Unterstützung der SHA-2-Codesignierung für Windows und WSUS (2019)

Gilt für: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

Zusammenfassung


Um die Sicherheit des Windows-Betriebssystems zu gewährleisten, wurden bereits früher Updates signiert (sowohl mit den SHA-1- als auch mit SHA-2-Hash-Algorithmen). Die Signaturen werden verwendet, um zu bestätigen, dass die Updates direkt von Microsoft stammen und bei der Bereitstellung nicht manipuliert wurden. Aufgrund von Schwächen im SHA-1-Algorithmus und zur Anpassung an die Branchenstandards werden Windows-Updates nun ausschließlich mit dem sichereren SHA-2-Algorithmus signiert. Diese Umstellung erfolgte in Phasen von April 2019 bis September 2019, um eine reibungslose Migration zu ermöglichen (weitere Informationen zu den Änderungen finden Sie im Abschnitt „Zeitplan für Produkt-Updates“).

Kunden, die ältere Betriebssystemversionen (Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2) benutzen, müssen die Unterstützung für das Signieren mit SHA-2-Code auf ihren Geräten installiert haben, um Updates zu installieren, die ab Juli 2019 veröffentlicht werden. Auf allen Geräten ohne SHA-2-Unterstützung können ab Juli 2019 keine Windows-Updates mehr installiert werden. Um Sie auf diese Änderung vorzubereiten, haben wir die Unterstützung für die Signierung von SHA-2 ab März 2019 freigegeben und schrittweise verbessert. Windows Server Update Services (WSUS) 3.0 SP2 erhält SHA-2-Unterstützung, um mit SHA-2 signierte Updates ordnungsgemäß bereitzustellen. Bitte beachten Sie den Abschnitt „Zeitplan für Produkt-Updates“ für den Zeitrahmen der Umstellung auf ausschließlich SHA-2.

Hintergrundinformationen


Der Secure Hash Algorithmus 1 (SHA-1) wurde als irreversible Hash-Funktion entwickelt und wird häufig als Teil der Code-Signatur verwendet. Leider hat die Sicherheit des SHA-1-Hash-Algorithmus im Laufe der Zeit nachgelassen. Dies ist auf die Schwächen des Algorithmus, die erhöhte Prozessorleistung und das Aufkommen von Cloud Computing zurückzuführen. Heute werden stärkere Alternativen wie der Secure Hash Algorithm 2 (SHA-2) bevorzugt, da sie nicht die gleichen Probleme aufweisen. Weitere Informationen über den Bedeutungsverlust von SHA-1 finden Sie unter Hash- und Signatur-Algorithmen.

Zeitplan für Produktupdates


Ab Anfang 2019 begann die phasenweise Einführung der SHA-2-Unterstützung. Sie wird in Form von eigenständigen Updates durchgeführt. Microsoft zielt auf den folgenden Zeitplan ab, um Support für SHA-2 anzubieten. Bitte beachten Sie, dass sich der folgende Zeitplan ändern kann. Diese Seite wird bei Bedarf aktualisiert.

Zieltermin

Ereignis

Die Informationen in diesem Artikel beziehen sich auf

12. März 2019

Eigenständige Sicherheitsupdates KB4474419 und KB4490628 wurden zur Einführung der Unterstützung von Code-Signierung mit SHA-2 freigegeben.

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

12. März 2019

Das eigenständige Update KB4484071 ist im Windows Update-Katalog für WSUS 3.0 SP2 verfügbar, das die Bereitstellung von mit SHA-2 signierten Updates unterstützt. Für Kunden, die WSUS 3.0 SP2 verwenden, sollte dieses Update bis spätestens 18. Juni 2019 manuell installiert werden.

WSUS 3.0 SP2

9. April 2019

Das eigenständige Update KB4493730, das die Unterstützung der Code-Signatur mit SHA-2 für den Servicing Stack (SSU) einführt, wurde als Sicherheitsupdate veröffentlicht.

Windows Server 2008 SP2
14. Mai 2019 Eigenständiges Sicherheitsupdate KB4474419 freigegeben zur Einführung der SHA-2-Codezeichenunterstützung. Windows Server 2008 SP2
11. Juni 2019 Eigenständiges Sicherheitsupdate KB4474419 erneut freigegeben, um fehlende MSI SHA-2 Codezeichenunterstützung hinzuzufügen.
 
Windows Server 2008 SP2
 
18. Juni 2019 Die Signaturen von Updates für Windows 10 wurden von doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich. Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019
18. Juni 2019 Erforderlich: Bei Kunden, die WSUS 3.0 SP2 verwenden, muss KB4484071 bis zu diesem Datum manuell installiert werden, um SHA-2-Updates zu unterstützen. WSUS 3.0 SP2

9. Juli 2019

Erforderlich: Updates für ältere Windows-Versionen erfordern die Installation der Unterstützung für SHA-2-Code-Signierung. Die im April und Mai veröffentlichte Unterstützung (KB4493730 und KB4474419) wird benötigt, um weiterhin Updates für diese Versionen von Windows zu erhalten.

Alle Signaturen für ältere Windows-Aktualisierungen wurden erst zum jetzigen Zeitpunkt von SHA1 und doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert.

Windows Server 2008 SP2
16. Juli 2019 Die Signaturen von Updates für Windows 10 wurden von doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich.

Windows 10 1507,
Windows 10 1607,
Windows Server 2016,
Windows 10 1703

13. August 2019

Erforderlich: Updates für ältere Windows-Versionen erfordern die Installation der Unterstützung für SHA-2-Code-Signierung. Die im März veröffentlichten Unterstützungen (KB4474419 und KB4490628) sind erforderlich, um weiterhin Updates für diese Windows-Versionen zu erhalten. Wenn Sie ein Gerät oder eine VM mit EFI-Boot verwenden, finden Sie im Abschnitt „Häufig gestellte Fragen“ weitere Schritte, um ein Problem zu vermeiden, bei dem Ihr Gerät möglicherweise nicht gestartet wird.

Alle Signaturen für ältere Windows-Aktualisierungen wurden erst zum jetzigen Zeitpunkt von SHA1 und doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert.

Windows 7 SP1,
Windows Server 2008 R2 SP1
10. September 2019 Alle Signaturen für ältere Windows-Aktualisierungen wurden erst zum jetzigen Zeitpunkt von doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich. Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2
10. September 2019 Das eigenständige Sicherheitsupdate KB4474419 wurde erneut veröffentlicht, um fehlende EFI-Bootmanager hinzuzufügen. Stellen Sie sicher, dass diese Version installiert ist. Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2

Aktueller Status


Windows 7 SP1 und Windows Server 2008 R2 SP1

Die folgenden erforderlichen Updates müssen installiert und dann das Gerät neu gestartet werden, bevor ein Update installiert wird, das am 13. August 2019 oder später veröffentlicht wurde. Die erforderlichen Updates können in beliebiger Reihenfolge installiert werden und müssen nicht neu installiert werden, es sei denn, es gibt eine neue Version des erforderlichen Updates.

  • Servicing Stack Update (SSU) (KB4490628). Wenn Sie Windows Update verwenden, wird Ihnen das erforderliche SSU automatisch angeboten. 
  • Das neueste SHA-2-Update (KB4474419) wurde am 10. September 2019 veröffentlicht. Wenn Sie Windows Update verwenden, wird Ihnen das erforderliche SHA-2-Update automatisch angeboten.

Wichtig Sie müssen Ihr Gerät nach der Installation aller erforderlichen Updates neu starten, bevor Sie ein monatliches Rollup, ein reines Sicherheitsupdate oder eine Vorschau des monatlichen Rollups installieren.

Windows Server 2008 SP2

Die folgenden Updates müssen installiert sein und das Gerät muss neu gestartet werden, bevor ein Rollup installiert wird, der am 10. September 2019 oder später freigegeben wurde. Die erforderlichen Updates können in beliebiger Reihenfolge installiert werden und müssen nicht neu installiert werden, es sei denn, es gibt eine neue Version des erforderlichen Updates.

  • Servicing Stack Update (SSU) (KB4493730). Wenn Sie Windows Update verwenden, wird Ihnen das erforderliche SSU automatisch angeboten. 
  • Das neueste SHA-2-Update (KB4474419), das am 10. September 2019 veröffentlicht wurde. Wenn Sie Windows Update verwenden, wird Ihnen das erforderliche SHA-2-Update automatisch angeboten.

Wichtig Sie müssen Ihr Gerät nach der Installation aller erforderlichen Updates neu starten, bevor Sie ein monatliches Rollup, ein reines Sicherheitsupdate oder eine Vorschau des monatlichen Rollups installieren.

Häufig gestellte Fragen


Allgemeine Informationen, Planung und Problemvermeidung

Problemwiederherstellung