Distribución de un paquete de controladores
En este tema se describe cómo distribuir el paquete de controladores de forma segura. Describe las ventajas de distribuir un paquete de controladores a través de Microsoft Windows Update (WU) y la complejidad de crear su propio sistema de distribución. Windows Update proporciona un sistema de distribución sólido, seguro, escalado a nivel global y que cumple con las normas, que se debe usar para entregar actualizaciones de controladores.
Usar Windows Update para distribuir paquetes de controladores
Se recomienda encarecidamente usar Windows Update para la distribución de paquetes de controladores. Ofrece muchas ventajas, entre las que se incluyen las siguientes.
| Beneficio | Descripción |
|---|---|
| Distribución controlada | Una infraestructura global se administra 24 horas al día para distribuir controladores de manera segura. |
| Mayor seguridad | Los paquetes de controladores distribuidos a través de Windows Update están firmados y los archivos binarios se almacenan de forma segura para reducir el riesgo de alteración o daños. |
| Costo conocido | El uso de Windows Update ayuda a evitar gastos imprevistos que pueden llegar a establecer y administrar un sistema de distribución de software independiente. |
| Cumplimiento normativo | Microsoft trabaja para cumplir todas las normativas, como la privacidad, a nivel global. |
| Satisfacción del cliente | Los clientes saben que los paquetes de controladores se prueban y la confiabilidad de su PC no se verá afectada. |
Un proceso de implementación de software bien diseñado puede ofrecer paquetes de controladores probados correctamente a los usuarios, a la vez que minimiza los costos de soporte técnico y la responsabilidad asociados con los errores de pantalla azul de Windows causados por una actualización de controlador defectuoso.
Preparación del paquete de controladores para la entrega de Windows Update
Windows Update tiene una serie de sistemas para confirmar que los paquetes de controladores distribuidos son de alta calidad y los crea un proveedor conocido y confiable.
El programa de compatibilidad de hardware de Windows está diseñado para ayudar a su empresa a ofrecer sistemas, software y productos de hardware compatibles con Windows y que se ejecuten de forma confiable en Windows 10, Windows 11 y Windows Server 2022. El programa también proporciona instrucciones para desarrollar, probar y distribuir controladores. Con el panel del Centro de partners para hardware de Windows, puede administrar envíos, seguir el rendimiento de su dispositivo o aplicación, revisar la telemetría y mucho más.
Los paquetes de controladores firmados digitalmente por Windows Hardware Quality Labs (WHQL) se pueden distribuir a través del programa Windows Update. WHQL puede firmar digitalmente paquetes de controladores que pasan las pruebas del Windows Hardware Lab Kit (HLK).
Una firma de versión WHQL consta de un archivo de catálogo firmado digitalmente. La firma digital no cambia los archivos binarios del controlador ni el archivo INF que envíe para realizar pruebas.
Puedes distribuir un paquete de controladores a través del programa Windows Update si el paquete de controladores:
Pasa las pruebas del Windows Hardware Lab Kit (HLK).
Califica para el Programa de certificación de Windows.
Recibe una firma de versión WHQL.
Cumple los requisitos adicionales que garantizan que Windows Update pueda determinar el paquete de controladores correcto para el dispositivo del usuario, puede distribuirlo legalmente y descargarlo automáticamente.
Dado que los requisitos del programa Windows Update se actualizan con frecuencia, debes comprobar periódicamente Kit de laboratorio de hardware de Windows para obtener la información más reciente.
Procedimientos de actualización de software seguro de distribución
Todos los paquetes de controladores firmados de Windows Hardware Quality Labs (WHQL) se ejecutan a través de las comprobaciones de ingesta y los exámenes de malware de Microsoft y deben pasar antes de aprobarse para la firma. La instalación de paquetes de controladores firmados permite una experiencia de usuario final más fluida.
Seguridad de distribución
Una de las ventajas de usar Windows Update es que los servidores, el proceso de transmisión y la lógica de cliente que valida y aplica las actualizaciones es un proceso bien probado que mantiene actualizados más de mil millones de equipos. Muchos expertos en seguridad que trabajan en Microsoft están dedicados a proteger el sistema contra ataques cada vez más numerosos y sofisticados.
Implementación de actualizaciones graduales controlada
Si un proveedor de terceros decide distribuir su paquete de controladores a través de Windows Update, el paquete de controladores también pasa por los procesos de paquetes piloto de Microsoft e implementación gradual para observar la calidad y asegurarse de que el paquete de controladores cumple los criterios de calidad necesarios para una versión amplia.
La implementación gradual usa la telemetría de Windows para asegurarse de que los clientes tengan la mejor experiencia posible. Si un paquete de controladores aparece en mal estado durante la fase de implementación gradual, Microsoft puede optar por pausar la distribución del paquete de controladores para la investigación o buscar la corrección adecuada, incluida una cancelación del paquete de controladores iniciado por Microsoft (expiración). Para obtener más información sobre el uso crítico de los anillos de distribución, consulte Implementación gradual.
Pruebas de campo para equipos específicos seleccionados por el proveedor
Antes de liberar un paquete de controladores, es un requisito probarlo en equipos de destino que procesarán la actualización y cargarán el controlador. El uso de un sistema de entrega independiente del sistema de distribución final puede provocar errores. Este proceso adicional para las pruebas tempranas de los conductores debe diseñarse, crearse y administrarse.
Los asociados de hardware pueden probar escenarios de actualización de paquetes de controladores mediante la publicación de un paquete de controladores en Windows Update y el uso de la distribución de pruebas. Una vez publicados, los IHV/OEM pueden configurar sus sistemas cliente para solicitar estos controladores mediante la configuración de un valor de clave del Registro predefinido. La clave del Registro de pruebas agrega controladores de versión preliminar a la lista de controladores de producción ofrecidos por Windows Update. Este método restringe la oferta de controladores de versión preliminar al público general. Para obtener más información, consulte Guía de distribución de pruebas para controladores de escritorio autohospedados.
Creación de su propio sistema de distribución para controladores de Windows
No se recomienda volver a crear el sistema de Windows Update, ya que implica un mayor riesgo, recursos de desarrollo significativos y costos que son difíciles de calcular. Muchas comprobaciones de seguridad y confiabilidad están integradas en el proceso de Windows Update que tendría que diseñarse, escribirse, probar e implementarse globalmente a escala.
La creación de una canalización de datos global, segura y conforme a las normas para medir la calidad del controlador podría ser la parte más difícil del sistema de Windows Update de replicar. La mayoría de los proveedores prefieren no oír sobre un error de paquete de controladores que provoca interrupciones generalizadas de Windows a través de medios de noticias públicos o redes sociales. Un mejor enfoque es tener datos en tiempo real para guiar la implementación del paquete de controladores y detener y revertir las actualizaciones del paquete de controladores que dañan el equipo de un cliente.
Puede haber un costo significativo en el diseño, la implementación y la administración de un sistema de distribución de controladores. Para obtener una descripción de los procedimientos de implementación segura de software, consulte la Implementación Segura de Software de CISA: Cómo los fabricantes de software pueden garantizar la fiabilidad para los clientes.
Muchos clientes de Windows solo aceptarán controladores firmados por Microsoft como una manera de reducir su exposición a la seguridad. Windows 10 en modo S requiere la firma de controladores. Para obtener más información, consulte Requisitos del controlador para Windows 10 en modo S y Firma de controladores, Administración de actualizaciones de controladores de Windows en Microsoft Intune y Reglas recomendadas por Microsoft para bloquear controladores.
Control de la velocidad de lanzamiento de actualizaciones mediante telemetría
Otro elemento que tendría que crearse para su propio sistema de distribución es una manera de limitar la velocidad del lanzamiento en función de la telemetría.
Un principio importante de un lanzamiento de actualizaciones de funcionalidades es actualizar solo los sistemas que los datos indican que tendrán una buena experiencia. Tanto la supervisión humana como el aprendizaje automático se usan para seleccionar primero los sistemas que se ofrecen actualizaciones. Si Windows Update detecta que un sistema podría tener un problema, no se ofrecerá la actualización hasta que se resuelva ese problema.
Windows Update se inicia lentamente: para priorizar la confiabilidad de la actualización sobre la velocidad de lanzamiento. Cuando hay disponible una actualización de nuevas características, primero se pone a disposición de un pequeño porcentaje de "buscadores", los usuarios que toman medidas para recibir las actualizaciones anticipadamente. A continuación, la telemetría se supervisa cuidadosamente para obtener información sobre los nuevos problemas que pueden producirse a medida que más usuarios reciben el controlador. Esto se hace viendo la telemetría, asociarse estrechamente con nuestro equipo de servicio al cliente para comprender qué nos informan los clientes, analizar los registros de comentarios y las capturas de pantalla directamente a través de nuestro Centro de opiniones y escuchar resúmenes automatizados de señales enviadas a través de los canales de redes sociales. Si se encuentra una combinación de factores que da como resultado una mala experiencia, se crea un bloque que impide que los dispositivos similares reciban una actualización hasta que se produzca una resolución completa. Volver a crear este sistema sería una tarea compleja.
Pruebas de controladores - distribución de paquetes piloto
De forma similar a un vuelo de prueba de un nuevo avión, el paquete piloto del controlador en el Centro de partners para Windows Hardware le permite distribuir el paquete de controladores dentro de los anillos definidos de Windows Insider, al tiempo que proporciona supervisión y evaluación automáticas. Después de una prueba de vuelo exitosa y la aprobación de Microsoft, el paquete de controladores se distribuye públicamente a través de Windows Update. Se generará un informe del rendimiento del paquete de controladores después de la finalización de un vuelo, lo que le permite evaluar su funcionalidad crítica y escenarios de actualización.
Para crear su propio sistema de distribución, se debe duplicar la funcionalidad similar de supervisión.
Medidas de calidad del controlador
Uno de los aspectos más difíciles de duplicar de Windows Update es las medidas de calidad del paquete de controladores y la adquisición y el procesamiento de datos en tiempo real. Microsoft recopila cada día 78 billones de señales de seguridad, con datos que los clientes han elegido compartir. Esta canalización de datos se recopila de forma selectiva para recopilar datos accionables para actualizaciones específicas del paquete de controladores. La replicación de esta canalización de datos es una empresa grande y compleja. La privacidad del cliente debe respetarse y en diferentes áreas del mundo, como la UE, donde existen requisitos adicionales para la recopilación, el almacenamiento y el uso de los datos de los clientes.
Mediante el uso de conocimientos adquiridos durante muchos años, se han desarrollado medidas para controladores de Microsoft, como el porcentaje de máquinas sin un fallo en modo kernel. Supervisar los datos correctos, en tiempo real, es la única manera de tener una medida verdadera del estado de una actualización del paquete de controladores.
Plan de respuesta a incidentes de seguridad (SIRP)
Dado que el sistema de actualización puede ser un objetivo significativo para los ciberataques, se debe crear para ser seguro. Además, debe vigilarse las 24 horas del día para detectar posibles intrusiones o riesgos. Cuando se produce una intrusión, los expertos en seguridad deben desarrollar e implementar rápidamente una respuesta adecuada. Para obtener más información sobre cómo crear un plan de respuesta a incidentes de seguridad (SIRP), consulte Guía de control de incidentes de seguridad de equipos en NIST y Conceptos básicos del plan de respuesta a incidentes (IRP) en CISA.
Iniciativa de virus de Microsoft
La Iniciativa de virus de Microsoft (MVI) ayuda a las organizaciones a mejorar las soluciones de seguridad que nuestros clientes confían para mantenerlos seguros. Proporcionamos herramientas, recursos y conocimientos para fomentar experiencias colaborativas con un gran rendimiento, fiabilidad y compatibilidad. Microsoft colabora con asociados de MVI para definir y seguir los procedimientos de implementación seguros (SDP) para respaldar la seguridad y la resistencia de nuestros clientes mutuos.
Si es un proveedor antivirus, consulte Microsoft Virus Initiative para aprender a unirse a MVI para obtener más ayuda sobre la implementación de software.
Para obtener información sobre cómo los proveedores de seguridad pueden aprovechar mejor las funcionalidades de seguridad integradas de Windows para obtener una mayor seguridad y confiabilidad, consulte procedimientos recomendados de seguridad de Windows para integrar y administrar herramientas de seguridad.
Recursos adicionales
Para obtener más información sobre la seguridad mediante principios y prácticas de diseño, visite Seguridad por diseño.
Para obtener información sobre la Orden Ejecutiva de Ciberseguridad del gobierno de los Estados Unidos, consulte La Orden Ejecutiva de Ciberseguridad: ¿Qué sigue para las agencias federales?.
Para obtener información sobre cómo crear un plan de implementación de Windows 11 y otra información sobre la implementación de actualizaciones de Windows, consulte Crear un plan de implementación.
Para conocer las lecciones aprendidas sobre las actualizaciones de controladores en la era de Windows 10, consulte Calidad de los controladores en el ecosistema de Windows.