Обобщена информация
За да защитите защитата на операционната система Windows, актуализациите преди това са били подписани (с помощта на хеширани алгоритми SHA-1 и SHA-2). Подписи се използват за удостоверяване, че актуализациите идват директно от Microsoft и не са фалшифицирани по време на доставката. Поради слабости в алгоритъма SHA-1 и за подравняване към отраслови стандарти сме променили подписването на актуализации за Windows, така че да се използва само по-защитен алгоритъм SHA-2. Тази промяна е извършена във фазите, започващи през април 2019 до септември 2019, за да се разреши плавната миграция (вижте раздела "график за актуализиране на продукта" за повече информация за промените).
Клиенти, които изпълняват стари версии на операционната система (Windows 7 SP1, Windows Server 2008 R2 SP1 и Windows Server 2008 SP2), са задължени да имат поддръжка за подписване с код SHA-2, инсталиран на устройствата си за инсталиране на актуализации, издадени на или след юли 2019. Всички устройства, които нямат поддръжка на SHA-2, няма да могат да инсталират актуализации за Windows на или след 2019 от юли. За да ви помогне да се подготвите за тази промяна, пуснахме поддръжка за SHA-2, като въведохме начална 2019 и направихме допълнителни подобрения. Windows Server Update Services (WSUS) 3,0 SP2 ще получи SHA-2 поддръжка, за да достави безопасно SHA-2 подписани актуализации. Вижте секцията "график за актуализиране на продукта" за само времевата линия SHA-2.
Подробни данни за заден план
Защитеният алгоритъм за хеширане 1 (SHA-1) е разработен като необратима функция за хеширане и се използва широко като част от подписването на код. За съжаление сигурността на алгоритъма за хеширане SHA-1 е по-безопасна във времето поради слабостите, които се намират в алгоритъма, повишената производителност на процесора и появата на изчислителни клетки в облака. По-силните алтернативи, като например защитен алгоритъм за хеширане 2 (SHA-2), вече са силно предпочитани, тъй като не се сблъскват със същите проблеми. За повече информация относно неодобрението на SHA-1 вижте алгоритми за хеширане и подписи.
График за актуализиране на продукт
Започвайки от ранни 2019, процесът на мигриране към SHA-2 се стартира на етапи и поддръжката ще бъде доставена в самостоятелни актуализации. Microsoft се насочва към следния график, за да предложи поддръжка на SHA-2. Имайте предвид, че следната времева линия подлежи на промяна. Ще продължим да актуализираме тази страница, ако е необходимо.
|
Целева дата |
Събитие |
Отнася се за |
|
12 март 2019 г. |
Самостоятелните актуализации на защитата KB4474419 и KB4490628 издадена за въвеждане на Sha-2 Code Sign support. |
Windows 7 SP1 |
|
12 март 2019 г. |
Самостоятелно актуализиране, KB4484071 е наличен в каталога на Windows Update за WSUS 3,0 SP2, който поддържа предоставяне на подписани актуализации Sha-2. За тези клиенти, които използват WSUS 3,0 SP2, тази актуализация трябва да се инсталира ръчно не по-късна от 18 юни 2019. |
WSUS 3,0 SP2 |
|
9 април 2019 г. |
Самостоятелно актуализиране, KB4493730 , които представят Sha-2 Code Sign поддръжката за обслужващия стек (SSU) е издадена като актуализация на защитата. |
Windows Server 2008 SP2 |
|
14 май 2019 г. |
Изнесено самостоятелно актуализиране на защитата KB4474419 издадено за въвеждане на Sha-2 Code Sign support. |
Windows Server 2008 SP2 |
|
11 юни 2019 г. |
Самостоятелно актуализиране на защитата KB4474419повторно издадено, за да се добави липсващата MSI Sha-2 Code support. |
Windows Server 2008 SP2 |
|
18 юни 2019 г. |
Windows 10 актуализира подписи променени от двойно подписани (SHA-1/SHA-2) само за SHA-2. Не се изисква действие от клиент. |
Windows 10, версия 1709 |
|
18 юни 2019 г. |
Изисква За тези клиенти, които използват WSUS 3,0 SP2, KB4484071 трябва да се инсталира ръчно от тази дата, за да се поддържат актуализациите Sha-2. |
WSUS 3,0 SP2 |
|
9 юли 2019 г. |
Изисква Актуализации за стари версии на Windows ще изисква да се инсталира поддръжка за подписване с код SHA-2. Поддръжката, издадена през април и май (KB4493730 и KB4474419), ще бъде изискана, за да продължите да получавате актуализации за тези версии на Windows. Всички наследени актуализации на Windows са променени от SHA1 и двустранно подписани (SHA-1/SHA-2) на SHA-2 само в този момент. |
Windows Server 2008 SP2 |
|
16 юли 2019 г. |
Windows 10 актуализира подписи променени от двойно подписани (SHA-1/SHA-2) само за SHA-2. Не се изисква действие от клиент. |
Windows 10, версия 1507 |
|
13 август 2019 г. |
Изисква Актуализации за стари версии на Windows ще изисква да се инсталира поддръжка за подписване с код SHA-2. Поддръжката, издадена през март (KB4474419 и KB4490628), ще бъде изискана, за да продължите да получавате актуализации за тези версии на Windows. Ако имате устройство или VM чрез EFI Boot, вижте секцията ЧЗВ за допълнителни стъпки, за да предотвратите проблем, при който устройството ви може да не се стартира. Всички наследени актуализации на Windows са променени от SHA-1 и Dual подписано (SHA-1/SHA-2), за да SHA-2 само в този момент. |
Windows 7 SP1 |
|
10 септември 2019 г. |
Наследени подписи за актуализиране на Windows са променени от двойно подписани (SHA-1/SHA-2) само за SHA-2. Не се изисква действие от клиент. |
Windows Server 2012 |
|
10 септември 2019 г. |
Самостоятелно актуализиране на защитата KB4474419 е повторно освободен, за да добавите липсващи диспечери за стартиране на EFI. Уверете се, че тази версия е инсталирана. |
Windows 7 SP1 |
|
28 януари 2020 г. |
Подписи в списъците за сигурност на сертификати (може) за програмата за надеждни главни _ Microsoft се промени от двустранно подписано (SHA-1/Sha-2) само за Sha-2. Не се изисква действие от клиент. |
Всички поддържани Windows платформи |
|
2020 август |
В базата данни на Windows Update SHA-1 са прекратени. Това влияе само на по-стари устройства с Windows, които не са актуализирани с подходящи актуализации на защитата. За повече информация вижте KB4569557. |
Windows 7 |
|
3 август 2020 г. |
Microsoft оттегля съдържание, което е подписано от Windows за защитен алгоритъм за хеширане 1 (SHA-1) от центъра на Microsoft за изтегляния. За повече информация вижте приложението Windows IT Pro в блога SHA-1 Windows, за да се оттегли на 3 август 2020. |
Windows Server 2000 |
Текущото състояние
Windows 7 SP1 и Windows Server 2008 R2 SP1
Трябва да бъдат инсталирани следните задължителни актуализации и след това устройството да се рестартира, преди да инсталирате актуализацията, издадена на 13 август, 2019 или по-нова. Необходимите актуализации могат да бъдат инсталирани в произволен ред и не е необходимо да се преинсталират, освен ако не е нова версия на изискваната актуализация.
-
Актуализиране на стека на обслужване (SSU) (KB4490628). Ако използвате Windows Update, изискваното SSU ще ви бъде предложено автоматично.
-
SHA-2 актуализация (KB4474419), издадена на 10 септември, 2019. Ако използвате Windows Update, изискваната актуализация за SHA-2 ще ви бъде предложена автоматично.
Важно Трябва да рестартирате устройството, след като сте инсталирали всички необходими актуализации, преди да инсталирате месечен сбор, актуализация само за защита, предварителен преглед на месечен сбор или самостоятелна актуализация.
Windows Server 2008 SP2
Ще трябва да се инсталират следните актуализации и след това устройството да се рестартира, преди да инсталирате сбор, издаден на 10 септември, 2019 или по-нова версия. Необходимите актуализации могат да бъдат инсталирани в произволен ред и не е необходимо да се преинсталират, освен ако не е нова версия на изискваната актуализация.
-
Актуализиране на стека на обслужване (SSU) (KB4493730). Ако използвате Windows Update, необходимата актуализация за SSU ще ви бъде предложена автоматично.
-
Най-новата актуализация SHA-2 (KB4474419), издадена на 10 септември, 2019. Ако използвате Windows Update, изискваната актуализация за SHA-2 ще ви бъде предложена автоматично.
Важно Трябва да рестартирате устройството, след като сте инсталирали всички необходими актуализации, преди да инсталирате месечен сбор, актуализация само за защита, предварителен преглед на месечен сбор или самостоятелна актуализация.
Често задавани въпроси
Обща информация, планиране и предотвратяване на проблеми
Поддръжката за подписване с код SHA-2 е изпратена по-рано, за да се гарантира, че повечето клиенти би трябвало да се възползват предварително от промяната на Microsoft до SHA-2 за актуализиране на тези системи. Самостоятелното актуализиране включва някои допълнителни корекции и се предоставят, за да се гарантира, че всички актуализации на SHA-2 са в малък брой лесно установими актуализации. Microsoft препоръчва на клиентите, които поддържат системните изображения за тези OSE, да прилагат тези актуализации към изображенията.
Като започнете с WSUS 4,0 в Windows Server 2012, WSUS вече поддържа SHA-2-подписани актуализации и не е необходимо да се предприемат действия за клиента за тези версии.
Само WSUS 3,0 SP2 трябва да е инсталиран на KB4484071, за да поддържа SHA2 само подписани актуализации.
Приемете, че изпълнявате Windows Server 2008 SP2. Ако имате двойствена обувка с Windows Server 2008 R2 SP1/Windows 7 SP1, Диспечерът за стартиране за този тип система е от системата Windows Server 2008 R2/Windows 7. За да актуализирате успешно тези и тези системи, за да използвате поддръжка на SHA-2, трябва първо да актуализирате системата Windows Server 2008 R2/Windows 7, така че Диспечерът за стартиране да е актуализиран към версията, която поддържа SHA-2. След това актуализирайте системата Windows Server 2008 SP2 с поддръжка SHA-2.
Подобно на сценария с двойно стартиране, Windows 7 PE среда трябва да се актуализира до SHA-2 поддръжка. След това системата на Windows Server 2008 SP2 трябва да се актуализира на поддръжка SHA-2.
-
Изпълнете инсталиращата програма на Windows, за да завършите и да стартирате в Windows, преди да инсталирате 13 август, 2019 или по-нови версии
-
Отворете прозорец на командната подкана на администратора, изпълнете bcdboot.exe. Това копира файловете за стартиране от директорията на Windows и настройва средата за стартиране. Вижте Опции за BCDBoot Command-Line за повече информация.
-
Преди да инсталирате допълнителни актуализации, инсталирайте 13 август 2019 повторно издание на KB4474419 и KB4490628 за Windows 7 SP1 и Windows Server 2008 R2 SP1.
-
Рестартирайте операционната система. Изисква се рестартиране
-
Инсталирайте всички останали актуализации.
-
Инсталиране на изображението на диска и зареждане в Windows.
-
В командния ред изпълнете bcdboot.exe. Това копира файловете за стартиране от директорията на Windows и настройва средата за стартиране. Вижте Опции за BCDBoot Command-Line за повече информация.
-
Преди да инсталирате допълнителни актуализации, инсталирайте 23 септември 2019 повторно издание на KB4474419 и KB4490628 за Windows 7 SP1 и Windows Server 2008 R2 SP1.
-
Рестартирайте операционната система. Изисква се рестартиране
-
Инсталирайте всички останали актуализации.
Windows 10, версия 1903 поддържа SHA-2, тъй като това е издание и всички актуализации вече са подписани само SHA-2. За тази версия на Windows не е необходимо никакво действие.
Windows 7 SP1 и Windows Server 2008 R2 SP1
-
Стартирайте Windows, преди да инсталирате 13-2019 или по-нови актуализации за август.
-
Преди да инсталирате допълнителни актуализации, инсталирайте 23 септември 2019 повторно издание на KB4474419 и KB4490628за Windows 7 SP1 и Windows Server 2008 R2 SP1.
-
Рестартирайте операционната система. Изисква се рестартиране
-
Инсталирайте всички останали актуализации.
Windows Server 2008 SP2
-
Зареждате в Windows, преди да инсталирате 9 юли, 2019 или по-нови актуализации.
-
Преди да инсталирате допълнителни актуализации, инсталирайте 23 септември 2019 повторно издание на KB4474419 и KB4493730 за Windows Server 2008 SP2.
-
Рестартирайте операционната система. Изисква се рестартиране
-
Инсталирайте всички останали актуализации.
Възстановяване на проблема
Ако виждате грешка 0xc0000428 със съобщението "Windows не може да провери цифровия подпис за този файл. Скорошна промяна на хардуер или софтуер може да е инсталирала файл, който е подписан неправилно или повреден, или който може да е опасен софтуер от неизвестен източник. " Моля, следвайте тези стъпки, за да възстановите.
-
Стартирайте операционната система с помощта на носител за възстановяване.
-
Преди да инсталирате каквито и да е допълнителни актуализации, инсталирайте KB4474419 за актуализиране с дата 23 септември 2019 или по-късна дата чрез обслужване и управление на разполагането на изображения (DISM) за Windows 7 SP1 и Windows Server 2008 R2 SP1.
-
В командния ред изпълнете bcdboot.exe. Това копира файловете за стартиране от директорията на Windows и настройва средата за стартиране. Вижте Опции за BCDBoot Command-Line за повече информация.
-
Рестартирайте операционната система.
-
Спиране на разполагането на други устройства и не рестартирайте никакви устройства или VMs, които все още не са стартирани.
-
Идентифициране на устройства и VMs в очакване на състоянието с актуализациите, издадени 13 август, 2019 или по-нова версия, и отворете команден прозорец с повишени стойности
-
Можете да намерите самоличността на пакета за актуализацията, която искате да премахнете, като използвате следната команда, като използвате KB номер за тази актуализация (заместете 4512506 с KB номер, към който се насочвате, ако това не е месечен сбор, издаден на 13 август 2019): DISM/online/get-packages | findstr 4512506
-
Използвайте командата по-долу, за да премахнете актуализацията, като заместите <>за самоличност на пакета с това, което е намерено в предишната команда: Dism.exe/online/remove-package/packagename: <самоличност на пакета>
-
Сега ще трябва да инсталирате необходимите актуализации, изброени в секцията как да получите тази актуализация на актуализацията, която се опитвате да инсталирате, или изискваните актуализации, изброени по-горе, в секцията Текущо състояние на тази статия.
Забележка Всяко устройство или VM в момента получавате съобщение за грешка 0xc0000428 или че започва в средата за възстановяване, ще трябва да следвате стъпките в ЧЗВ за грешка 0xc0000428.
Ако срещнете тези грешки, трябва да инсталирате необходимите актуализации, изброени в секцията как да получите тази актуализация на актуализацията, която се опитвате да инсталирате, или изискваните актуализации, изброени по-горе, в секцията Текущо състояние на тази статия.
Ако виждате грешка 0xc0000428 със съобщението "Windows не може да провери цифровия подпис за този файл. Скорошна промяна на хардуер или софтуер може да е инсталирала файл, който е подписан неправилно или повреден, или който може да е опасен софтуер от неизвестен източник. " Моля, следвайте тези стъпки, за да възстановите.
-
Стартирайте операционната система с помощта на носител за възстановяване.
-
Инсталирайте най-новата актуализация на SHA-2 (KB4474419), издадена на или след 13 август 2019, като използвате поддръжка и управление на изображения за разполагане (DISM) за Windows 7 SP1 и Windows Server 2008 R2 SP1.
-
Рестартирайте в носителя за възстановяване. Изисква се рестартиране
-
В командния ред изпълнете bcdboot.exe. Това копира файловете за стартиране от директорията на Windows и настройва средата за стартиране. Вижте Опции за BCDBoot Command-Line за повече информация.
-
Рестартирайте операционната система.
Ако се сблъскате с този проблем, можете да намалите този проблем, като отворите прозорец на командната подкана и изпълните следната команда, за да инсталирате актуализацията (заместете <MSU> контейнер с точното местоположение и име на файла на актуализацията):
wusa.exe <MSU> спокоен
Този проблем е решен в KB4474419 , издадена на 8 октомври, 2019. Тази актуализация ще се инсталира автоматично от Windows Update и Windows Server Update Services (WSUS). Ако трябва да инсталирате тази актуализация ръчно, ще трябва да използвате заобиколното решение по-горе.
Забележка Ако преди това сте инсталирали KB4474419 , издадена на 23 септември 2019, тогава вече имате най-новата версия на тази актуализация и не е нужно да преинсталирате.
