Rezumat
Pentru a contribui la protejarea securității sistemului de operare Windows, actualizările au fost semnate anterior (utilizând algoritmi de hash SHA-1 și SHA-2). Semnăturile sunt utilizate pentru a autentifica că actualizările provin direct de la Microsoft și nu au fost falsificate în timpul livrării. Din cauza deficiențelor din algoritmul SHA-1 și alinierea la standardele din domeniu, am modificat semnarea actualizărilor Windows pentru a utiliza exclusiv algoritmul SHA-2 mai securizat. Această modificare a fost efectuată în faze începând din aprilie 2019 până în septembrie 2019, pentru a permite migrarea lină (consultați secțiunea "planificarea actualizării produsului" pentru mai multe detalii despre modificări).
Clienții care rulează versiuni moștenite OS (Windows 7 SP1, Windows Server 2008 R2 SP1 și Windows Server 2008 SP2) trebuie să aibă suport pentru semnarea codului SHA-2 instalat pe dispozitivele lor pentru a instala actualizările lansate la sau după iulie 2019. Orice dispozitive fără asistență SHA-2 nu vor putea să instaleze actualizări Windows la sau după 2019 iulie. Pentru a vă ajuta să vă pregătiți pentru această modificare, am lansat asistența pentru SHA-2 la semnarea din martie 2019 și am făcut îmbunătățiri incrementale. Windows Server Update Services (WSUS) 3,0 SP2 va primi asistență SHA-2 pentru a furniza în siguranță actualizări semnate SHA-2. Vă rugăm să consultați secțiunea "planificarea actualizării produsului" pentru linia de migrare doar pentru SHA-2.
Detalii de fundal
Algoritmul hash securizat 1 (SHA-1) a fost dezvoltat ca o funcție de hash ireversibilă și este utilizat pe scară largă ca parte din semnarea codului. Din păcate, securitatea algoritmului hash SHA-1 a devenit mai puțin sigură în timp, din cauza deficiențelor găsite în algoritm, performanțe îmbunătățite ale procesorului și apariția cloud computing. Alternative mai puternice, cum ar fi algoritmul hash securizat 2 (SHA-2), sunt acum puternic preferate, deoarece nu au aceleași probleme. Pentru mai multe informații despre dezaprobarea SHA-1, consultați algoritmi hash și semnătură.
Planificarea actualizării produsului
Începând cu începutul anului 2019, procesul de migrare la asistența SHA-2 a început în etape, iar asistența va fi livrată în actualizările independente. Microsoft vizează următoarea planificare pentru a oferi asistență SHA-2. Vă rugăm să rețineți că următoarea cronologie se poate modifica. Vom continua să actualizăm această pagină după cum este necesar.
|
Dată țintă |
Eveniment |
Se aplică la |
|
12 martie 2019 |
Actualizări de securitate independente KB4474419 și KB4490628 lansate pentru a introduce suportul pentru codul Sha-2. |
Windows 7 SP1 |
|
12 martie 2019 |
Actualizare independentă , KB4484071 este disponibil în catalogul de actualizări Windows pentru WSUS 3,0 SP2 care acceptă livrarea actualizărilor semnate Sha-2. Pentru acei clienți care utilizează WSUS 3,0 SP2, această actualizare trebuie să fie instalată manual nu mai târziu de 18 iunie 2019. |
WSUS 3,0 SP2 |
|
9 aprilie 2019 |
Actualizare stand alone , KB4493730 care introduc suportul pentru semnul codului Sha-2 pentru stiva de servicii (SSU) a fost lansat ca actualizare de securitate. |
Windows Server 2008 SP2 |
|
14 mai 2019 |
Actualizare de securitate independentă KB4474419 lansată pentru a introduce suportul pentru codul Sha-2. |
Windows Server 2008 SP2 |
|
11 iunie 2019 |
Actualizare de securitate independentă KB4474419relansată pentru a adăuga asistență pentru semnarea codului MSI Sha-2 lipsă. |
Windows Server 2008 SP2 |
|
18 iunie 2019 |
Semnăturile actualizărilor Windows 10 s-au modificat de la dual sign (SHA-1/SHA-2) la SHA-2 Only. Nu este necesară nicio acțiune pentru clienți. |
Windows 10, versiunea 1709 |
|
18 iunie 2019 |
Obligatoriu Pentru acei clienți care utilizează WSUS 3,0 SP2, KB4484071 trebuie să fie instalat manual până la această dată pentru a accepta actualizările Sha-2. |
WSUS 3,0 SP2 |
|
9 iulie 2019 |
Obligatoriu Actualizările pentru versiunile Windows moștenite vor necesita instalarea suportului pentru semnarea codului SHA-2. Asistența lansată în aprilie și mai (KB4493730 și KB4474419) va fi necesară pentru a continua să primiți actualizări pentru aceste versiuni de Windows. Toate semnăturile Windows actualizările moștenite s-au modificat de la SHA1 și dual sign (SHA-1/SHA-2) la SHA-2 numai în acest moment. |
Windows Server 2008 SP2 |
|
16 iulie 2019 |
Semnăturile actualizărilor Windows 10 s-au modificat de la dual sign (SHA-1/SHA-2) la SHA-2 Only. Nu este necesară nicio acțiune pentru clienți. |
Windows 10, versiunea 1507 |
|
13 august 2019 |
Obligatoriu Actualizările pentru versiunile Windows moștenite vor necesita instalarea suportului pentru semnarea codului SHA-2. Asistența lansată în martie (KB4474419 și KB4490628) va fi necesară pentru a continua să primiți actualizări pentru aceste versiuni de Windows. Dacă aveți un dispozitiv sau un VM utilizând pornirea EFI, consultați secțiunea întrebări frecvente pentru pașii suplimentari pentru a împiedica o problemă în care dispozitivul să nu pornească. Toate semnăturile Windows actualizările moștenite s-au modificat de la SHA-1 și dual sign (SHA-1/SHA-2) la SHA-2 numai în acest moment. |
Windows 7 SP1 |
|
10 septembrie 2019 |
Semnăturile Windows Update moștenite s-au modificat de la dual-semnătură (SHA-1/SHA-2) la SHA-2 Only. Nu este necesară nicio acțiune pentru clienți. |
Windows Server 2012 |
|
10 septembrie 2019 |
Actualizare de securitate independentă KB4474419 a fost relansată pentru a adăuga manageri de încărcare EFI lipsă. Asigurați-vă că această versiune este instalată. |
Windows 7 SP1 |
|
28 ianuarie 2020 |
Semnăturile din listele de autorizare a certificatelor (CTLs) pentru programul rădăcină Microsoft Trust s-au modificat de la dual-semnat (SHA-1/SHA-2) la Sha-2 Only. Nu este necesară nicio acțiune pentru clienți. |
Toate platformele Windows acceptate |
|
August 2020 |
Punctele finale de serviciu bazate pe Windows Update SHA-1 sunt întrerupte. Acest lucru afectează doar dispozitivele Windows mai vechi care nu au fost actualizate cu actualizări de securitate corespunzătoare. Pentru mai multe informații, consultați KB4569557. |
Windows 7 |
|
3 august 2020 |
Conținut retras Microsoft care este Windows-semnat pentru Secure Hash Algoritm 1 (SHA-1) de la centrul de descărcare Microsoft. Pentru mai multe informații, consultați conținutul Windows IT Pro SHA-1 Windows care va fi retras pe 3 August 2020. |
Windows Server 2000 |
Starea curentă
Windows 7 SP1 și Windows Server 2008 R2 SP1
Următoarele actualizări necesare trebuie să fie instalate, apoi dispozitivul a fost repornit înainte de a instala orice actualizare lansată la 13 august 2019 sau o versiune mai recentă. Actualizările necesare pot fi instalate în orice ordine și nu trebuie reinstalate, cu excepția cazului în care există o versiune nouă a actualizării necesare.
-
Service Stack Update (SSU) (KB4490628). Dacă utilizați Windows Update, SSU necesare va fi oferit automat.
-
Actualizare SHA-2 (KB4474419) a fost lansată pe 10 septembrie 2019. Dacă utilizați Windows Update, actualizarea necesară pentru SHA-2 va fi oferită automat.
Important Trebuie să reporniți dispozitivul după ce instalați toate actualizările necesare, înainte să instalați orice cumul lunar, actualizare doar pentru securitate, previzualizarea pachetului lunar sau actualizarea independentă.
Windows Server 2008 SP2
Următoarele actualizări trebuie să fie instalate, iar dispozitivul a fost repornit înainte de a instala orice cumul lansat la 10 septembrie 2019 sau o versiune mai recentă. Actualizările necesare pot fi instalate în orice ordine și nu trebuie reinstalate, cu excepția cazului în care există o versiune nouă a actualizării necesare.
-
Service Stack Update (SSU) (KB4493730). Dacă utilizați Windows Update, actualizarea de SSU necesară va fi oferită automat.
-
Cea mai recentă actualizare SHA-2 (KB4474419) a fost lansată pe 10 septembrie 2019. Dacă utilizați Windows Update, actualizarea necesară pentru SHA-2 va fi oferită automat.
Important Trebuie să reporniți dispozitivul după ce instalați toate actualizările necesare, înainte să instalați orice cumul lunar, actualizare doar pentru securitate, previzualizarea pachetului lunar sau actualizarea independentă.
Întrebări frecvente
Informații generale, planificare și prevenire a problemelor
Asistența pentru semnarea codului SHA-2 a fost livrată mai devreme pentru a vă asigura că majoritatea clienților ar avea sprijinul mai bine înainte de trecerea Microsoft la semnarea SHA-2 pentru actualizări ale acestor sisteme. Actualizările independente includ câteva remedieri suplimentare și sunt puse la dispoziție pentru a vă asigura că toate actualizările SHA-2 sunt într-un număr mic de actualizări ușor de identificat. Microsoft recomandă clienților care mențin imagini de sistem pentru aceste medii OSE să aplice aceste actualizări la imagini.
Începând cu WSUS 4,0 pe Windows Server 2012, WSUS acceptă deja actualizările SHA-2 semnate și nu este necesară nicio acțiune pentru clienți pentru aceste versiuni.
Doar WSUS 3,0 SP2 are nevoie de KB4484071instalat pentru a accepta doar actualizările semnate SHA2.
Să presupunem că rulează Windows Server 2008 SP2. Dacă încărcați dual cu Windows Server 2008 R2 SP1/Windows 7 SP1, managerul de încărcare pentru acest tip de sistem este de la sistemul Windows Server 2008 R2/Windows 7. Pentru a actualiza cu succes ambele sisteme pentru a utiliza asistența SHA-2, trebuie mai întâi să actualizați sistemul Windows Server 2008 R2/Windows 7, astfel încât managerul de încărcare să fie actualizat la versiunea care acceptă SHA-2. Apoi, actualizați sistemul Windows Server 2008 SP2 cu asistență SHA-2.
Similar cu scenariul dual-boot, mediul Windows 7 pe trebuie să fie actualizat la asistența SHA-2. Apoi, sistemul Windows Server 2008 SP2 trebuie să fie actualizat la asistența SHA-2.
-
Rularea instalării Windows la finalizarea și pornirea în Windows înainte de instalarea actualizărilor 13 august, 2019 sau mai recente
-
Deschideți o fereastră de linie de comandă administrator, rulare bcdboot.exe. Aceasta copiază fișierele de încărcare din directorul Windows și configurează mediul de încărcare. Consultați BCDBoot Command-Line opțiuni pentru mai multe detalii.
-
Înainte de a instala orice actualizări suplimentare, instalați din nou 13 august, 2019 relansare din KB4474419 și KB4490628 pentru Windows 7 sp1 și Windows Server 2008 R2 SP1.
-
Reporniți sistemul de operare. Această repornire este necesară
-
Instalați toate actualizările rămase.
-
Instalați imaginea pe disc și încărcați în Windows.
-
În linia de comandă, rulează bcdboot.exe. Aceasta copiază fișierele de încărcare din directorul Windows și configurează mediul de încărcare. Consultați BCDBoot Command-Line opțiuni pentru mai multe detalii.
-
Înainte de a instala actualizări suplimentare, instalați data de 23 septembrie, 2019 relansare din KB4474419 și KB4490628 pentru Windows 7 sp1 și Windows Server 2008 R2 SP1.
-
Reporniți sistemul de operare. Această repornire este necesară
-
Instalați toate actualizările rămase.
Windows 10, versiunea 1903 acceptă SHA-2 deoarece este lansare și toate actualizările sunt deja SHA-2 semnate. Nu este necesară nicio acțiune pentru această versiune de Windows.
Windows 7 SP1 și Windows Server 2008 R2 SP1
-
Încărcați în Windows înainte de a instala orice actualizări de 13 august, 2019 sau mai recente.
-
Înainte de a instala actualizări suplimentare, instalați data de 23 septembrie, 2019 relansare din KB4474419 și KB4490628pentru Windows 7 sp1 și Windows Server 2008 R2 SP1.
-
Reporniți sistemul de operare. Această repornire este necesară
-
Instalați toate actualizările rămase.
Windows Server 2008 SP2
-
Încărcați în Windows înainte de a instala orice actualizări pe 9 iulie, 2019 sau mai recente.
-
Înainte de a instala actualizări suplimentare, instalați data de 23 septembrie 2019 din nou din KB4474419 și KB4493730 pentru Windows Server 2008 SP2.
-
Reporniți sistemul de operare. Această repornire este necesară
-
Instalați toate actualizările rămase.
Recuperarea problemelor
Dacă vedeți eroarea 0xc0000428 cu mesajul "Windows nu poate verifica semnătura digitală pentru acest fișier. O modificare recentă a hardware-ului sau software-ului poate să fi instalat un fișier care este semnat incorect sau deteriorat sau care poate fi software rău intenționat de la o sursă necunoscută. " Vă rugăm să urmați acești pași pentru a recupera.
-
Porniți sistemul de operare utilizând suportul de recuperare.
-
Înainte de a instala orice actualizări suplimentare, instalați actualizarea KB4474419 care este datat 23 septembrie, 2019 sau o dată ulterioară utilizând serviciul de implementare și gestionare a imaginilor (DISM) pentru Windows 7 sp1 și Windows Server 2008 R2 SP1.
-
În linia de comandă, rulează bcdboot.exe. Aceasta copiază fișierele de încărcare din directorul Windows și configurează mediul de încărcare. Consultați BCDBoot Command-Line opțiuni pentru mai multe detalii.
-
Reporniți sistemul de operare.
-
Opriți implementarea la alte dispozitive și nu reporniți niciun dispozitiv sau SMS care nu a fost repornit deja.
-
Identificarea dispozitivelor și a VMs în reporniți starea în așteptare cu actualizările lansate pe 13 august, 2019 sau o versiune mai recentă și deschideți un prompt de comandă privilegiat
-
Găsiți identitatea pachetului pentru actualizarea pe care doriți să o eliminați utilizând următoarea comandă utilizând numărul KB pentru acea actualizare (înlocuiți 4512506 cu numărul KB pe care îl vizați, dacă nu este pachetul lunar lansat la 13 august 2019): DISM/online/get-packages | Findstr 4512506
-
Utilizați următoarea comandă pentru a elimina actualizarea, înlocuind <Identity package> cu ceea ce s-a găsit în comanda anterioară: Dism.exe/online/remove-package/PackageName: <pachet de identitate>
-
Acum va trebui să instalați actualizările necesare listate în secțiunea cum să obțineți această actualizare a actualizării pe care încercați să o instalați sau actualizările necesare listate mai sus în secțiunea Stare curentă a acestui articol.
Notă Orice dispozitiv sau VM în prezent primiți o eroare 0xc0000428 sau care începe în mediul de recuperare, va trebui să urmați pașii din întrebările frecvente pentru eroarea 0xc0000428.
Dacă întâmpinați aceste erori, trebuie să instalați actualizările necesare listate în secțiunea cum să obțineți această actualizare a actualizării pe care încercați să o instalați sau actualizările necesare listate mai sus în secțiunea Stare curentă a acestui articol.
Dacă vedeți eroarea 0xc0000428 cu mesajul "Windows nu poate verifica semnătura digitală pentru acest fișier. O modificare recentă a hardware-ului sau software-ului poate să fi instalat un fișier care este semnat incorect sau deteriorat sau care poate fi software rău intenționat de la o sursă necunoscută. " Vă rugăm să urmați acești pași pentru a recupera.
-
Porniți sistemul de operare utilizând suportul de recuperare.
-
Instalați cea mai recentă actualizare SHA-2 (KB4474419) lansată la sau după 13 august 2019, utilizând implementarea și gestionarea imaginilor de implementare (DISM) pentru Windows 7 sp1 și Windows Server 2008 R2 SP1.
-
Reporniți în suportul de recuperare. Această repornire este necesară
-
În linia de comandă, rulează bcdboot.exe. Aceasta copiază fișierele de încărcare din directorul Windows și configurează mediul de încărcare. Consultați BCDBoot Command-Line opțiuni pentru mai multe detalii.
-
Reporniți sistemul de operare.
Dacă întâmpinați această problemă, puteți să atenuați această problemă deschizând o fereastră de linie de comandă și să ruleze următoarea comandă pentru a instala actualizarea (înlocuiți <locație msu> substituent cu locația efectivă și numele de fișier al actualizării):
wusa.exe <msu>/Quiet
Această problemă este rezolvată în KB4474419 lansate la 8 octombrie 2019. Această actualizare se va instala automat din Windows Update și Windows Server Update Services (WSUS). Dacă trebuie să instalați această actualizare manual, va trebui să utilizați soluția de mai sus.
Notă Dacă ați instalat anterior KB4474419 lansate pe 23 septembrie 2019, atunci aveți deja cea mai recentă versiune a acestei actualizări și nu trebuie să reinstalați.
