Windows Update-Sicherheit
Das Windows Update -System (WU) stellt sicher, dass Geräte sicher aktualisiert werden. Der End-to-End-Schutz verhindert die Manipulation des Protokollaustauschs und stellt sicher, dass nur genehmigte Inhalte installiert werden. Einige geschützte Umgebungen müssen möglicherweise Firewall- und Proxyregeln aktualisieren, um sicherzustellen, dass auf Windows-Updates ordnungsgemäß zugegriffen werden kann. Dieser Artikel bietet eine Übersicht über die Sicherheitsfeatures von Windows Update.
übersicht über Windows Update-Sicherheit
Das Windows Update System verteilt eine Vielzahl von Inhalten. Einige Beispiele für diesen Inhalt sind:
- Updates zum Windows-Betriebssystem
- Microsoft 365 Apps Updates (Office-Updates)
- Hardwaretreiber
- Antivirusdefinitionen
- Microsoft Store-Apps
Dieses System wird initiiert, wenn ein Benutzer mit der Einstellungsseite Windows Update interagiert oder wenn eine Anwendung die WU-Clientdienst-API aufruft. Diese Aufrufe können zu verschiedenen Zeiten von Microsoft-Anwendungen und verschiedenen Teilen von Windows erfolgen, z. B. Microsoft 365 Apps, Microsoft Defender und Plug & Play (PnP).
Wenn solche Interaktionen auftreten, löst der Windows Update-Dienst, der auf dem Gerät ausgeführt wird, eine Reihe von Austauschvorgängen über das Internet mit den Windows Update-Servern von Microsoft aus. Der allgemeine Workflow sieht wie folgt aus:
- Ein Windows-Gerät stellt mehrere Verbindungen mit Windows Update-Diensten über HTTPS (HTTP über TLS, TCP-Port 443) bereit.
- Updatemetadaten werden über diese Verbindungen ausgetauscht und führen zu einer Liste von Updates, Apps, Treibern und anderen Updates.
- Das Gerät entscheidet, ob und wann Elemente aus der resultierenden Liste heruntergeladen werden sollen.
Sobald die Liste der Downloads entschieden wurde, werden die eigentlichen Update-Binärdateien heruntergeladen. Der Download erfolgt über die Komponente Übermittlungsoptimierung über eine Mischung aus HTTP-Standardaufrufen (TCP-Port 80) und sicheren Peer-to-Peer-Netzwerkaufrufen (TCP-Port 7680). Welche Methode verwendet wird, basiert auf den Konfigurations-/Gruppenrichtlinien des Geräts.
Beim Herunterladen von Updates mithilfe des Peer-to-Peer-Netzwerks (P2P) der Übermittlungsoptimierung wird die Integrität des Inhalts beim Empfang von jedem Peer überprüft. Wenn der angeforderte Inhalt im P2P-Netzwerk nicht verfügbar ist, lädt die Komponente Übermittlungsoptimierung ihn über HTTP herunter.
Unabhängig davon, welche Methode zum Herunterladen des Inhalts verwendet wird, werden die resultierenden Dateien dann vor der Installation durch digitale Signaturen und Dateihashes überprüft. Die Überprüfung bestätigt, dass der Download beabsichtigt ist, als authentisch überprüft und nicht manipuliert wurde.
Sichern von Metadatenverbindungen
Wenn Windows Update nach Updates sucht, wird eine Reihe von Metadatenaustausch zwischen dem Gerät und Windows Update Servern durchlaufen. Dieser Austausch erfolgt über HTTPS (HTTP über TLS). Diese gesicherten Verbindungen sind zertifikatgeheftet, sodass Folgendes sichergestellt ist:
- Das Serverzertifikat der TLS-Verbindung wird überprüft (Zertifikatvertrauen, Ablauf, Sperrung, SAN-Einträge usw.).
- Der Zertifikataussteller wird als Microsoft-Original-Windows Update
Die Verbindung schlägt fehl, wenn der Aussteller unerwartet oder kein gültiges Windows Update Zwischenzertifikat ist. Das Anheften von Zertifikaten stellt sicher, dass das Gerät eine Verbindung mit legitimen Microsoft-Servern herstellt, und verhindert Man-in-the-Middle-Angriffe.
Da Windows Update TLS-Verbindungen zertifikatgeheftet sind, ist es wichtig, dass TLS-Proxys diese Verbindungen ohne Abfangen übergeben. Die vollständige Liste der DNS-Namen, die Proxy-/Firewallausnahmen erfordern, finden Sie im artikel Windows Update Problembehandlung.
Microsoft stellt keine IP-Adressen oder IP-Adressbereiche für diese Ausnahmen bereit, da sie sich im Laufe der Zeit unterscheiden können, wenn Änderungen für Zwecke wie den Lastenausgleich für Datenverkehr vorgenommen werden.
Erwartete Windows Update Servernutzung
Die Server des Windows Update Diensts werden ausschließlich von WU-Komponenten verwendet. Es besteht keine Erwartung, dass Endbenutzer mit diesen Remoteendpunkten interagieren. Daher werden diese Dienstendpunkte in einem Webbrowser möglicherweise nicht wie erwartet aufgelöst. Ein Benutzer, der beiläufig zu diesen Endpunkten surft, kann feststellen, dass die neuesten Erwartungen des Webbrowsers nicht eingehalten werden, z. B. die öffentlich vertrauenswürdige PKI, die Protokollierung der Zertifikattransparenz oder TLS-Anforderungen. Dieses Verhalten wird erwartet und wirkt sich nicht auf die Sicherheit des Windows Update Systems aus.
Benutzern, die versuchen, zu den Dienstendpunkten zu navigieren, werden möglicherweise Sicherheitswarnungen und sogar Inhaltszugriffsfehler angezeigt. Auch dieses Verhalten wird erwartet, da die Dienstendpunkte nicht für den Webbrowserzugriff oder die gelegentliche Nutzung von Benutzern konzipiert sind.
Schützen der Inhaltsübermittlung
Der Prozess des Herunterladens von Updatebinärdateien wird auf einer Ebene über dem Transport gesichert. Obwohl Inhalte möglicherweise über standard-HTTP (TCP-Port 80) heruntergeladen werden, durchlaufen die Inhalte einen strengen Sicherheitsüberprüfungsprozess.
Downloads werden über Content Delivery Networks (CDN) lastenausgleichen, sodass die Verwendung von TLS die Microsoft-Verkettungskette durchbrechen würde. Da eine TLS-Verbindung mit einem ZWISCHENSPEICHER-CDN im CDN und nicht bei Microsoft beendet wird, sind TLS-Zertifikate nicht Microsoft-spezifisch. Dies bedeutet, dass der WU-Client die Vertrauenswürdigkeit des CDN nicht nachweisen kann, da Microsoft keine CDN-TLS-Zertifikate kontrolliert. Darüber hinaus beweist eine TLS-Verbindung mit einem CDN nicht, dass Der Inhalt im Cachenetzwerk des CDN nicht manipuliert wurde. Daher bietet TLS keines der Sicherheitszusagen für den End-to-End-Windows Update Workflow, den es andernfalls bereitstellt.
Unabhängig davon, wie der Inhalt übermittelt wird, wird er nach dem Herunterladen ordnungsgemäß überprüft. Inhalte werden auf Vertrauen, Integrität und Absicht überprüft, indem verschiedene Techniken wie digitale Signaturvalidierung und Dateihashprüfungen verwendet werden. Diese Ebene der Inhaltsüberprüfung bietet noch mehr Sicherheitsebenen als TLS allein.
Windows Server Update Services (WSUS)
Unternehmen, die WSUS verwenden, haben einen ähnlichen Workflow. Die Clientgeräte stellen jedoch eine Verbindung mit dem WSUS-Server ihres Unternehmens her und nicht über das Internet mit den Microsoft-Servern. Es liegt in der Entscheidung des Unternehmens, ob HTTP- oder TLS-Verbindungen (HTTPS) für den Metadatenaustausch verwendet werden sollen. Microsoft rät dringend dazu, TLS-Verbindungen zu verwenden und Clientgeräte mit geeigneten Konfigurationen zum Anheften von TLS-Zertifikaten für den Metadatenaustausch mit WSUS zu konfigurieren. Weitere Informationen zum Anheften von WSUS-TLS-Zertifikaten finden Sie unter:
- Windows IT Pro-Blog: Änderungen zur Verbesserung der Sicherheit für Windows-Geräte, die WSUS überprüfen
- Windows IT Pro-Blog: Überprüfen von Änderungen und Zertifikaten erhöhen die Sicherheit für Windows-Geräte mithilfe von WSUS für Updates
Wenn ein WSUS-Server seinen eigenen Updatekatalog aktualisiert, stellt er eine Verbindung mit den Serversynchronisierungsdiensten von Microsoft her und sucht nach Updates. Der WSUS-Serversynchronisierungsprozess ähnelt dem Metadatenaustauschprozess für Clientgeräte, die eine Verbindung mit Windows Update herstellen. Die WSUS-zu-Microsoft-Verbindung erfolgt über TLS und wird durch ein Microsoft-Zertifikat überprüft, ähnlich wie beim Anheften des TLS-Zertifikats des WU-Clients.