如果用户将 Windows 8/7 计算机设置为自动接受并安装 Windows Update 的更新,那么如何防止其成为病毒的载体?将用户计算机设置为自动接受并安装更新是系统管理员的推荐策略吗?
答案1
主要的两个事情是您的主机将连接到 Microsoft 来执行此操作并且更新经过数字签名。
虽然攻击者确实可能会毒害您的 DNS 或上游 DNS,以欺骗您到其他地方获取更新,但除非这些更新使用有效的 Microsoft 代码签名证书进行签名,否则它们将不被接受。
保持最新状态非常重要。几年前,人们意识到一些可用于签署此类更新的密钥可能来自系统上的其他证书(配置不当的证书)。然而,这些证书已被撤销,并且进行了更改(应用于 Windows 7/8),要求更长的证书密钥长度。
答案2
建议系统管理员在将 Windows 更新部署给用户之前,先在其环境中测试它们。
对于使用知名应用程序的家庭用户来说,最好的策略是自动应用更新。
我如何确保更新可以安全安装?
Windows 使用安全套接字层 (SSL) 来加密您的计算机和 Windows Update 网站之间的系统信息和更新传输。您使用自动更新下载的每个文件都有 Microsoft 的数字签名。数字签名旨在确保签名文件的真实性和完整性。自动更新不会安装不包含正确数字签名的文件。
来源:自动更新:常见问题