Atualização e Segurança > Windows Update
O sistema WU (Windows Update) garante que os dispositivos sejam atualizados com segurança. Sua proteção de ponta a ponta impede a manipulação de trocas de protocolo e garante que apenas o conteúdo aprovado seja instalado. Alguns ambientes protegidos podem precisar atualizar regras de firewall e proxy para garantir que as atualizações do Windows possam ser acessadas corretamente. Este artigo fornece uma visão geral dos recursos de segurança do Windows Update.
visão geral de segurança Windows Update
O sistema Windows Update distribui uma infinidade de conteúdo. Alguns exemplos desse conteúdo incluem:
- Atualizações ao sistema operacional Windows
- Microsoft 365 Apps atualizações (atualizações do Office)
- Drivers de hardware
- Definições de antivírus
- Aplicativos da Microsoft Store
Esse sistema é iniciado quando um usuário interage com a página de configurações de Windows Update ou quando um aplicativo faz uma chamada para a API do serviço cliente WU. Essas chamadas podem ser feitas em vários momentos por aplicativos da Microsoft e diferentes partes do Windows, como Microsoft 365 Apps, Microsoft Defender e Plug and Play (PnP).
Quando essas interações ocorrerem, o serviço Windows Update em execução no dispositivo disparará uma série de trocas pela Internet com os servidores Windows Update da Microsoft. O fluxo de trabalho geral é:
- Um dispositivo Windows faz várias conexões com Windows Update serviços usando HTTPS (HTTP over TLS, porta TCP 443).
- Os metadados de atualização são trocados por essas conexões e resultam em uma lista de atualizações, aplicativos, drivers e outras atualizações.
- O dispositivo decide se e quando baixar itens da lista resultante.
Depois que a lista de downloads for decidida, os arquivos binários de atualização reais serão baixados. O download é feito por meio do componente Otimização de Entrega em uma combinação de chamadas HTTP padrão (porta TCP 80) e chamadas de rede ponto a ponto seguro (porta TCP 7680). Qual método usado é baseado nas políticas de configuração/grupo do dispositivo.
Ao baixar atualizações usando a rede P2P (ponto a ponto) da Otimização de Entrega, o conteúdo é validado após o recebimento de cada par. Se o conteúdo solicitado não estiver disponível na rede P2P, o componente Otimização de Entrega o baixará usando HTTP.
Independentemente do método usado para baixar o conteúdo, os arquivos resultantes são validados por meio de assinaturas digitais e hashes de arquivo antes de serem instalados. A validação confirma que o download é o que se pretendia, é verificado como autêntico e não foi adulterado.
Proteger conexões de metadados
Quando Windows Update verifica atualizações, ele passa por uma série de trocas de metadados entre o dispositivo e servidores Windows Update. Essa troca é feita usando HTTPS (HTTP over TLS). Essas conexões protegidas são fixadas em certificado, garantindo que:
- O certificado de servidor da conexão TLS é validado (confiança do certificado, expiração, revogação, entradas SAN etc.)
- O emissor do certificado é validado como microsoft Windows Update genuíno
A conexão falhará se o emissor for inesperado ou não um certificado intermediário Windows Update válido. A fixação de certificados garante que o dispositivo esteja se conectando a servidores Microsoft legítimos e impede ataques de homem no meio.
Como Windows Update conexões TLS estão fixadas em certificado, é importante que os proxies TLS passem essas conexões sem interceptação. A lista completa de nomes DNS que exigem exceções de proxy/firewall pode ser encontrada no artigo Windows Update solução de problemas.
A Microsoft não fornece endereços IP ou intervalos de IP para essas exceções porque elas podem diferir ao longo do tempo, pois são feitas alterações para fins como balanceamento de carga de tráfego.
Uso esperado do servidor Windows Update
Os servidores do serviço Windows Update são usados exclusivamente por componentes WU. Não há expectativa de que os usuários finais interajam com esses pontos de extremidade remotos. Portanto, esses pontos de extremidade de serviço podem não resolve como esperado em um navegador da Web. Um usuário que navega casualmente para esses pontos de extremidade pode notar a falta de adesão às expectativas mais recentes do navegador da Web, como PKI de confiança pública, registro em log de transparência de certificado ou requisitos TLS. Esse comportamento é esperado e não limita ou afeta a segurança do sistema de Windows Update.
Os usuários que tentam navegar até os pontos de extremidade do serviço podem ver avisos de segurança e até mesmo falhas de acesso ao conteúdo. Novamente, esse comportamento é esperado, pois os pontos de extremidade de serviço não são projetados para acesso ao navegador da Web ou consumo casual do usuário.
Proteger a entrega de conteúdo
O processo de download de binários de atualização é protegido em uma camada acima do transporte. Embora o conteúdo possa ser baixado por meio da HTTP padrão (porta TCP 80), o conteúdo passa por um rigoroso processo de validação de segurança.
Os downloads são balanceados por meio da CDN (Redes de Entrega de Conteúdo), portanto, o uso do TLS interromperia sua cadeia de custódia da Microsoft. Como uma conexão TLS com uma CDN de cache termina na CDN, não a Microsoft, os certificados TLS não são específicos da Microsoft. Isso significa que o cliente WU não pode provar a confiabilidade da CDN, pois a Microsoft não controla certificados CDN TLS. Além disso, uma conexão TLS com uma CDN não prova que o conteúdo não foi manipulado na rede de cache da CDN. Portanto, o TLS não oferece nenhuma das promessas de segurança para o fluxo de trabalho de ponta a ponta Windows Update que ele fornece de outra forma.
Independentemente de como o conteúdo é entregue, depois de baixado, ele é validado corretamente. O conteúdo é validado para confiança, integridade e intenção usando várias técnicas, como validação de assinatura digital e verificações de hash de arquivo. Esse nível de validação de conteúdo fornece ainda mais camadas de segurança do que somente TLS.
Windows Server Update Services (WSUS)
As empresas que usam o WSUS têm um fluxo de trabalho semelhante. No entanto, os dispositivos cliente se conectam ao servidor WSUS da empresa em vez de pela Internet aos servidores da Microsoft. Cabe à empresa decidir se deve usar conexões HTTP ou TLS (HTTPS) para a troca de metadados. A Microsoft aconselha fortemente o uso de conexões TLS e a configuração de dispositivos cliente com configurações apropriadas de fixação de certificado TLS para troca de metadados com WSUS. Para obter mais informações sobre a fixação de certificadoS TLS do WSUS, confira:
- Blog do Windows IT Pro: alterações para melhorar a segurança dos dispositivos Windows que verificam o WSUS
- Blog do Windows IT Pro: verificar alterações e certificados adicionam segurança para dispositivos Windows usando o WSUS para atualizações
Quando um servidor WSUS atualiza seu próprio catálogo de atualizações, ele se conecta aos serviços de sincronização de servidor da Microsoft e verifica atualizações. O processo de sincronização do servidor WSUS é semelhante ao processo de troca de metadados para dispositivos cliente que se conectam a Windows Update. A conexão WSUS com a Microsoft é sobre TLS e é verificada pelo certificado da Microsoft, semelhante à fixação de certificado TLS do cliente WU.