分發驅動程式套件
本主題描述如何安全地分發 驅動程式套件。 它描述透過 Microsoft Windows Update (WU) 散發驅動程式套件的優點,以及建立您自己的散發系統的複雜性。 Windows Update 提供強固、安全、全域調整且符合法規規範的發佈系統,應該用來傳遞驅動程式更新。
使用 Windows Update 散發驅動程式套件
強烈建議使用 Windows Update 來散發驅動程式套件。 它提供許多優點,包括下列各項。
| 效益 | 描述 |
|---|---|
| 受控制分佈 | 全天候管理的全球基礎設施用於安全且穩定地分發驅動程式。 |
| 提高安全性 | 透過 Windows Update 散發的驅動程式套件會經過簽署,而且二進位檔會安全地儲存,以降低竄改或損毀的風險。 |
| 已知成本 | 使用 Windows Update 有助於避免建立和管理獨立軟體發佈系統時可能發生的意外費用。 |
| 法規合規性 | Microsoft會以全球為基礎,遵守所有法規,例如隱私權。 |
| 客戶滿意度 | 客戶知道驅動程式套件已經過測試,且其計算機的可靠性不會受到影響。 |
設計完善的軟體部署程式可以提供經過適當測試的驅動程式套件給使用者,同時將因錯誤驅動程式更新所造成的 Windows 藍屏失敗的支援成本和責任降到最低。
準備驅動程式套件以進行 Windows Update 傳遞
Windows Update 有一些系統已就緒,以確認分散式驅動程式套件品質很高,且是由已知、可靠、廠商所建立。
Windows 硬體相容性計劃 旨在協助貴公司提供與 Windows 相容的系統、軟體和硬體產品,並在 Windows 10、Windows 11 和 Windows Server 2022 上可靠地執行。 此程式也提供開發、測試和散發驅動程式的指引。 使用 Windows 硬體合作夥伴中心 儀表板,您可以管理提交、追蹤裝置或應用程式的效能、檢閱遙測等等。
Windows Hardware Quality Labs (WHQL) 數位簽署 驅動程式套件可以透過 Windows Update 程式散發。 WHQL 可以為通過 Windows 硬體實驗室套件(HLK) 測試的 驅動程式套件 進行數位簽署。
WHQL 發行簽章是由數字簽署的 目錄檔案所組成。 數字簽名不會變更驅動程式二進位檔或您提交進行測試的 INF 檔案。
如果符合以下條件,您可以透過 Windows Update 程式散發驅動程式套件:
通過 Windows 硬體實驗室工具包(HLK)的 測試。
符合 Windows 認證計劃資格。
獲得 WHQL 發行簽章。
符合其他需求,確保 Windows Update 可以判斷使用者裝置的正確驅動程式套件、可合法發佈,並可自動下載。
由於 Windows Update 程式的需求經常更新,因此您應該定期檢查 Windows 硬體實驗室套件 以取得最新資訊。
分發安全的軟體更新程序
所有 Windows 硬體品質實驗室 WHQL 簽署的驅動程式套件必須通過 Microsoft 的檢測和惡意軟體掃描,才能獲得簽署核准。 安裝已簽署的驅動程式套件可讓終端用戶體驗更順暢。
配送安全性
使用 Windows Update 的優點之一是伺服器、傳輸程式,以及驗證並套用更新的用戶端邏輯,是一個經過良好測試的程式,可將超過 10 億部電腦保持在最新狀態。 許多在Microsoft工作的安全性專家都致力於維護系統,以防止不斷增加、複雜、攻擊。
受控漸進式更新推出
如果第三方廠商選擇透過 Windows Update 散發其驅動程式套件,驅動程式套件也會經歷Microsoft的正式發行,並 逐步推出 程式來觀察品質,並確保驅動程式套件符合廣泛發行所需的品質準則。
漸進式推出會使用 Windows 遙測來確保您的客戶擁有最佳體驗。 如果驅動程式套件在漸進式推出階段出現狀況不良,Microsoft可以選擇暫停驅動程式套件散發,以進行調查和/或尋求適當的補救,包括Microsoft起始的驅動程式套件取消(到期)。 如需有關分配環之重要用途的詳細資訊,請參閱 逐步推行。
特定廠商所選計算機的現場測試
發行驅動程式套件之前,您必須在將處理更新並載入驅動程式的目標計算機上進行測試。 使用與最終散發系統不同的傳遞系統可能會導致錯誤。 此適用於早期驅動程式測試的額外程式必須經過設計、建立及管理。
硬體合作夥伴可以將驅動程式套件發佈至 Windows Update 並使用測試發佈來測試驅動程式套件更新案例。 發佈之後,IHV/OEM 可以設定其用戶端系統,透過設定預先定義的登錄機碼值來請求這些驅動程式。 測試登錄機碼會將發行前版本驅動程式新增至 Windows Update 所提供的生產驅動程序清單。 此方法會限制發行前版本驅動程式無法提供給一般公眾。 如需詳細資訊,請參閱 自行主機桌面驅動程式的測試發佈指引。
為 Windows 驅動程式建立您自己的發佈系統
不建議重新建立 Windows Update 系統,因為它涉及增加風險、重大的開發資源和難以估計的成本。 許多安全性和可靠性檢查都內建於 Windows Update 程式中,需要大規模地設計、撰寫、測試及實作。
建立安全且符合法規規範的全域數據管線來測量驅動程序品質,可能是 Windows Update 系統最難複寫的部分。 大部分廠商都不希望透過公眾新聞媒體或社交媒體聽到驅動程式套件失敗所導致的 Windows 大規模當機。 更好的方法是讓即時數據引導驅動程式套件的部署,並停止和復原損害客戶計算機的驅動程式套件更新。
在設計、部署和管理驅動程式散發系統時,可能會產生顯著的成本。 如需安全軟體部署作法的描述,請參閱 CISA 安全軟體部署:軟體製造商如何確保客戶的可靠性。
許多 Windows 客戶只會接受Microsoft已簽署的驅動程式,以減少其安全性暴露。 S 模式中的 Windows 10 需要驅動程序簽署。 如需詳細資訊,請參閱 Windows 10 在 S 模式中驅動程式的需求 和 驅動程式簽署,Microsoft Intune 中的 Windows 驅動程式更新管理,以及 Microsoft 建議的驅動程式區塊規則。
使用遙測技術控制更新發佈速度
另一個需要為您自己的散發系統建立的元素,是依據遙測控管發布速度的方法。
功能更新推出的重要原則是只會更新那些數據顯示能提供良好體驗的系統。 人類監督和機器學習都用來選取先提供更新的系統。 如果 Windows Update 偵測到系統可能有問題,則在解決問題之前,我們不會提供更新。
Windows Update 啟動較慢,這是為了優先考慮更新的可靠性而非推出的速度。 當新功能更新版本可供使用時,會先提供給少數「尋求者」使用,這些用戶會採取動作以儘早取得更新。 然後會仔細監視遙測,以瞭解當更多使用者收到驅動程式時可能發生的任何新問題。 這是藉由觀看遙測,與客戶服務小組密切合作,瞭解客戶向我們回報的內容、直接透過意見反應中樞分析意見反應記錄和螢幕快照,以及聆聽透過社交媒體頻道傳送的訊號自動化摘要來完成。 如果發現導致不良體驗的因素組合,則會建立區塊,以防止類似的裝置接收更新,直到發生完整解析度為止。 重新建立這個系統將是一項複雜的工作。
驅動程序測試 - 階段性測試
類似於新飛機的試飛,驅動程式試飛 在 Windows 硬體合作夥伴中心 中,可讓您在特定的 Windows 測試人員通道內分發驅動程式包,同時進行自動監控和評估。 在成功完成測試飛行並獲得 Microsoft 核准後,驅動程式套件會透過 Windows Update 公開散發。 駕駛任務結束後,將會生成有關您驅動程式套件效能的報告,使您能夠評估其關鍵功能和更新場景。
若要建立您自己的發行系統,必須重新建立類似的監控功能。
驅動品質衡量指標
Windows Update 最難重複的層面之一是驅動程式套件品質量值和實時數據擷取和處理。 每天Microsoft使用客戶選擇共享的數據,收集 78 萬億個安全性訊號。 此資料管線會選擇性地收集,以收集特定驅動程式套件更新的可採取動作的數據。 複寫此數據管線是一項大型且複雜的作業。 客戶隱私權必須受到尊重,而且在世界的不同領域,例如歐盟,在收集、儲存和使用客戶數據方面還有其他需求。
使用多年來取得的知識,Microsoft驅動程式量值 已開發,例如 沒有內核模式損毀的電腦百分比。 即時監視正確的數據,是取得驅動程式套件更新健康情況之真實量值的唯一方法。
安全性事件回應計劃 (SIRP)
由於更新系統可能是網路攻擊的重要目標,因此必須建立更新系統以確保安全。 此外,必須全天候監控以防可能的入侵或安全漏洞。 當入侵發生時,安全性專家必須快速開發和實作適當的回應。 如需建立安全事件回應計劃(SIRP)的詳細資訊,請參閱 NIST 所提供的 電腦安全性事件處理指南 和 CISA 所提供的 事件回應計畫(IRP)基本概念。
Microsoft病毒計劃
Microsoft病毒計劃 (MVI) 可協助組織改善客戶賴以保護其安全的安全性解決方案。 我們提供工具、資源和知識,以支援具有絕佳效能、可靠性和相容性的更佳體驗。 Microsoft與 MVI 合作夥伴共同作業,以定義並遵循安全部署實務(SDP),以支援我們共同客戶的安全性和復原能力。
如果您是防毒廠商,請參閱 Microsoft病毒計劃 瞭解如何加入 MVI 以取得軟體部署的更多協助。
如需安全性廠商如何更好地利用 Windows 整合式安全性功能以提升安全性和可靠性的相關信息,請參閱 Windows 安全性最佳做法,以整合和管理安全性工具。
其他資源
若要深入瞭解「Secure by Design」原則和實踐,請參觀 CISA 的 Secure by Design。
如需美國政府網路安全行政命令的資訊,請參閱 網路安全行政命令:聯邦機構接下來會發生什麼?。
如需建立 Windows 11 部署計劃的相關信息,以及部署 Windows Update 的其他資訊,請參閱 建立部署計劃。
如需了解在 Windows 10 時代學到的驅動程式更新經驗教訓,請參閱 Windows 生態系統中的 驅動程式品質。