Если пользователь настраивает свой компьютер с Windows 8/7 на автоматическое принятие и установку обновлений из Центра обновления Windows, что предотвращает распространение вирусов? Является ли настройка компьютеров пользователя для автоматического принятия и установки обновлений рекомендуемой политикой для системных администраторов?
2 ответа
Две основные вещи заключаются в том, что ваш хост будет подключаться к Microsoft, и обновления будут иметь цифровую подпись.
Несмотря на то, что злоумышленник может отравить ваш DNS или вышестоящий DNS, чтобы обманным путем заставить вас пойти в другое место для получения обновлений, если эти обновления не подписаны действительным сертификатом подписи кода Microsoft, они не будут приняты.
Поддержание в курсе очень важно. Несколько лет назад стало понятно, что несколько ключей, которые можно использовать для подписи таких обновлений, могут быть получены из других сертификатов (неправильно настроенных сертификатов) в системах. Однако эти сертификаты были отозваны, и были внесены изменения (которые применяются в Windows 7/8), чтобы требовать более длинных ключей сертификата.
Рекомендуемая политика для системных администраторов заключается в тестировании обновлений Windows в их среде перед их развертыванием для пользователей.
Для домашних пользователей, использующих хорошо известные приложения, наилучшей политикой является автоматическое применение обновлений.
Как я могу быть уверен, что обновления безопасны для установки?
Windows использует Secure Socket Layer (SSL) для шифрования передачи системной информации и обновлений между вашим компьютером и веб-сайтом Центра обновления Windows. Каждый файл, который вы загружаете с помощью автоматического обновления, имеет цифровую подпись от Microsoft. Цифровые подписи предназначены для обеспечения подлинности и целостности подписанных файлов. Автоматические обновления не будут устанавливать файлы, которые не содержат правильную цифровую подпись.
Источник: Автоматические обновления: часто задаваемые вопросы