Oversigt
For at beskytte sikkerheden for Windows-operativsystemet blev opdateringer tidligere signeret (ved hjælp af både SHA-1- og SHA-2-hash-algoritmerne). Signaturerne bruges til at godkende, at opdateringerne kommer direkte fra Microsoft og ikke blev ændret under levering. På grund af det, der gælder i SHA-1-algoritmen og i overensstemmelse med branchestandarderne, har vi ændret signeringen af Windows-opdateringer, så den anvender den mere sikre SHA-2-algoritme udelukkende. Denne ændring blev foretaget i faser fra april 2019 til september 2019 for at muliggøre problemfri migrering (se afsnittet "Tidsplan for produktopdatering" for at få mere at vide om ændringerne).
Kunder, der kører ældre OS-versioner (Windows 7 SP1, Windows Server 2008 R2 SP1 og Windows Server 2008 SP2), skal have SHA-2-kodeunderstøttelse installeret på deres enheder for at installere opdateringer, der er udgivet d. eller efter juli 2019. Enheder uden SHA-2-understøttelse kan ikke installere Windows-opdateringer på eller efter juli 2019. Som hjælp til at forberede dig til denne ændring har vi frigivet support til SHA-2, der logger på fra marts 2019, og har foretaget trinvise forbedringer. Windows Server Update Services (WSUS) 3.0 SP2 modtager SHA-2-understøttelse for sikkert at levere SHA-2-signerede opdateringer. Se afsnittet "Tidsplan for produktopdatering" for kun OVERFØRSELstidslinjen SHA-2.
Baggrundsoplysninger
Secure Hash Algorithm 1 (SHA-1) blev udviklet som en uoprettelig hashingsfunktion og bruges i stor udstrækning som en del af kodesignering. Sikkerheden for SHA-1-hash-algoritmen er blevet mindre sikker over tid på grund af de sikkerhedsfunktioner, der findes i algoritmen, øget processorydeevne og adgang til cloud computing. Stærkere alternativer som f.eks. Secure Hash Algorithm 2 (SHA-2) er nu meget foretrukne, da de ikke oplever de samme problemer. Du kan finde flere oplysninger om udrådning af SHA-1 i Hash- og Signaturalgoritmer.
Tidsplan for produktopdatering
Fra og med starten af 2019 begyndte overførselsprocessen til SHA-2-understøttelse i faser, og supporten leveres i enkeltstående opdateringer. Microsoft målretter følgende tidsplan for at tilbyde SHA-2-support. Bemærk, at følgende tidslinje kan ændres. Vi fortsætter med at opdatere denne side efter behov.
|
Måldato |
Begivenhed |
Gælder for |
|
12. marts 2019 |
Enkeltstående sikkerhedsopdateringer KB4474419 og KB4490628 udgivet for at introducere understøttelse af SHA-2-kodetegn. |
Windows 7 SP1 |
|
12. marts 2019 |
Enkeltstående opdatering, KB4484071 er tilgængelig på Windows Update-kataloget til WSUS 3.0 SP2, der understøtter levering af SHA-2-signerede opdateringer. For de kunder, der bruger WSUS 3.0 SP2, skal denne opdatering installeres manuelt senest den 18. juni 2019. |
WSUS 3.0 SP2 |
|
9. april 2019 |
Enkeltstående opdatering, KB4493730, der introducerer SHA-2-kodetegnssupport til serviceringsstakken (SSU), blev udgivet som en sikkerhedsopdatering. |
Windows Server 2008 SP2 |
|
14. maj 2019 |
Enkeltstående sikkerhedsopdatering KB4474419 udgivet til at introducere understøttelse af SHA-2-kodetegn. |
Windows Server 2008 SP2 |
|
11. juni 2019 |
Enkeltstående sikkerhedsopdatering KB4474419udgivet igen for at tilføje manglende understøttelse af MSI SHA-2-kodetegn. |
Windows Server 2008 SP2 |
|
18. juni 2019 |
Windows 10 opdaterer signaturer ændret fra to signerede (SHA-1/SHA-2) til kun SHA-2. Ingen kundehandling påkrævet. |
Windows 10, version 1709 |
|
18. juni 2019 |
Påkrævet: For de kunder, der bruger WSUS 3.0 SP2, skal KB4484071 være manuelt installeret på denne dato for at understøtte SHA-2-opdateringer. |
WSUS 3.0 SP2 |
|
9. juli 2019 |
Påkrævet: Opdateringer til ældre versioner af Windows kræver, at understøttelse af SHA-2-kodeunderstøttelse er installeret. Den support, der blev udgivet i april og maj(KB4493730 og KB4474419),vil være påkrævet for fortsat at kunne modtage opdateringer til disse versioner af Windows. Alle ældre Windows-opdateringer-signaturer er ændret fra SHA1 og to signerede (SHA-1/SHA-2) til SHA-2 på nuværende tidspunkt. |
Windows Server 2008 SP2 |
|
16. juli 2019 |
Windows 10 opdaterer signaturer ændret fra to signerede (SHA-1/SHA-2) til kun SHA-2. Ingen kundehandling påkrævet. |
Windows 10, version 1507 |
|
13. august 2019 |
Påkrævet: Opdateringer til ældre versioner af Windows kræver, at understøttelse af SHA-2-kodeunderstøttelse er installeret. Den support, der blev udgivet i marts(KB4474419 og KB4490628),vil være påkrævet for fortsat at kunne modtage opdateringer om disse versioner af Windows. Hvis du har en enhed eller VM, der bruger EFI-start, skal du se afsnittet med ofte stillede spørgsmål for at få yderligere trin til at forhindre et problem, hvor enheden muligvis ikke starter. Alle ældre Windows-opdateringer- signaturer er ændret fra SHA-1 og dual signed (SHA-1/SHA-2) til SHA-2 på nuværende tidspunkt. |
Windows 7 SP1 |
|
10. september 2019 |
Ældre Windows-opdateringssignaturer er ændret fra kun dobbeltsigneret (SHA-1/SHA-2) til SHA-2. Ingen kundehandling påkrævet. |
Windows Server 2012 |
|
10. september 2019 |
Enkeltstående sikkerhedsopdatering KB4474419 blev frigivet igen for at tilføje manglende EFI-boot manger. Sørg for, at denne version er installeret. |
Windows 7 SP1 |
|
28. januar 2020 |
Signaturer på listerne over certifikattillidstegn (CTLs) for Microsofts rodprogram, der er tillid til, er ændret fra kun sha-1/SHA-2 til SHA-2. Ingen kundehandling påkrævet. |
Alle understøttede Windows-platforme |
|
August 2020 |
Windows Update SHA-1-baserede tjenesteslutpunkter er udgået. Dette påvirker kun ældre Windows-enheder, der ikke er opdateret med relevante sikkerhedsopdateringer. Du kan finde flere oplysninger i KB4569557. |
Windows 7 |
|
3. august 2020 |
Microsoft har udgået indhold, der er signeret med Windows for Secure Hash Algorithm 1 (SHA-1) fra Microsoft Download Center. Du kan finde flere oplysninger i Windows IT Pro-bloggens SHA-1 Windows-indhold, så det kan udgås 3. august 2020. |
Windows Server 2000 |
Aktuel status
Windows 7 SP1 og Windows Server 2008 R2 SP1
Følgende nødvendige opdateringer skal installeres og derefter genstartes enheden, før du installerer opdateringer, der er udgivet d. 13. august 2019 eller nyere. De nødvendige opdateringer kan installeres i en hvilken som helst rækkefølge og behøver ikke geninstalleres, medmindre der er en ny version af den påkrævede opdatering.
-
Opdatering af SSU (Servicing Stack)(KB4490628). Hvis du bruger Windows Update, tilbydes den påkrævede SSU automatisk.
-
SHA-2-opdatering(KB4474419)udgivet 10. september 2019. Hvis du bruger Windows Update, tilbydes den nødvendige SHA-2-opdatering automatisk.
Vigtigt! Du skal genstarte enheden, når du har installeret alle de nødvendige opdateringer, før du installerer månedlig opdateringspakke, kun sikkerhedsopdatering, prøveversion af månedlig opdateringsopdatering eller enkeltstående opdatering.
Windows Server 2008 SP2
Følgende opdateringer skal installeres og derefter genstartes enheden, før du installerer en opdatering, der er udgivet d. 10. september 2019 eller nyere. De nødvendige opdateringer kan installeres i en hvilken som helst rækkefølge og behøver ikke geninstalleres, medmindre der er en ny version af den påkrævede opdatering.
-
Opdatering af SSU (Servicing Stack)(KB4493730). Hvis du bruger Windows Update, tilbydes den nødvendige SSU-opdatering automatisk.
-
Den seneste SHA-2-opdatering(KB4474419)udgivet 10. september 2019. Hvis du bruger Windows Update, tilbydes den nødvendige SHA-2-opdatering automatisk.
Vigtigt! Du skal genstarte enheden, når du har installeret alle de nødvendige opdateringer, før du installerer månedlig opdateringspakke, kun sikkerhedsopdatering, prøveversion af månedlig opdateringsopdatering eller enkeltstående opdatering.
Ofte stillede spørgsmål
Generelle oplysninger, planlægning og forebyggelse af problemer
Understøttelsen af SHA-2-kodesignering blev sendt tidligt for at sikre, at de fleste kunder ville have supporten i god tid forud for Microsofts ændring af SHA-2-signering for opdateringer til disse systemer. De enkeltstående opdateringer omfatter nogle yderligere rettelser, og de bliver gjort tilgængelige for at sikre, at alle SHA-2-opdateringerne findes i et lille antal let identificerbare opdateringer. Microsoft anbefaler, at kunder, der vedligeholder systembilleder for disse OS'er, anvender disse opdateringer på billederne.
Fra og med WSUS 4.0 på Windows Server 2012 understøtter WSUS allerede SHA-2-signerede opdateringer, og der kræves ingen kundehandling for disse versioner.
Kun WSUS 3.0 SP2 skal have KB4484071installeret for kun at understøtte SHA2-signerede opdateringer.
Antag, at du kører Windows Server 2008 SP2. Hvis du starter to gange med Windows Server 2008 R2 SP1/Windows 7 SP1, er startstyringen for denne type system fra Windows Server 2008 R2/Windows 7-systemet. For at kunne opdatere begge systemer til at bruge SHA-2-understøttelse skal du først opdatere Windows Server 2008 R2/Windows 7-systemet, så startstyringen opdateres til den version, der understøtter SHA-2. Opdater derefter Windows Server 2008 SP2-systemet med SHA-2-understøttelse.
Ligesom scenariet med dobbelt start skal Windows 7 PE-miljøet opdateres til SHA-2-understøttelse. Derefter skal Windows Server 2008 SP2-systemet opdateres til SHA-2-understøttelse.
-
Kør Windows-konfigurationen for at fuldføre og starte i Windows, før du installerer opdateringerne for 13. august 2019 eller nyere
-
Åbn et administratorkommandopromptvindue, kør bcdboot.exe. Dette kopierer startfilerne fra Windows-mappen og konfigurerer startmiljøet. Se BCDBoot-Command-Line for at få flere oplysninger.
-
Før du installerer yderligere opdateringer, skal du installere den 13. august 2019 nye version af KB4474419 og KB4490628 til Windows 7 SP1 og Windows Server 2008 R2 SP1.
-
Genstart operativsystemet. Denne genstart er påkrævet
-
Installér eventuelle resterende opdateringer.
-
Installer billedet på disken, og start i Windows.
-
Ved kommandoprompten skal du kørebcdboot.exe. Dette kopierer startfilerne fra Windows-mappen og konfigurerer startmiljøet. Se BCDBoot-Command-Line for at få flere oplysninger.
-
Før du installerer yderligere opdateringer, skal du installere den nye version af KB4474419 og KB4490628 til Windows 7 SP1 og Windows Server 2008 R2 SP1 for september 2019.
-
Genstart operativsystemet. Denne genstart er påkrævet
-
Installér eventuelle resterende opdateringer.
Ja, du skal installere de nødvendige opdateringer, før du fortsætter: SSU(KB4490628)og SHA-2-opdatering (KB4474419). Du skal også genstarte enheden, når du har installeret de nødvendige opdateringer, før du installerer yderligere opdateringer.
Windows 10 version 1903 understøtter SHA-2, da den udgives, og alle opdateringer allerede er allerede SHA-2 kun signeret. Der kræves ingen handling for denne version af Windows.
Windows 7 SP1 og Windows Server 2008 R2 SP1
-
Start i Windows, før du installerer opdateringer for 13. august 2019 eller nyere.
-
Før du installerer yderligere opdateringer, skal du installere den 23. september 2019 nye version af KB4474419 og KB4490628til Windows 7 SP1 og Windows Server 2008 R2 SP1.
-
Genstart operativsystemet. Denne genstart er påkrævet
-
Installér eventuelle resterende opdateringer.
Windows Server 2008 SP2
-
Start i Windows, før du installerer opdateringer d. 9. juli 2019 eller nyere.
-
Før du installerer yderligere opdateringer, skal du installere den 23. september 2019 nye version af KB4474419 og KB4493730 til Windows Server 2008 SP2.
-
Genstart operativsystemet. Denne genstart er påkrævet
-
Installér eventuelle resterende opdateringer.
Problem med genoprettelse
Hvis du får vist fejlmeddelelsen 0xc0000428 meddelelsen "Windows kan ikke bekræfte den digitale signatur for denne fil. En nylig hardware- eller softwareændring kan have installeret en fil, der er signeret forkert eller beskadiget, eller som kan være skadelig software fra en ukendt kilde." skal du følge disse trin for at gendanne.
-
Start operativsystemet ved hjælp af genoprettelsesmedier.
-
Før du installerer yderligere opdateringer, skal du installere opdateringen KB4474419, der er dateret d. 23. september 2019 eller en nyere dato ved hjælp afDISM(Deployment Image Servicing and Management) til Windows 7 SP1 og Windows Server 2008 R2 SP1.
-
Ved kommandoprompten skal du kørebcdboot.exe. Dette kopierer startfilerne fra Windows-mappen og konfigurerer startmiljøet. Se BCDBoot-Command-Line for at få flere oplysninger.
-
Genstart operativsystemet.
-
Stands udrulning til andre enheder, og genstart ikke enheder eller VM'er, der ikke allerede er genstartet.
-
Identificer enheder og VM'er i ventende tilstand ved genstart med opdateringer, der er udgivet d. 13. august 2019 eller nyere, og åbn en kommandoprompt med administratorerne
-
Find pakkeidentiteten for den opdatering, du vil fjerne, ved hjælp af følgende kommando ved hjælp af KB-nummeret for den pågældende opdatering (erstat 4512506 med det KB-nummer, du målretter, hvis det ikke er den månedlige opdatering, der blev udgivet d. 13. august 2019): dism /online /get-packages | findstr 4512506
-
Brug følgende kommando til at fjerne opdateringen og erstatte<-pakkeidentitet > med det, der blev fundet i den forrige kommando: Dism.exe /online /remove-package /packagename:< pakkeidentitet>
-
Du skal nu installere de nødvendige opdateringer, der er angivet i afsnittet Sådan får du denne opdatering af den opdatering, du forsøger at installere, eller de nødvendige opdateringer, der er angivet ovenfor i sektionen Aktuel status i denne artikel.
Bemærk! Enhver enhed eller VM, du modtager en fejl 0xc0000428 eller som starter i genoprettelsesmiljøet, skal du følge trinnene i de ofte stillede spørgsmål for fejl 0xc0000428.
Hvis du støder på disse fejl, skal du installere de nødvendige opdateringer, der er angivet i afsnittet Sådan får du denne opdatering af den opdatering, du forsøger at installere, eller de nødvendige opdateringer, der er angivet ovenfor i afsnittet Aktuel status i denne artikel.
Hvis du får vist fejlmeddelelsen 0xc0000428 meddelelsen "Windows kan ikke bekræfte den digitale signatur for denne fil. En nylig hardware- eller softwareændring kan have installeret en fil, der er signeret forkert eller beskadiget, eller som kan være skadelig software fra en ukendt kilde." skal du følge disse trin for at gendanne.
-
Start operativsystemet ved hjælp af genoprettelsesmedier.
-
Installer den seneste SHA-2-opdatering(KB4474419),der blev udgivet d. 13. august 2019, ved hjælp afDISM(Deployment Image Servicing and Management) til Windows 7 SP1 og Windows Server 2008 R2 SP1.
-
Genstart i genoprettelsesmedierne. Denne genstart er påkrævet
-
Ved kommandoprompten skal du kørebcdboot.exe. Dette kopierer startfilerne fra Windows-mappen og konfigurerer startmiljøet. Se BCDBoot-Command-Line for at få flere oplysninger.
-
Genstart operativsystemet.
Hvis du støder på dette problem, kan du afhjælpe problemet ved at åbne et kommandopromptvindue og køre følgende kommando for at installere opdateringen (erstat pladsholderen <msu-placering> med den faktiske placering og filnavnet for opdateringen):
wusa.exe <msu-placering> /quiet
Dette problem er løst i KB4474419, der blev udgivet d. 8. oktober 2019. Denne opdatering installeres automatisk fra Windows Update og Windows Server Update Services (WSUS). Hvis du har brug for at installere denne opdatering manuelt, skal du bruge løsningen ovenfor.
Bemærk! Hvis du tidligere har installeret KB4474419 udgivet 23. september 2019, har du allerede den nyeste version af denne opdatering og behøver ikke at geninstallere.
