סיכום
כדי לסייע בהגנה על האבטחה של מערכת ההפעלה של Windows, העדכונים נחתמו בעבר (באמצעות אלגוריתמי hash של SHA-1 ו-SHA-2). החתימות משמשות לאימות שהעדכונים מגיעים ישירות מ-Microsoft ולא טופלו במהלך המסירה. בשל חולשות באלגוריתם SHA-1 וליישור לסטנדרטים בתעשייה, שינינו את החתימה של עדכוני Windows כדי להשתמש באלגוריתם SHA-2 המאובטח ביותר באופן בלעדי. שינוי זה התבצע בשלבים החל מ-2019 באפריל עד ספטמבר 2019 כדי לאפשר העברה חלקה (עיין בסעיף "לוח זמנים לעדכון מוצר" לקבלת פרטים נוספים על השינויים).
לקוחות שפועלים בגירסאות של מערכת הפעלה מדור קודם (Windows 7 SP1, Windows Server 2008 R2 SP1 ו-Windows Server 2008 SP2) נדרשים כדי להתקין תמיכה בחתימת קוד של SHA-2 במכשירים שלהם כדי להתקין עדכונים שהופצו ב-or לאחר יולי 2019. כל המכשירים שאינם תומכים ב-SHA-2 לא יוכלו להתקין את עדכוני Windows ב-2019 או אחרי יולי. כדי לעזור לך להכין שינוי זה, הפצנו את התמיכה לחתימת SHA-2 בתחילת מרץ 2019 ובוצעו שיפורים מצטברים. Windows Server Update Services (WSUS) 3.0 SP2 יקבל תמיכה של SHA-2 כדי לספק באופן מאובטח את העדכונים החתומים של SHA-2. עיין בסעיף "לוח זמנים לעדכון מוצר" עבור ציר הזמן של ההעברה של SHA-2 בלבד.
פרטי רקע
אלגוריתם Hash מאובטח 1 (SHA-1) פותח כפונקציית hashing בלתי הפיכה והוא משמש באופן נרחב כחלק מחתימת הקוד. למרבה הצער, האבטחה של אלגוריתם ה-SHA-1 מאובטחת פחות לאורך זמן בשל החולשות שנמצאו באלגוריתם, ביצועי המעבד המוגברים והופעתו של מחשוב ענן. חלופות חזקות יותר, כגון אלגוריתם ה-Hash המאובטח 2 (SHA-2) מועדפות מאוד כאשר הן אינן נתקלות באותן בעיות. לקבלת מידע נוסף אודות תבטלות של SHA-1, ראה אלגוריתמים של Hash וחתימות.
לוח זמנים לעדכון מוצר
החל מתחילת 2019, תהליך ההעברה לתמיכה של SHA-2 החל בשלבים, והתמיכה תימסר בעדכונים העצמאיים. Microsoft מייעדת את לוח הזמנים הבא להצעת תמיכה של SHA-2. שים לב שציר הזמן הבא כפוף לשינוי. נמשיך לעדכן עמוד זה לפי הצורך.
|
תאריך יעד |
אירוע |
חל על |
|
התעברות ב-12 במרץ 2019 |
עמוד לבדך עדכוני אבטחה KB4474419 ו- KB4490628 שוחרר כדי להציג את התמיכה בחתימת קוד של SHA-2. |
Windows 7 SP1 |
|
התעברות ב-12 במרץ 2019 |
עדכון עצמאי , KB4484071 זמין בקטלוג Windows UPDATE עבור WSUS 3.0 SP2 התומך בהעברת עדכונים חתומים של SHA-2. עבור לקוחות המשתמשים ב-WSUS 3.0 SP2, עדכון זה צריך להיות מותקן באופן ידני לא יאוחר מ-18 ביוני 2019. |
WSUS 3.0 SP2 |
|
התעברות ב-9 באפריל 2019 |
התעדכן באופן עצמאי , KB4493730 שמציגים את התמיכה בחתימת קוד של SHA-2 עבור מחסנית מתן השירות (SSU) הופצה כעדכון אבטחה. |
Windows Server 2008 SP2 |
|
14 במאי 2019 |
עצמאי עדכון אבטחה KB4474419 שוחרר כדי להציג תמיכה בחתימת קוד של SHA-2. |
Windows Server 2008 SP2 |
|
התקיימות ב-11 ביוני 2019 |
עמוד עצמאי של עדכון אבטחה KB4474419שוחרר מחדש כדי להוסיף תמיכה בחתימת קוד של MSI SHA-2. |
Windows Server 2008 SP2 |
|
התעברות ב-18 ביוני 2019 |
חתימות העדכונים של Windows 10 השתנו מחתימה כפולה (SHA-1/SHA-2) ל-SHA-2 בלבד. אין צורך בפעולת לקוח. |
Windows 10, גירסה 1709 |
|
התעברות ב-18 ביוני 2019 |
נדרש עבור לקוחות המשתמשים ב-WSUS 3.0 SP2, KB4484071 חייב להיות מותקן באופן ידני על-ידי תאריך זה כדי לתמוך בעדכוני SHA-2. |
WSUS 3.0 SP2 |
|
התעברות ב-9 ביולי 2019 |
נדרש עדכונים עבור גירסאות מדור קודם של Windows ידרשו להתקין תמיכה בחתימת קוד של SHA-2. התמיכה שהופצו באפריל ובמאי (KB4493730 ו- KB4474419) תידרש כדי להמשיך לקבל עדכונים על גירסאות אלה של Windows. כל החתימות המורשות של Windows updates השתנו מ-SHA1 וחתימה כפולה (SHA-1/SHA-2) ל-SHA-2 רק בשלב זה. |
Windows Server 2008 SP2 |
|
ה-16 ביולי 2019 |
חתימות העדכונים של Windows 10 השתנו מחתימה כפולה (SHA-1/SHA-2) ל-SHA-2 בלבד. אין צורך בפעולת לקוח. |
Windows 10, גירסה 1507 |
|
יום שלוש 13 אוגוסט 2019 |
נדרש עדכונים עבור גירסאות מדור קודם של Windows ידרשו להתקין תמיכה בחתימת קוד של SHA-2. התמיכה שהופצו במרץ (KB4474419 ו- KB4490628) תידרש כדי להמשיך לקבל עדכונים על גירסאות אלה של Windows. אם יש לך מכשיר או VM באמצעות אתחול EFI, עיין בסעיף שאלות נפוצות לקבלת שלבים נוספים כדי למנוע בעיה שבה ייתכן שהמכשיר לא יופעל. כל החתימות המורשות של Windows updates השתנו מ-SHA-1 וחתומות כפולה (SHA-1/SHA-2) ל-SHA-2 רק בשלב זה. |
Windows 7 SP1 |
|
התקיימות ב-10 בספטמבר 2019 |
חתימות מדור קודם של Windows update השתנו מחתימה כפולה (SHA-1/SHA-2) ל-SHA-2 בלבד. אין צורך בפעולת לקוח. |
Windows Server 2012 |
|
התקיימות ב-10 בספטמבר 2019 |
עמוד עצמאי עדכון אבטחה KB4474419 שוחרר מחדש כדי להוסיף MANGERS של אתחול של EFI חסר. הקפד להתקין גירסה זו. |
Windows 7 SP1 |
|
התקיימות ב-28 בינואר 2020 |
חתימות ברשימות אישורים אמינים (CTLs) עבור תוכנית הבסיס המהימנה של Microsoft השתנתה מחתימה כפולה (SHA-1/SHA-2) ל-SHA-2 בלבד. אין צורך בפעולת לקוח. |
כל הפלטפורמות הנתמכות של Windows |
|
אוגוסט 2020 |
נקודות הקצה של שירות מבוסס SHA-1 של Windows Update הופסקו. פעולה זו משפיעה רק על מכשירי Windows ישנים יותר שלא עודכנו עם עדכוני אבטחה מתאימים. לקבלת מידע נוסף, ראה KB4569557. |
Windows 7 |
|
ה-3 באוגוסט 2020 |
תוכן של Microsoft שהוצאה משימוש ב-Windows לאלגוריתם Hash מאובטח 1 (SHA-1) ממרכז ההורדות של Microsoft. לקבלת מידע נוסף, עיין בבלוג של Windows IT pro SHA-1 Windows התוכן שיצא לפנסיה ב-3 באוגוסט, 2020. |
Windows Server 2000 |
מצב נוכחי
Windows 7 SP1 ו-Windows Server 2008 R2 SP1
יש להתקין את העדכונים הדרושים הבאים ולאחר מכן להפעיל מחדש את המכשיר לפני התקנת עדכון שפורסם באוגוסט 13, 2019 ואילך. ניתן להתקין את העדכונים הדרושים בכל סדר ואין צורך להתקין אותו מחדש, אלא אם יש גירסה חדשה של העדכון הנדרש.
-
עדכון מחסנית של מתן שירות (SSU) (KB4490628). אם אתה משתמש ב-Windows Update, ה-SSU הנדרש יוצע לך באופן אוטומטי.
-
העדכון של SHA-2 (KB4474419) הופץ ב-10 בספטמבר 2019. אם אתה משתמש ב-Windows Update, העדכון הנדרש של SHA-2 יוצע לך באופן אוטומטי.
חשוב עליך להפעיל מחדש את המכשיר לאחר התקנת כל העדכונים הדרושים, לפני התקנת סיכום חודשי, עדכון אבטחה בלבד, תצוגה מקדימה של סיכום חודשי או עדכון עצמאי.
Windows Server 2008 SP2
העדכונים הבאים חייבים להיות מותקנים ולאחר מכן ההתקן הופעל מחדש לפני התקנת סיכום שפורסם בספטמבר 10, 2019 ואילך. ניתן להתקין את העדכונים הדרושים בכל סדר ואין צורך להתקין אותו מחדש, אלא אם יש גירסה חדשה של העדכון הנדרש.
-
עדכון מחסנית של מתן שירות (SSU) (KB4493730). אם אתה משתמש ב-Windows Update, העדכון הנדרש של SSU יוצע לך באופן אוטומטי.
-
העדכון האחרון של SHA-2 (KB4474419) הופץ ב-10 בספטמבר 2019. אם אתה משתמש ב-Windows Update, העדכון הנדרש של SHA-2 יוצע לך באופן אוטומטי.
חשוב עליך להפעיל מחדש את המכשיר לאחר התקנת כל העדכונים הדרושים, לפני התקנת סיכום חודשי, עדכון אבטחה בלבד, תצוגה מקדימה של סיכום חודשי או עדכון עצמאי.
שאלות נפוצות
מידע כללי, מניעת תכנון ובעיה
התמיכה של שימוש בחתימת קוד של SHA-2 נשלחה מוקדם כדי להבטיח שרוב הלקוחות יסייעו מראש בשינוי השינויים של Microsoft לחתימת SHA-2 לקבלת עדכונים למערכות אלה. העדכונים העצמאיים כוללים כמה תיקונים נוספים וזמינים כדי להבטיח שכל עדכוני SHA-2 מוצגים במספר קטן של עדכונים הניתנים לזיהוי בקלות. Microsoft ממליצה ללקוחות השומרים על תמונות מערכת עבור OSes אלה להחיל עדכונים אלה על התמונות.
התחלה ב-WSUS 4.0 ב-Windows Server 2012, WSUS כבר תומך בעדכונים של SHA-2, ואין צורך בפעולת לקוח עבור גירסאות אלה.
רק התקנת WSUS 3.0 SP2 זקוקה ל- KB4484071כדי לתמוך בעדכונים שנחתמו ב-SHA2 בלבד.
נניח שאתה מפעיל את Windows Server 2008 SP2. אם אתה מבצע אתחול כפול עם Windows Server 2008 R2 SP1/Windows 7 SP1, מנהל האתחול עבור סוג זה של מערכת הוא מהמערכת Windows Server 2008 R2/Windows 7. כדי לעדכן בהצלחה את שתי המערכות האלה לשימוש בתמיכה של SHA-2, תחילה עליך לעדכן את מערכת Windows Server 2008 R2/Windows 7 כדי שמנהל האתחול יתעדכן לגירסה התומכת ב-SHA-2. לאחר מכן, עדכן את מערכת Windows Server 2008 SP2 עם תמיכת SHA-2.
בדומה לתרחיש אתחול כפול, יש לעדכן את סביבת Windows 7 PE לתמיכה של SHA-2. לאחר מכן, מערכת Windows Server 2008 SP2 חייבת להיות מעודכנת לתמיכה של SHA-2.
-
הפעלה של התקנת Windows כדי לבצע השלמה ואתחול ב-Windows לפני התקנת 13 באוגוסט, 2019 או עדכונים מאוחרים יותר
-
פתח חלון שורת פקודה של מנהל מערכת, הפעיל אתbcdboot.exe. פעולה זו מעתיקה את קבצי האתחול ממדריך הכתובות של Windows ומגדירה את סביבת האתחול. לקבלת פרטים נוספים, עיין באפשרויות Command-Line של BCDBoot .
-
לפני התקנת עדכונים נוספים, 2019 התקן את המהדורה החדשה של KB4474419 ו- KB4490628 עבור windows 7 SP1 ו-WINDOWS Server 2008 R2 sp1.
-
הפעל מחדש את מערכת ההפעלה. נדרשת הפעלה מחדש זו
-
התקן את העדכונים הנותרים.
-
התקן את התמונה בדיסק ואתחל אותה ב-Windows.
-
בשורת הפקודה, הפעילbcdboot.exe. פעולה זו מעתיקה את קבצי האתחול ממדריך הכתובות של Windows ומגדירה את סביבת האתחול. לקבלת פרטים נוספים, עיין באפשרויות Command-Line של BCDBoot .
-
לפני התקנת עדכונים נוספים, התקן את ה-23 בספטמבר 2019 מחדש את KB4474419 ו- KB4490628 עבור windows 7 SP1 ו-WINDOWS Server 2008 R2 sp1.
-
הפעל מחדש את מערכת ההפעלה. נדרשת הפעלה מחדש זו
-
התקן את העדכונים הנותרים.
Windows 10, גירסה 1903 תומכת ב-SHA-2 מאחר שהוא מהדורה וכל העדכונים כבר מוצגים ב-SHA-2. אין צורך בפעולה עבור גירסה זו של Windows.
Windows 7 SP1 ו-Windows Server 2008 R2 SP1
-
החלק את האתחול ל-Windows לפני התקנת העדכונים העדכניים של 13 באוגוסט 2019 ואילך.
-
לפני התקנת עדכונים נוספים, התקן את ה-23 בספטמבר 2019 מחדש את KB4474419 ו- KB4490628עבור windows 7 SP1 ו-WINDOWS Server 2008 R2 sp1.
-
הפעל מחדש את מערכת ההפעלה. נדרשת הפעלה מחדש זו
-
התקן את העדכונים הנותרים.
Windows Server 2008 SP2
בעיה בשחזור
אם אתה רואה את השגיאה 0xc0000428 עם ההודעה "ל-Windows אין אפשרות לאמת את החתימה הדיגיטלית של קובץ זה. ייתכן ששינוי חומרה או תוכנה שאירע לאחרונה התקין קובץ שנחתם באופן שגוי או פגום, או שייתכן שמדובר בתוכנה זדונית ממקור לא ידוע. " פעל בהתאם לשלבים הבאים כדי להתאושש.
-
הפעל את מערכת ההפעלה באמצעות מדיית שחזור.
-
לפני התקנת עדכונים נוספים, התקן את update KB4474419 שתאריך ה-23 בספטמבר 2019 או תאריך מאוחר יותר באמצעות ' טיפול וניהול של תמונות פריסה ' (DISM) עבור windows 7 SP1 ו-WINDOWS Server 2008 R2 SP1.
-
בשורת הפקודה, הפעילbcdboot.exe. פעולה זו מעתיקה את קבצי האתחול ממדריך הכתובות של Windows ומגדירה את סביבת האתחול. לקבלת פרטים נוספים, עיין באפשרויות Command-Line של BCDBoot .
-
הפעל מחדש את מערכת ההפעלה.
-
הפסקת הפריסה למכשירים אחרים ואין להפעיל מחדש מכשירים או וירטואלית שעדיין לא הופעלו מחדש.
-
זיהוי מכשירים ו-וירטואלית במצב הפעלה מחדש ממתינים עם עדכונים שהופצו באוגוסט 13, 2019 ואילך ופתיחת שורת פקודה מוגבהת
-
חפש את זהות החבילה עבור העדכון שברצונך להסיר באמצעות הפקודה הבאה באמצעות מספר ה-KB עבור עדכון זה (החלף את 4512506 עם מספר ה-kb שאתה מייעד, אם אינו הסיכום החודשי שפורסם באוגוסט 13, 2019): dism/online/get-packages | findstr 4512506
-
השתמש בפקודה הבאה כדי להסיר את העדכון, תוך החלפת<זהות החבילה> עם מה שנמצא בפקודה הקודמת :Dism.exe/online/remove-package/packagename: <> זהות
-
כעת תצטרך להתקין את העדכונים הדרושים המפורטים בסעיף כיצד לקבל עדכון זה של העדכון שאתה מנסה להתקין, או את העדכונים הדרושים המפורטים לעיל במקטע המצב הנוכחי של מאמר זה.
הערה כל מכשיר או VM שאתה מקבל כעת 0xc0000428 שגיאה או שמתחיל בסביבת השחזור, תצטרך לבצע את השלבים המפורטים בשאלת שאלות נפוצות עבור שגיאה 0xc0000428.
אם אתה נתקל בשגיאות אלה, עליך להתקין את העדכונים הדרושים המפורטים בסעיף כיצד לקבל עדכון זה של העדכון שאתה מנסה להתקין, או את העדכונים הדרושים המפורטים לעיל במקטע המצב הנוכחי של מאמר זה.
אם אתה רואה את השגיאה 0xc0000428 עם ההודעה "ל-Windows אין אפשרות לאמת את החתימה הדיגיטלית של קובץ זה. ייתכן ששינוי חומרה או תוכנה שאירע לאחרונה התקין קובץ שנחתם באופן שגוי או פגום, או שייתכן שמדובר בתוכנה זדונית ממקור לא ידוע. " פעל בהתאם לשלבים הבאים כדי להתאושש.
-
הפעל את מערכת ההפעלה באמצעות מדיית שחזור.
-
התקן את העדכון האחרון של SHA-2 (KB4474419) שהופצו ב-13 באוגוסט או אחרי 13 באוגוסט, 2019 באמצעות ' טיפול וניהול של תמונות פריסה ' (DISM) עבור windows 7 SP1 ו-WINDOWS Server 2008 R2 SP1.
-
אתחל מחדש את מדיית השחזור. נדרשת הפעלה מחדש זו
-
בשורת הפקודה, הפעילbcdboot.exe. פעולה זו מעתיקה את קבצי האתחול ממדריך הכתובות של Windows ומגדירה את סביבת האתחול. לקבלת פרטים נוספים, עיין באפשרויות Command-Line של BCDBoot .
-
הפעל מחדש את מערכת ההפעלה.
אם אתה נתקל בבעיה זו, באפשרותך לצמצם בעיה זו על-ידי פתיחת חלון שורת פקודה והפעלת הפקודה הבאה כדי להתקין את העדכון (להחליף את מיקום ה<של msu> מציין מיקום בפועל ושם קובץ של העדכון):
wusa.exe <מיקום msu>/quiet
בעיה זו נפתרה ב- KB4474419 שהופצו ב-8 באוקטובר 2019. עדכון זה יותקן באופן אוטומטי מ-Windows Update ו-Windows Server Update Services (WSUS). אם עליך להתקין את העדכון באופן ידני, יהיה עליך להשתמש בפתרון שלעיל.
הערה אם התקנת בעבר את KB4474419 הופצה ב-23 בספטמבר, 2019, הגירסה העדכנית ביותר של עדכון זה אינה צריכה להתקין מחדש.
