Windows 更新安全性

• 适用于:

  ✅ Windows 11, ✅ Windows 10

Windows 更新 (WU) 系统可确保设备安全更新。 其端到端保护可防止操作协议交换，并确保仅安装已批准的内容。 某些受保护的环境可能需要更新防火墙和代理规则，以确保可以正确访问 Windows 更新。 本文概述了Windows 更新的安全功能。

Windows 更新安全性概述

Windows 更新系统分发大量内容。 此内容的一些示例包括：

• 汇报到 Windows 操作系统
• Microsoft 365 应用版更新 (Office 更新)
• 硬件驱动程序
• 防病毒定义
• Microsoft Store 应用

当用户与Windows 更新设置页交互或应用程序调用 WU 客户端服务 API 时，将启动此系统。 这些调用可能由 Microsoft 应用程序和 Windows 的不同部分（如 Microsoft 365 应用版、Microsoft Defender 和 即插即用 (PnP) ）在不同时间进行。

发生此类交互时，设备上运行的Windows 更新服务将通过 Internet 与 Microsoft Windows 更新 服务器触发一系列交换。 常规工作流为：

1. Windows 设备通过 TLS、TCP 端口 443) 使用 HTTPS (HTTP 与Windows 更新服务建立多个连接。
2. 更新元数据通过这些连接交换，并生成更新、应用、驱动程序和其他更新的列表。
3. 设备决定是否以及何时从结果列表中下载项目。

确定下载列表后，将下载实际的更新二进制文件。 下载通过 传递优化 组件通过混合标准 HTTP 调用 (TCP 端口 80) 和安全对等网络调用 (TCP 端口 7680) 来完成。 使用哪种方法基于设备的配置/组策略。

使用传递优化的对等 (P2P) 网络下载更新时，内容在收到每个对等方后会进行完整性验证。 如果请求的内容在 P2P 网络上不可用，则传递优化组件将使用 HTTP 下载它。

无论使用哪种方法下载内容，生成的文件都会在安装之前通过数字签名和文件哈希进行验证。 验证确认下载符合预期，已验证为正版，并且未被篡改。

保护元数据连接

Windows 更新扫描更新时，它会在设备和Windows 更新服务器之间进行一系列元数据交换。 此交换是使用 HTTPS (HTTP over TLS) 完成的。 这些安全连接是证书固定的，确保：

• TLS 连接的服务器证书 (证书信任、过期、吊销、SAN 条目等进行验证 )
• 证书的颁发者被验证为正版 Microsoft Windows 更新

如果颁发者意外，或者不是有效的Windows 更新中间证书，则连接将失败。 证书固定可确保设备连接到合法的 Microsoft 服务器，并防止中间人攻击。

由于Windows 更新 TLS 连接是证书固定的，因此 TLS 代理必须通过这些连接而不进行拦截。 可以在Windows 更新故障排除一文中找到需要代理/防火墙例外的 DNS 名称的完整列表。

Microsoft 不会为这些异常提供 IP 地址或 IP 范围，因为它们可能会随时间推移而有所不同，因为出于流量负载均衡等目的而进行更改。

预期Windows 更新服务器使用情况

Windows 更新服务的服务器仅由 WU 组件使用。 最终用户不会与这些远程终结点交互。 因此，这些服务终结点可能无法在 Web 浏览器中按预期进行解析。 不经意地浏览到这些终结点的用户可能会注意到，没有遵守最新的 Web 浏览器期望，例如公开受信任的 PKI、证书透明度日志记录或 TLS 要求。 此行为是预期行为，不会限制或以其他方式影响Windows 更新系统的安全性。

尝试浏览到服务终结点的用户可能会看到安全警告，甚至内容访问失败。 同样，此行为是预期行为，因为服务终结点不是为 Web 浏览器访问或临时用户使用而设计的。

保护内容传递

下载更新二进制文件的过程在传输层上方受到保护。 即使内容可以通过标准 HTTP (TCP 端口 80) 下载，内容也会经过严格的安全验证过程。

下载通过内容分发网络 (CDN) 进行负载均衡，因此使用 TLS 会打破其 Microsoft 监管链。 由于与缓存 CDN 的 TLS 连接在 CDN（而不是 Microsoft）终止，因此 TLS 证书不是特定于 Microsoft 的。 这意味着 WU 客户端无法证明 CDN 的可信度，因为 Microsoft 不控制 CDN TLS 证书。 此外，与 CDN 的 TLS 连接不会证明内容未在 CDN 的缓存网络中被操作。 因此，TLS 不会向它提供的端到端Windows 更新工作流提供任何安全承诺。

无论内容如何交付，下载内容后，都会进行正确验证。 使用数字签名验证和文件哈希检查等各种技术验证内容是否信任、完整性和意图。 此级别的内容验证比仅 TLS 提供更多的安全层。

Windows Server Update Services (WSUS)

使用 WSUS 的企业具有类似的工作流。 但是，客户端设备连接到其企业的 WSUS 服务器，而不是通过 Internet 连接到 Microsoft 的服务器。 由企业决定是使用 HTTP 还是 TLS (HTTPS) 连接进行元数据交换。 Microsoft 强烈建议使用 TLS 连接并为客户端设备配置适当的 TLS 证书固定配置，以便与 WSUS 进行元数据交换。 有关 WSUS TLS 证书固定的详细信息，请参阅：

• Windows IT 专业人员博客：改进 Windows 设备扫描 WSUS 安全性的更改
• Windows IT 专业人员博客：扫描更改和证书为使用 WSUS 进行更新的 Windows 设备添加安全性

当 WSUS 服务器 更新自己的更新目录时，它会连接到 Microsoft 的服务器同步服务并扫描更新。 WSUS 服务器同步过程类似于连接到 Windows 更新 的客户端设备的元数据交换过程。 WSUS 到 Microsoft 的连接通过 TLS 进行，并由 Microsoft 证书进行验证，类似于 WU 客户端的 TLS 证书固定。