Windows 업데이트 보안

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

WU(Windows 업데이트) 시스템은 디바이스가 안전하게 업데이트되도록 합니다. 엔드 투 엔드 보호는 프로토콜 교환 조작을 방지하고 승인된 콘텐츠만 설치되도록 합니다. 일부 보호된 환경에서는 Windows 업데이트에 제대로 액세스할 수 있도록 방화벽 및 프록시 규칙을 업데이트해야 할 수 있습니다. 이 문서에서는 Windows 업데이트 보안 기능에 대한 개요를 제공합니다.

Windows 업데이트 보안 개요

Windows 업데이트 시스템은 다양한 콘텐츠를 배포합니다. 이 콘텐츠의 몇 가지 예는 다음과 같습니다.

• Windows 운영 체제에 업데이트
• Microsoft 365 앱 업데이트(Office 업데이트)
• 하드웨어 드라이버
• 바이러스 백신 정의
• Microsoft Store 앱

이 시스템은 사용자가 Windows 업데이트 설정 페이지와 상호 작용하거나 애플리케이션이 WU 클라이언트 서비스 API를 호출할 때 시작됩니다. 이러한 호출은 Microsoft 애플리케이션 및 Windows의 다양한 부분(예: Microsoft 365 앱, Microsoft Defender 및 PnP(플러그 앤 플레이)에 의해 여러 번 수행될 수 있습니다.

이러한 상호 작용이 발생하면 디바이스에서 실행되는 Windows 업데이트 서비스가 인터넷을 통해 Microsoft의 Windows 업데이트 서버와 일련의 교환을 트리거합니다. 일반적인 워크플로는 다음과 같습니다.

1. Windows 디바이스는 HTTPS(TLS를 통한 HTTP, TCP 포트 443)를 사용하여 Windows 업데이트 서비스에 여러 연결을 만듭니다.
2. 업데이트 메타데이터는 이러한 연결을 통해 교환되며 업데이트, 앱, 드라이버 및 기타 업데이트 목록이 생성됩니다.
3. 디바이스는 결과 목록에서 항목을 다운로드할지 여부와 시기를 결정합니다.

다운로드 목록이 결정되면 실제 업데이트 이진 파일이 다운로드됩니다. 다운로드는 표준 HTTP 호출(TCP 포트 80)과 보안 피어 투 피어 네트워크 호출(TCP 포트 7680)을 통해 배달 최적화 구성 요소를 통해 수행됩니다. 사용되는 메서드는 디바이스의 구성/그룹 정책을 기반으로 합니다.

배달 최적화의 P2P(피어 투 피어) 네트워킹을 사용하여 업데이트를 다운로드할 때 각 피어에서 수신 시 콘텐츠의 무결성이 검사됩니다. P2P 네트워크에서 요청된 콘텐츠를 사용할 수 없는 경우 배달 최적화 구성 요소는 HTTP를 사용하여 다운로드합니다.

콘텐츠를 다운로드하는 데 사용되는 방법에 관계없이 결과 파일은 설치되기 전에 디지털 서명 및 파일 해시를 통해 유효성을 검사합니다. 유효성 검사는 다운로드가 의도된 것이며, 인증된 것으로 확인되었으며, 변조되지 않았는지 확인합니다.

메타데이터 연결 보호

Windows 업데이트 업데이트를 검색하면 디바이스와 Windows 업데이트 서버 간에 일련의 메타데이터 교환이 진행됩니다. 이 교환은 HTTPS(TLS를 통한 HTTP)를 사용하여 수행됩니다. 이러한 보안 연결은 인증서로 고정되어 다음을 보장합니다.

• TLS 연결의 서버 인증서의 유효성이 검사됩니다(인증서 신뢰, 만료, 해지, SAN 항목 등).
• 인증서 발급자의 유효성이 정품 Microsoft Windows 업데이트

발급자를 예기치 않은 경우 또는 유효한 Windows 업데이트 중간 인증서가 아닌 경우 연결이 실패합니다. 인증서 고정을 사용하면 디바이스가 합법적인 Microsoft 서버에 연결되고 맨인 더 중간 공격을 방지할 수 있습니다.

Windows 업데이트 TLS 연결은 인증서로 고정되므로 TLS 프록시는 가로채기 없이 이러한 연결을 전달하는 것이 중요합니다. 프록시/방화벽 예외가 필요한 DNS 이름의 전체 목록은 Windows 업데이트 문제 해결 문서에서 찾을 수 있습니다.

Microsoft는 트래픽 부하 분산과 같은 용도로 변경되므로 시간이 지남에 따라 다를 수 있으므로 이러한 예외에 대한 IP 주소 또는 IP 범위를 제공하지 않습니다.

예상 Windows 업데이트 서버 사용량

Windows 업데이트 서비스의 서버는 WU 구성 요소에서만 사용됩니다. 최종 사용자가 이러한 원격 엔드포인트와 상호 작용할 것이라는 기대는 없습니다. 따라서 이러한 서비스 엔드포인트는 웹 브라우저에서 예상대로 resolve 수 없습니다. 이러한 엔드포인트를 자연스럽게 탐색하는 사용자는 공개적으로 신뢰할 수 있는 PKI, 인증서 투명성 로깅 또는 TLS 요구 사항과 같은 최신 웹 브라우저 기대치를 준수하지 않을 수 있습니다. 이 동작은 예상되며 Windows 업데이트 시스템의 안전 및 보안에 제한하거나 영향을 주지 않습니다.

서비스 엔드포인트로 이동하려는 사용자에게는 보안 경고와 콘텐츠 액세스 실패도 표시할 수 있습니다. 서비스 엔드포인트가 웹 브라우저 액세스 또는 일반 사용자 사용을 위해 설계되지 않았기 때문에 이 동작이 예상됩니다.

콘텐츠 배달 보안

업데이트 이진 파일을 다운로드하는 프로세스는 전송 위의 계층에서 보호됩니다. 콘텐츠가 표준 HTTP(TCP 포트 80)를 통해 다운로드될 수 있지만 콘텐츠는 엄격한 보안 유효성 검사 프로세스를 거치게 됩니다.

다운로드는 CDN(Content Delivery Networks)을 통해 부하가 분산되므로 TLS를 사용하면 Microsoft의 보관 체인이 중단됩니다. 캐싱 CDN에 대한 TLS 연결은 Microsoft가 아닌 CDN에서 종료되므로 TLS 인증서는 Microsoft에 국한되지 않습니다. 즉, MICROSOFT가 CDN TLS 인증서를 제어하지 않으므로 WU 클라이언트는 CDN의 신뢰성을 증명할 수 없습니다. 또한 CDN에 대한 TLS 연결은 CDN의 캐싱 네트워크 내에서 콘텐츠가 조작되지 않았음을 증명하지 않습니다. 따라서 TLS는 달리 제공하는 엔드투엔드 Windows 업데이트 워크플로에 대한 보안 약속을 제공하지 않습니다.

콘텐츠가 배달되는 방식에 관계없이 다운로드되면 제대로 유효성이 검사됩니다. 콘텐츠는 디지털 서명 유효성 검사 및 파일 해시 검사와 같은 다양한 기술을 사용하여 신뢰, 무결성 및 의도에 대한 유효성을 검사합니다. 이 수준의 콘텐츠 유효성 검사는 TLS만으로도 훨씬 더 많은 보안 계층을 제공합니다.

WSUS(Windows Server Update Services)

WSUS를 사용하는 엔터프라이즈에는 비슷한 워크플로가 있습니다. 그러나 클라이언트 디바이스는 인터넷을 통해 Microsoft 서버에 연결하는 대신 엔터프라이즈의 WSUS 서버에 연결합니다. 메타데이터 교환에 HTTP 또는 TLS(HTTPS) 연결을 사용할지 여부를 결정하는 것은 엔터프라이즈의 입니다. Microsoft는 WSUS와의 메타데이터 교환을 위해 TLS 연결을 사용하고 적절한 TLS 인증서 고정 구성을 사용하여 클라이언트 디바이스를 구성하는 것이 좋습니다. WSUS TLS 인증서 고정에 대한 자세한 내용은 다음을 참조하세요.

• Windows IT 전문가 블로그: WSUS를 스캔하는 Windows 디바이스의 보안 향상을 위한 변경 내용
• Windows IT 전문가 블로그: 변경 내용 검사 및 인증서 업데이트에 WSUS를 사용하여 Windows 디바이스에 대한 보안 추가

WSUS 서버가 자체 업데이트 카탈로그를 업데이트하면 Microsoft의 서버 동기화 서비스에 연결하고 업데이트를 검색합니다. WSUS 서버 동기화 프로세스는 Windows 업데이트 연결하는 클라이언트 디바이스에 대한 메타데이터 교환 프로세스와 유사합니다. WSUS-Microsoft 연결은 TLS를 통해 연결되며 WU 클라이언트의 TLS 인증서 고정과 유사하게 Microsoft 인증서에 의해 확인됩니다.