovat balíček ovladačů v definovaných okruhech Windows Insider a současně poskytovat automatické monitorování a hodnocení. Po úspěšném testovacím letu a schválení od Microsoftu se balíček ovladače distribuuje veřejně prostřednictvím služby Windows Update. Po dokončení letu se vygeneruje zpráva o výkonu vašeho balíčku ovladače, která vám umožní vyhodnotit jeho kritické funkce a scénáře aktualizace.
Pokud chcete vytvořit vlastní distribuční systém, musí být podobné funkce monitorování duplicitní.
Opatření pro kvalitu řidiče
Jednou z nejobtížnějších duplicitních aspektů služby Windows Update je měření kvality balíčku ovladačů a získávání a zpracování dat v reálném čase. Microsoft každý den shromažďuje 78 miliard bezpečnostních signálů pomocí dat, která zákazníci zvolili ke sdílení. Tento datový kanál se selektivně získává za účelem shromáždění dat použitelných pro konkrétní aktualizace balíčku ovladačů. Replikace tohoto datového kanálu je rozsáhlý a složitý podnik. Ochrana osobních údajů zákazníků musí být respektována a v různých oblastech světa, jako je EU, kde existují další požadavky na shromažďování, ukládání a používání zákaznických dat.
S využitím znalostí získaných v průběhu mnoha let byly vyvinuty míry ovladačů Společnosti Microsoft, například procent počítačů bez chybového ukončení režimu jádra. Monitorování správných dat v reálném čase je jediným způsobem, jak mít skutečnou míru stavu aktualizace balíčku ovladače.
Plán reakce na incidenty zabezpečení (SIRP)
Vzhledem k tomu, že aktualizační systém může být významným cílem kybernetických útoků, musí být vytvořen, aby byl zabezpečený. Kromě toho musí být nepřetržitě monitorováno kvůli možnému vniknutí nebo ohrožení. Když dojde k narušení, musí bezpečnostní experti rychle vypracovat a implementovat vhodnou reakci. Další informace o vytvoření plánu reakce na incidenty zabezpečení (SIRP) najdete v tématu
Microsoft Virus Initiative
Microsoft Virus Initiative (MVI) pomáhá organizacím vylepšovat řešení zabezpečení, na která naši zákazníci spoléhají, aby je udrželi v bezpečí. Poskytujeme nástroje, prostředky a znalosti, které podporují lepší prostředí s velkým výkonem, spolehlivostí a kompatibilitou. Microsoft spolupracuje s partnery MVI a definuje postupy bezpečného nasazení (SDP) a podporuje bezpečnost a odolnost našich vzájemných zákazníků.
Pokud jste dodavatelem antivirového softwaru, přečtěte si programu Microsoft Virus Initiative, kde se dozvíte, jak se připojit k MVI a získat další pomoc s nasazením softwaru.
Informace o tom, jak můžou dodavatelé zabezpečení lépe využívat integrované možnosti zabezpečení systému Windows pro zvýšení zabezpečení a spolehlivosti, najdete v tématu osvědčené postupy zabezpečení systému Windows pro integraci a správu nástrojů zabezpečení.
Další zdroje informací
Další informace o principech a postupech bezpečného návrhu najdete na webu CISA.
Informace o výkonném příkazu kyberbezpečnosti od vlády Spojených států najdete v tématu Výkonný příkaz kyberbezpečnosti: Co je dalšího pro federální agentury?.
Informace o vytvoření plánu nasazení Windows 11 a dalších informací o nasazení aktualizací systému Windows najdete v tématu Vytvoření plánu nasazení.
Informace o aktualizacích ovladačů v éře Windows 10 najdete v tématu Kvalita ovladače v ekosystému Windows.