Distribuindo um pacote de controlador
Este tópico descreve como distribuir com segurança o pacote de driver . Ele descreve as vantagens de distribuir um pacote de driver através do Microsoft Windows Update (WU) e a complexidade de criar seu próprio sistema de distribuição. O Windows Update fornece um sistema de distribuição robusto, seguro, dimensionado globalmente e em conformidade com a regulamentação que deve ser usado para fornecer atualizações de driver.
Usar o Windows Update para distribuir pacotes de drivers
O uso do Windows Update é altamente recomendado para a distribuição de pacotes de driver. Ele oferece muitos benefícios, incluindo os seguintes.
| Benefício | Descrição |
|---|---|
| Distribuição controlada | Uma infraestrutura global é gerida 24 horas por dia para distribuir os drivers de forma segura e protegida. |
| Maior segurança | Os pacotes de drivers distribuídos através do Windows Update são assinados e os binários são armazenados com segurança para diminuir o risco de adulteração ou corrupção. |
| Custo conhecido | O uso do Windows Update ajuda a evitar despesas imprevistas que podem vir com o estabelecimento e o gerenciamento de um sistema de distribuição de software independente. |
| Conformidade regulamentar | A Microsoft trabalha para cumprir todos os regulamentos, como privacidade, em uma base global. |
| Satisfação do cliente | Os clientes sabem que os pacotes de drivers são testados e a confiabilidade de seu PC não será afetada. |
Um processo de implantação de software bem projetado pode fornecer pacotes de driver devidamente testados aos usuários, minimizando os custos de suporte e a responsabilidade associados às falhas de tela azul do Windows causadas por uma atualização de driver defeituosa.
Preparando o pacote de driver para a entrega do Windows Update
O Windows Update tem vários sistemas em vigor para confirmar que os pacotes de drivers distribuídos são de alta qualidade e são criados por um fornecedor conhecido e confiável.
O do Programa de Compatibilidade de Hardware do Windows foi concebido para ajudar a sua empresa a fornecer sistemas, software e produtos de hardware compatíveis com o Windows e executados de forma fiável no Windows 10, Windows 11 e Windows Server 2022. O programa também fornece orientações para o desenvolvimento, teste e distribuição de motoristas. Usando o painel do
Os pacotes de driver assinados digitalmente pelos Windows Hardware Quality Labs (WHQL) podem ser distribuídos pelo programa Windows Update. O WHQL pode assinar digitalmente pacotes de driver que passam teste de do Windows Hardware Lab Kit (HLK).
Uma assinatura de versão WHQL consiste em um arquivo de catálogo assinado digitalmente. A assinatura digital não altera os arquivos binários do driver ou o arquivo INF que você envia para teste.
Pode distribuir um pacote de controladores através do programa Windows Update se o pacote de controladores:
Passa nos testes do Windows Hardware Lab Kit (HLK).
Qualifica-se para o Programa de Certificação do Windows.
Atende aos requisitos adicionais que garantem que o Windows Update possa determinar o pacote de driver correto para o dispositivo do usuário, distribuí-lo legalmente e baixá-lo automaticamente.
Como os requisitos do programa Windows Update são atualizados com freqüência, você deve verificar regularmente Windows Hardware Lab Kit para obter as informações mais recentes.
Procedimentos de atualização de software seguro para distribuição
Todos os pacotes de driver assinados do Windows Hardware Quality Labs (WHQL) são executados através das verificações de ingestão e verificações de malware da Microsoft e devem passar antes de serem aprovados para assinatura. A instalação de pacotes de drivers assinados permite uma experiência mais suave para o usuário final.
Segurança da distribuição
Um dos benefícios de usar o Windows Update é que os servidores, o processo de transmissão e a lógica do cliente que valida e aplica as atualizações é um processo bem testado que mantém mais de um bilhão de PCs atualizados. Muitos especialistas em segurança que trabalham na Microsoft dedicam-se a manter o sistema contra ataques cada vez maiores e sofisticados.
Implementação de atualização gradual controlada
Se um fornecedor terceirizado optar por distribuir o seu pacote de driver por meio do Windows Update, o pacote de driver também passa pelos processos da Microsoft de e de de lançamento gradual para verificar a qualidade e garantir que o pacote de driver cumpra os critérios de qualidade necessários para uma disponibilização mais ampla.
A distribuição gradual usa a telemetria do Windows para garantir que seus clientes tenham a melhor experiência possível. Se um pacote de driver parecer problemático durante a fase de implantação gradual, a Microsoft poderá optar por pausar a distribuição do pacote de driver para investigação e/ou buscar a correção apropriada, incluindo uma anulação do pacote de driver iniciada pela Microsoft. Para obter mais informações sobre o uso crítico de anéis de distribuição, consulte Distribuição gradual.
Testes de campo para PCs selecionados por fornecedores específicos
Antes de lançar um pacote de driver, é necessário testá-lo em PCs de destino que processarão a atualização e carregarão o driver. A utilização de um sistema de distribuição separado do sistema de distribuição final pode conduzir a erros. Esse processo adicional para testes iniciais de motoristas deve ser projetado, criado e gerenciado.
Os parceiros de hardware podem testar cenários de atualização de pacotes de driver publicando um pacote de driver no Windows Update e usando a distribuição de teste. Uma vez publicados, os IHVs/OEMs podem configurar seus sistemas clientes para solicitar esses drivers configurando um valor de chave do Registro predefinido. A chave de registo de teste adiciona drivers de pré-lançamento à lista de drivers de produção disponíveis oferecidos pelo Windows Update. Este método restringe os drivers de pré-lançamento a serem oferecidos ao público em geral. Para obter mais informações, consulte Diretrizes de distribuição de teste para drivers de desktop autogeridos.
Criando seu próprio sistema de distribuição para drivers do Windows
A recriação do sistema Windows Update não é recomendada, uma vez que envolve um risco acrescido, recursos de desenvolvimento significativos e custos difíceis de estimar. Muitas verificações de segurança e confiabilidade são incorporadas ao processo do Windows Update que precisariam ser projetadas, escritas, testadas e implementadas globalmente em escala.
Criar um pipeline de dados global seguro e em conformidade com a regulamentação para medir a qualidade do driver pode ser a parte mais difícil de replicar do sistema Windows Update. A maioria dos fornecedores prefere não ouvir sobre uma falha no pacote de driver que causa interrupções generalizadas do Windows por meio de veículos de notícias públicos ou mídias sociais. Uma abordagem melhor é ter dados em tempo real para orientar a implantação do pacote de driver e interromper e reverter atualizações de pacotes de drivers que danificam o PC de um cliente.
Pode haver um custo significativo ao conceber, implantar e gerir um sistema de distribuição de controladores. Para obter uma descrição das práticas seguras de desenvolvimento de software, consulte o documento da CISA "Desdobramento Seguro de Software: Como os Fabricantes de Software Podem Garantir a Fiabilidade para os Clientes".
Muitos clientes do Windows só aceitam drivers assinados pela Microsoft como forma de reduzir sua exposição à segurança. O Windows 10 no modo S requer assinatura de driver. Para obter mais informações, consulte requisitos de drivers do Windows 10 no modo S e assinatura de drivers, gerenciamento de atualização de drivers do Windows no Microsoft Intune e regras de bloqueio de drivers recomendadas pela Microsoft.
Controlando a velocidade de distribuição da atualização usando telemetria
Outro elemento que precisaria ser criado para o seu próprio sistema de distribuição é uma maneira de acelerar a velocidade da implantação com base na telemetria.
Um princípio importante na implementação de uma atualização de funcionalidades é atualizar apenas os sistemas que os dados indicam que terão uma boa experiência. Tanto a supervisão humana quanto o aprendizado de máquina são usados para selecionar os sistemas que recebem atualizações primeiro. Se o Windows Update detetar que um sistema pode ter um problema, não ofereceremos a atualização até que esse problema seja resolvido.
O Windows Update começa lentamente – para priorizar a confiabilidade da atualização sobre a velocidade de implantação. Quando uma nova versão de atualização de recursos está disponível, ela é disponibilizada primeiro para uma pequena porcentagem de "buscadores", usuários que tomam medidas para obter as atualizações antecipadamente. Em seguida, a telemetria é monitorada cuidadosamente para saber sobre quaisquer novos problemas que possam ocorrer à medida que mais usuários recebem o driver. Isso é feito observando a telemetria, fazendo uma parceria estreita com nossa equipe de atendimento ao cliente para entender o que os clientes nos relatam, analisando logs de feedback e capturas de tela diretamente por meio de nosso Hub de Feedback e ouvindo resumos automatizados de sinais enviados por canais de mídia social. Se for encontrada uma combinação de fatores que resulte em uma experiência ruim, será criado um bloco que impede que dispositivos semelhantes recebam uma atualização até que ocorra uma resolução completa. Recriar este sistema seria uma tarefa complexa.
Teste de motorista - voo
Semelhante a um voo de teste de um novo avião, o voo do driver no Centro de Parceiros para Hardware do Windows permite a distribuição do pacote de drivers nos anéis definidos do Windows Insider, proporcionando ao mesmo tempo monitorização e avaliação automáticas. Após um voo de teste bem-sucedido e aprovação da Microsoft, o pacote de driver é distribuído publicamente através do Windows Update. Um relatório do desempenho do seu pacote de motorista será gerado após a conclusão de um voo, permitindo que você avalie sua funcionalidade crítica e atualize cenários.
Para criar seu próprio sistema de distribuição, uma funcionalidade de monitoramento semelhante deve ser duplicada.
Medidas de qualidade dos condutores
Um dos aspetos mais difíceis de duplicar do Windows Update são as medidas de qualidade do pacote de driver e a aquisição e processamento de dados em tempo real. 78 trilhões de sinais de segurança são coletados pela Microsoft todos os dias, usando dados que os clientes escolheram compartilhar. Este fluxo de dados é selecionado de forma seletiva para reunir dados úteis para atualizações específicas de pacotes de controladores. Replicar esse pipeline de dados é uma tarefa grande e complexa. A privacidade do cliente deve ser respeitada em diferentes áreas do mundo, como a UE, onde existem requisitos adicionais para a recolha, armazenamento e utilização dos dados dos clientes.
Usando o conhecimento adquirido ao longo de muitos anos, medidas de driver da Microsoft foram desenvolvidas, como por cento de máquinas sem umde falha do modo kernel . Monitorar os dados corretos, em tempo real, é a única maneira de ter uma verdadeira medida da integridade de uma atualização de pacote de driver.
Plano de Resposta a Incidentes de Segurança (SIRP)
Uma vez que o sistema de atualização pode ser um alvo significativo de ciberataques, deve ser criado para ser seguro. Além disso, ele deve ser monitorado o tempo todo para possíveis intrusões ou comprometimentos. Quando ocorre uma intrusão, uma resposta apropriada deve ser rapidamente desenvolvida e implementada por especialistas em segurança. Para obter mais informações sobre como criar um Plano de Resposta a Incidentes de Segurança (SIRP), consulte Computer Security Incident Handling Guide do NIST e Noções básicas do IRP (Plano de Resposta a Incidentes) da CISA.
Iniciativa de vírus da Microsoft
A Microsoft Virus Initiative (MVI) ajuda as organizações a melhorar as soluções de segurança em que nossos clientes confiam para mantê-los seguros. Fornecemos ferramentas, recursos e conhecimento para oferecer suporte a experiências melhores com ótimo desempenho, confiabilidade e compatibilidade. A Microsoft colabora com parceiros MVI para definir e seguir Práticas de Implantação Segura (SDP) para oferecer suporte à segurança e resiliência de nossos clientes em comum.
Se você for um fornecedor de antivírus, consulte Microsoft Virus Initiative para saber como ingressar no MVI para obter mais assistência na implantação de software.
Para obter informações sobre como os fornecedores de segurança podem aproveitar melhor os recursos de segurança integrados do Windows para aumentar a segurança e a confiabilidade, consulte práticas recomendadas de segurança do Windows para integrar e gerenciar ferramentas de segurança.
Recursos adicionais
Para saber mais sobre os princípios e práticas de segurança por design, visite o Secure by Designda CISA.
Para obter informações sobre a Ordem Executiva de Cibersegurança do governo dos Estados Unidos, consulte A Ordem Executiva de Cibersegurança: o que vem a seguir para as agências federais?.
Para obter informações sobre como criar um plano de implantação do Windows 11 e outras informações sobre como implantar atualizações do Windows, consulte Criar um plano de implantação.
Para conhecer as lições aprendidas sobre atualizações de drivers na era do Windows 10, consulte A qualidade do driver no ecossistema do Windows.