Поделиться через

Распространение пакета драйвера

  • Статья

В этом разделе описывается, как безопасно распространять пакет драйвера . В ней описываются преимущества распространения пакета драйверов через Центр обновления Microsoft Windows (WU) и сложность создания собственной системы распространения. Центр обновления Windows предоставляет надежную, безопасную, глобальную масштабируемую и соответствующую нормативным требованиям систему распространения, которая должна использоваться для доставки обновлений драйверов.

Использование Центра обновления Windows для распространения пакетов драйверов

Для распространения пакетов драйверов настоятельно рекомендуется использовать Центр обновления Windows. Он предлагает множество преимуществ, включая следующие.

Выгода Описание
Управляемое распределение Глобальная инфраструктура управляется круглосуточно для безопасного и надёжного распространения драйверов.
Повышенная безопасность Пакеты драйверов, распределенные через Центр обновления Windows, подписаны, и двоичные файлы безопасно хранятся, чтобы снизить риск изменения или повреждения.
Известные затраты Использование Центра обновления Windows помогает избежать непредвиденных расходов, которые могут возникнуть при создании и управлении независимой системой распространения программного обеспечения.
Соответствие нормативным требованиям Корпорация Майкрософт работает над соблюдением всех нормативных требований, таких как конфиденциальность, на глобальной основе.
Удовлетворенность клиентов Клиенты знают, что пакеты драйверов тестируются и не влияют на надежность их компьютера.

Хорошо разработанный процесс развертывания программного обеспечения может предоставлять должным образом проверенные пакеты драйверов пользователям, минимизируя затраты на поддержку и ответственность, связанные с сбоями windows blue screen, вызванными неисправным обновлением драйвера.

Подготовка пакета драйвера для доставки через Центр обновлений Windows

Центр обновления Windows имеет ряд систем, чтобы убедиться, что распределенные пакеты драйверов являются высоким качеством и создаются известным, надежным поставщиком.

Программа совместимости оборудования Windows предназначена для того, чтобы помочь вашей компании предоставлять системы, программные и аппаратные продукты, совместимые с Windows 10, Windows 11 и Windows Server 2022. Программа также предоставляет рекомендации по разработке, тестированию и распространению драйверов. Используя панель мониторинга Центра партнеров для оборудования Windows, вы можете управлять отправками контента, отслеживать производительность устройства или приложения, просматривать данные телеметрии и многое другое.

windows Hardware Quality Labs (WHQL) с цифровой подписью пакеты драйверов можно распространять через программу центра обновления Windows. WHQL может подписывать пакеты driver, которые передают комплект оборудования Windows (HLK) тестирования.

Подпись выпуска WHQL состоит из цифрового файла каталога. Цифровая подпись не изменяет двоичные файлы драйвера или INF-файл, который вы отправляете для тестирования.

Пакет драйвера можно распространить через программу центра обновления Windows, если пакет драйвера:

  • Проходит тестирование комплекта аппаратных лабораторий Windows (HLK) .

  • Квалифифиируется для программы сертификации Windows.

  • Получает подпись выпуска WHQL .

  • Соответствует дополнительным требованиям, которые гарантируют, что Центр обновления Windows может определить правильный пакет драйверов для устройства пользователя, юридически распространять его и автоматически скачать его.

Так как требования программы центра обновления Windows часто обновляются, следует регулярно проверять комплект оборудования Windows для получения последних сведений.

Процедуры обновления безопасного программного обеспечения распространения

Все подписанные пакеты драйверов Windows Hardware Quality Labs (WHQL) проходят через проверки на принятие и проверки на наличие вредоносных программ от Microsoft и должны пройти их перед утверждением для подписания. Установка подписанных пакетов драйверов позволяет упростить взаимодействие с конечным пользователем.

Безопасность распространения

Одним из преимуществ использования Центра обновления Windows является то, что серверы, процесс передачи и клиентская логика, проверяющая и применяющая обновления, — это хорошо проверенный процесс, который сохраняет более одного миллиарда компьютеров в актуальном состоянии. Многие эксперты по безопасности, работающие в Microsoft, посвящают себя поддержанию системы против всё более нарастающих и утончённых атак.

Контролируемый постепенный выпуск обновлений

Если сторонний поставщик выбирает распространение пакета драйверов через Центр обновления Windows, пакет драйвера также проходит через полеты Майкрософт и постепенный выпуск процессах для наблюдения за качеством и убедитесь, что пакет драйвера соответствует необходимым критериям качества для широкого выпуска.

Постепенное развертывание использует данные телеметрии Windows, чтобы гарантировать клиентам наилучшие впечатления. Если пакет драйверов отображается неработоспособным во время постепенного развертывания, корпорация Майкрософт может приостановить распространение пакетов драйверов для расследования и /или искать соответствующее исправление, включая отмену пакета драйвера, инициированного корпорацией Майкрософт (срок действия). Дополнительные сведения о важном использовании кругов распространения см. в разделе Постепенное развертывание.

Полевые испытания для конкретных поставщиков выбранных ПК

Перед выпуском пакета драйвера необходимо протестировать его на целевых компьютерах, которые будут обрабатывать обновление и загружать драйвер. Использование системы доставки, отдельной от конечной системы распространения, может привести к ошибкам. Этот дополнительный процесс для раннего тестирования драйверов должен быть разработан, создан и управляем.

Партнеры по оборудованию могут тестировать сценарии обновления пакета драйверов, публикуя пакет драйверов в Центр обновления Windows и используя тестовый дистрибутив. После публикации IHVs/OEM могут настроить клиентские системы для запроса этих драйверов, изменив предопределённое значение ключа в реестре. Раздел реестра тестирования добавляет драйверы предварительной версии в список рабочих драйверов, предлагаемых Центром обновления Windows. Этот метод ограничивает предоставление предварительной версии драйверам для широкой общественности. Для получения дополнительной информации см. раздел Руководство по распространению тестов для самостоятельного размещения драйверов для настольных компьютеров.

Создание собственной системы распространения для драйверов Windows

Повторное создание системы центра обновления Windows не рекомендуется, так как она включает в себя повышенный риск, значительные ресурсы разработки и затраты, которые трудно оценить. Многие проверки безопасности и надежности встроены в процесс обновления Windows, который должен быть разработан, написан, протестирован и реализован глобально.

Создание безопасного и соответствующего нормативным требованиям глобального конвейера данных для измерения качества драйверов может быть самой сложной частью системы обновлений Windows для репликации. Большинство поставщиков предпочли бы не слышать о сбое пакета драйвера, который приводит к широко распространенным сбоям Windows через новостные средства массовой информации или социальные медиа. Лучший подход — иметь данные в режиме реального времени для руководства по развертыванию пакета драйвера и остановке и откату обновлений пакетов драйверов, которые повреждают компьютер клиента.

При проектировании, развертывании и управлении системой распространения драйверов могут быть значительные затраты. Описание методов безопасного развертывания программного обеспечения см. в разделе CISA безопасное развертывание программного обеспечения: как производители программного обеспечения могут обеспечить надежность для клиентов.

Многие клиенты Windows будут принимать только подписанные корпорацией Майкрософт драйверы в качестве способа снижения их уязвимости в безопасности. Для Windows 10 в режиме S требуется подпись драйвера. Дополнительные сведения см. в Windows 10 в требованиях к драйверу для режима S и подписывание драйвера, управление обновлениями драйверов Windows в Microsoft Intune и рекомендуемых правилах блокировки драйверов Майкрософт.

Управление скоростью развертывания обновления с помощью телеметрии

Другой элемент, который необходимо создать для собственной системы распространения, — это способ регулирования скорости развертывания на основе телеметрии.

Важным принципом развертывания функциональных обновлений является обновление только тех систем, которые, согласно данным, будут работать без проблем. Управление персоналом и машинное обучение используются для выбора систем, которые предлагают обновления в первую очередь. Если Центр обновления Windows обнаруживает, что у системы может возникнуть проблема, мы не будем предлагать обновление до устранения этой проблемы.

Обновления Windows запускаются медленно, чтобы отдать приоритет надежности обновлений по сравнению со скоростью развертывания. Когда доступен новый выпуск обновления компонентов, он сначала становится доступным для небольшого процента "ищущих", пользователей, которые принимают меры, чтобы получить обновления раньше. Затем данные телеметрии тщательно отслеживаются, чтобы узнать о новых проблемах, которые могут возникнуть по мере того, как пользователи получают драйвер. Это делается, наблюдая за телеметрией, тесно сотрудничая с нашей командой обслуживания клиентов, чтобы понять, что клиенты сообщают нам, анализируя журналы отзывов и снимки экрана непосредственно через наш Центр отзывов, и прослушивая автоматические сводки сигналов, отправленных через каналы социальных сетей. Если обнаруживается сочетание факторов, которые приводят к плохому опыту, создается блок, который предотвращает получение обновления аналогичными устройствами до полного разрешения. Воссоздание этой системы будет сложной задачей.

Тестирование драйверов — полет

Как тестовый полет нового самолета, тестирование драйвера в Центре Партнеров для оборудования Windows позволяет вам распространять пакет драйвера в определенных кольцах Windows Insider, обеспечивая автоматический мониторинг и оценку. После успешного тестового теста и утверждения от Корпорации Майкрософт пакет драйвера распространяется публично через Центр обновления Windows. Отчет о производительности пакета драйвера будет создан после завершения полета, что позволяет оценить критически важные функциональные возможности и сценарии обновления.

Чтобы создать собственную систему распространения, аналогичные функции мониторинга должны дублироваться.

Оценка качества драйверов

Одним из самых сложных аспектов Windows Update являются меры обеспечения качества пакета драйверов и сбор и обработка данных в режиме реального времени. 78 трлн сигналов безопасности собираются корпорацией Майкрософт каждый день, используя данные, которые клиенты решили поделиться. Этот конвейер данных выборочно собирается для сбора практических данных для определенных обновлений пакетов драйверов. Репликация этого конвейера данных — это большое и сложное предприятие. Конфиденциальность клиентов должна соблюдаться и в разных областях мира, таких как ЕС, где существуют дополнительные требования к сбору, хранению и использованию данных клиентов.

Используя знания, полученные на протяжении многих лет, меры драйвера Майкрософт были разработаны, например процент компьютеров без аварийногорежима ядра. Мониторинг правильных данных в режиме реального времени — единственный способ оценить работоспособность обновления пакета драйвера.

План реагирования на инциденты безопасности (SIRP)

Так как система обновления может быть важной целью для кибератак, ее необходимо создать, чтобы обеспечить безопасность. Кроме того, он должен отслеживаться круглосуточно для возможного вторжения или компрометации. При возникновении вторжения необходимо быстро разработать и реализовать соответствующий ответ экспертами по безопасности. Дополнительные сведения о создании плана реагирования на инциденты безопасности (SIRP) см. в руководстве по обработке инцидентов на компьютере из NIST и плана реагирования на инциденты (IRP) из CISA.

Инициатива по вирусу Майкрософт

Антивирусная инициатива Microsoft (MVI) помогает организациям улучшить решения по безопасности, на которые полагаются наши клиенты для их защиты. Мы предоставляем инструменты, ресурсы и знания для обеспечения лучшего взаимодействия с высокой производительностью, надежностью и совместимостью. Корпорация Майкрософт сотрудничает с партнерами MVI, чтобы определить и следовать рекомендациям по безопасному развертыванию (SDP) для поддержки безопасности и устойчивости наших взаимных клиентов.

Если вы являетесь поставщиком антивирусной программы, обратитесь к Microsoft Virus Initiative, чтобы узнать, как присоединиться к MVI для получения дополнительной помощи по развертыванию программного обеспечения.

Сведения о том, как поставщики безопасности могут лучше использовать интегрированные возможности безопасности Windows для повышения безопасности и надежности, см. в рекомендациях по обеспечению безопасности Windows для интеграции средств безопасности и управления ими.

Дополнительные ресурсы

Чтобы узнать больше о безопасных принципах и методиках проектирования, посетите CISA Secure by Design.

Сведения о исполнительном указе по кибербезопасности правительства Соединенных Штатов см. в Указе по кибербезопасности: Что дальше для федеральных агентств?.

Сведения о создании плана развертывания Windows 11 и других сведениях о развертывании обновлений Windows см. в статье Создание плана развертывания.

Для получения информации о извлеченных уроках из обновления драйверов в эпоху Windows 10, см. Качество драйвера в экосистеме Windows.