Shrnutí
Aktualizace byly v minulosti podepsány (pomocí algoritmů hash SHA-1 a SHA-2) pro zabezpečení zabezpečení operačního systému Windows. Podpisy slouží k ověření, že aktualizace pocházejí přímo od Microsoftu a během doručování se do těchto podpisů nezasály. Vzhledem k algoritmu SHA-1 a v souladu s oborové standardy jsme změnili podepisování aktualizací systému Windows tak, aby se výhradně používá bezpečnější algoritmus SHA-2. Tato změna byla provedena postupně od dubna 2019 do září 2019, aby bylo možné provést plynulou migraci (další podrobnosti o změnách najdete v části Plán aktualizací produktu).
Zákazníci, kteří provozují starší verze operačního systému (Windows 7 SP1, Windows Server 2008 R2 SP1 a Windows Server 2008 SP2), musí mít na svých zařízeních nainstalovanou podporu podepisování kódu SHA-2, aby si nainstalovali aktualizace vydané v červenci 2019 nebo novější. Na žádná zařízení bez podpory SHA-2 nebude možné nainstalovat aktualizace Windows v červenci 2019 ani po ní. Kvůli přípravě na tuto změnu jsme od března 2019 vydali podporu pro přihlášení pomocí algoritmu SHA-2 a provedli jsme přírůstková vylepšení. Služby Windows Server Update Services (WSUS) 3.0 SP2 obdrží podporu SHA-2 k zabezpečenému poskytování aktualizací s podpisem SHA-2. Přečtěte si prosím informace v části Plán aktualizace produktu pro časovou osu migrace pouze SHA-2.
Podrobnosti o pozadí
Algoritmus zabezpečeného hash 1 (SHA-1) byl vyvinut jako nevratná funkce hashingu a široce se používá jako součást podepisování kódu. Zabezpečení algoritmu hash SHA-1 je bohužel v čase méně bezpečné kvůli výsledkům algoritmu, vyššímu výkonu procesorů a cloudovým výpočetním funkcím. Výraznější alternativy, jako je algoritmus zabezpečeného hash algoritmu 2 (SHA-2), jsou teď rozhodně preferované, protože nezakusí stejné problémy. Další informace o tom, jak se zahodí algoritmus SHA-1, najdete v článku Algoritmus hash a podpisů.
Plán aktualizací produktu
Od začátku roku 2019 se proces migrace na podporu SHA-2 začal postupně a podpora bude doručovat ve samostatných aktualizacích. Microsoft se zaměřuje na následující plán, aby nabízí podporu SHA-2. Nezapomeňte prosím, že následující časová osa se může změnit. Tuto stránku budeme podle potřeby dál aktualizovat.
Cílové datum |
Událost |
Platí pro |
12. března 2019 |
Samostatné aktualizace zabezpečení KB4474419 a KB4490628 vydané ke zavedení podpory podepisování kódu SHA-2 |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
12. března 2019 |
Samostatná aktualizace KB4484071 je dostupná v katalogu služby Windows Update pro WSUS 3.0 SP2, která podporuje poskytování aktualizací s podpisem SHA-2. Zákazníkům, kteří používají WSUS 3.0 SP2, by se tato aktualizace měla nainstalovat ručně nejpozději 18. června 2019. |
WSUS 3.0 SP2 |
9. dubna 2019 |
Samostatná aktualizace KB4493730, která představuje podporu podepisování kódu SHA-2 pro servisní vrstvu (SSU), byla vydána jako aktualizace zabezpečení. |
Windows Server 2008 SP2 |
14. května 2019 |
Samostatná aktualizace zabezpečení KB4474419 vydaná s zavedením podpory znaku SHA-2 |
Windows Server 2008 SP2 |
11. června 2019 |
Samostatná aktualizace zabezpečení KB4474419se znovu vydala a přidá se chybějící podpora znaku MSI SHA-2. |
Windows Server 2008 SP2 |
18. června 2019 |
Podpisy v systému Windows 10 se změnily jenom z duálního podepsaného (SHA-1/SHA-2) na SHA-2. Nevyžaduje se žádná akce zákazníka. |
Windows 10 verze 1709 Windows 10 verze 1803 Windows 10 verze 1809 Windows Server 2019 |
18. června 2019 |
Povinné: Zákazníkům, kteří používají WSUS 3.0 SP2, musí být aktualizace KB4484071 v tomto datu nainstalována ručně, aby aktualizace s rozhraním SHA-2 podporovaly. |
WSUS 3.0 SP2 |
9. července 2019 |
Povinné: Aktualizace pro starší verze Windows budou vyžadovat, aby byla nainstalovaná podpora podepisování kódu SHA-2. Podpora vydaná v dubnu a květnu(KB4493730 a KB4474419)se bude potřebná, aby bylo možné dál dostávat aktualizace v těchto verzích Windows. Všechny starší podpisy aktualizací systému Windows se změnily z SHA1 a duálního podepsaného (SHA-1/SHA-2) na SHA-2 pouze v tuto chvíli. |
Windows Server 2008 SP2 |
16. července 2019 |
Podpisy v systému Windows 10 se změnily jenom z duálního podepsaného (SHA-1/SHA-2) na SHA-2. Nevyžaduje se žádná akce zákazníka. |
Windows 10 verze 1507 Windows 10 verze 1607 Windows Server 2016 Windows 10 verze 1703 |
13. srpna 2019 |
Povinné: Aktualizace pro starší verze Windows budou vyžadovat, aby byla nainstalovaná podpora podepisování kódu SHA-2. Podpora vydaná v březnu(KB4474419 a KB4490628)se bude potřebná, aby bylo možné dál dostávat aktualizace v těchto verzích Windows. Pokud máte zařízení nebo virtuální počítač se spouštěním EFI, přečtěte si část Časté otázky, kde najdete další kroky, které zabrání potížím, kdy se zařízení nemusí spustit. Všechny starší podpisy aktualizací systému Windows se změnily jenom v tuto chvíli z SHA-1 a duálního podepsaného (SHA-1/SHA-2) na SHA-2. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
10. září 2019 |
Starší podpisy aktualizací windows se změnily jenom z duálního podepsaného (SHA-1/SHA-2) na SHA-2. Nevyžaduje se žádná akce zákazníka. |
Windows Server 2012 Windows 8.1 Windows Server 2012 R2 |
10. září 2019 |
Samostatná aktualizace zabezpečení KB4474419 byla znovu vydána, aby bylo možno přidat chybějící správce spouštění EFI. Ujistěte se prosím, že je tato verze nainstalovaná. |
Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
28. ledna 2020 |
Podpisy v seznamech důvěryhodných certifikátů pro důvěryhodnou kořenovou aplikaci společnosti Microsoft se změnily pouze z duálního podepsaného (SHA-1/SHA-2) na SHA-2. Nevyžaduje se žádná akce zákazníka. |
Všechny podporované platformy Windows |
Srpen 2020 |
Koncové body služby založené na službě Windows Update SHA-1 už nejsou k dispozici. Tento problém se jen docíní starších zařízení s Windows, u kterých nejsou aktualizovány příslušné aktualizace zabezpečení. Další informace najdete v článku KB4569557. |
Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1 |
3. srpna 2020 |
Vyřazený obsah Microsoftu, který je podepsaný systémem Windows a používá algoritmus zabezpečeného hash algoritmu 1 (SHA-1) z webu Microsoft Download Center. Další informace najdete v článku o obsahu SHA-1 systému Windows v systému Windows pro windows v systému Windows, který bude vyřazen 3. srpna 2020. |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Server |
Aktuální stav
Windows 7 SP1 a Windows Server 2008 R2 SP1
Před instalací všech aktualizací vydaných 13. srpna 2019 nebo novějším se musí nainstalovat následující požadované aktualizace a zařízení se restartuje. Požadované aktualizace je možné nainstalovat v libovolném pořadí a není nutné je znovu instalovat, pokud neexistuje nová verze požadované aktualizace.
-
Aktualizace sady služeb (SSU)(KB4490628) Pokud používáte Windows Update, zobrazí se vám automaticky požadovaná služba SSU.
-
Aktualizace SHA-2(KB4474419)vydaná 10. září 2019. Pokud používáte službu Windows Update, zobrazí se vám automaticky požadovaná aktualizace SHA-2.
Důležité Po instalaci všech požadovaných aktualizací musíte zařízení restartovat před instalací jakékoli měsíční kumulativní aktualizace, aktualizace pouze zabezpečení, verze Preview měsíční kumulativní aktualizace nebo samostatné aktualizace.
Windows Server 2008 SP2
Před instalací libovolné kumulativní aktualizace vydané 10. září 2019 nebo novější se musí nainstalovat následující aktualizace a zařízení se restartuje. Požadované aktualizace je možné nainstalovat v libovolném pořadí a není nutné je znovu instalovat, pokud neexistuje nová verze požadované aktualizace.
-
Aktualizace sady služeb (SSU)(KB4493730). Pokud používáte Windows Update, zobrazí se vám automaticky požadovaná aktualizace SSU.
-
Nejnovější aktualizace SHA-2(KB4474419)vydaná 10. září 2019. Pokud používáte službu Windows Update, zobrazí se vám automaticky požadovaná aktualizace SHA-2.
Důležité Po instalaci všech požadovaných aktualizací musíte zařízení restartovat před instalací jakékoli měsíční kumulativní aktualizace, aktualizace pouze zabezpečení, verze Preview měsíční kumulativní aktualizace nebo samostatné aktualizace.
Časté otázky
Obecné informace, plánování a prevence problémů
Podpora podepisování kódu SHA-2 byla odeslána brzy, aby se zajistilo, že většina zákazníků bude mít podporu včas před změnou microsoftu na podpis SHA-2 pro aktualizace těchto systémů. Samostatné aktualizace zahrnují některé další opravy a jsou k dispozici, aby se zajistilo, že všechny aktualizace sha-2 budou obsahovat malý počet snadno identifikovatelných aktualizací. Microsoft doporučuje, aby zákazníci, kteří pro tyto OS udržuje systémové obrázky, aby tyto aktualizace u obrázků uchovávat.
Od verze WSUS 4.0 ve Windows Serveru 2012 už WSUS podporuje aktualizace s podpisem SHA-2 a není pro tyto verze potřeba žádná akce zákazníka.
Jenom WSUS 3.0 SP2 vyžaduje instalaci aktualizace KB4484071tak, aby podporovala pouze podepsané aktualizace pomocí funkce SHA2.
Předpokládejme, že spustíte Windows Server 2008 SP2. Pokud máte duální spuštění s Windows Serverem 2008 R2 SP1/Windows 7 SP1, správce spouštění pro tento typ systému pochází ze systému Windows Server 2008 R2 nebo Windows 7. Aby se oba tyto systémy úspěšně aktualizovaly tak, aby podporovaly algoritmus SHA-2, musíte nejdřív aktualizovat systém Windows Server 2008 R2/Windows 7 tak, aby byl správce spouštění aktualizovaný na verzi, která podporuje SHA-2. Potom aktualizujte systém Windows Server 2008 SP2 pomocí podpory SHA-2.
Podobně jako ve scénáři s dvojitým spouštěním musí být prostředí Windows 7 PE aktualizované na podporu SHA-2. Systém Windows Server 2008 SP2 pak musí být aktualizovaný na podporu SHA-2.
-
Před instalací aktualizací ze 13. srpna 2019 nebo novějšího spusťte instalaci Windows do dokončení a spuštění Windows.
-
Otevřete okno příkazového řádku správce a spusťte bcdboot.exe. Tím se zkopírují spouštěcí soubory z adresáře Windows a nastaví se prostředí spouštění. Další podrobnosti najdete v Command-Line možnostech aplikace BCDBoot.
-
Před instalací dalších aktualizací nainstalujte nové verze KB4474419 a KB4490628 pro Windows 7 SP1 a Windows Server 2008 R2 SP1 z 13. srpna 2019.
-
Restartujte operační systém. Toto restartování je povinné.
-
Nainstalujte všechny zbývající aktualizace.
-
Nainstalujte obrázek na disk a spusťte ho do Windows.
-
Na příkazovém řádku spusťte příkaz bcdboot.exe. Tím se zkopírují spouštěcí soubory z adresáře Windows a nastaví se prostředí spouštění. Další podrobnosti najdete v Command-Line možnostech aplikace BCDBoot.
-
Před instalací dalších aktualizací nainstalujte znovu vy verze KB4474419 z 23. září 2019 a KB4490628 pro Windows 7 SP1 a Windows Server 2008 R2 SP1.
-
Restartujte operační systém. Toto restartování je povinné.
-
Nainstalujte všechny zbývající aktualizace.
Ano, než budete pokračovat, budete muset nainstalovat požadované aktualizace: SSU(KB4490628)a aktualizace SHA-2(KB4474419). Po instalaci požadovaných aktualizací budete také povinni zařízení restartovat před instalací dalších aktualizací.
Windows 10 verze 1903 podporuje SHA-2, protože je vy release a všechny aktualizace už jsou podepsané jenom SHA-2. Pro tuto verzi Windows není potřeba žádná akce.
Windows 7 SP1 a Windows Server 2008 R2 SP1
-
Před instalací aktualizací ze 13. srpna 2019 nebo novějších verzí spusťte Windows.
-
Před instalací dalších aktualizací nainstalujte znovu vy verze KB4474419 z 23. září 2019 a KB4490628 proWindows 7 SP1 a Windows Server 2008 R2 SP1.
-
Restartujte operační systém. Toto restartování je povinné.
-
Nainstalujte všechny zbývající aktualizace.
Windows Server 2008 SP2
-
Před instalací všech aktualizací z 9. července 2019 nebo novější verze spusťte Windows.
-
Před instalací dalších aktualizací nainstalujte re-verzi KB4474419 z 23. září 2019 a KB4493730 pro Windows Server 2008 SP2.
-
Restartujte operační systém. Toto restartování je povinné.
-
Nainstalujte všechny zbývající aktualizace.
Problém s obnovením
Pokud se zobrazí chybová 0xc0000428 se zprávou "Systém Windows nemůže ověřit digitální podpis pro tento soubor. Poslední změna hardwaru nebo softwaru mohla mít nainstalovaný nesprávně podepsaný nebo poškozený soubor nebo škodlivý software z neznámého zdroje." obnovte soubor takto.
-
Spusťte operační systém pomocí média pro obnovení.
-
Před instalací dalších aktualizací si nainstalujte aktualizaci KB4474419, která je zastaralá 23. září 2019 nebo novější pomocí nástrojeDisM(Deployment Image Servicing and Management) pro Windows 7 SP1 a Windows Server 2008 R2 SP1.
-
Na příkazovém řádku spusťte příkaz bcdboot.exe. Tím se zkopírují spouštěcí soubory z adresáře Windows a nastaví se prostředí spouštění. Další podrobnosti najdete v Command-Line možnostech aplikace BCDBoot.
-
Restartujte operační systém.
-
Zastavit nasazení na jiná zařízení a nerestartovat žádná zařízení ani virtuální počítače, které se ještě nerestartoval.
-
Identifikujte zařízení a virtuální počítače v stavu čekání na restartování s aktualizacemi vydanými 13. srpna 2019 nebo novějším a otevřením příkazového řádku se zvýšenými oprávněními
-
Najděte identitu balíčku pro aktualizaci, kterou chcete odebrat, pomocí následujícího příkazu s číslem KB pro tuto aktualizaci (4512506 nahraďte číslem KB, které chcete cílet, pokud to není měsíční kumulativní aktualizace vydaná 13. srpna 2019): dism /online /get-packages | findstr 4512506
-
Pomocí následujícího příkazu odeberte aktualizaci a nahraďte > identitou balíčku<obsahem z předchozího příkazu: Dism.exe /online /remove-package /packagename:<identity balíčku>
-
Teď bude potřeba nainstalovat požadované aktualizace uvedené v části Jak získat tuto aktualizaci v aktualizaci, kterou se pokoušíte nainstalovat, nebo požadované aktualizace uvedené výše v části Aktuální stav v tomto článku.
PoznámkaNa jakémkoli zařízení nebo virtuálním telefonu, na které se momentálně 0xc0000428 nebo které začínáte s obnovovacím prostředím, budete muset postupovat podle pokynů v nejčastějších dotazech na chybové 0xc0000428.
Pokud narazíte na tyto chyby, musíte nainstalovat požadované aktualizace uvedené v části Jak získat tuto aktualizaci aktualizace, kterou se pokoušíte nainstalovat, nebo požadované aktualizace uvedené výše v části Aktuální stav v tomto článku.
Pokud se zobrazí chybová 0xc0000428 se zprávou "Systém Windows nemůže ověřit digitální podpis pro tento soubor. Poslední změna hardwaru nebo softwaru mohla mít nainstalovaný nesprávně podepsaný nebo poškozený soubor nebo škodlivý software z neznámého zdroje." obnovte soubor takto.
-
Spusťte operační systém pomocí média pro obnovení.
-
Nainstalujte nejnovější aktualizaci SHA-2(KB4474419)vydanou 13. srpna 2019 nebo po této aktualizaci pomocí nástrojeDISM(Deployment Image Servicing and Management) pro Windows 7 SP1 a Windows Server 2008 R2 SP1.
-
Restartujte médium pro obnovení. Toto restartování je povinné.
-
Na příkazovém řádku spusťte příkaz bcdboot.exe. Tím se zkopírují spouštěcí soubory z adresáře Windows a nastaví se prostředí spouštění. Další podrobnosti najdete v Command-Line možnostech aplikace BCDBoot.
-
Restartujte operační systém.
Pokud narazíte na tento problém, můžete tento problém zmírnit otevřením okna příkazového řádku a spuštěním následujícího příkazu nainstalovat aktualizaci (nahraďte zástupný symbol <msu location> skutečným umístěním> názvem souboru aktualizace):
wusa.exe <msu location> /quiet
Tento problém řeší aktualizace KB4474419 vydaná 8. října 2019. Tato aktualizace se nainstaluje automaticky ze služeb Windows Update a Windows Server Update Services (WSUS). Pokud potřebujete tuto aktualizaci nainstalovat ručně, budete muset použít výše uvedené alternativní řešení.
PoznámkaPokud jste si dříve nainstalovali aktualizaci KB4474419 vydanou 23. září 2019, pak už máte nejnovější verzi této aktualizace a nepotřebujete ji přeinstalovat.