Unterstützung der SHA-2-Codesignierung für Windows und WSUS (2019)

Zusammenfassung

Um die Sicherheit des Windows-Betriebssystems zu gewährleisten, wurden bereits früher Updates signiert (sowohl mit den SHA-1- als auch mit SHA-2-Hash-Algorithmen). Die Signaturen werden verwendet, um zu bestätigen, dass die Updates direkt von Microsoft stammen und bei der Bereitstellung nicht manipuliert wurden. Aufgrund von Schwächen im SHA-1-Algorithmus und zur Anpassung an die Branchenstandards werden Windows-Updates nun ausschließlich mit dem sichereren SHA-2-Algorithmus signiert. Diese Umstellung erfolgte in Phasen von April 2019 bis September 2019, um eine reibungslose Migration zu ermöglichen (weitere Informationen zu den Änderungen finden Sie im Abschnitt „Zeitplan für Produkt-Updates“).

Kunden, die ältere Betriebssystemversionen (Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2) benutzen, müssen die Unterstützung für das Signieren mit SHA-2-Code auf ihren Geräten installiert haben, um Updates zu installieren, die ab Juli 2019 veröffentlicht werden. Auf allen Geräten ohne SHA-2-Unterstützung können ab Juli 2019 keine Windows-Updates mehr installiert werden. Um Sie auf diese Änderung vorzubereiten, haben wir die Unterstützung für die Signierung von SHA-2 ab März 2019 freigegeben und schrittweise verbessert. Windows Server Update Services (WSUS) 3.0 SP2 erhält SHA-2-Unterstützung, um mit SHA-2 signierte Updates ordnungsgemäß bereitzustellen. Bitte beachten Sie den Abschnitt „Zeitplan für Produkt-Updates“ für den Zeitrahmen der Umstellung auf ausschließlich SHA-2.

Hintergrundinformationen

Der Secure Hash Algorithmus 1 (SHA-1) wurde als irreversible Hash-Funktion entwickelt und wird häufig als Teil der Code-Signatur verwendet. Leider hat die Sicherheit des SHA-1-Hash-Algorithmus im Laufe der Zeit nachgelassen. Dies ist auf die Schwächen des Algorithmus, die erhöhte Prozessorleistung und das Aufkommen von Cloud Computing zurückzuführen. Heute werden stärkere Alternativen wie der Secure Hash Algorithm 2 (SHA-2) bevorzugt, da sie nicht die gleichen Probleme aufweisen. Weitere Informationen über den Bedeutungsverlust von SHA-1 finden Sie unter Hash- und Signatur-Algorithmen.

Zeitplan für Produktupdates

Ab Anfang 2019 begann die phasenweise Einführung der SHA-2-Unterstützung. Sie wird in Form von eigenständigen Updates durchgeführt. Microsoft zielt auf den folgenden Zeitplan ab, um Support für SHA-2 anzubieten. Bitte beachten Sie, dass sich der folgende Zeitplan ändern kann. Diese Seite wird bei Bedarf aktualisiert.

Zieltermin

Ereignis

Die Informationen in diesem Artikel beziehen sich auf

12. März 2019

Eigenständige Sicherheitsupdates KB4474419 und KB4490628 wurden zur Einführung der Unterstützung von Code-Signierung mit SHA-2 freigegeben.

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

12. März 2019

Das eigenständige Update KB4484071 ist im Windows Update-Katalog für WSUS 3.0 SP2 verfügbar, das die Bereitstellung von mit SHA-2 signierten Updates unterstützt. Für Kunden, die WSUS 3.0 SP2 verwenden, sollte dieses Update bis spätestens 18. Juni 2019 manuell installiert werden.

WSUS 3.0 SP2

9. April 2019

Das eigenständige Update KB4493730, das die Unterstützung der Code-Signatur mit SHA-2 für den Servicing Stack (SSU) einführt, wurde als Sicherheitsupdate veröffentlicht.

Windows Server 2008 SP2

14. Mai 2019

Eigenständiges Sicherheitsupdate KB4474419 freigegeben zur Einführung der SHA-2-Codezeichenunterstützung.

Windows Server 2008 SP2

11. Juni 2019

Eigenständiges Sicherheitsupdate KB4474419 erneut freigegeben, um fehlende MSI SHA-2 Codezeichenunterstützung hinzuzufügen.

Windows Server 2008 SP2

18. Juni 2019

Die Signaturen von Updates für Windows 10 wurden von doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich.

Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019

18. Juni 2019

Erforderlich: Bei Kunden, die WSUS 3.0 SP2 verwenden, muss KB4484071 bis zu diesem Datum manuell installiert werden, um SHA-2-Updates zu unterstützen.

WSUS 3.0 SP2

9. Juli 2019

Erforderlich: Updates für ältere Windows-Versionen erfordern die Installation der Unterstützung für SHA-2-Code-Signierung. Die im April und Mai veröffentlichte Unterstützung (KB4493730 und KB4474419) wird benötigt, um weiterhin Updates für diese Versionen von Windows zu erhalten.

Alle Signaturen für ältere Windows-Aktualisierungen wurden erst zum jetzigen Zeitpunkt von SHA1 und doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert.

Windows Server 2008 SP2

16. Juli 2019

Die Signaturen von Updates für Windows 10 wurden von doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich.

Windows 10 1507,
Windows 10 1607,
Windows Server 2016,
Windows 10 1703

13. August 2019

Erforderlich: Updates für ältere Windows-Versionen erfordern die Installation der Unterstützung für SHA-2-Code-Signierung. Die im März veröffentlichten Unterstützungen (KB4474419 und KB4490628) sind erforderlich, um weiterhin Updates für diese Windows-Versionen zu erhalten. Wenn Sie ein Gerät oder eine VM mit EFI-Boot verwenden, finden Sie im Abschnitt „Häufig gestellte Fragen“ weitere Schritte, um ein Problem zu vermeiden, bei dem Ihr Gerät möglicherweise nicht gestartet wird.

Alle Signaturen für ältere Windows-Aktualisierungen wurden erst zum jetzigen Zeitpunkt von SHA1 und doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert.

Windows 7 SP1,
Windows Server 2008 R2 SP1

10. September 2019

Alle Signaturen für ältere Windows-Aktualisierungen wurden erst zum jetzigen Zeitpunkt von doppelt signiert (SHA-1/SHA-2) auf ausschließlich SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich.

Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2

10. September 2019

Das eigenständige SicherheitsupdateKB4474419 wurde erneut veröffentlicht, um fehlende EFI-Bootmanager hinzuzufügen. Stellen Sie sicher, dass diese Version installiert ist.

Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2

28. Januar 2020

Signaturen in den Zertifikatvertrauenslisten (CTLs) für das Microsoft Trusted Root Program wurden von dual signiert (SHA-1/SHA-2) in nur SHA-2 geändert. Keine Aktion seitens des Kunden erforderlich.

Alle unterstützten Windows-Plattformen

August 2020

SHA-1-basierte Endpunkte von Windows Update Windows werden eingestellt. Dies wirkt sich nur auf ältere Windows-Geräte aus, die nicht mit entsprechenden Sicherheitsupdates aktualisiert worden sind. Weitere Informationen finden Sie unter KB4569557.

Windows 7, Windows 7 SP1, Windows Server 2008, Windows Server 2008 SP2, Windows Server 2008 R2, Windows Server 2008 R2 SP1

Aktueller Status

Windows 7 SP1 und Windows Server 2008 R2 SP1

Die folgenden erforderlichen Updates müssen installiert und dann das Gerät neu gestartet werden, bevor ein Update installiert wird, das am 13. August 2019 oder später veröffentlicht wurde. Die erforderlichen Updates können in beliebiger Reihenfolge installiert werden und müssen nicht neu installiert werden, es sei denn, es gibt eine neue Version des erforderlichen Updates.

  • Servicing Stack Update (SSU) (KB4490628). Wenn Sie Windows Update verwenden, wird Ihnen das erforderliche SSU automatisch angeboten.

  • Das neueste SHA-2-Update (KB4474419) wurde am 10. September 2019 veröffentlicht. Wenn Sie Windows Update verwenden, wird Ihnen das erforderliche SHA-2-Update automatisch angeboten.

Wichtig Sie müssen Ihr Gerät nach der Installation aller erforderlichen Updates neu starten, bevor Sie einen monatlichen Rollup, ein reines Sicherheitsupdate, eine Vorschau des monatlichen Rollups oder ein eigenständiges Update installieren.

Windows Server 2008 SP2

Die folgenden Updates müssen installiert sein und das Gerät muss neu gestartet werden, bevor ein Rollup installiert wird, der am 10. September 2019 oder später freigegeben wurde. Die erforderlichen Updates können in beliebiger Reihenfolge installiert werden und müssen nicht neu installiert werden, es sei denn, es gibt eine neue Version des erforderlichen Updates.

  • Servicing Stack Update (SSU) (KB4493730). Wenn Sie Windows Update verwenden, wird Ihnen das erforderliche SSU automatisch angeboten.

  • Das neueste SHA-2-Update (KB4474419), das am 10. September 2019 veröffentlicht wurde. Wenn Sie Windows Update verwenden, wird Ihnen das erforderliche SHA-2-Update automatisch angeboten.

Wichtig Sie müssen Ihr Gerät nach der Installation aller erforderlichen Updates neu starten, bevor Sie einen monatlichen Rollup, ein reines Sicherheitsupdate, eine Vorschau des monatlichen Rollups oder ein eigenständiges Update installieren.

Häufig gestellte Fragen

Allgemeine Informationen, Planung und Problemvermeidung

Die Unterstützung für die Code-Signierung mit SHA-2 wurde frühzeitig ausgeliefert, um sicherzustellen, dass die meisten Kunden die Unterstützung schon lange vor der Umstellung von Microsoft auf SHA-2 für Updates dieser Systeme erhalten. Die eigenständigen Updates beinhalten einige zusätzliche Korrekturen und werden zur Verfügung gestellt, um sicherzustellen, dass alle SHA-2-Updates in einer kleinen Anzahl von leicht identifizierbaren Updates vorliegen. Microsoft empfiehlt Kunden, die Systemabbilder für diese Betriebssysteme vorhalten, diese Updates auf die Abbilder anzuwenden.

Ab WSUS 4.0 unter Windows Server 2012 unterstützt WSUS bereits mit SHA-2 signierte Updates, und für diese Versionen ist keine Aktion seitens des Kunden erforderlich.

Nur WSUS 3.0 SP2 benötigt KB4484071 installiert, um SHA2 nur signierte Updates zu unterstützen.

Angenommen, es wird Windows Server 2008 SP2 ausgeführt. Wenn Sie mit Windows Server 2008 R2 SP1/Windows 7 SP1 doppelt booten, stammt der Boot-Manager für diesen Systemtyp vom Windows Server 2008 R2/Windows 7-System. Um beide Systeme erfolgreich auf SHA-2-Unterstützung zu aktualisieren, müssen Sie zunächst das Windows Server 2008 R2/Windows 7-System aktualisieren, damit der Boot-Manager auf die Version aktualisiert wird, die SHA-2 unterstützt. Aktualisieren Sie dann das Windows Server 2008 SP2-System mit SHA-2-Unterstützung.

Ähnlich wie beim Doppel-Boot-Szenario muss die Windows 7 PE-Umgebung auf SHA-2-Unterstützung aktualisiert werden. Anschließend muss das Windows Server 2008 SP2-System auf SHA-2-Unterstützung aktualisiert werden.

  1. Führen Sie Windows Setup bis zum Abschluss aus und starten Sie Windows, bevor Sie Updates vom 13. August 2019 oder neuere Updates installieren

  2. Öffnen Sie ein Eingabeaufforderungsfenster für Administratoren und führen Sie bcdboot.exe aus. Dadurch werden die Startdateien aus dem Windows-Verzeichnis kopiert und die Boot-Umgebung eingerichtet. Weitere Informationen finden Sie unter BCDBoot Command-Line-Optionen.

  3. Bevor Sie zusätzliche Updates installieren, installieren Sie die am 13. August 2019 erneut freigegebene Version von KB4474419 und KB4490628 für Windows 7 SP1 und Windows Server 2008 R2 SP1.

  4. Starten Sie das Betriebssystem neu. Dieser Neustart ist erforderlich.

  5. Installieren Sie alle verbleibenden Updates.

  1. Installieren Sie das Image auf dem Datenträger und starten Sie es in Windows.

  2. Führen Sie in der Eingabeaufforderung den Befehl bcdboot.exe aus. Dadurch werden die Startdateien aus dem Windows-Verzeichnis kopiert und die Boot-Umgebung eingerichtet. Weitere Informationen finden Sie unter BCDBoot-Befehlszeilenoptionen.

  3. Bevor Sie zusätzliche Updates installieren, installieren Sie die am 23. September 2019 erneut freigegebene Version von KB4474419 und KB4490628 für Windows 7 SP1 und Windows Server 2008 R2 SP1.

  4. Starten Sie das Betriebssystem erneut. Dieser Neustart ist erforderlich.

  5. Installieren Sie alle verbleibenden Updates.

Ja, Sie müssen die erforderlichen Updates installieren, bevor Sie fortfahren: SSU (KB4490628) und SHA-2-Update (KB4474419).  Außerdem müssen Sie Ihr Gerät nach der Installation der erforderlichen Updates neu starten, bevor Sie weitere Updates installieren.

Windows 10, Version 1903 unterstützt SHA-2 seit seiner Veröffentlichung und alle Updates sind bereits ausschließlich SHA-2 signiert.  Für diese Version von Windows ist keine weitere Aktion erforderlich.

Windows 7 SP1 und Windows Server 2008 R2 SP1

  1. Starten Sie Windows, bevor Sie Updates vom 13. August 2019 oder später installieren.

  2. Bevor Sie zusätzliche Updates installieren, installieren Sie die am 23. September 2019 erneut freigegebene Version von für Windows 7 SP1 und Windows Server 2008 R2 SP1.

  3. Starten Sie das Betriebssystem erneut. Dieser Neustart ist erforderlich.

  4. Installieren Sie alle verbleibenden Updates.

Windows Server 2008 SP2

  1. Starten Sie Windows, bevor Sie Updates vom 9. Juli 2019 oder später installieren.

  2. Installieren Sie vor der Installation zusätzlicher Updates die Neuversion von KB4474419 und KB4493730 für Windows Server 2008 SP2 vom 23. September 2019.

  3. Starten Sie das Betriebssystem erneut. Dieser Neustart ist erforderlich.

  4. Installieren Sie alle verbleibenden Updates.

Problemwiederherstellung

Wenn Sie den Fehler 0xc0000428 mit der Meldung sehen: „Windows kann die digitale Signatur für diese Datei nicht überprüfen. Bei einer kürzlich vorgenommenen Hardware- oder Softwareänderung wurde möglicherweise eine Datei installiert, die falsch signiert oder beschädigt ist. Möglicherweise handelt es sich auch um schädliche Software aus einer unbekannten Quelle“. Zur Wiederherstellung führen Sie bitte folgende Schritte aus.

  1. Starten Sie das Betriebssystem mithilfe von Wiederherstellungsmedien.

  2. Bevor Sie zusätzliche Updates installieren, installieren Sie das Update KB 4474419 vom 23. September 2019 oder einem späteren Zeitpunkt unter Verwendung von Deployment Image Servicing and Management (DISM) für Windows 7 SP1 und Windows Server 2008 R2 SP1.

  3. Führen Sie in der Eingabeaufforderung den Befehl bcdboot.exe aus. Dadurch werden die Startdateien aus dem Windows-Verzeichnis kopiert und die Startumgebung eingerichtet. Weitere Informationen finden Sie unter BCDBoot-Befehlszeilenoptionen.

  4. Starten Sie das Betriebssystem erneut.

  1. Beenden Sie die Bereitstellung auf anderen Geräten, und starten Sie keine Geräte oder VMs neu, die noch nicht neu gestartet wurden.

  2. Identifizieren sie Geräte und VMs im Status „Neustart ausstehend“ mit Updates, die am 13. August 2019 oder später veröffentlicht wurden, und öffnen Sie eine erhöhte Eingabeaufforderung

  3. Suchen Sie die Paketidentität für das Update, das Sie entfernen möchten, indem Sie den folgenden Befehl mit der KB-Nummer für dieses Update verwenden (ersetzen Sie 4512506 durch die KB-Nummer, auf die Sie abzielen, wenn es sich nicht um das monatliche Rollup handelt, das am 13. August 2019 veröffentlicht wurde):  dism /online /get-packages | findstr 4512506

  4. Verwenden Sie den folgenden Befehl, um das Update zu entfernen und ersetzen Sie <package identity> durch die im vorherigen Befehl gefundenen Optionen: Dism.exe /online /remove-package /packagename:<package identity> 

  5.  Sie müssen nun die erforderlichen Updates installieren, die im Abschnitt So erhalten Sie dieses Update des Updates, das Sie installieren möchten, oder die erforderlichen Updates, die oben im Abschnitt Aktueller Status dieses Artikels aufgeführt sind.

Hinweis Jedes Gerät oder jede VM, auf dem Sie derzeit einen Fehler 0xc0000428 erhalten oder das in der Wiederherstellungsumgebung gestartet wird, müssen Sie die Schritte in der FAQ-Frage für Fehler 0xc0000428 befolgen.

Wenn diese Fehler auftreten, müssen Sie die erforderlichen Updates installieren, die im Abschnitt So erhalten Sie dieses Update des Updates, das Sie installieren möchten, oder die erforderlichen Updates installieren, die oben im Abschnitt Aktueller Status dieses Artikels aufgeführt sind.

Wenn Sie den Fehler 0xc0000428 mit der Meldung sehen: „Windows kann die digitale Signatur für diese Datei nicht überprüfen. Bei einer kürzlich vorgenommenen Hardware- oder Softwareänderung wurde möglicherweise eine Datei installiert, die falsch signiert oder beschädigt ist. Möglicherweise handelt es sich auch um schädliche Software aus einer unbekannten Quelle“. Zur Wiederherstellung führen Sie bitte folgende Schritte aus.

  1. Starten Sie das Betriebssystem mithilfe von Wiederherstellungsmedien.

  2. Installieren Sie das neueste SHA-2-Update (KB4474419), das am 13. August 2019 veröffentlicht wurde, mit Deployment Image Servicing and Management (DISM) für Windows 7 SP1 und Windows Server 2008 R2 SP1.

  3. Starten Sie erneut über die Wiederherstellungsmedien. Dieser Neustart ist erforderlich.

  4. Führen Sie in der Eingabeaufforderung den Befehl bcdboot.exe aus. Dadurch werden die Startdateien aus dem Windows-Verzeichnis kopiert und die Startumgebung eingerichtet. Weitere Informationen finden Sie unter BCDBoot-Befehlszeilenoptionen.

  5. Starten Sie das Betriebssystem erneut.

Wenn Sie auf dieses Problem stoßen, können Sie es beheben, indem Sie die Eingabeaufforderung öffnen und den folgenden Befehl ausführen, um das Update zu installieren (ersetzen Sie den Platzhalter <msu location> durch den aktuellen Speicherort und Dateinamen des Updates):

wusa.exe <msu location> /quiet

Dieses Problem wurde in KB4474419 behoben, das am 8. Oktober 2019 veröffentlicht wurde. Dieses Update wird automatisch von Windows Update und Windows Server Update Services (WSUS) installiert. Wenn Sie dieses Update manuell installieren müssen, müssen Sie die oben beschriebene Problemumgehung verwenden. 

Hinweis Wenn Sie bereits KB4474419 installiert haben, das am 23. September 2019 veröffentlicht wurde, verfügen Sie bereits über die neueste Version dieses Updates und müssen es nicht erneut installieren.

 

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×