Atualização e Segurança > Windows Update

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

O sistema Windows Update (WU) garante que os dispositivos são atualizados de forma segura. A proteção ponto a ponto impede a manipulação de trocas de protocolos e garante que apenas o conteúdo aprovado é instalado. Alguns ambientes protegidos poderão ter de atualizar a firewall e as regras de proxy para garantir que as atualizações do Windows podem ser acedidas corretamente. Este artigo fornece uma descrição geral das funcionalidades de segurança do Windows Update.

descrição geral da segurança do Windows Update

O sistema de Windows Update distribui inúmeros conteúdos. Alguns exemplos deste conteúdo incluem:

• Atualizações para o sistema operativo Windows
• Microsoft 365 Apps atualizações (atualizações do Office)
• Controladores de hardware
• Definições de antivírus
• Aplicativos da Microsoft Store

Este sistema é iniciado quando um utilizador interage com a página de definições do Windows Update ou quando uma aplicação faz uma chamada para a API do serviço de cliente WU. Estas chamadas podem ser efetuadas em vários momentos por aplicações da Microsoft e por diferentes partes do Windows, como Microsoft 365 Apps, Microsoft Defender e Plug and Play (PnP).

Quando tais interações ocorrem, o serviço Windows Update em execução no dispositivo irá acionar uma série de trocas através da Internet com os servidores Windows Update da Microsoft. O fluxo de trabalho geral é:

1. Um dispositivo Windows faz várias ligações a serviços Windows Update através de HTTPS (HTTP através de TLS, porta TCP 443).
2. Os metadados de atualização são trocados por estas ligações e resultam numa lista de atualizações, aplicações, controladores e outras atualizações.
3. O dispositivo decide se e quando transferir itens da lista resultante.

Assim que a lista de transferências tiver sido decidida, os ficheiros binários de atualização reais são transferidos. A transferência é efetuada através do componente Otimização da Entrega através de uma combinação de chamadas HTTP padrão (porta TCP 80) e chamadas de rede ponto a ponto seguras (porta TCP 7680). O método utilizado baseia-se nas políticas de configuração/grupo do dispositivo.

Ao transferir atualizações através da rede ponto a ponto (P2P) da Otimização da Entrega, o conteúdo é integridade validada após a receção de cada elemento da rede. Se o conteúdo pedido não estiver disponível na rede P2P, o componente Otimização da Entrega irá transferi-lo através de HTTP.

Independentemente do método utilizado para transferir o conteúdo, os ficheiros resultantes são validados através de assinaturas digitais e hashes de ficheiros antes de serem instalados. A validação confirma que a transferência foi o pretendido, é verificada como autêntica e não foi adulterada.

Proteger ligações de metadados

Quando Windows Update procura atualizações, passa por uma série de trocas de metadados entre o dispositivo e Windows Update servidores. Esta troca é feita com HTTPS (HTTP através de TLS). Estas ligações protegidas são afixadas a certificados, garantindo que:

• O certificado de servidor da ligação TLS é validado (confiança do certificado, expiração, revogação, entradas SAN, etc.)
• O emissor do certificado é validado como genuíno microsoft Windows Update

A ligação falha se o emissor for inesperado ou não for um certificado intermédio Windows Update válido. A afixação de certificados garante que o dispositivo está a ligar-se a servidores legítimos da Microsoft e impede ataques man-in-the-middle.

Uma vez que Windows Update ligações TLS estão afixadas em certificados, é importante que os proxies TLS passem estas ligações sem intercepção. A lista completa de nomes DNS que requerem exceções de proxy/firewall pode ser encontrada no artigo Windows Update resolução de problemas.

A Microsoft não fornece endereços IP ou intervalos de IP para estas exceções porque podem diferir ao longo do tempo, uma vez que são feitas alterações para fins como balanceamento de carga de tráfego.

Utilização esperada do servidor Windows Update

Os servidores do serviço Windows Update são utilizados exclusivamente por componentes WU. Não existe nenhuma expectativa de que os utilizadores finais interajam com estes pontos finais remotos. Por conseguinte, estes pontos finais de serviço podem não resolve conforme esperado num browser. Um utilizador que navegue casualmente para estes pontos finais pode notar uma falta de adesão às expectativas mais recentes do browser, tais como PKI de confiança pública, registo de transparência de certificados ou requisitos de TLS. Este comportamento é esperado e não limita ou afeta a segurança do sistema Windows Update.

Os utilizadores que tentarem navegar para os pontos finais de serviço podem ver avisos de segurança e até falhas de acesso ao conteúdo. Mais uma vez, este comportamento é esperado, uma vez que os pontos finais de serviço não foram concebidos para o acesso ao browser ou para o consumo casual de utilizadores.

Proteger a entrega de conteúdos

O processo de transferência de binários de atualização está protegido numa camada acima do transporte. Embora o conteúdo possa ser transferido através de HTTP padrão (porta TCP 80), o conteúdo passa por um rigoroso processo de validação de segurança.

As transferências são balanceadas de carga através das Redes de Entrega de Conteúdos (CDN), pelo que a utilização do TLS iria interromper a cadeia de custódia da Microsoft. Uma vez que uma ligação TLS a uma CDN de colocação em cache termina na CDN e não na Microsoft, os certificados TLS não são específicos da Microsoft. Isto significa que o cliente WU não pode provar a fiabilidade da CDN, uma vez que a Microsoft não controla certificados TLS da CDN. Além disso, uma ligação TLS a uma CDN não prova que o conteúdo não tenha sido manipulado na rede de colocação em cache da CDN. Por conseguinte, o TLS não oferece nenhuma das promessas de segurança ao fluxo de trabalho de Windows Update ponto a ponto que, de outra forma, fornece.

Independentemente da forma como o conteúdo é entregue, depois de ser transferido, é corretamente validado. O conteúdo é validado para fidedignidade, integridade e intenção através de várias técnicas, como validação de assinatura digital e verificações de hash de ficheiros. Este nível de validação de conteúdo fornece ainda mais camadas de segurança do que apenas TLS.

Windows Server Update Services (WSUS)

As empresas que utilizam o WSUS têm um fluxo de trabalho semelhante. No entanto, os dispositivos cliente ligam-se ao servidor WSUS da empresa em vez de através da Internet aos servidores da Microsoft. Cabe à empresa decidir se deve utilizar ligações HTTP ou TLS (HTTPS) para a troca de metadados. A Microsoft aconselha vivamente a utilização de ligações TLS e a configuração de dispositivos cliente com configurações de afixação de certificadoS TLS adequadas para troca de metadados com o WSUS. Para obter mais informações sobre a afixação de certificados TLS do WSUS, veja:

• Blogue Windows IT Pro: Alterações para melhorar a segurança dos dispositivos Windows que digitalizam o WSUS
• Blogue do Windows IT Pro: Analisar alterações e certificados adicionam segurança para dispositivos Windows com o WSUS para atualizações

Quando um servidor WSUS atualiza o seu próprio catálogo de atualizações, liga-se aos serviços de sincronização de servidor da Microsoft e procura atualizações. O processo de sincronização do servidor WSUS é semelhante ao processo de troca de metadados para dispositivos cliente que se ligam a Windows Update. A ligação WSUS-para-Microsoft é através de TLS e é verificada pelo certificado da Microsoft, semelhante à afixação de certificados TLS do cliente WU.