Sammendrag
For å beskytte sikkerheten til Windows-operativsystemet ble oppdateringer tidligere signert (ved bruk av hash-algoritmene SHA-1 og SHA-2). Signaturene brukes til å godkjenne at oppdateringene kommer direkte fra Microsoft og ikke ble endret under levering. På grunn av svakheter i SHA-1-algoritmen og for å justere til bransjestandarder, har vi endret signeringen av Windows-oppdateringer for å bruke den sikrere SHA-2-algoritmen utelukkende. Denne endringen ble utført i faser fra og med april 2019 til og med september 2019 for å tillate problemfri overføring (se avsnittet «Tidsplan for produktoppdatering» for mer informasjon om endringene).
Kunder som kjører eldre OS-versjoner (Windows 7 SP1, Windows Server 2008 R2 SP1 og Windows Server 2008 SP2) må ha sha-2-kodesigneringsstøtte installert på enhetene for å installere oppdateringer utgitt på eller etter juli 2019. Enheter uten SHA-2-støtte kan ikke installere Windows-oppdateringer på eller etter juli 2019. Vi har lansert støtte for SHA-2-pålogging fra og med mars 2019 og har gjort trinnvise forbedringer for å forberede deg til denne endringen. Windows Server Update Services (WSUS) 3.0 SP2 får SHA-2-støtte for sikker levering av SHA-2-signerte oppdateringer. Se avsnittet «Tidsplan for produktoppdatering» for bare SHA-2-overføringstidslinjen.
Bakgrunnsdetaljer
Sha-1 (Secure Hash Algorithm 1) ble utviklet som en irreversible hash-kodefunksjon og er mye brukt som en del av kodesignering. Sikkerheten til SHA-1 hash-algoritmen har dessverre blitt mindre sikkert over tid på grunn av svakhetene som finnes i algoritmen, økt prosessorytelse og bruk av databehandling i skyen. Sterkere alternativer, for eksempel sikker hash-algoritme 2 (SHA-2), foretrekkes på det sterkeste fordi de ikke opplever de samme problemene. Hvis du vil ha mer informasjon om avviklingen av SHA-1, kan du se Hash- og Signaturalgoritmer.
Tidsplan for produktoppdatering
Fra tidlig i 2019 startet overføringsprosessen til SHA-2-støtte i faser, og støtte vil bli levert i frittstående oppdateringer. Microsoft retter seg mot følgende tidsplan for å tilby sha-2-støtte. Vær oppmerksom på at følgende tidslinje kan endres. Vi fortsetter å oppdatere denne siden etter behov.
|
Måldato |
Hendelse |
Gjelder for |
|
12. mars 2019 |
Frittstående sikkerhetsoppdateringer KB4474419 og KB4490628 er utgitt for å introdusere støtte for SHA-2-kodetegn. |
Windows 7 SP1 |
|
12. mars 2019 |
Frittstående oppdatering, KB4484071 er tilgjengelig i Windows Update-katalogen for WSUS 3.0 SP2 som støtter levering av SHA-2-signerte oppdateringer. Denne oppdateringen bør installeres manuelt senest 18. juni 2019 for kunder som bruker WSUS 3.0 SP2. |
WSUS 3.0 SP2 |
|
9. april 2019 |
Frittstående oppdatering, KB4493730 som innførte støtte for SHA-2-kodetegn for vedlikeholdsstakken (SSU), ble utgitt som en sikkerhetsoppdatering. |
Windows Server 2008 SP2 |
|
14. mai 2019 |
Frittstående sikkerhetsoppdatering KB4474419 utgitt for å introdusere støtte for SHA-2-kodetegn. |
Windows Server 2008 SP2 |
|
11. juni 2019 |
Frittstående sikkerhetsoppdatering KB4474419utgitt på nytt for å legge til manglende støtte for MSI SHA-2-kodetegn. |
Windows Server 2008 SP2 |
|
18. juni 2019 |
Windows 10 oppdaterer signaturer endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves. |
Windows 10, versjon 1709 |
|
18. juni 2019 |
Obligatorisk: Kb4484071 må være manuelt installert på denne datoen for å støtte SHA-2-oppdateringer for at kundene skal kunne bruke WSUS 3.0 SP2. |
WSUS 3.0 SP2 |
|
9. juli 2019 |
Obligatorisk: Oppdateringer for eldre Versjoner av Windows krever at SHA-2-støtte for kodesignering installeres. Støtten utgitt i april og mai(KB4493730 og KB4474419)kreves for å fortsette å motta oppdateringer på disse versjonene av Windows. Alle eldre Windows-oppdateringerssignaturer er endret fra SHA1 og to signerte (SHA-1/SHA-2) til SHA-2 bare på dette tidspunktet. |
Windows Server 2008 SP2 |
|
16. juli 2019 |
Windows 10 oppdaterer signaturer endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves. |
Windows 10, versjon 1507 |
|
13. august 2019 |
Obligatorisk: Oppdateringer for eldre Versjoner av Windows krever at SHA-2-støtte for kodesignering installeres. Støtten som ble utgitt i mars(KB4474419 og KB4490628)kreves for å fortsette å motta oppdateringer på disse versjonene av Windows. Hvis du har en enhet eller VM ved hjelp av en EFI-oppstart, kan du se delen Vanlige spørsmål for flere trinn for å forhindre et problem der enheten kanskje ikke starter. Alle eldre Windows-oppdateringerssignaturer er endret fra SHA-1 og to signerte (SHA-1/SHA-2) til SHA-2 bare på dette tidspunktet. |
Windows 7 SP1 |
|
10. september 2019 |
Eldre Windows-oppdateringssignaturer er endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves. |
Windows Server 2012 |
|
10. september 2019 |
Frittstående sikkerhetsoppdatering KB4474419 ble utgitt på nytt for å legge til manglende EFI-oppstartsutgaver. Kontroller at denne versjonen er installert. |
Windows 7 SP1 |
|
28. januar 2020 |
Signaturer på sertifikatklareringslister (CTLer) for det klarerte rotprogrammet i Microsoft er endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves. |
Alle støttede Windows-plattformer |
|
August 2020 |
Windows Update SHA-1-baserte tjenesteendepunkter avvikles. Dette påvirker bare eldre Windows-enheter som ikke har oppdatert med aktuelle sikkerhetsoppdateringer. Hvis du vil ha mer informasjon, kan du se KB4569557. |
Windows 7 |
|
3. august 2020 |
Microsoft har fjernet innhold som er Windows-signert for Secure Hash Algorithm 1 (SHA-1) fra Microsoft Download Center. Hvis du vil ha mer informasjon, kan du se WINDOWS IT pro-bloggen SHA-1 Windows-innhold som skal avvikles 3. august 2020. |
Windows Server 2000 |
Gjeldende status
Windows 7 SP1 og Windows Server 2008 R2 SP1
Følgende nødvendige oppdateringer må installeres, og deretter startes enheten på nytt før du installerer en oppdatering utgitt 13. august 2019 eller nyere. De nødvendige oppdateringene kan installeres i hvilken som helst rekkefølge og trenger ikke å installeres på nytt, med mindre det er en ny versjon av den nødvendige oppdateringen.
-
Oppdatering av vedlikeholdsstakken (SSU) (KB4490628). Hvis du bruker Windows Update, tilbys du automatisk den nødvendige SSU-en.
-
SHA-2-oppdatering(KB4474419)utgitt 10. september 2019. Hvis du bruker Windows Update, tilbys den nødvendige SHA-2-oppdateringen automatisk.
ViktigDu må starte enheten på nytt etter å ha installert alle nødvendige oppdateringer, før du installerer månedlig samleoppdatering, sikkerhetsoppdatering, forhåndsvisning av månedlig samleoppdatering eller frittstående oppdatering.
Windows Server 2008 SP2
Følgende oppdateringer må installeres, og deretter startes enheten på nytt før du installerer en fremhevet samleoppdatering 10. september 2019 eller nyere. De nødvendige oppdateringene kan installeres i hvilken som helst rekkefølge og trenger ikke å installeres på nytt, med mindre det er en ny versjon av den nødvendige oppdateringen.
-
Oppdatering av vedlikeholdsstakken (SSU) (KB4493730). Hvis du bruker Windows Update, tilbys den nødvendige SSU-oppdateringen automatisk.
-
Den nyeste SHA-2-oppdateringen(KB4474419)utgitt 10. september 2019. Hvis du bruker Windows Update, tilbys den nødvendige SHA-2-oppdateringen automatisk.
ViktigDu må starte enheten på nytt etter å ha installert alle nødvendige oppdateringer, før du installerer månedlig samleoppdatering, sikkerhetsoppdatering, forhåndsvisning av månedlig samleoppdatering eller frittstående oppdatering.
Vanlige spørsmål
Generell informasjon, planlegging og problem forebygging
SHA-2-støtte for kodesignering ble sendt tidlig for å sikre at de fleste kundene hadde støtte i god tid før Microsofts endring til SHA-2-signering for oppdateringer til disse systemene. De frittstående oppdateringene inkluderer noen flere løsninger og gjøres tilgjengelige for å sikre at alle SHA-2-oppdateringene er i et lite antall lett identifiserbare oppdateringer. Microsoft anbefaler at kunder som vedlikeholder systembilder for disse operativsystemene, kan bruke disse oppdateringene på bildene.
Fra og med WSUS 4.0 på Windows Server 2012 støtter WSUS allerede SHA-2-signerte oppdateringer, og ingen kundehandling er nødvendig for disse versjonene.
Bare WSUS 3.0 SP2 trenger KB4484071installert for å støtte SHA2 bare signerte oppdateringer.
Anta at du kjører Windows Server 2008 SP2. Hvis du starter opp med Windows Server 2008 R2 SP1/Windows 7 SP1, er oppstartsbehandlingen for denne typen system fra Windows Server 2008 R2/Windows 7-systemet. Hvis du vil oppdatere begge disse systemene til å bruke SHA-2-støtte, må du først oppdatere Windows Server 2008 R2/Windows 7-systemet slik at oppstartsbehandlingen oppdateres til versjonen som støtter SHA-2. Oppdater deretter Windows Server 2008 SP2-systemet med SHA-2-støtte.
Windows 7 PE-miljøet må oppdateres til SHA-2-støtte, på samme måte som scenarioet med to oppstarter. Deretter må Windows Server 2008 SP2-systemet oppdateres til SHA-2-støtte.
-
Kjør Installasjonsprogrammet for Windows for å fullføre og starte opp i Windows før du installerer oppdateringer 13. august 2019 eller nyere
-
Åpne ledetekstvinduet for en administrator, og kjør bcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.
-
Før du installerer flere oppdateringer, må du installere den nye versjonen av KB4474419 og KB4490628 for Windows 7 SP1 og Windows Server 2008 R2 SP1 for 13. august 2019.
-
Start operativsystemet på nytt. Denne omstarten er nødvendig
-
Installer eventuelle gjenværende oppdateringer.
-
Installer bildet på disken og start den opp i Windows.
-
Kjør installasjonsprogrammet i ledeteksten, ogbcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.
-
Før du installerer flere oppdateringer, må du installere den 23. september 2019-versjonen av KB4474419 og KB4490628 for Windows 7 SP1 og Windows Server 2008 R2 SP1.
-
Start operativsystemet på nytt. Denne omstarten er nødvendig
-
Installer eventuelle gjenværende oppdateringer.
Ja, du må installere de nødvendige oppdateringene før du fortsetter: SSU(KB4490628)og SHA-2-oppdateringen(KB4474419). Du må også starte enheten på nytt etter å ha installert de nødvendige oppdateringene før du installerer flere oppdateringer.
Windows 10, versjon 1903, støtter SHA-2 siden den lanseres, og alle oppdateringer er allerede SHA-2 bare signert. Denne versjonen av Windows trenger ikke å gjøre noe.
Windows 7 SP1 og Windows Server 2008 R2 SP1
-
Start i Windows før du installerer oppdateringer fra 13. august 2019 eller nyere.
-
Før du installerer flere oppdateringer, må du installere den 23. september 2019-versjonen av KB4474419 og KB4490628for Windows 7 SP1 og Windows Server 2008 R2 SP1.
-
Start operativsystemet på nytt. Denne omstarten er nødvendig
-
Installer eventuelle gjenværende oppdateringer.
Windows Server 2008 SP2
-
Start i Windows før du installerer oppdateringer 9. juli 2019 eller nyere.
-
Før du installerer flere oppdateringer, må du installere den nye versjonen av KB4474419 og KB4493730 for Windows Server 2008 SP2 på nytt 23. september 2019.
-
Start operativsystemet på nytt. Denne omstarten er nødvendig
-
Installer eventuelle gjenværende oppdateringer.
Problemgjenoppretting
Hvis du ser feil 0xc0000428 meldingen Windows kan ikke bekrefte den digitale signaturen for denne filen. En nylig endring av maskinvare eller programvare kan ha installert en fil som er signert feil eller skadet, eller som kan være skadelig programvare fra en ukjent kilde.» følg disse trinnene for å gjenopprette.
-
Start operativsystemet ved hjelp av gjenopprettingsmedier.
-
Før du installerer flere oppdateringer, må du installere oppdateringen KB4474419 som er datert 23. september 2019 eller en senere dato ved hjelp avDisM(Deployment Image Servicing and Management) for Windows 7 SP1 og Windows Server 2008 R2 SP1.
-
Kjør installasjonsprogrammet i ledeteksten, ogbcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.
-
Start operativsystemet på nytt.
-
Stopp distribusjonen til andre enheter, og start ingen enheter eller virtuelle maskiner som ikke allerede har startet på nytt.
-
Identifisere enheter og virtuelle maskiner i ventende tilstand for omstart med oppdateringer utgitt 13. august 2019 eller nyere, og åpne en hevet ledetekst
-
Finn pakkeidentiteten for oppdateringen du vil fjerne, ved hjelp av kommandoen nedenfor ved hjelp av KB-nummeret for denne oppdateringen (erstatt 4512506 med KB-nummeret du retter deg mot, hvis det ikke er den månedlige samleoppdateringen utgitt 13. august 2019): dism /online /get-packages | findstr 4512506
-
Bruk følgende kommando for å fjerne oppdateringen, som erstatter<-pakkeidentitet > med det som ble funnet i forrige kommando: Dism.exe /online /remove-package /packagename:<package identity>
-
Nå må du installere de nødvendige oppdateringene som er oppført i delen Slik får du denne oppdateringen av oppdateringen du prøver å installere, eller de nødvendige oppdateringene som er oppført ovenfor i delen om gjeldende status i denne artikkelen.
Obs! Alle enheter eller VM som du for øyeblikket mottar en feil 0xc0000428 eller som starter i gjenopprettingsmiljøet, må du følge fremgangsmåten i vanlige spørsmål om feil 0xc0000428.
Hvis du støter på disse feilene, må du installere de nødvendige oppdateringene som er oppført i delen Slik får du denne oppdateringen av oppdateringen du prøver å installere, eller de nødvendige oppdateringene som er oppført ovenfor under Gjeldende status i denne artikkelen.
Hvis du ser feil 0xc0000428 meldingen Windows kan ikke bekrefte den digitale signaturen for denne filen. En nylig endring av maskinvare eller programvare kan ha installert en fil som er signert feil eller skadet, eller som kan være skadelig programvare fra en ukjent kilde.» følg disse trinnene for å gjenopprette.
-
Start operativsystemet ved hjelp av gjenopprettingsmedier.
-
Installer den nyeste SHA-2-oppdateringen(KB4474419)utgitt 13. august 2019, ved hjelp av Deployment Image Servicing and Management(DISM)for Windows 7 SP1 og Windows Server 2008 R2 SP1.
-
Start på nytt til gjenopprettingsmediet. Denne omstarten er nødvendig
-
Kjør installasjonsprogrammet i ledeteksten, ogbcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.
-
Start operativsystemet på nytt.
Hvis du støter på dette problemet, kan du redusere dette problemet ved å åpne et ledetekstvindu og kjøre følgende kommando for å installere oppdateringen (erstatt plassholderen for <msu-plassering> med den faktiske plasseringen og filnavnet til oppdateringen):
wusa.exe <msu-plassering> /stille
Dette problemet er løst i KB4474419 som ble utgitt 8. oktober 2019. Denne oppdateringen installeres automatisk fra Windows Update og Windows Server Update Services (WSUS). Hvis du må installere denne oppdateringen manuelt, må du bruke løsningen ovenfor.
Obs! Hvis du tidligere har installert KB4474419 utgitt 23. september 2019, har du allerede den nyeste versjonen av denne oppdateringen og trenger ikke å installere på nytt.
