متطلبات دعم توقيع التعليمات البرمجية SHA-2 لنظامي التشغيل Windows و WSUS 2019

الملخص

للمساعدة في حماية أمان نظام التشغيل Windows، تم توقيع التحديثات مسبقا (باستخدام كل من خوارزميات التجزئة SHA-1 و SHA-2). يتم استخدام التواقيع للمصادقة على أن التحديثات تأتي مباشرة من Microsoft ولم يتم التلاعب بها أثناء التسليم. بسبب نقاط الضعف في خوارزمية SHA-1 ولمحاذاتها مع المعايير الصناعية، قمنا بتغيير توقيع تحديثات Windows لاستخدام خوارزمية SHA-2 الأكثر أمانا بشكل حصري. تم إجراء هذا التغيير في المراحل التي تبدأ من أبريل 2019 إلى سبتمبر 2019 للسماح با الترحيل السلس (راجع القسم "جدول تحديث المنتج" للحصول على مزيد من التفاصيل حول التغييرات).

يجب على العملاء الذين يديرون إصدارات نظام التشغيل القديمة (Windows 7 SP1 و Windows Server 2008 R2 SP1 و Windows Server 2008 SP2) تثبيت دعم توقيع التعليمات البرمجية SHA-2 على أجهزتهم لتثبيت التحديثات التي تم إصدارها في يوليو 2019 أو بعده. لن تتمكن أي أجهزة بدون دعم SHA-2 من تثبيت تحديثات Windows في شهر يوليو 2019 أو بعده. لمساعدتك في التحضير لهذا التغيير، قمنا بالتوقيع على توقيع SHA-2 بدءا من مارس 2019، كما قمنا بتحسينات تزايدية. سيتلقى Windows Server Update Services (WSUS) 3.0 SP2 دعم SHA-2 لتقديم تحديثات SHA-2 الموقعة بشكل آمن. الرجاء الاطلاع على المقطع "جدول تحديث المنتج" لميول الترحيل SHA-2 فقط. 

تفاصيل الخلفية

تم تطوير خوارزمية التجزئة الآمنة 1 (SHA-1) كدالة تجزء يتعذر التراجع عنها وتستخدم على نطاق واسع كجزء من توقيع التعليمات البرمجية. لسوء الحظ، أصبح أمان خوارزمية التجزئة SHA-1 أقل أمانا مع مرور الوقت بسبب نقاط الضعف الموجودة في الخوارزمية وزيادة أداء المعالج وظهور الحوسبة السحابية. يفضل الآن استخدام بدائل أقوى مثل خوارزمية التجزئة الآمنة 2 (SHA-2) بشدة حيث أنها لا تواجه المشاكل نفسها. لمزيد من المعلومات حول إهمال SHA-1، راجع "التجزئة" و"خوارزميات التواقيع". 

جدول تحديث المنتج

بدءا من بداية عام 2019، بدأت عملية الترحيل إلى دعم SHA-2 على مراحل، وسيصل الدعم في تحديثات مستقلة. تستهدف Microsoft الجدول التالي لتقديم دعم SHA-2. تجدر الإشارة إلى أن المخطط الزمني التالي عرضة للتغيير. سنستمر في تحديث هذه الصفحة حسب الحاجة.

التاريخ الهدف

الحدث

ينطبق على

12 مارس 2019

تحديثات الأمان الخاصة ب KB4474419وKB4490628 التي تم إصدارها لتقديم دعم توقيعات التعليمات البرمجية SHA-2.

Windows 7 SP1
Windows Server 2008 R2 SP1

12 مارس 2019

التحديث بذاته، يتوفر KB4484071 في كتالوج Windows Update ل WSUS 3.0 SP2 الذي يدعم تقديم تحديثات SHA-2 الموقعة. بالنسبة إلى العملاء الذين يستخدمون WSUS 3.0 SP2، يجب تثبيت هذا التحديث يدويا في موعد لا يزيد عن 18 يونيو 2019.

WSUS 3.0 SP2

9 أبريل 2019

التحديث "بمفرده"، تم إصدار KB4493730 الذي يقدم دعم توقيع التعليمات البرمجية SHA-2 لمكدس الخدمة (SSU) ك تحديث أمان.

Windows Server 2008 SP2

14 مايو 2019

تحديث الأمان "اانفرد" KB4474419 الذي تم إصداره لتقديم دعم توقيع رمز SHA-2.

Windows Server 2008 SP2

11 يونيو 2019

تم إعادة إصدار تحديث الأمان الخاص ب KB4474419لإضافة دعم توقيع رمز MSI SHA-2 المفقود.

Windows Server 2008 SP2

18 يونيو 2019

يقوم Windows 10 بتحديث التواقيع من الموقع المزدوج (SHA-1/SHA-2) إلى SHA-2 فقط. لا يلزم اتخاذ أي إجراء من قبل العميل.

Windows 10، الإصدار 1709
Windows 10، الإصدار 1803
Windows 10، الإصدار 1809
Windows Server 2019

18 يونيو 2019

مطلوب: بالنسبة إلى العملاء الذين يستخدمون WSUS 3.0 SP2، يجب تثبيت KB4484071 يدويا بحلول هذا التاريخ لدعم تحديثات SHA-2.

WSUS 3.0 SP2

9 يوليو 2019

مطلوب: تتطلب التحديثات الخاصة بالإصدارات القديمة من Windows تثبيت دعم توقيع التعليمات البرمجية SHA-2. سيكون الدعم الذي تم إصداره في أبريل وأيار/مايو(KB4493730وKB4474419)مطلوبا لكي تستمر في تلقي التحديثات على هذه الإصدارات من Windows.

تم تغيير جميع تواقيع Windows القديمة التي تم تحديثها من SHA1 والتوقيع المزدوج (SHA-1/SHA-2) إلى SHA-2 فقط في هذا الوقت.

Windows Server 2008 SP2

16 يوليو 2019

يقوم Windows 10 بتحديث التواقيع من الموقع المزدوج (SHA-1/SHA-2) إلى SHA-2 فقط. لا يلزم اتخاذ أي إجراء من قبل العميل.

Windows 10، الإصدار 1507
Windows 10، الإصدار 1607
Windows Server 2016
Windows 10، الإصدار 1703

13 أغسطس 2019

مطلوب: تتطلب التحديثات الخاصة بالإصدارات القديمة من Windows تثبيت دعم توقيع التعليمات البرمجية SHA-2. سيكون الدعم الذي تم إصداره في مارس(KB4474419وKB4490628)مطلوبا من أجل الاستمرار في تلقي التحديثات على هذه الإصدارات من Windows. إذا كان لديك جهاز أو VM يستخدم تشغيل EFI، فالرجاء الاطلاع على قسم الأسئلة الشائعة للحصول على خطوات إضافية لمنع مشكلة قد لا يبدأ فيها جهازك.

تم تغيير جميع تواقيع Windows القديمة التي تم تحديثها من SHA-1 والتوقيع المزدوج (SHA-1/SHA-2) إلى SHA-2 فقط في هذا الوقت.

Windows 7 SP1
Windows Server 2008 R2 SP1

10 سبتمبر 2019

تم تغيير تواقيع تحديث Windows القديمة من توقيع مزدوج (SHA-1/SHA-2) إلى SHA-2 فقط. لا يلزم اتخاذ أي إجراء من قبل العميل.

Windows Server 2012
Windows 8.1
Windows Server 2012 R2

10 سبتمبر 2019

تم إعادة إصدار تحديث الأمان الخاص ب KB4474419 لإضافة برامج تشغيل EFI المفقودة. الرجاء التأكد من تثبيت هذا الإصدار.

Windows 7 SP1
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

28 يناير 2020

تم تغيير التواقيع على قوائم شهادات الثقة (CTLs) لبرنامج الجذر الموثوق به من MICROSOFT من موقع مزدوج (SHA-1/SHA-2) إلى SHA-2 فقط. لا يلزم اتخاذ أي إجراء من قبل العميل.

جميع الأنظمة الأساسية المدعومة ل Windows

أغسطس 2020

تم إيقاف نقاط نهاية الخدمة المستندة إلى SHA-1 في Windows Update. يؤثر هذا الأمر فقط على أجهزة Windows القديمة التي لم يتم تحديثها بتحديثات الأمان المناسبة. لمزيد من المعلومات، راجع KB4569557.

Windows 7
Windows 7 SP1
Windows Server 2008
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2008 R2 SP1

3 أغسطس 2020

قامت Microsoft بتقاعد المحتوى الموقع من قبل Windows لخوارزمية التجزئة الآمنة 1 (SHA-1) من مركز التنزيل ل Microsoft. للحصول على مزيد من المعلومات، راجع محتوى WINDOWS SHA-1 لمدونة Windows pro IT للتقاعد في 3 أغسطس 2020.

Windows Server 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Windows 8.1
Windows Server 2012 R2
Windows 10
Windows 10 Server

الحالة الحالية

Windows 7 SP1 و Windows Server 2008 R2 SP1

يجب تثبيت التحديثات المطلوبة التالية ثم إعادة تشغيل الجهاز قبل تثبيت أي تحديث تم إصداره في 13 أغسطس 2019 أو إصدار لاحق. يمكن تثبيت التحديثات المطلوبة بأي ترتيب ولا يلزم إعادة تثبيتها، ما لم يكن هناك إصدار جديد من التحديث المطلوب.

  • تحديث مكدس الخدمة (SSU) (KB4490628). إذا كنت تستخدم Windows Update، سيتم عرض SSU المطلوب لك تلقائيا.

  • تحديث SHA-2(KB4474419)الذي تم إصداره في 10 سبتمبر 2019. إذا كنت تستخدم Windows Update، سيتم عرض تحديث SHA-2 المطلوب لك تلقائيا.

هام يجب إعادة تشغيل جهازك بعد تثبيت كل التحديثات المطلوبة، قبل تثبيت أي مجموعة تحديثات شهرية أو تحديث الأمان فقط أو معاينة مجموعة تحديثات شهرية أو تحديث مستقل.

Windows Server 2008 SP2

يجب تثبيت التحديثات التالية ثم إعادة تشغيل الجهاز قبل تثبيت أي عملية تحديث تم إصدارها في 10 سبتمبر 2019 أو إصدار لاحق. يمكن تثبيت التحديثات المطلوبة بأي ترتيب ولا يلزم إعادة تثبيتها، ما لم يكن هناك إصدار جديد من التحديث المطلوب.

  • تحديث مكدس الخدمة (SSU) (KB4493730). إذا كنت تستخدم Windows Update، سيتم عرض تحديث SSU المطلوب لك تلقائيا.

  • تم إصدار آخر تحديث SHA-2(KB4474419)في 10 سبتمبر 2019. إذا كنت تستخدم Windows Update، سيتم عرض تحديث SHA-2 المطلوب لك تلقائيا.

هام يجب عليك إعادة تشغيل جهازك بعد تثبيت كل التحديثات المطلوبة، قبل تثبيت أي مجموعة تحديثات شهرية أو تحديث الأمان فقط أو معاينة مجموعة تحديثات شهرية أو تحديث مستقل.

الأسئلة المتكررة

المعلومات العامة والتخطيط ومنع المشكلة

تم شحن دعم توقيع التعليمات البرمجية SHA-2 مبكرا لضمان حصول معظم العملاء على الدعم قبل تغيير Microsoft لتوقيع SHA-2 لتحديثات هذه الأنظمة. تتضمن التحديثات الخاصة بعض الإصلاحات الإضافية، كما يتم توفيرها للتأكد من أن كل تحديثات SHA-2 في عدد صغير من التحديثات التي يمكن التعرف عليها بسهولة. توصي Microsoft العملاء الذين يحتفظون بصور النظام ل OSes هذه بتطبيق هذه التحديثات على الصور.

بدءا من WSUS 4.0 على Windows Server 2012، يدعم WSUS التحديثات الموقعة مسبقا على SHA-2، ولا يلزم اتخاذ أي إجراء عميل لهذه الإصدارات.

يحتاج WSUS 3.0 SP2 فقط إلى تثبيت KB4484071لدعم التحديثات الموقعة فقط على SHA2.

لنفترض أنك تقوم بتشغيل Windows Server 2008 SP2. إذا قمت بتمهيد مزدوج باستخدام Windows Server 2008 R2 SP1/Windows 7 SP1، فإن مدير التشغيل لهذا النوع من النظام من نظام Windows Server 2008 R2/Windows 7. لكي تتمكن من تحديث كلا النظامين بنجاح لاستخدام دعم SHA-2، يجب أولا تحديث نظام Windows Server 2008 R2/Windows 7 بحيث يتم تحديث مدير التشغيل إلى الإصدار الذي يدعم SHA-2. بعد ذلك، قم بتحديث نظام Windows Server 2008 SP2 باستخدام دعم SHA-2.

على غرار سيناريو التشغيل المزدوج، يجب تحديث بيئة Windows 7 PE إلى دعم SHA-2. بعد ذلك، يجب تحديث نظام Windows Server 2008 SP2 إلى دعم SHA-2.

  1. تشغيل إعداد Windows حتى الاكتمال والتمهيد في Windows قبل تثبيت تحديثات 13 أغسطس 2019 أو أحدث

  2. افتح نافذة موجه أوامر المسؤول، bcdboot.exe. ينسخ ذلك ملفات التشغيل من دليل Windows ويتهيئة بيئة التشغيل. راجع BCDBoot Command-Line للحصول على مزيد من التفاصيل.

  3. قبل تثبيت أي تحديثات إضافية، قم بتثبيت إصدار إعادة إصدار KB4474419وKB4490628 ل Windows 7 SP1 و Windows Server 2008 R2 SP1 في 13 أغسطس 2019.

  4. أعد تشغيل نظام التشغيل. عملية إعادة التشغيل هذه مطلوبة

  5. ثبت أي تحديثات متبقة.

  1. ثبت الصورة على القرص ثم قم بتمهيد تشغيلها في Windows.

  2. في موجه الأوامر، bcdboot.exe. ينسخ ذلك ملفات التشغيل من دليل Windows ويتهيئة بيئة التشغيل. راجع BCDBoot Command-Line للحصول على مزيد من التفاصيل.

  3. قبل تثبيت أي تحديثات إضافية، قم بتثبيت إصدار إعادة إصدار KB4474419وKB4490628 ل Windows 7 SP1 و Windows Server 2008 R2 SP1 في 23 سبتمبر 2019.

  4. أعد تشغيل نظام التشغيل. عملية إعادة التشغيل هذه مطلوبة

  5. ثبت أي تحديثات متبقة.

نعم، ستحتاج إلى تثبيت التحديثات المطلوبة قبل المتابعة: تحديث SSU (KB4490628)وتحديث SHA-2 (KB4474419).  كما تتم مطالبتك بإعادة تشغيل جهازك بعد تثبيت التحديثات المطلوبة قبل تثبيت أي تحديثات أخرى.

Windows 10، يدعم الإصدار 1903 SHA-2 نظرا لأنه تم إصداره وجميع التحديثات بالفعل SHA-2 موقعة فقط.  لا يوجد إجراء مطلوب لهذا الإصدار من Windows.

Windows 7 SP1 و Windows Server 2008 R2 SP1

  1. التشغيل في Windows قبل تثبيت أي تحديثات 13 أغسطس 2019 أو أحدث.

  2. قبل تثبيت أي تحديثات إضافية، قم بتثبيت إصدار إعادة إصدار KB4474419وKB4490628ل Windows 7 SP1 و Windows Server 2008 R2 SP1 في 23 سبتمبر 2019.

  3. أعد تشغيل نظام التشغيل. عملية إعادة التشغيل هذه مطلوبة

  4. ثبت أي تحديثات متبقة.

Windows Server 2008 SP2

  1. قم بتمهيد تشغيل Windows قبل تثبيت أي تحديثات 9 يوليو 2019 أو تحديثات لاحقة.

  2. قبل تثبيت أي تحديثات إضافية، قم بتثبيت إصدار إعادة إصدار KB4474419وKB4493730 ل Windows Server 2008 SP2 في 23 سبتمبر 2019.

  3. أعد تشغيل نظام التشغيل. عملية إعادة التشغيل هذه مطلوبة

  4. ثبت أي تحديثات متبقة.

استرداد المشكلة

إذا رأيت رسالة خطأ 0xc0000428 الرسالة "يتعذر على Windows التحقق من التوقيع الرقمي لهذا الملف. من المحتمل أن يكون التغيير الأخير الذي تم إدخاله على الأجهزة أو البرامج قد ثبت ملفا تم توقيعه بشكل غير صحيح أو تالف، أو قد يكون برنامج ضارا من مصدر غير معروف". يرجى اتباع هذه الخطوات لاسترداده.

  1. ابدأ تشغيل نظام التشغيل باستخدام وسائط الاسترداد.

  2. قبل تثبيت أي تحديثات إضافية، قم بتثبيت تحديث KB4474419 بتاريخ 23 سبتمبر 2019 أو تاريخ لاحق باستخدام Deployment Image Servicing and Management(DISM)ل Windows 7 SP1 و Windows Server 2008 R2 SP1.

  3. في موجه الأوامر، bcdboot.exe. ينسخ ذلك ملفات التشغيل من دليل Windows ويتهيئة بيئة التشغيل. راجع BCDBoot Command-Line للحصول على مزيد من التفاصيل.

  4. أعد تشغيل نظام التشغيل.

  1. أوقف النشر إلى أجهزة أخرى ولا أعد تشغيل أي أجهزة أو أجهزة VMs لم يتم إعادة تشغيلها بالفعل.

  2. تحديد الأجهزة وأجهزة VMs في حالة إعادة التشغيل المعلقة مع التحديثات التي تم إصدارها في 13 أغسطس 2019 أو إصدار لاحق وفتح موجه أوامر غير محدث

  3. ابحث عن هوية الحزمة للتحديث الذي تريد إزالته باستخدام الأمر التالي باستخدام رقم KB لهذا التحديث (استبدل 4512506 باستخدام رقم KB الذي تستهدفه، إذا لم تكن المجموعة الشهرية التي تم إصدارها في 13 أغسطس 2019): dism /online /get-packages | findstr 4512506

  4. استخدم الأمر التالي لإزالة التحديث، مع استبدال<هوية حزمة > بما تم العثور عليه في الأمر السابق: Dism.exe /online /remove-package/packagename:< حزمة هوية>

  5.  ستحتاج الآن إلى تثبيت التحديثات المطلوبة المذكورة في القسم "كيفية الحصول على هذا التحديث" للتحديث الذي تحاول تثبيته، أو التحديثات المطلوبة المذكورة أعلاه في قسم الحالة الحالية من هذه المقالة.

ملاحظة أي جهاز أو جهاز VM تتلقى حاليا رسالة خطأ 0xc0000428 أو يبدأ ببيئة الاسترداد، ستحتاج إلى اتباع الخطوات المذكورة في سؤال الأسئلة الشائعة للخطأ 0xc0000428.

إذا واجهت هذه الأخطاء، ستحتاج إلى تثبيت التحديثات المطلوبة المذكورة في قسم "كيفية الحصول على هذا التحديث" للتحديث الذي تحاول تثبيته، أو التحديثات المطلوبة المذكورة أعلاه في قسم "الحالة الحالية" من هذه المقالة.

إذا رأيت رسالة خطأ 0xc0000428 الرسالة "يتعذر على Windows التحقق من التوقيع الرقمي لهذا الملف. من المحتمل أن يكون التغيير الأخير الذي تم إدخاله على الأجهزة أو البرامج قد ثبت ملفا تم توقيعه بشكل غير صحيح أو تالف، أو قد يكون برنامج ضارا من مصدر غير معروف". يرجى اتباع هذه الخطوات لاسترداده.

  1. ابدأ تشغيل نظام التشغيل باستخدام وسائط الاسترداد.

  2. ثبت آخر تحديث SHA-2(KB4474419)الذي تم إصداره في 13 أغسطس 2019 أو بعده، باستخدام Deployment Image Servicing and Management(DISM)ل Windows 7 SP1 و Windows Server 2008 R2 SP1.

  3. إعادة التشغيل في وسائط الاسترداد. عملية إعادة التشغيل هذه مطلوبة

  4. في موجه الأوامر، bcdboot.exe. ينسخ ذلك ملفات التشغيل من دليل Windows ويتهيئة بيئة التشغيل. راجع BCDBoot Command-Line للحصول على مزيد من التفاصيل.

  5. أعد تشغيل نظام التشغيل.

إذا واجهت هذه المشكلة، يمكنك الحد من هذه المشكلة عن طريق فتح نافذة موجه الأوامر وتشغيل الأمر التالي لتثبيت التحديث (استبدل العنصر النائب لموقع <msu> بموقع التحديث واسم الملف الفعليين):

wusa.exe <موقع msu> /هادئ

تم حل هذه المشكلة في KB4474419 التي تم إصدارها في 8 أكتوبر 2019. سيتم تثبيت هذا التحديث تلقائيا من Windows Update و Windows Server Update Services (WSUS). إذا كنت بحاجة إلى تثبيت هذا التحديث يدويا، ستحتاج إلى استخدام الحل البديل أعلاه. 

ملاحظة إذا سبق لك تثبيت KB4474419 الذي تم إصداره في 23 سبتمبر 2019، فهذا يعني أن لديك الإصدار الأخير من هذا التحديث بالفعل ولا تحتاج إلى إعادة تثبيته.

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Microsoft Insider

هل كانت المعلومات مفيدة؟

نشكرك على ملاحظاتك!

شكراً لك على الملاحظات! يبدو أنه من المفيد إيصالك بأحد وكلاء دعم Office لدينا.

×