Seguridad de Windows Update

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

El sistema de Windows Update (WU) garantiza que los dispositivos se actualicen de forma segura. Su protección de un extremo a otro evita la manipulación de los intercambios de protocolos y garantiza que solo se instale el contenido aprobado. Es posible que algunos entornos protegidos necesiten actualizar reglas de proxy y firewall para asegurarse de que se puede acceder correctamente a las actualizaciones de Windows. En este artículo se proporciona información general sobre las características de seguridad de Windows Update.

introducción a la seguridad de Windows Update

El sistema de Windows Update distribuye una gran cantidad de contenido. Algunos ejemplos de este contenido incluyen:

• Novedades al sistema operativo Windows
• Aplicaciones Microsoft 365 actualizaciones (actualizaciones de Office)
• Controladores de hardware
• Definiciones de antivirus
• Aplicaciones de Microsoft Store

Este sistema se inicia cuando un usuario interactúa con la página de configuración de Windows Update o cuando una aplicación realiza una llamada a la API de servicio cliente de WU. Las aplicaciones de Microsoft y diferentes partes de Windows pueden realizar estas llamadas en varias ocasiones, como Aplicaciones Microsoft 365, Microsoft Defender y Plug and Play (PnP).

Cuando se produzcan estas interacciones, el servicio de Windows Update que se ejecuta en el dispositivo desencadenará una serie de intercambios a través de Internet con los servidores Windows Update de Microsoft. El flujo de trabajo general es:

1. Un dispositivo Windows realiza varias conexiones a Windows Update servicios mediante HTTPS (HTTP a través de TLS, puerto TCP 443).
2. Los metadatos de actualización se intercambian a través de estas conexiones y da como resultado una lista de actualizaciones, aplicaciones, controladores y otras actualizaciones.
3. El dispositivo decide si se deben descargar elementos de la lista resultante y cuándo.

Una vez que se ha decidido la lista de descargas, se descargan los archivos binarios de actualización reales. La descarga se realiza a través del componente Optimización de distribución a través de una combinación de llamadas HTTP estándar (puerto TCP 80) y llamadas de red punto a punto seguras (puerto TCP 7680). El método usado se basa en las directivas de grupo o configuración del dispositivo.

Al descargar actualizaciones mediante las redes punto a punto (P2P) de Optimización de distribución, el contenido se valida tras la recepción de cada punto. Si el contenido solicitado no está disponible en la red P2P, el componente Optimización de distribución lo descargará mediante HTTP.

Independientemente del método que se use para descargar el contenido, los archivos resultantes se validan a través de firmas digitales y hashes de archivos antes de instalarlos. La validación confirma que la descarga es lo que se pretendía, se comprueba como auténtica y no se ha alterado.

Protección de conexiones de metadatos

Cuando Windows Update examina las actualizaciones, pasa por una serie de intercambios de metadatos entre el dispositivo y Windows Update servidores. Este intercambio se realiza mediante HTTPS (HTTP a través de TLS). Estas conexiones protegidas están ancladas a certificados, lo que garantiza que:

• Se valida el certificado de servidor de la conexión TLS (confianza del certificado, expiración, revocación, entradas SAN, etc.)
• El emisor del certificado se valida como Microsoft Windows Update original

Se produce un error en la conexión si el emisor es inesperado o no es un certificado intermedio Windows Update válido. El anclaje de certificados garantiza que el dispositivo se conecta a servidores legítimos de Microsoft y evita ataques man-in-the-middle.

Dado que Windows Update conexiones TLS están ancladas a certificados, es importante que los servidores proxy tls pasen estas conexiones sin interceptación. La lista completa de nombres DNS que requieren excepciones de proxy o firewall se puede encontrar en el artículo Windows Update solución de problemas.

Microsoft no proporciona direcciones IP ni intervalos IP para estas excepciones porque pueden diferir con el tiempo a medida que se realizan cambios con fines como el equilibrio de carga de tráfico.

Uso esperado del servidor Windows Update

Los servidores del servicio Windows Update solo los usan los componentes de WU. No hay ninguna expectativa de que los usuarios finales interactúen con estos puntos de conexión remotos. Por lo tanto, es posible que estos puntos de conexión de servicio no se resuelvan según lo esperado en un explorador web. Un usuario que vaya de forma casual a estos puntos de conexión puede observar una falta de cumplimiento de las expectativas más recientes del explorador web, como PKI de confianza pública, registro de transparencia de certificados o requisitos de TLS. Se espera que este comportamiento no limite ni afecte a la seguridad y la seguridad del sistema Windows Update.

Los usuarios que intentan ir a los puntos de conexión de servicio pueden ver advertencias de seguridad e incluso errores de acceso al contenido. De nuevo, se espera este comportamiento, ya que los puntos de conexión de servicio no están diseñados para el acceso al explorador web ni para el consumo de usuarios casuales.

Protección de la entrega de contenido

El proceso de descarga de archivos binarios de actualización se protege en una capa por encima del transporte. Aunque el contenido se puede descargar a través de HTTP estándar (puerto TCP 80), el contenido pasa por un riguroso proceso de validación de seguridad.

Las descargas se equilibran con la carga a través de las redes de entrega de contenido (CDN), por lo que el uso de TLS interrumpiría su cadena de custodia de Microsoft. Dado que una conexión TLS a una red CDN de almacenamiento en caché finaliza en la red CDN, no en Microsoft, los certificados TLS no son específicos de Microsoft. Esto significa que el cliente de WU no puede demostrar la confiabilidad de la red CDN, ya que Microsoft no controla los certificados TLS de la red CDN. Además, una conexión TLS a una red CDN no demuestra que el contenido no se haya manipulado dentro de la red de almacenamiento en caché de la red CDN. Por lo tanto, TLS no ofrece ninguna de las promesas de seguridad al flujo de trabajo de Windows Update de un extremo a otro que proporciona.

Independientemente de cómo se entregue el contenido, una vez descargado, se valida correctamente. El contenido se valida para la confianza, la integridad y la intención mediante diversas técnicas, como la validación de firmas digitales y las comprobaciones de hash de archivos. Este nivel de validación de contenido proporciona incluso más niveles de seguridad que TLS por sí solo.

Windows Server Update Services (WSUS)

Las empresas que usan WSUS tienen un flujo de trabajo similar. Sin embargo, los dispositivos cliente se conectan al servidor WSUS de su empresa en lugar de a través de Internet a los servidores de Microsoft. Depende de la empresa decidir si se usan conexiones HTTP o TLS (HTTPS) para el intercambio de metadatos. Microsoft recomienda encarecidamente usar conexiones TLS y configurar dispositivos cliente con las configuraciones de anclaje de certificados TLS adecuadas para el intercambio de metadatos con WSUS. Para obtener más información sobre el anclaje de certificados TLS de WSUS, consulte:

• Blog de Windows IT Pro: Cambios para mejorar la seguridad de los dispositivos Windows que examinan WSUS
• Blog de Windows IT Pro: Los cambios de examen y los certificados agregan seguridad para dispositivos Windows mediante WSUS para las actualizaciones

Cuando un servidor WSUS actualiza su propio catálogo de actualizaciones, se conecta a los servicios de sincronización de servidores de Microsoft y busca actualizaciones. El proceso de sincronización del servidor WSUS es similar al proceso de intercambio de metadatos para los dispositivos cliente que se conectan a Windows Update. La conexión de WSUS a Microsoft se realiza a través de TLS y se comprueba mediante el certificado de Microsoft, de forma similar al anclaje de certificados TLS del cliente WU.