Рекомендации по безопасному развертыванию драйверов Windows

Рекомендации по безопасному развертыванию драйверов Windows важны для обеспечения безопасного, надежного и совместимого с Windows взаимодействия с пользователем. В этой статье описаны рекомендации для партнеров по оборудованию и встроенному ПО Майкрософт для создания и выполнения надежных планов развертывания, которые свести к минимуму нарушения, неэффективность работы и сбои устройств.

Хотя некоторые партнеры могут управлять собственными процессами распространения за пределами Центра обновления Windows, используйте центр обновления Windows по возможности. Центр обновления Windows предлагает контролируемую, безопасную и эффективную экосистему, которая снижает риск несовместимости, уязвимостей безопасности и влияния пользователей. Подробные инструкции по распространению пакетов драйверов см. в разделе " Распространение пакета драйвера".

В соответствии с руководством по безопасному развертыванию программного обеспечения в агентстве по кибербезопасности и инфраструктуре (CISA) эти рекомендации подчеркивают прозрачность, управление версиями, планирование откатов и проектирование безопасного программного обеспечения — основные элементы современного развертывания драйверов.

Дополнительные сведения о философии безопасности драйверов Майкрософт см. в руководстве по безопасности драйверов.

Жизненный цикл безопасного развертывания для драйверов

Рекомендации по безопасному развертыванию драйверов группируются на три этапа жизненного цикла развертывания:

• Предварительное развертывание

  Основное внимание уделяется планированию, внутреннему тестированию, сертификации программы совместимости оборудования Windows (WHCP), проверке зависимостей и согласованию критериев развертывания с бизнес-целями и инженерными целями перед распределением.

• Распределение

  Охватывает фактическое распределение драйвера, включая использование Центра обновления Windows при необходимости, развертывание стратегии по кольцевой модели и следование лучшим практикам постепенного развертывания.

• Мониторинг и обслуживание после развертывания

  Включает мониторинг сигналов работоспособности устройства, анализ телеметрии и приостановку, откат или обновление развертываний на основе фактической производительности.

Каждый раздел содержит практические рекомендации, помогающие партнерам обеспечить соответствие выпусков драйверов высоким стандартам надежности, безопасности и производительности во время их развертывания.

Тестирование и проверка перед развертыванием

Перед распространением драйвера, проведите тестирование, проверку и оценку безопасности, чтобы обеспечить безопасный и надежный опыт для конечных пользователей. Эти действия предотвращают проблемы с развертыванием, сокращают затраты на поддержку и повышают удовлетворенность пользователей.

Общие сведения о рекомендуемом комплексном процессе корпорации Майкрософт см. в руководстве по разработке, тестированию и развертыванию драйверов .

Окончательное тестирование и проверка

Перед распространением драйвера протестируйте его, проверьте и оцените безопасность. На этом шаге снижается риск регрессии, уязвимостей безопасности и нарушений работы пользователей.

• Проверьте различные конфигурации оборудования, чтобы обеспечить совместимость.
• Проверьте поддерживаемые версии Windows и последние обновления обслуживания, чтобы предотвратить регрессию.
• Включите управление питанием, стресс-тестирование, приостановку и возобновление работы и проверку сценария восстановления.
• Используйте комплект драйверов Windows (WDK) и комплект аппаратных лабораторий (HLK) для соответствия требованиям и сертификации.
• См. статью "Тестирование драйвера":
  • Советы по тестированию во время разработки
  • Тестирование во время выполнения с помощью Visual Studio
  • средства для проверки драйверов

Безопасность и целостность кода

Безопасность драйверов важна для стабильности системы, защиты и соответствия политикам драйверов Windows.

• Подпишите свой драйвер цифровой подписью в соответствии с требованиями подписи драйверов. Ознакомьтесь с требованиями к подписи кода драйвера и предложениями подписывания драйверов для получения дополнительных рекомендаций по соответствию требованиям и политике.

  • Правильно подписать все драйверы, предназначенные для развертывания, будь то через Центр обновления Windows или альтернативные каналы, чтобы обеспечить целостность и доверие.

  • Получение подписей программы совместимости оборудования Windows (WHQL) для драйверов независимо от канала распространения, включая Центр обновления Windows, каналы, управляемые OEM, или каналы, управляемые поставщиком, такие как веб-сайты или средства, относящиеся к предприятиям. Получив сигнатуру выпуска WHQL, системы Windows по умолчанию доверяют пакетам драйверов. Без этого необходимо выполнить дополнительные действия по настройке для установления доверия с помощью альтернативных сертификатов, что приводит к сложности и риску во время развертывания. Сертификация WHQL, необходимая для получения подписи выпуска WHQL, проверяет, проходит ли драйвер тесты совместимости Майкрософт и соответствует необходимым стандартам безопасности.

• Чтобы свести к минимуму уязвимости, следуйте контрольным списку безопасности драйверов Майкрософт.

• Используйте код QL во время компиляции и средство проверки драйверов во время выполнения, чтобы выявить потенциальные недостатки безопасности.

• Приводите в соответствие свои методики разработки с руководством по безопасности драйверов, которое описывает преимущества выпуска безопасных, надежных драйверов и содержит рекомендации по предотвращению вредоносных или уязвимых шаблонов кода.

Корпорация Майкрософт призывает организации, которые разрабатывают и публикуют драйверы защиты от вредоносных программ для участия в программе Microsoft Virus Initiative (MVI), предназначенной для согласования технологий защиты от вредоносных программ с стандартами безопасности Windows.

Планирование развертывания

Стратегическое планирование снижает риск, улучшает взаимодействие с пользователем и обеспечивает эффективную доставку и поддержку.

• Определите стратегии развертывания, такие как постепенное развертывание, пилотные развертывания, региональные выпуски или выпуски, ориентированные на оборудование.

  • Сведения о снижении риска и мониторинге реального поведения перед глобальным выпуском см. в разделе "Постепенное развертывание".

• Выберите канал развертывания:

  • Используйте Центр обновления Windows для управляемой и безопасной инфраструктуры.
  • Инструкции по публикации см. в разделе "Распространение драйверов с помощью Центра обновления Windows".
  • Если вы управляете распределением независимо, убедитесь в том же уровне безопасности и мониторинга.

• Планируйте сценарии сбоя, определяя критерии отката, выделяя кандидатов на откат и документируя процедуры эскалации.

• Для удовлетворения ожиданий качества и доставки убедитесь, что есть соответствие между инженерными, QA и бизнес-стейкхолдерами.

Дополнительные сведения см. в разделе "Создание плана развертывания".

Распределение

Для поддержания стабильности системы и доверия пользователей необходимо обеспечить безопасность, надежность и эффективное взаимодействие драйверов с пользователями. Этап распространения посвящен публикации и доставке драйверов с помощью структурированного, устойчивого подхода, использующего встроенную инфраструктуру Майкрософт. В этом разделе также описаны безопасные методики для альтернативных путей распространения.

Служба обновления Windows и другие способы распространения

Центр обновления Windows (рекомендуется):

• Обеспечивает безопасное, автоматическое и управляемое распределение драйверов.
• Интегрируется с обновлениями обслуживания и функционала Windows.
• Обеспечивает управление постепенным развертыванием на основе телеметрии и встроенные механизмы отката.
• Поддерживает ориентацию на идентификатор оборудования, версию ОС и другие критерии.

Дополнительные сведения см. в разделе "Распространение пакета драйвера".

Каналы издателя:

• Может потребоваться в нишевых или корпоративных средах.
• Требовать меры безопасности, чтобы соответствовать защите Windows Update:
  • Драйверы следует надежно упаковать и должны иметь подпись выпуска WHQL. Даже если драйверы развертываются за пределами Центра обновления Windows, они по-прежнему должны выполнять тестирование WHQL и иметь цифровую подпись. Тестирование WHQL и подписывание драйверов обеспечивают соответствие требованиям к качеству и безопасности Корпорации Майкрософт, а также обеспечить паритетность с защитой, предоставляемой Центром обновления Windows.
  • Механизмы отката вручную и управление версиями.
  • Координация с ИТ-командами или конечными пользователями для обеспечения безопасной установки.

Ограничения зависимостей драйверов

Это руководство относится ко всем методам распространения, включая Центр обновления Windows, порталы OEM и средства для конкретного предприятия.

Windows не гарантирует или предоставляет механизмы тесно связанных зависимостей между пакетами драйверов. К этим зависимостям относятся отношения «драйвер-драйвер» или «драйвер-прошивка», которые зависят от точных совпадений версий для правильной работы. Вместо этого любые взаимодействия между драйверами или драйверами и встроенного ПО должны выполняться с помощью хорошо определенных интерфейсов, использующих управление версиями для обозначения изменений в интерфейсе.

Драйверы и прошивка должны обеспечивать некоторый уровень прямой и обратной совместимости, чтобы система продолжала работать независимо от сочетания версий драйверов и прошивки. Windows не поддерживает тесно связанные зависимости, в которых требуются точные совпадения версий.

Этапы развертывания

Развертывание драйвера — это многоэтапный процесс, обеспечивающий безопасность, надежность и минимальные сбои. Этапы развертывания — пилотное развертывание, постепенное развертывание и полное развертывание — помогают снизить риски и подтвердить стабильность драйверов перед полным развертыванием. Руководство по безопасному развертыванию программного обеспечения CISA подчеркивает важность постепенного развертывания и включает подробную временную шкалу развертывания. На этой временной шкале показано, как эти этапы соответствуют общему процессу. В ней описывается, как организации могут тщательно отслеживать производительность и тестовые драйверы до более широкого распространения.

• Пилотное развертывание (внутреннее развертывание):

  • Первоначальный выпуск для ограниченной тестовой аудитории.
  • Используется для проверки поведения в реальных средах.
  • Позволяет быстро реагировать на регрессии или проблемы совместимости.

• Постепенное развертывание (включая канареечное тестирование):

  • Постепенно увеличивает экспозицию на основе телеметрии и диагностики.
  • Помогает выявить системные проблемы при минимизации широкого влияния.
  • Настройте темп развертывания и объем на основе метрик качества и состояния устройств.

Дополнительные сведения о постепенном выпуске обновлений драйверов см. в Центре разработки оборудования Майкрософт.

• Полное развертывание (управляемое развертывание):
  • Включен после успешного мониторинга пилотных и постепенных этапов развертывания.
  • Обеспечивает более широкий охват по всему миру между совместимыми системами.

Мониторинг и обслуживание после развертывания

Активно отслеживайте надежность драйвера после выпуска для обнаружения и устранения потенциальных проблем.

Обнаружение телеметрии и выявление проблем

• Используйте отчеты об ошибках Windows (WER) и отчеты о развертывании драйверов для отслеживания сбоев драйверов, включая сбои, вызванные драйверами режима ядра, такими как сбои системы (проверки ошибок).

• Ознакомьтесь с Центром разработки оборудования для таких отчетов, как отчет о сбоях групп, отчет о сбоях Plug and Play, отчет о надежности и сводный отчет об установке драйверов и работоспособности.

• Непрерывно отслеживайте проблемы установки и проблемы совместимости оборудования в реальных сценариях использования.

Решение проблем и обновления драйверов

• Выпуск исправлений для устранения уязвимостей системы безопасности.
• Предоставьте горячие исправления или новые версии драйверов на основе аналитических сведений телеметрии.
• Предварительный выпуск версий для отката и альтернативных драйверов.
• Обмен данными с поддержкой Майкрософт или каналами комнат для доставки драйверов.

Дополнительные сведения о средствах безопасности для реагирования на инциденты см. в статье "Реагирование на инциденты": рекомендации по безопасности Windows для интеграции средств безопасности и управления ими.

Рекомендации по завершению поддержки

• Планируйте постепенное прекращение поддержки старых драйверов и плавный переход пользователей.
• Предоставление четкой связи и поддержки для пользователей во время переходов.

Сводка

Безопасное развертывание — это непрерывный процесс, включающий:

1. Тщательно проверяя и оценивая безопасность перед выпуском.
2. Использование контролируемых стратегий распределения для снижения рисков.
3. Активно отслеживают развертывания и устраняют проблемы.

Эти рекомендации помогают партнерам по оборудованию и встроенному ПО улучшить стратегии развертывания и создать безопасную, надежную экосистему Windows. Эти рекомендации соответствуют принципам безопасности Microsoft Windows и рекомендациям по поддержке от таких организаций, как CISA. Они способствуют упреждающем и совместному подходу к надежности программного обеспечения и работоспособности экосистем.