Distribuindo um pacote de controlador
Este tópico descreve como distribuir com segurança seu pacote de driver . Ele descreve as vantagens de distribuir um pacote de driver por meio do Microsoft Windows Update (WU) e a complexidade de criar seu próprio sistema de distribuição. O Windows Update fornece um sistema de distribuição robusto, seguro, globalmente dimensionado e compatível com regulamentação que deve ser usado para fornecer atualizações de driver.
Usar o Windows Update para distribuir pacotes de driver
O uso do Windows Update é altamente recomendável para a distribuição de pacotes de driver. Ele oferece muitos benefícios, incluindo o seguinte.
| Benefício | Descrição |
|---|---|
| Distribuição controlada | Uma infraestrutura global é gerenciada 24 horas por dia para distribuir drivers com segurança e proteção. |
| Maior segurança | Os pacotes de driver distribuídos por meio do Windows Update são assinados e os binários são armazenados com segurança para diminuir o risco de adulteração ou corrupção. |
| Custo conhecido | O uso do Windows Update ajuda a evitar despesas inesperadas que podem vir com o estabelecimento e o gerenciamento de um sistema de distribuição de software independente. |
| Conformidade regulatória | A Microsoft trabalha para cumprir todos os regulamentos, como privacidade, globalmente. |
| Satisfação do cliente | Os clientes sabem que os pacotes de driver são testados e a confiabilidade do computador não será afetada. |
Um processo de implantação de software bem projetado pode fornecer pacotes de driver testados corretamente aos usuários, minimizando os custos de suporte e a responsabilidade associados a falhas de tela azul do Windows causadas por uma atualização de driver com falha.
Preparando seu pacote de driver para entrega do Windows Update
O Windows Update tem vários sistemas em vigor para confirmar se os pacotes de driver distribuídos são de alta qualidade e são criados por um fornecedor conhecido, confiável.
O Programa de Compatibilidade de Hardware do Windows foi projetado para ajudar sua empresa a fornecer sistemas, software e produtos de hardware compatíveis com o Windows e executados de forma confiável no Windows 10, Windows 11 e Windows Server 2022. O programa também fornece diretrizes para desenvolver, testar e distribuir drivers. Usando o painel de controle do Partner Center para Hardware do Windows, você pode gerenciar submissões, acompanhar o desempenho do seu dispositivo ou aplicativo, revisar a telemetria e muito mais.
Pacotes de driver assinados digitalmente pela WHQL (Windows Hardware Quality Labs) podem ser distribuídos por meio do programa Windows Update. O WHQL pode assinar digitalmente seus Pacotes de drivers que passam no teste do HLK (Hardware Lab Kit) do Windows.
Uma assinatura de lançamento WHQL consiste em um arquivo de catálogo assinado digitalmente. A assinatura digital não altera os arquivos binários do driver ou o arquivo INF que você envia para teste.
Você pode distribuir um pacote de driver por meio do programa Windows Update se o pacote de driver:
Passa no teste do HLK (Hardware Lab Kit) do Windows.
Qualifica-se para o Programa de Certificação do Windows.
Recebe uma assinatura de versão do WHQL.
Atende a requisitos adicionais que garantem que o Windows Update possa determinar o pacote de driver correto para o dispositivo do usuário, podem distribuí-lo legalmente e podem baixá-lo automaticamente.
Como os requisitos do programa Windows Update são atualizados com frequência, você deve verificar regularmente o Windows Hardware Lab Kit para obter as informações mais recentes.
Procedimentos de atualização de software seguro de distribuição
Todos os pacotes de driver assinados do WHQL (Hardware Quality Labs) do Windows são executados por meio de verificações de ingestão da Microsoft e verificações de malware e devem passar antes de serem aprovados para assinatura. A instalação de pacotes de driver assinados permite uma experiência mais suave do usuário final.
Segurança de distribuição
Um dos benefícios do uso do Windows Update é que os servidores, o processo de transmissão e a lógica do cliente que valida e aplica as atualizações são um processo bem testado que mantém mais de um bilhão de computadores atualizados. Muitos especialistas em segurança que trabalham na Microsoft se dedicam a manter o sistema contra ataques cada vez maiores, sofisticados.
Distribuição de atualização gradual controlada
Se um fornecedor de terceiros optar por distribuir seu pacote de driver por meio do Windows Update, o pacote de drivers também passará pelos processos da disponibilização de versão piloto da Microsoft e da distribuição gradual para observar a qualidade e garantir que o pacote de drivers atenda aos critérios de qualidade necessários para uma versão ampla.
A distribuição gradual usa a telemetria do Windows para garantir que seus clientes estejam tendo a melhor experiência possível. Se um pacote de drivers parecer problemático durante a fase de distribuição gradual, a Microsoft poderá optar por pausar a distribuição do pacote de driver para investigação e/ou buscar a correção apropriada, incluindo um cancelamento de pacote de driver iniciada pela Microsoft (expiração). Para obter mais informações sobre o uso crítico de anéis de distribuição, consulte Distribuição gradual.
Teste de campo para computadores selecionados pelo fornecedor específico
Antes de lançar um pacote de driver, é um requisito testá-lo em computadores de destino que processarão a atualização e carregarão o driver. Usar um sistema de entrega separado do sistema de distribuição final pode levar a erros. Esse processo adicional para testes iniciais de driver deve ser projetado, criado e gerenciado.
Os parceiros de hardware podem testar cenários de atualização de pacotes de drivers publicando um pacote de driver no Windows Update e usando a distribuição para teste. Depois de publicados, os IHVs/OEMs podem configurar seus sistemas cliente para solicitar esses drivers configurando um valor predefinido de chave do Registro. A chave de registro de teste adiciona drivers de pré-lançamento à lista de drivers de produção oferecidos pelo Windows Update. Esse método impede que os drivers de pré-lançamento sejam oferecidos ao público em geral. Para obter mais informações, consulte Diretrizes de distribuição de teste para drivers de área de trabalho auto-hospedados.
Criando seu próprio sistema de distribuição para drivers do Windows
A recriação do sistema windows update não é recomendada, pois envolve maior risco, recursos de desenvolvimento significativos e custos difíceis de estimar. Muitas verificações de segurança e confiabilidade são integradas ao processo do Windows Update, que precisariam ser projetadas, escritas, testadas e implementadas globalmente em escala.
A criação de um pipeline de dados global, seguro e compatível com as regulamentações para medir a qualidade do driver pode ser a parte mais difícil de ser replicada no sistema Windows Update. A maioria dos fornecedores prefere não ouvir sobre uma falha de pacote de driver que causa interrupções generalizadas do Windows através de meios de notícias públicos ou mídias sociais. Uma abordagem melhor é ter dados em tempo real para orientar a implantação do pacote de driver e interromper e reverter as atualizações do pacote de driver que danificam o computador de um cliente.
Pode haver um custo significativo no desenvolvimento, implantação e gerenciamento de um sistema de distribuição de controladores. Para obter uma descrição das práticas seguras de implantação de software, consulte a implantação segura de software CISA: como os fabricantes de software podem garantir a confiabilidade para os clientes.
Muitos clientes do Windows só aceitarão drivers assinados pela Microsoft como uma forma de reduzir sua exposição à segurança. O Windows 10 no modo S requer assinatura do driver. Para obter mais informações, consulte Requisitos de driver do Windows 10 no modo S e Assinatura de Driver, Gerenciamento de atualizações de driver do Windows no Microsoft Intune e Regras de bloqueio de driver recomendadas pela Microsoft.
Controlando a velocidade de distribuição de atualização usando telemetria
Outro elemento que precisaria ser criado para seu próprio sistema de distribuição é uma maneira de limitar a velocidade da distribuição com base na telemetria.
Um princípio importante na distribuição de atualizações de recursos é atualizar apenas os sistemas para os quais os dados indicam uma boa experiência. A supervisão humana e o aprendizado de máquina são usados para selecionar primeiro os sistemas que são oferecidos atualizações. Se o Windows Update detectar que um sistema pode ter um problema, não ofereceremos a atualização até que esse problema seja resolvido.
O Windows Update começa lentamente para priorizar a confiabilidade da atualização em relação à velocidade de distribuição. Quando uma nova versão de atualização de recursos está disponível, ela é disponibilizada pela primeira vez para uma pequena porcentagem de "buscadores", usuários que tomam medidas para obter as atualizações mais cedo. Em seguida, a telemetria é monitorada cuidadosamente para saber mais sobre novos problemas que podem ocorrer à medida que mais usuários recebem o driver. Isso é feito observando a telemetria, fazendo uma parceria estreita com nossa equipe de atendimento ao cliente para entender o que os clientes nos relatam, analisando logs de comentários e capturas de tela diretamente por meio do nosso Hub de Comentários e ouvindo resumos automatizados de sinais enviados por meio de canais de mídia social. Se for encontrada uma combinação de fatores que resulta em uma experiência inválida, será criado um bloco que impede que dispositivos semelhantes recebam uma atualização até que ocorra uma resolução completa. Recriar esse sistema seria uma tarefa complexa.
Teste de driver – disponibilização de versão piloto
Semelhante a um voo de teste de um novo avião, a Disponibilização de versão piloto no Partner Center para Hardware do Windows permite distribuir seu pacote de drivers dentro de anéis predefinidos do Windows Insider, proporcionando monitoramento e avaliação automáticos. Após um teste bem-sucedido e aprovação da Microsoft, o pacote de driver é distribuído publicamente por meio do Windows Update. Um relatório do desempenho do pacote de driver será gerado após a conclusão de um voo, permitindo que você avalie a funcionalidade crítica e os cenários de atualização.
Para criar seu próprio sistema de distribuição, uma funcionalidade de monitoramento semelhante deve ser duplicada.
Medidas de qualidade do driver
Um dos aspectos mais difíceis de duplicar do Windows Update são as medidas de qualidade do pacote de driver e a aquisição e processamento de dados em tempo real. 78 trilhões de sinais de segurança são coletados pela Microsoft todos os dias, usando dados que os clientes optaram por compartilhar. Esse fluxo de dados é extraído seletivamente para obter dados acionáveis para atualizações específicas do pacote de driver. Replicar esse pipeline de dados é uma tarefa grande e complexa. A privacidade do cliente deve ser respeitada e em diferentes áreas do mundo, como a UE, onde há requisitos adicionais para coleta, armazenamento e uso de dados do cliente.
Usando o conhecimento adquirido ao longo de muitos anos, medidas para drivers da Microsoft foram desenvolvidas, como a Porcentagem de computadores sem uma falha no modo Kernel. Monitorar os dados corretos, em tempo real, é a única maneira de ter uma medida verdadeira da integridade de uma atualização do pacote de driver.
Plano de Resposta a Incidentes de Segurança (SIRP)
Como o sistema de atualização pode ser um destino significativo para ataques cibernéticos, ele deve ser criado para ser seguro. Além disso, ele deve ser monitorado 24 horas por dia para possível intrusão ou comprometimento. Quando ocorre uma intrusão, uma resposta apropriada deve ser rapidamente desenvolvida e implementada por especialistas em segurança. Para obter mais informações sobre como criar um Plano de Resposta a Incidentes de Segurança (SIRP), consulte o Guia de Tratamento de Incidentes de Segurança do Computador do NIST e o Fundamentos do Plano de Resposta a Incidentes (IRP) da CISA.
Iniciativa Microsoft Virus
A MVI (Microsoft Virus Initiative) ajuda as organizações a melhorar as soluções de segurança em que nossos clientes dependem para mantê-las seguras. Fornecemos ferramentas, recursos e conhecimento para dar suporte a experiências mais adequadas, com grande desempenho, confiabilidade e compatibilidade. A Microsoft colabora com parceiros MVI para definir e seguir o SDP (Práticas de Implantação Segura) para dar suporte à segurança e resiliência de nossos clientes mútuos.
Se você for um fornecedor antivírus, consulte Microsoft Virus Initiative para saber como ingressar no MVI para obter mais assistência na implantação de software.
Para obter informações sobre como os fornecedores de segurança podem aproveitar melhor as funcionalidades de segurança integrada do Windows para aumentar a segurança e a confiabilidade, consulte práticas recomendadas de Segurança do Windows para integrar e gerenciar ferramentas de segurança.
Recursos adicionais
Para saber mais sobre segurança por princípios e práticas de design, visite o Secure by Design da CISA.
Para obter informações sobre a Ordem Executiva de Segurança Cibernética do governo dos Estados Unidos, consulte A Ordem Executiva de Segurança Cibernética: O que vem a seguir para as agências federais?.
Para obter informações sobre como criar um plano de implantação do Windows 11 e outras informações sobre como implantar atualizações do Windows, consulte Criar um plano de implantação.
Para obter as lições de atualizações de driver aprendidas na era windows 10, consulte Qualidade do driver no ecossistema do Windows.