Sammanfattning
För att skydda säkerheten för Windows-operativsystemet har uppdateringar redan signerats (med hjälp av både SHA-1- och SHA-2-hash-algoritmer). Signaturerna används för att autentisera att uppdateringarna kommer direkt från Microsoft och inte har manipulerats under leveransen. På grund av svagheter i SHA-1-algoritmen och för att uppfylla branschstandarder har vi ändrat signering av Windows-uppdateringar till att enbart använda den säkrare SHA-2-algoritmen. Den här ändringen gjordes i faser från april 2019 till september 2019 för att möjliggöra en smidig migrering (mer information om ändringarna finns i avsnittet "Schema för produktuppdatering").
Kunder som kör äldre OS-versioner (Windows 7 SP1, Windows Server 2008 R2 SP1 och Windows Server 2008 SP2) måste ha stöd för SHA-2-kodsignering installerat på sina enheter för att installera uppdateringar som släpps den eller efter juli 2019. Enheter som saknar stöd för SHA-2 kan inte installera Windows-uppdateringar på eller efter juli 2019. För att förbereda dig för ändringen släppte vi stöd för SHA-2-inloggning från och med mars 2019 och har gjort stegvisa förbättringar. Windows Server Update Services (WSUS) 3.0 SP2 får SHA-2-stöd för att säkert leverera SHA-2-signerade uppdateringar. Se avsnittet "Schema för produktuppdatering" för den enda SHA-2-migreringstidslinjen.
Bakgrundsinformation
Sha-1 (Secure Hash Algorithm 1) utvecklades som en bestående hash-funktion och används ofta som en del av kodsignering. Tyvärr har säkerheten för SHA-1-hash-algoritmen blivit mindre säker med tiden på grund av de svagheter som finns i algoritmen, högre processorprestanda och molntjänster. Starkare alternativ som Secure Hash-algoritmen 2 (SHA-2) rekommenderas nu starkt eftersom de inte upplever samma problem. Mer information om utfasningen av SHA-1 finns i Hash- och signaturalgoritmer.
Schema för produktuppdatering
Från och med i början av 2019 började migreringsprocessen till SHA-2-stöd stegvis, och stödet kommer att levereras i fristående uppdateringar. Microsoft riktar in följande schema för att erbjuda stöd för SHA-2. Observera att följande tidslinje kan komma att ändras. Vi fortsätter att uppdatera den här sidan efter behov.
|
Måldatum |
Händelse |
Gäller för |
|
12 mars 2019 |
Fristående säkerhetsuppdateringar KB4474419 och KB4490628 som släppts för att introducera stöd för SHA-2-kodtecken. |
Windows 7 SP1 |
|
12 mars 2019 |
Fristående uppdatering är KB4484071 tillgänglig i Windows Update-katalogen för WSUS 3.0 SP2 som stöder SHA-2-signerade uppdateringar. För kunder som använder WSUS 3.0 SP2 bör den här uppdateringen vara manuellt installerad senast den 18 juni 2019. |
WSUS 3.0 SP2 |
|
9 april 2019 |
Fristående uppdatering, KB4493730 som inför SHA-2-kod signering stöd för servicing stack (SSU) släpptes som en säkerhetsuppdatering. |
Windows Server 2008 SP2 |
|
14 maj 2019 |
Fristående säkerhetsuppdatering KB4474419 som släppts för att introducera stöd för SHA-2-kodtecken. |
Windows Server 2008 SP2 |
|
11 juni 2019 |
Fristående säkerhetsuppdatering KB4474419som släppts för att lägga till saknad stöd för MSI SHA-2-kod. |
Windows Server 2008 SP2 |
|
18 juni 2019 |
Windows 10 uppdaterar signaturer har ändrats från dubbla signerade (SHA-1/SHA-2) till endast SHA-2. Ingen åtgärd krävs från kunder. |
Windows 10, version 1709 |
|
18 juni 2019 |
Obligatoriskt: För kunder som använder WSUS 3.0 SP2 måste KB4484071 installeras manuellt senast det här datumet för att SHA-2-uppdateringar ska kunna användas. |
WSUS 3.0 SP2 |
|
9 juli 2019 |
Obligatoriskt: Uppdateringar för äldre Windows-versioner kräver att stöd för SHA-2-kodsignering installeras. Det stöd som släpptes i april och maj(KB4493730 och KB4474419)krävs för att fortsätta få uppdateringar för dessa versioner av Windows. Alla äldre Windows-uppdateringssignaturer har ändrats från SHA1 och dubbla signerade (SHA-1/SHA-2) till SHA-2 bara för stunden. |
Windows Server 2008 SP2 |
|
16 juli 2019 |
Windows 10 uppdaterar signaturer har ändrats från dubbla signerade (SHA-1/SHA-2) till endast SHA-2. Ingen åtgärd krävs från kunder. |
Windows 10, version 1507 |
|
13 augusti 2019 |
Obligatoriskt: Uppdateringar för äldre Windows-versioner kräver att stöd för SHA-2-kodsignering installeras. Det stöd som släpptes i mars(KB4474419 och KB4490628)krävs för att fortsätta ta emot uppdateringar i dessa versioner av Windows. Om du har en enhet eller vm som använder EFI-start finns mer information i avsnittet Vanliga frågor och svar om hur du kan förhindra ett problem där enheten kanske inte startar. Alla äldre Windows-uppdateringssignaturer har ändrats från SHA-1 och dubbla signerade (SHA-1/SHA-2) till SHA-2 bara för stunden. |
Windows 7 SP1 |
|
10 september 2019 |
Äldre Windows-uppdateringssignaturer har ändrats från dubbla signerade (SHA-1/SHA-2) till endast SHA-2. Ingen åtgärd krävs från kunder. |
Windows Server 2012 |
|
10 september 2019 |
Fristående säkerhetsuppdatering KB4474419 släpptes på ny tid för att lägga till saknade EFI-startare. Kontrollera att den här versionen är installerad. |
Windows 7 SP1 |
|
28 januari 2020 |
Signaturer i listor över betrodda certifikat (CTLs) för Microsoft Trusted Root Program har ändrats från dubbla signerade (SHA-1/SHA-2) till endast SHA-2. Ingen åtgärd krävs från kunder. |
Alla Windows-plattformar som stöds |
|
Augusti 2020 |
Sha-1-baserade slutpunkter för Windows Update har utgått. Det här påverkar bara äldre Windows-enheter som inte har uppdaterats med lämpliga säkerhetsuppdateringar. Mer information finns i KB4569557. |
Windows 7 |
|
3 augusti 2020 |
Microsoft har dragit tillbaka innehåll som är Windows-signerat för Sha-1 (Secure Hash Algorithm 1) från Microsoft Download Center. Mer information finns i Windows IT Pro-bloggen SHA-1 Windows-innehåll som ska dras tillbaka 3 augusti 2020. |
Windows Server 2000 |
Aktuell status
Windows 7 SP1 och Windows Server 2008 R2 SP1
Följande uppdateringar måste installeras och sedan startas om enheten innan du kan installera en uppdatering som släppts den 13 augusti 2019 eller senare. De uppdateringar som krävs kan installeras i valfri ordning och behöver inte installeras om, såvida det inte finns en ny version av den nödvändiga uppdateringen.
-
Servicing stack update (SSU) (KB4490628). Om du använder Windows Update erbjuds du automatiskt det SSU som krävs.
-
SHA-2-uppdatering(KB4474419)utgiven 10 september 2019. Om du använder Windows Update erbjuds den obligatoriska SHA-2-uppdateringen automatiskt.
ViktigtDu måste starta om enheten när du har installerat alla nödvändiga uppdateringar innan du installerar en månatlig samlad uppdatering, endast säkerhetsuppdatering, förhandsversion av månatlig samlad uppdatering eller fristående uppdatering.
Windows Server 2008 SP2
Följande uppdateringar måste installeras och sedan startas enheten om innan du kan installera en samlad uppdatering som släppts den 10 september 2019 eller senare. De uppdateringar som krävs kan installeras i valfri ordning och behöver inte installeras om, såvida det inte finns en ny version av den nödvändiga uppdateringen.
-
Servicing Stack Update (SSU) (KB4493730). Om du använder Windows Update kommer den nödvändiga SSU-uppdateringen att erbjudas till dig automatiskt.
-
Den senaste SHA-2-uppdateringen(KB4474419)som släpptes den 10 september 2019. Om du använder Windows Update erbjuds den obligatoriska SHA-2-uppdateringen automatiskt.
ViktigtDu måste starta om enheten när du har installerat alla nödvändiga uppdateringar innan du installerar en månatlig samlad uppdatering, endast säkerhetsuppdatering, förhandsversion av månatlig samlad uppdatering eller fristående uppdatering.
Vanliga frågor och svar
Allmän information, planering och problemskydd
Stöd för SHA-2-kodsignering levererades tidigt för att säkerställa att de flesta kunder skulle ha stöd i god tid före Microsofts ändring av SHA-2-signering för uppdateringar av dessa system. De fristående uppdateringarna innehåller några ytterligare korrigeringar och görs tillgängliga för att säkerställa att alla SHA-2-uppdateringar finns i ett litet antal lätt identifierbara uppdateringar. Microsoft rekommenderar att kunder som har systembilder för de här operativsystemen ska tillämpa dessa uppdateringar på bilderna.
Från och med WSUS 4.0 på Windows Server 2012 har WSUS redan stöd för SHA-2-signerade uppdateringar och ingen åtgärd krävs för dessa versioner.
Endast WSUS 3.0 SP2 behöver HA KB4484071installerat för att stöda SHA2 endast signerade uppdateringar.
Anta att du kör Windows Server 2008 SP2. Om du startar i dubbelstart med Windows Server 2008 R2 SP1/Windows 7 SP1 kommer starthanteraren för den här typen av system från Windows Server 2008 R2/Windows 7-systemet. Om du vill uppdatera båda dessa system så att de använder SHA-2-stöd måste du först uppdatera Windows Server 2008 R2/Windows 7-systemet så att starthanteraren uppdateras till versionen som stöder SHA-2. Uppdatera sedan Windows Server 2008 SP2-systemet med SHA-2-stöd.
På liknande sätt som scenariot med dubbla uppstarter måste WINDOWS 7 PE-miljön uppdateras till stöd för SHA-2. Sedan måste Windows Server 2008 SP2-systemet uppdateras till STÖD för SHA-2.
-
Kör Windows-konfigurationen för slutförande och uppstart i Windows innan du installerar uppdateringarna från 13 augusti 2019 eller senare
-
Öppna kommandotolken för administratören, kör bcdboot.exe. Startfilerna kopieras från Windows-katalogen och startmiljön konfigureras. Mer information finns i BCDBoot Command-Line Options.
-
Innan du installerar ytterligare uppdateringar installerar du den 13 augusti 2019 med en ny version av KB4474419 och KB4490628 för Windows 7 SP1 och Windows Server 2008 R2 SP1.
-
Starta om operativsystemet. Den här omstarten krävs
-
Installera eventuella återstående uppdateringar.
-
Installera bilden på disken och starta i Windows.
-
I kommandotolken kör dubcdboot.exe. Startfilerna kopieras från Windows-katalogen och startmiljön konfigureras. Mer information finns i BCDBoot Command-Line Options.
-
Innan du installerar ytterligare uppdateringar installerar du den 23 september 2019-uppdateringen av KB4474419 och KB4490628 för Windows 7 SP1 och Windows Server 2008 R2 SP1.
-
Starta om operativsystemet. Den här omstarten krävs
-
Installera eventuella återstående uppdateringar.
Ja, du måste installera de uppdateringar som krävs innan du fortsätter: SSU(KB4490628)och SHA-2-uppdateringen(KB4474419). Du måste dessutom starta om enheten när du har installerat de uppdateringar som krävs innan du installerar ytterligare uppdateringar.
Windows 10, version 1903 har stöd för SHA-2 eftersom den släpps och alla uppdateringar är redan SHA-2 endast signerade. Ingen åtgärd krävs för den här versionen av Windows.
Windows 7 SP1 och Windows Server 2008 R2 SP1
-
Starta Windows innan du installerar några uppdateringar från den 13 augusti 2019 eller senare.
-
Innan du installerar ytterligare uppdateringar installerar du den 23 september 2019-uppdateringen av KB4474419 och KB4490628för Windows 7 SP1 och Windows Server 2008 R2 SP1.
-
Starta om operativsystemet. Den här omstarten krävs
-
Installera eventuella återstående uppdateringar.
Windows Server 2008 SP2
-
Starta Windows innan du installerar eventuella uppdateringar från den 9 juli 2019 eller senare.
-
Innan du installerar ytterligare uppdateringar installerar du den 23 september 2019 med en ny version av KB4474419 och KB4493730 för Windows Server 2008 SP2.
-
Starta om operativsystemet. Den här omstarten krävs
-
Installera eventuella återstående uppdateringar.
Återställning av problem
Om du får ett felmeddelande 0xc0000428 meddelandet "Windows kan inte verifiera den digitala signaturen för den här filen. En ändring av maskinvaran eller programvaran kan ha installerat en fil som är felaktigt signerad eller skadad, eller som kan vara skadlig programvara från en okänd källa." följer du dessa steg för att återställa.
-
Starta operativsystemet med hjälp av återställningsmedia.
-
Innan du installerar ytterligare uppdateringar installerar du uppdateringen KB4474419 som är daterad den 23 september 2019 eller senare medDISM(Deployment Image Servicing and Management) för Windows 7 SP1 och Windows Server 2008 R2 SP1.
-
I kommandotolken kör dubcdboot.exe. Startfilerna kopieras från Windows-katalogen och startmiljön konfigureras. Mer information finns i BCDBoot Command-Line Options.
-
Starta om operativsystemet.
-
Pausa distributionen till andra enheter och starta inte om några enheter eller virtuella maskiner som inte redan har startats om.
-
Identifiera enheter och virtuella maskiner i läget omstart väntar med uppdateringar som släppts 13 augusti 2019 eller senare och öppna en upphöjd kommandotolk
-
Hitta paketidentiteten för uppdateringen som du vill ta bort med hjälp av följande kommando med hjälp av KB-numret för uppdateringen (ersätt 4512506 med det KB-nummer du riktar, om det inte är den månatliga samlad uppdatering som släpptes 13 augusti 2019): dism /online /get-packages | findstr 4512506
-
Använd följande kommando för att ta bort uppdateringen och ersätta<package identity> med det som hittades i föregående kommando: Dism.exe /online /remove-package /packagename:<package identity>
-
Du måste nu installera de uppdateringar som krävs i avsnittet Hämta den här uppdateringen av uppdateringen som du försöker installera, eller de uppdateringar som krävs som anges ovan i avsnittet Aktuell status i den här artikeln.
Obs! Alla enheter eller virtuella maskiner som du för närvarande får ett fel 0xc0000428 eller som börjar i återställningsmiljön måste du följa stegen i vanliga frågor och svar om fel 0xc0000428.
Om du stöter på dessa fel måste du installera de uppdateringar som krävs i avsnittet Hämta uppdateringsavsnittet av uppdateringen som du försöker installera, eller de uppdateringar som krävs som anges ovan i avsnittet Aktuell status i den här artikeln.
Om du får ett felmeddelande 0xc0000428 meddelandet "Windows kan inte verifiera den digitala signaturen för den här filen. En ändring av maskinvaran eller programvaran kan ha installerat en fil som är felaktigt signerad eller skadad, eller som kan vara skadlig programvara från en okänd källa." följer du dessa steg för att återställa.
-
Starta operativsystemet med hjälp av återställningsmedia.
-
Installera den senaste SHA-2-uppdateringen(KB4474419)som släpptes den 13 augusti 2019 eller senare medDISM(Deployment Image Servicing and Management) för Windows 7 SP1 och Windows Server 2008 R2 SP1.
-
Starta om på återställningsmedia. Den här omstarten krävs
-
I kommandotolken kör dubcdboot.exe. Startfilerna kopieras från Windows-katalogen och startmiljön konfigureras. Mer information finns i BCDBoot Command-Line Options.
-
Starta om operativsystemet.
Om du stöter på det här problemet kan du minimera problemet genom att öppna kommandotolken och köra följande kommando för att installera uppdateringen (ersätt platshållaren <msu plats> med den faktiska platsen och filnamnet för uppdateringen):
wusa.exe <är den> /tyst
Det här problemet är löst i KB4474419 som släpptes den 8 oktober 2019. Den här uppdateringen installeras automatiskt från Windows Update och Windows Server Update Services (WSUS). Om du behöver installera den här uppdateringen manuellt måste du använda lösningen ovan.
Obs! Om du tidigare har installerat KB4474419 som släpptes 23 september 2019 har du redan den senaste versionen av uppdateringen och behöver inte installera om.
