Distribuzione di un pacchetto driver
In questo argomento viene descritto come distribuire in modo sicuro il pacchetto driver . Descrive i vantaggi della distribuzione di un pacchetto driver tramite Microsoft Windows Update (WU) e la complessità della creazione del proprio sistema di distribuzione. Windows Update offre un sistema di distribuzione affidabile, sicuro, scalabile a livello globale e conforme alle normative che deve essere usato per distribuire gli aggiornamenti dei driver.
Usare Windows Update per distribuire pacchetti driver
L'uso di Windows Update è fortemente consigliato per la distribuzione dei pacchetti driver. Offre molti vantaggi, tra cui i seguenti.
| Beneficio | Descrizione |
|---|---|
| Distribuzione controllata | Un'infrastruttura globale viene gestita 24 ore al giorno per distribuire i driver in modo sicuro e protetto. |
| Maggiore sicurezza | I pacchetti driver distribuiti tramite Windows Update sono firmati e i file binari vengono archiviati in modo sicuro per ridurre il rischio di manomissione o danneggiamento. |
| Costo noto | L'uso di Windows Update consente di evitare spese impreviste che potrebbero verificarsi per stabilire e gestire un sistema di distribuzione software indipendente. |
| Conformità alle normative | Microsoft lavora per rispettare tutte le normative, ad esempio la privacy, su base globale. |
| Soddisfazione | I clienti sanno che i pacchetti driver vengono testati e che l'affidabilità del loro PC non ne risentirà. |
Un processo di distribuzione software ben progettato può fornire pacchetti driver testati correttamente agli utenti riducendo al minimo i costi di supporto e la responsabilità associati agli errori di schermata blu di Windows causati da un aggiornamento difettoso del driver.
Preparazione del pacchetto di driver per la consegna tramite Windows Update
Windows Update dispone di numerosi sistemi per verificare che i pacchetti driver distribuiti siano di alta qualità e vengano creati da un fornitore noto e affidabile.
Il programma di compatibilità hardware di Windows è progettato per aiutare l'azienda a distribuire sistemi, software e prodotti hardware compatibili con Windows ed essere eseguiti in modo affidabile in Windows 10, Windows 11 e Windows Server 2022. Il programma fornisce inoltre indicazioni per lo sviluppo, il test e la distribuzione di driver. Usando il Centro per i partner per Windows Hardware dashboard, è possibile gestire gli invii, monitorare le prestazioni del dispositivo o dell'app, esaminare i dati di telemetria e molto altro ancora.
i pacchetti driver driver firmati digitalmente da Windows Hardware Quality Labs (WHQL) possono essere distribuiti tramite il programma Windows Update. WHQL può firmare digitalmente i pacchetti driver che superano test di Windows Hardware Lab Kit (HLK).
Una firma di versione WHQL è costituita da un file di catalogo firmato digitalmente. La firma digitale non modifica i file binari del driver o il file INF inviato per il test.
È possibile distribuire un pacchetto driver tramite il programma Windows Update se il pacchetto driver:
Supera il test (Windows Hardware Lab Kit).
Qualifica per il programma di certificazione Windows.
Riceve una firma di rilascio WHQL.
Soddisfa requisiti aggiuntivi che assicurano che Windows Update possa determinare il pacchetto driver corretto per il dispositivo dell'utente, possa distribuirlo legalmente e scaricarlo automaticamente.
Poiché i requisiti del programma Windows Update vengono aggiornati di frequente, è consigliabile controllare regolarmente Windows Hardware Lab Kit per ottenere le informazioni più recenti.
Procedure di aggiornamento software sicuro per la distribuzione
Tutti i pacchetti driver firmati WHQL (Windows Hardware Quality Labs) vengono eseguiti tramite i controlli di inserimento e le analisi malware di Microsoft e devono passare prima di essere approvati per la firma. L'installazione di pacchetti driver firmati consente un'esperienza utente finale più fluida.
Sicurezza della distribuzione
Uno dei vantaggi dell'uso di Windows Update è che i server, il processo di trasmissione e la logica client che convalida e applica gli aggiornamenti è un processo ben testato che mantiene aggiornati oltre un miliardo di PC. Molti esperti di sicurezza che lavorano presso Microsoft sono dedicati a mantenere il sistema contro attacchi sempre più avanzati, sofisticati.
Implementazione graduale controllata degli aggiornamenti
Se un fornitore di terze parti sceglie di distribuire il pacchetto driver tramite Windows Update, il pacchetto driver passa anche attraverso l'implementazione in anteprima di Microsoft e graduale implementazione processi per osservare la qualità e garantire che il pacchetto driver soddisfi i criteri di qualità necessari per un'ampia versione.
L'implementazione graduale usa i dati di telemetria di Windows per garantire ai clienti la migliore esperienza possibile. Se un pacchetto driver appare non integro durante la fase di implementazione graduale, Microsoft può scegliere di sospendere la distribuzione del pacchetto driver per l'analisi e/o cercare una correzione appropriata, incluso un annullamento del pacchetto driver avviato da Microsoft (scadenza). Per altre informazioni sull'uso critico dei circuiti di distribuzione, vedere implementazione graduale.
Test sul campo per PC specifici del fornitore selezionati
Prima di rilasciare un pacchetto driver, è necessario testarlo nei PC di destinazione che elaborano l'aggiornamento e caricano il driver. L'uso di un sistema di distribuzione separato rispetto al sistema di distribuzione finale può causare errori. Questo processo aggiuntivo per i test iniziali dei driver deve essere progettato, creato e gestito.
I partner hardware possono testare gli scenari di aggiornamento dei pacchetti driver pubblicando un pacchetto driver in Windows Update e usando la distribuzione di test. Dopo la pubblicazione, gli IHVs/OEM possono configurare i sistemi client affinché richiedano questi driver impostando un valore predefinito della chiave del Registro di sistema. La chiave di test del registro aggiunge driver non definitivi all'elenco dei driver di produzione offerti da Windows Update. Questo metodo limita l'offerta dei driver in fase di prerelease al pubblico. Per altre informazioni, vedere Guida alla distribuzione dei test per i driver desktop auto-ospitati.
Creazione di un sistema di distribuzione personalizzato per i driver Windows
La ricreazione del sistema Windows Update non è consigliata perché comporta un aumento del rischio, risorse di sviluppo significative e costi difficili da stimare. Molti controlli di sicurezza e affidabilità sono integrati nel processo di Windows Update che sarebbe necessario progettare, scrivere, testare e implementare a livello globale.
La creazione di una pipeline di dati globale sicura e conforme alle normative per misurare la qualità del driver potrebbe essere la parte più difficile del sistema Windows Update da replicare. La maggior parte dei fornitori preferisce non sentire parlare di un errore del pacchetto driver che causa interruzioni di Windows diffuse tramite le notizie pubbliche o i social media. Un approccio migliore consiste nell'avere dati in tempo reale per guidare la distribuzione del pacchetto driver e interrompere e eseguire il rollback degli aggiornamenti del pacchetto driver che danneggiano il PC di un cliente.
La progettazione, la distribuzione e la gestione di un sistema di distribuzione driver possono comportare costi significativi. Per una descrizione delle procedure di distribuzione sicura del software, fare riferimento a CISA Distribuzione Sicura del Software: Come i Produttori di Software Possono Garantire l'Affidabilità per i Clienti.
Molti clienti Windows accetteranno solo i driver firmati Da Microsoft come modo per ridurre l'esposizione alla sicurezza. Windows 10 in modalità S richiede la firma del driver. Per ulteriori informazioni, vedere Requisiti del driver per Windows 10 in modalità S e Firma del driver, Gestione degli aggiornamenti dei driver di Windows in Microsoft Intune e Regole di blocco del driver consigliate da Microsoft.
Controllo della velocità di implementazione degli aggiornamenti tramite i dati di telemetria
Un altro elemento da creare per il proprio sistema di distribuzione è un modo per limitare la velocità dell'implementazione in base ai dati di telemetria.
Un principio importante del rollout degli aggiornamenti delle funzionalità consiste nell'aggiornare solo i sistemi che, secondo i dati, avranno una buona esperienza. Sia la supervisione umana che l'apprendimento automatico vengono usati per selezionare prima i sistemi che vengono offerti aggiornamenti. Se Windows Update rileva che un sistema potrebbe avere un problema, non verrà offerto l'aggiornamento fino a quando il problema non viene risolto.
Windows Update viene avviato lentamente: per classificare in ordine di priorità l'affidabilità degli aggiornamenti rispetto alla velocità di implementazione. Quando un nuovo aggiornamento delle funzionalità è disponibile, viene reso disponibile per la prima volta a una piccola percentuale di "cercatori", ossia gli utenti che agiscono per ottenere gli aggiornamenti in anticipo. I dati di telemetria vengono quindi monitorati attentamente per conoscere eventuali nuovi problemi che possono verificarsi man mano che più utenti ricevono il driver. A tale scopo, guardare i dati di telemetria, collaborare strettamente con il team del servizio clienti per comprendere cosa segnalano i clienti, analizzare i log dei commenti e gli screenshot direttamente tramite l'hub di Feedback e ascoltare riepiloghi automatizzati dei segnali inviati tramite canali di social media. Se viene rilevata una combinazione di fattori che genera un'esperienza non valida, viene creato un blocco che impedisce ai dispositivi simili di ricevere un aggiornamento fino a quando non si verifica una risoluzione completa. Ricreare questo sistema sarebbe un'impresa complessa.
Test dei driver - Anteprima
Analogamente a un volo di test di un nuovo piano, Driver in anteprima nel Centro per i partner per Windows Hardware consente di distribuire il pacchetto driver all'interno di anelli Windows Insider definiti, fornendo al tempo stesso il monitoraggio e la valutazione automatici. Al termine di un volo di prova riuscito e con l'approvazione da parte di Microsoft, il pacchetto driver viene distribuito pubblicamente tramite Windows Update. Un report sulle prestazioni del pacchetto driver verrà generato dopo il completamento di un volo, consentendo di valutare le funzionalità critiche e gli scenari di aggiornamento.
Per creare un sistema di distribuzione personalizzato, è necessario duplicare funzionalità di monitoraggio simili.
Misure di qualità del driver
Uno degli aspetti più difficili da duplicare di Windows Update è le misure di qualità del pacchetto driver e l'acquisizione e l'elaborazione dei dati in tempo reale. 78 trilioni di segnali di sicurezza vengono raccolti da Microsoft ogni giorno, usando i dati che i clienti hanno scelto di condividere. Questa pipeline di dati viene raccolta selettivamente per ottenere dati utilizzabili per aggiornamenti specifici del pacchetto driver. La replica di questa pipeline di dati è un'impresa complessa e di grandi dimensioni. La privacy dei clienti deve essere rispettata e in diverse aree del mondo, ad esempio l'UE, in cui sono previsti requisiti aggiuntivi per la raccolta, l'archiviazione e l'uso dei dati dei clienti.
Usando le conoscenze acquisite nel corso di molti anni, misure del driver Microsoft sono state sviluppate, ad esempio percentuale di computer senza un arresto anomalo della modalità kernel. Il monitoraggio dei dati corretti, in tempo reale, è l'unico modo per avere una vera misura dell'integrità di un aggiornamento del pacchetto driver.
Piano di risposta agli eventi imprevisti di sicurezza (SIRP)
Poiché il sistema di aggiornamento può essere un obiettivo significativo per gli attacchi informatici, deve essere creato per essere sicuro. Inoltre, deve essere monitorato 24 ore su 24 per possibili intrusioni o compromissioni. Quando si verifica un'intrusione, una risposta appropriata deve essere sviluppata e implementata rapidamente dagli esperti di sicurezza. Per ulteriori informazioni sulla creazione di un Piano di Risposta agli Incidenti di Sicurezza (SIRP), vedere Guida alla gestione degli incidenti di sicurezza informatica di NIST e Nozioni di base sul Piano di Risposta agli Incidenti (IRP) di CISA.
Iniziativa Microsoft sui Virus
Microsoft Virus Initiative (MVI) aiuta le organizzazioni a migliorare le soluzioni di sicurezza su cui i clienti si affidano per mantenerli al sicuro. Forniamo strumenti, risorse e conoscenze per supportare esperienze migliori insieme con prestazioni, affidabilità e compatibilità ottimali. Microsoft collabora con i partner MVI per definire e seguire le procedure di distribuzione sicura (SDP) per supportare la sicurezza e la resilienza dei clienti comuni.
Se si è un fornitore di antivirus, vedere Microsoft Virus Initiative per informazioni su come partecipare a MVI e ottenere ulteriore assistenza sulla distribuzione del software.
Per informazioni su come i fornitori di sicurezza possono sfruttare meglio le funzionalità di sicurezza integrate di Windows per una maggiore sicurezza e affidabilità, vedere procedure consigliate per la sicurezza di Windows per l'integrazione e la gestione degli strumenti di sicurezza.
Risorse aggiuntive
Per saperne di più sui principi e le pratiche di progettazione sicura, visitate Secure by Design di CISA.
Per informazioni sull'ordine esecutivo sulla sicurezza informatica del governo degli Stati Uniti, vedere L'ordine esecutivo sulla sicurezza informatica: Cosa succede ora per le agenzie federali?.
Per informazioni sulla creazione di un piano di distribuzione di Windows 11 e altre informazioni sulla distribuzione degli aggiornamenti di Windows, vedere Creare un piano di distribuzione.
Per le lezioni sugli aggiornamenti dei driver apprese nell'era di Windows 10, vedi qualità del driver nell'ecosistema Windows.