Unterstützung der SHA-2-Codesignierung für Windows und WSUS (2019)

Gilt für: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

Zusammenfassung


Um Ihre Sicherheit zu gewährleisten, werden Windows-Betriebssystem-Updates mit zwei Signaturen versehen, die sowohl die SHA-1- als auch die SHA-2-Hash-Algorithmen verwenden, um zu bestätigen, dass Updates direkt von Microsoft stammen und bei der Auslieferung nicht manipuliert wurden. Aufgrund von Schwächen im SHA-1-Algorithmus und zur Anpassung an Branchenstandards wird Microsoft Windows-Aktualisierungen nur mit Signaturen mit dem sichereren SHA-2-Algorithmus versehen.

Kunden, die ältere Betriebssystemversionen (Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2) verwenden, müssen bis Juli 2019 die SHA-2-Code-Signierungsunterstützung auf ihren Geräten installiert haben. Alle Geräte ohne SHA-2-Unterstützung erhalten ab Juli 2019 keine Windows-Updates mehr. Um Sie auf diese Änderung vorzubereiten, werden wir die Unterstützung für die Signierung mit SHA-2 im Jahr 2019 freigeben. Windows Server Update Services (WSUS) 3.0 SP2 erhält SHA-2-Unterstützung, um mit SHA-2 signierte Updates ordnungsgemäß bereitzustellen. Den Zeitplan für die Migration finden Sie im Abschnitt Produkt-Updates.

Hintergrundinformationen


Der Secure Hash Algorithmus 1 (SHA-1) wurde als irreversible Hash-Funktion entwickelt und wird häufig als Teil der Code-Signatur verwendet. Leider ist die Sicherheit des SHA-1-Hash-Algorithmus im Laufe der Zeit aufgrund von Schwächen des Algorithmus, erhöhter Prozessorleistung und dem Aufkommen von Cloud Computing immer weniger sicher geworden. Stärkere Alternativen wie der Secure Hash Algorithmus 2 (SHA-2) werden heute stark bevorzugt, da sie nicht unter den gleichen Problemen leiden. Weitere Informationen über den Bedeutungsverlust des SHA-1 finden Sie unter Hash- und Signatur-Algorithmen.

Produktupdates


Ab Anfang 2019 wird der Migrationsprozess zu SHA-2 in Phasen durchgeführt, und der Support wird in eigenständigen Updatesbereitgestellt. Microsoft zielt auf den folgenden Zeitplan ab, um Support für SHA-2 anzubieten. Beachten Sie, dass sich der Zeitplan ändern kann. Wir werden diese Seite zu Beginn des Prozesses und bei Bedarf aktualisieren.

Zieltermin

Ereignis

Die Informationen in diesem Artikel beziehen sich auf

Dienstag, 12. März 2019

Eigenständige Sicherheitsupdates KB4474419 und KB4490628 wurden zur Einführung der Unterstützung von Code-Signierung mit SHA-2 freigegeben.

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

Dienstag, 12. März 2019

Das eigenständige Update KB4484071 ist im Windows Update-Katalog für WSUS 3.0 SP2 verfügbar, das die Bereitstellung von mit SHA-2 signierten Updates unterstützt. Für Kunden, die WSUS 3.0 SP2 verwenden, sollte dieses Update bis spätestens 18. Juni 2019 manuell installiert werden.

WSUS 3.0 SP2

Dienstag, 9. April 2019

Eigenständiges Update KB4493730, das die Unterstützung der Code-Signatur mit SHA-2 für den Servicing Stack (SSU) einführt, wurde als Sicherheitsupdate veröffentlicht.

Windows Server 2008 SP2
Dienstag, 14. Mai 2019 Eigenständiges Sicherheitsupdate KB4474419 freigegeben zur Einführung der SHA-2-Codezeichenunterstützung. Windows Server 2008 SP2
Dienstag, 18. Juni 2019 Die Signaturen von Updates für Windows 10 wurden von doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich. Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019
Dienstag, 18. Juni 2019 Erforderlich: Bei Kunden, die WSUS 3.0 SP2 verwenden, muss KB4484071 bis zu diesem Datum manuell installiert werden, um SHA-2-Updates zu unterstützen. WSUS 3.0 SP2

Dienstag, 9. Juli 2019

Erforderlich: Updates für ältere Windows-Versionen erfordern die Installation der Unterstützung für SHA-2-Code-Signierung. Die im April und Mai veröffentlichte Unterstützungen (KB4493730 und KB4474419) sind erforderlich, um weiterhin Updates für diese Windows-Versionen zu erhalten.

Windows Server 2008 SP2
Dienstag, 16. Juli 2019 Die Signaturen von Updates für Windows 10 wurden von doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich. Windows 10 1507,
Windows 10 1607,
Windows 10 1703
Dienstag, 13. August 2019 Erforderlich: Updates für ältere Windows-Versionen erfordern die Installation der Unterstützung für SHA-2-Code-Signierung. Die im März veröffentlichten Unterstützungen (KB4474419 und KB4490628) sind erforderlich, um weiterhin Updates für diese Windows-Versionen zu erhalten. Windows 7 SP1,
Windows Server 2008 R2 SP1
Dienstag, 13. August 2019 Signaturen von Updates für ältere Windows-Versionen wurden von doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich. Windows Server 2008 SP2
Montag, 16. September 2019 Signaturen von Updates für ältere Windows-Versionen wurden von doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich. Windows 7 SP1,
Windows Server 2008 R2 SP1,
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2

Häufig gestellte Fragen