Windows Patch Tuesday 回顾，专业修补 20 年

时光荏苒，Microsoft、Windows 产品线以及整个计算机领域迎来了一个重要的时刻：Patch Tuesday 更新已经走过了 20 个春秋。在超过 14 亿月活跃的 Windows 设备中，我们始终坚守着一个目标——保护全球用户，确保他们的安全和高效运作。

在当前的安全氛围下，我们在公司内外通力合作，以确保这个至关重要的生态系统的安全性。尽管我们通过持续创新发布错误修复和其他新功能，但在最终分析中，安全始终是首要任务。每月的 Patch Tuesday 更新正是为了实现这一目标。

起源于 2002 年公司内部的一场安全倡议，如今 Patch Tuesday 已经成为一个广为人知的行业标准，为依赖于 Windows 的个人、公司和机构提供了 20 年的安全保障和高效运作。

在本文中，我们将分享一些关于 Patch Tuesday 历史，以及它是如何通过基于原则的方法不断演进的信息。

Patch Tuesday 的由来和历史

2002 年 1 月 12 日，Bill Gates 在一封公司内部邮件中正式宣布了启动可信计算（TwC）计划，这标志着一场思维的转变。这一计划推动安全团队将焦点转向整个产品范围内的功能安全。在这个重要计划的推动下，我们将安全更新的流程规划成了每月例行的「Patch Tuesday」更新。

以下是 Patch Tuesday 这 20 年历程中的一些亮点，展现了这一关键而成熟的实践的持续演进：

2003 年至 2007 年

• Patch Tuesday 更新开始推出，引入了支持性的补丁管理流程，包括 Windows Update 和 Microsoft Update 服务。
• 随后，Windows Vista 和 Windows 7 相继问世，两者均融合了增强的安全功能，如用户账户控制（UAC）、Windows Defender，以及改进的防火墙功能。

2008 年至 2012 年

• 在这段时间内，新的带外（OOB）更新应对了一些紧迫的威胁，如 Conficker 蠕虫漏洞。
• 安全开发生命周期的扩展提供了一套强有力的最佳实践和指南，用于开发更加安全的软件。
• 新的工具有助于组织部署和评估安全更新的状态，其中包括 Windows 服务器更新服务（WSUS）和微软基线安全分析器（MBSA）。
• Windows 8 的特性增强了安全措施。我们迎来了安全启动、Windows Defender 的改进以及用户账户控制（UAC）的进一步发展。

2013 年至 2017 年

• 随着 Windows 10 的推出，微软启动了一场根本性的转变，朝着「Windows 即服务」的模型迈进。这一变革伴随着 Windows 更新历史页面的首次发布，通常被称为发布说明。
• 新一代的安全增强功能旨在提供更强大的防护，以对抗恶意软件、未经授权的访问和凭证窃取。在这一时期，我们见证了 Device Guard、Credential Guard 和 Windows Hello 的开发和发布。
• Windows Update for Business 正式上线，为组织提供更多控制权，使其能够更灵活地决定何时以及如何部署 Windows 更新。
• 对安全更新的质量和可靠性继续保持高度关注。「在每个新的月度质量更新中，我们都会加入一层新的安全性，以追踪恶意软件和病毒新兴和变化的趋势」（John Cable，2017 年 9 月 20 日）。
• 为增强透明度，我们采取了积极措施，并与《通用数据保护条例》（GDPR）保持一致。这为组织带来了信心，使它们能够放心地保持设备更新。

2018 年至今

• 在 Spectre 和 Meltdown 硬件漏洞公开披露后，整个行业积极展开合作，主动修复固件。每月的质量更新被用作将微码更新推广到设备的工具。
• 随着对 Windows 更新积极措施的持续进行，机器学习优化了 Windows 更新的体验，人工智能成为为 Windows 10 功能更新提供服务的工具。
• 质量和透明度的要求变得更高：「Windows 生态系统的规模和多样性要求我们采取基于数据的方法进行质量控制，并利用自动化进行测试、验证和分发」（Mike Fortin，前首席副总裁，2018 年 12 月 10 日）。通过 Patch Tuesday 讨论质量验证工作，包括预发行验证计划（PVP）、深度测试（DTP）、每月测试（MTP）、Windows 预览计划（WIP）和安全更新验证计划（SUVP）。
• Windows 发布健康仪表板，为每个人提供一个集中查看已知问题的视图，涵盖功能和每月质量更新。
• 针对 2020 年爆发的 COVID-19 大流行，我们更加专注于远程工作相关工具。解决了远程桌面服务和 Microsoft Teams 中的漏洞，并延长了对某些活跃版本的 Windows 的支持期限。
• 已知问题回滚（KIR）帮助设备在更新问题意外影响时迅速恢复到正常状态。
• 2022 年 8 月，新宣布的 Windows Update for Business 部署服务中引入的安全措施有助于组织推出更新。
• 同年，适用于商业组织的本地统一更新平台（UUP）开始公共预览。与 Windows Server Update Services（WSUS）和 Configuration Manager 集成，简化了质量和功能更新的部署，并于 2023 年正式推出。
• Windows Autopatch 逐渐成为 Patch Tuesday 经验的重要组成部分。
• 微软启动了跨整个公司的「安全未来倡议」，追求我们下一代的网络安全保护。

虽然在这个旅程中经历了许多波折，但微软依然专注于我们的使命。我们的投资旨在帮助全球每个个人和组织更好地实现目标，同时在使用 Windows 时保持安全和高效。

基于原则的 Patch Tuesday 演进

随着科技世界的发展，安全和生产力的概念也发生了巨大变革。正如 Brad Smith 最近在他 11 月 2 日博客文章《新的安全世界：微软的安全未来倡议》中所指出的那样，微软正在不断加强在这方面的努力。这对于微软希望通过其产品（包括 Windows）让每个人都能更多实现的愿景来说，既是巨大的挑战，也是机遇。

Windows 是一种至关重要的工具，对于人们的工作和娱乐而言比以往任何时候都更为重要。我们将持续关注更新体验的发展。具体而言，我们提升了学习、适应和服务于全球日益多元化客户群体的质量，秉承了月度 Windows 服务流程的四项原则：

• 可预测性：Windows 每月更新的发布频率应该稳定在每月的第二个星期二。
• 简易性：每个人都应该能够轻松、有规律、一致地进行补丁操作。无论是个人 Windows 用户还是负责组织的 IT 管理员，都不应该在部署更新之前花费大量时间进行严格测试。
• 灵活性：在当今的计算环境中，安全威胁要求我们能够快速响应。我们必须在不影响质量或兼容性的前提下，迅速为所有 Windows 用户提供更新。
• 透明度：为了简化个人和各种规模企业的更新流程，每个人都应该获得他们所需的所有信息。你应该能够提前了解更新情况。这包括全面而清晰的发布说明、常见维护工具的指南、获取帮助的途径以及一个反馈系统。

确保每月发布最高质量的 Windows 更新仍然是至关重要的。我们承诺不断提升和改进 Windows 补丁的质量，这意味着我们将努力迅速检测问题、采取纠正措施、进行清晰而具体的沟通，以及持续学习和改进。

随着新的热修复技术在 Azure Fleet 和 Windows Server Azure Edition 中取得成功，我们对补丁的未来充满信心，因为我们将继续追求快速、可靠、安全的更新，以提供最佳的更新体验。

此外，我们还在投资新的人工智能技术和人才，以及在决策层和跨团队合作方面进行加强，以确保在未来 20 年里，Windows 能够始终保护并提高您的生产力。