Requisito de soporte técnico para la firma de código SHA-2 2019 para Windows y WSUS

Resumen

Para ayudar a proteger la seguridad del sistema operativo Windows, las actualizaciones se firmaron previamente (con los algoritmos de hash SHA-1 y SHA-2). Las firmas se usan para autenticar que las actualizaciones proceden directamente de Microsoft y que no se manipularon durante la entrega. Debido a las deficiencias del algoritmo SHA-1 y a alinearse con los estándares del sector, hemos cambiado la firma de las actualizaciones de Windows para usar exclusivamente el algoritmo SHA-2 más seguro. Este cambio se ha realizado en fases que comienzan entre abril de 2019 y septiembre de 2019 para permitir la migración sin problemas (consulte la sección "Programación de actualización de productos" para obtener más información sobre los cambios).

Los clientes que ejecuten versiones heredadas del sistema operativo (Windows 7 SP1, Windows Server 2008 R2 SP1 y Windows Server 2008 SP2) deben tener instalado el soporte de firma de código SHA-2 en sus dispositivos para instalar actualizaciones publicadas en o después de julio de 2019. Los dispositivos sin compatibilidad con SHA-2 no podrán instalar actualizaciones de Windows en o después de julio de 2019. Para ayudarle a prepararse para este cambio, hemos publicado soporte técnico para el inicio de sesión de SHA-2 a partir de marzo de 2019 y hemos realizado mejoras incrementales. Windows Server Update Services (WSUS) 3.0 SP2 recibirá soporte de SHA-2 para ofrecer de forma segura actualizaciones firmadas de SHA-2. Consulte la sección "Programación de actualización de productos" para la escala de tiempo de migración solo sha-2. 

Detalles de fondo

El Algoritmo de hash seguro 1 (SHA-1) se ha desarrollado como una función de hash irreversible y se usa ampliamente como parte de la firma de código. Desafortunadamente, la seguridad del algoritmo hash SHA-1 se ha vuelto menos segura con el tiempo debido a las deficiencias que se encuentran en el algoritmo, el aumento del rendimiento del procesador y la llegada de la informática en la nube. Ahora se prefieren alternativas más seguras como el algoritmo hash seguro 2 (SHA-2), ya que no experimentan los mismos problemas. Para obtener más información sobre el desuso de SHA-1, vea Algoritmos de hash y firma. 

Programación de actualización de productos

A partir de principios de 2019, el proceso de migración al soporte de SHA-2 comenzó por fases y el soporte se entregará en actualizaciones independientes. Microsoft se dirigirá a la siguiente programación para ofrecer soporte de SHA-2. Tenga en cuenta que la siguiente escala de tiempo está sujeta a cambios. Seguiremos actualizando esta página según sea necesario.

Fecha de destino

Evento

Se aplica a

12 de marzo de 2019

Actualizaciones de seguridad independientes KB4474419 y KB4490628 publicadas para introducir la compatibilidad con el signo de código SHA-2.

Windows 7 SP1
Windows Server 2008 R2 SP1

12 de marzo de 2019

Actualización independiente, KB4484071 está disponible en el catálogo de Windows Update para WSUS 3.0 SP2 que admite la entrega de actualizaciones firmadas de SHA-2. Para aquellos clientes que usan WSUS 3.0 SP2, esta actualización debe instalarse manualmente a más tardar el 18 de junio de 2019.

WSUS 3.0 SP2

9 de abril de 2019

Actualización independiente, KB4493730 que introduce la compatibilidad con el signo de código SHA-2 para la pila de mantenimiento (SSU) se publicó como una actualización de seguridad.

Windows Server 2008 SP2

14 de mayo de 2019

Actualización de seguridad independiente KB4474419 publicada para presentar la compatibilidad con el signo de código SHA-2.

Windows Server 2008 SP2

11 de junio de 2019

Actualización de seguridad independiente KB4474419reedición para agregar compatibilidad con el signo de código MSI SHA-2 que falta.

Windows Server 2008 SP2

18 de junio de 2019

Las firmas de actualizaciones de Windows 10 han cambiado de firma dual (SHA-1/SHA-2) a SOLO SHA-2. No se requiere ninguna acción del cliente.

Windows 10, versión 1709
Windows 10, versión 1803
Windows 10, versión 1809
Windows Server 2019

18 de junio de 2019

Obligatorio: Para aquellos clientes que usan WSUS 3.0 SP2, KB4484071 debe instalarse manualmente antes de esta fecha para admitir las actualizaciones de SHA-2.

WSUS 3.0 SP2

9 de julio de 2019

Obligatorio: Las actualizaciones de las versiones anteriores de Windows requerirán que se instale el soporte de firma de código SHA-2. El soporte técnico publicado en abril y mayo(KB4493730 y KB4474419)será necesario para seguir recibiendo actualizaciones en estas versiones de Windows.

Todas las firmas heredadas de actualizaciones de Windows han cambiado de SHA1 y de doble firma (SHA-1/SHA-2) a SHA-2 solo en este momento.

Windows Server 2008 SP2

16 de julio de 2019

Las firmas de actualizaciones de Windows 10 han cambiado de firma dual (SHA-1/SHA-2) a SOLO SHA-2. No se requiere ninguna acción del cliente.

Windows 10, versión 1507
Windows 10, versión 1607
Windows Server 2016
Windows 10, versión 1703

13 de agosto de 2019

Obligatorio: Las actualizaciones de las versiones anteriores de Windows requerirán que se instale el soporte de firma de código SHA-2. El soporte técnico publicado en marzo(KB4474419 y KB4490628)será necesario para seguir recibiendo actualizaciones en estas versiones de Windows. Si tiene un dispositivo o una máquina virtual con inicio de EFI, consulte la sección preguntas más frecuentes para ver los pasos adicionales para evitar un problema en el que es posible que el dispositivo no se inicie.

Todas las firmas heredadas de actualizaciones de Windows han cambiado de SHA-1 y de doble firma (SHA-1/SHA-2) a SHA-2 solo en este momento.

Windows 7 SP1
Windows Server 2008 R2 SP1

10 de septiembre de 2019

Las firmas heredadas de windows update cambiaron de firma doble (SHA-1/SHA-2) a SHA-2 solo. No se requiere ninguna acción del cliente.

Windows Server 2012
Windows 8.1
Windows Server 2012 R2

10 de septiembre de 2019

La actualización de seguridad independiente KB4474419 se ha reedición para agregar los pesebres de arranque de EFI que faltan. Asegúrese de que esta versión está instalada.

Windows 7 SP1
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

28 de enero de 2020

Las firmas de las listas de confianza de certificados (CTL) para el Programa raíz de confianza de Microsoft cambiaron de firma dual (SHA-1/SHA-2) a SOLO SHA-2. No se requiere ninguna acción del cliente.

Todas las plataformas de Windows compatibles

Agosto de 2020

Los puntos de conexión de servicio basados en SHA-1 de Windows Update se interrumpen. Esto solo afecta a los dispositivos Windows antiguos que no se han actualizado con las actualizaciones de seguridad adecuadas. Para obtener más información, vea KB4569557.

Windows 7
Windows 7 SP1
Windows Server 2008
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2008 R2 SP1

3 de agosto de 2020

Microsoft retiró contenido firmado por Windows para Secure Hash Algorithm 1 (SHA-1) desde el Centro de descarga de Microsoft. Para obtener más información, consulte el contenido de Windows IT pro blog SHA-1 Windows que se retirará el 3 de agosto de 2020.

Windows Server 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Windows 8.1
Windows Server 2012 R2
Windows 10
Windows 10 Server

Estado actual

Windows 7 SP1 y Windows Server 2008 R2 SP1

Deben instalarse las siguientes actualizaciones necesarias y, a continuación, reiniciar el dispositivo antes de instalar cualquier actualización publicada el 13 de agosto de 2019 o posterior. Las actualizaciones necesarias se pueden instalar en cualquier orden y no es necesario volver a instalar, a menos que haya una nueva versión de la actualización necesaria.

  • Actualización de pila de mantenimiento (SSU) (KB4490628). Si usa Windows Update, se le ofrecerá automáticamente el SSU necesario.

  • Actualización sha-2(KB4474419)publicada el 10 de septiembre de 2019. Si usa Windows Update, la actualización SHA-2 necesaria se le ofrecerá automáticamente.

                Importante Debe reiniciar el dispositivo después de instalar todas las actualizaciones necesarias, antes de instalar cualquier paquete acumulativo mensual, actualización solo de seguridad, vista previa del paquete acumulativo mensual o actualización independiente.

Windows Server 2008 SP2

Deben instalarse las siguientes actualizaciones y, después, reiniciar el dispositivo antes de instalar cualquier paquete acumulativo de actualizaciones publicado el 10 de septiembre de 2019 o posterior. Las actualizaciones necesarias se pueden instalar en cualquier orden y no es necesario volver a instalar, a menos que haya una nueva versión de la actualización necesaria.

  • Actualización de pila de mantenimiento (SSU) (KB4493730). Si usa Windows Update, la actualización de SSU necesaria se le ofrecerá automáticamente.

  • La última actualización de SHA-2(KB4474419)publicada el 10 de septiembre de 2019. Si usa Windows Update, la actualización SHA-2 necesaria se le ofrecerá automáticamente.

                Importante Debe reiniciar el dispositivo después de instalar todas las actualizaciones necesarias, antes de instalar cualquier paquete acumulativo mensual, actualización solo de seguridad, vista previa del paquete acumulativo mensual o actualización independiente.

Hacer preguntas más frecuentes

Información general, planificación y prevención de problemas

El soporte de firma de código sha-2 se envió antes para asegurarse de que la mayoría de los clientes tendrían el soporte técnico con antelación al cambio de Microsoft a SHA-2 para las actualizaciones de estos sistemas. Las actualizaciones independientes incluyen algunas correcciones adicionales y están disponibles para asegurarse de que todas las actualizaciones de SHA-2 se encuentran en un pequeño número de actualizaciones fácilmente identificables. Microsoft recomienda a los clientes que mantienen las imágenes del sistema para estos SISTEMAS aplicar estas actualizaciones a las imágenes.

A partir de WSUS 4.0 en Windows Server 2012, WSUS ya admite actualizaciones firmadas por SHA-2 y no se necesita ninguna acción del cliente para estas versiones.

Solo WSUS 3.0 SP2 necesita KB4484071instalado para admitir solo las actualizaciones firmadas de SHA2.

Suponga que ejecuta Windows Server 2008 SP2. Si inicia dos versiones con Windows Server 2008 R2 SP1/Windows 7 SP1, el administrador de arranque de este tipo de sistema es del sistema Windows Server 2008 R2/Windows 7. Para actualizar correctamente ambos sistemas para usar la compatibilidad con SHA-2, primero debe actualizar el sistema Windows Server 2008 R2/Windows 7 para que el administrador de arranque se actualice a la versión compatible con SHA-2. A continuación, actualice el sistema Windows Server 2008 SP2 con compatibilidad con SHA-2.

De forma similar al escenario de inicio doble, el entorno de Windows 7 PE debe actualizarse al soporte de SHA-2. A continuación, el sistema Windows Server 2008 SP2 debe actualizarse al soporte de SHA-2.

  1. Ejecutar la configuración de Windows para completarla y iniciarla en Windows antes de instalar las actualizaciones del 13 de agosto de 2019 o posteriores

  2. Abra una ventana del símbolo del sistema de administrador, ejecutebcdboot.exe. Esto copia los archivos de inicio del directorio de Windows y configura el entorno de inicio. Vea Opciones de Command-Line BCDBoot para obtener más información.

  3. Antes de instalar las actualizaciones adicionales, instale la versión del 13 de agosto de 2019 de KB4474419 y KB4490628 para Windows 7 SP1 y Windows Server 2008 R2 SP1.

  4. Reinicie el sistema operativo. Este reinicio es necesario

  5. Instale las actualizaciones restantes.

  1. Instale la imagen en el disco y arranque en Windows.

  2. En el símbolo del sistema, ejecute bcdboot.exe. Esto copia los archivos de inicio del directorio de Windows y configura el entorno de inicio. Vea Opciones de Command-Line BCDBoot para obtener más información.

  3. Antes de instalar actualizaciones adicionales, instale la ree versión del 23 de septiembre de 2019 de KB4474419 y KB4490628 para Windows 7 SP1 y Windows Server 2008 R2 SP1.

  4. Reinicie el sistema operativo. Este reinicio es necesario

  5. Instale las actualizaciones restantes.

Sí, tendrá que instalar las actualizaciones necesarias antes de continuar: SSU(KB4490628)y actualización sha-2 (KB4474419).  Además, es necesario reiniciar el dispositivo después de instalar las actualizaciones necesarias antes de instalar otras actualizaciones.

Windows 10, versión 1903 es compatible con SHA-2, ya que es una versión y todas las actualizaciones ya solo están firmadas con SHA-2.  No se necesita ninguna acción para esta versión de Windows.

Windows 7 SP1 y Windows Server 2008 R2 SP1

  1. Inicie en Windows antes de instalar cualquier actualización del 13 de agosto de 2019 o posterior.

  2. Antes de instalar actualizaciones adicionales, instale la ree versión del 23 de septiembre de 2019 de KB4474419 y KB4490628para Windows 7 SP1 y Windows Server 2008 R2 SP1.

  3. Reinicie el sistema operativo. Este reinicio es necesario

  4. Instale las actualizaciones restantes.

Windows Server 2008 SP2

  1. Inicie en Windows antes de instalar cualquier actualización del 9 de julio de 2019 o posterior.

  2. Antes de instalar actualizaciones adicionales, instale la versión del 23 de septiembre de 2019 de KB4474419 y KB4493730 para Windows Server 2008 SP2.

  3. Reinicie el sistema operativo. Este reinicio es necesario

  4. Instale las actualizaciones restantes.

Recuperación de problemas

Si ve un error 0xc0000428 con el mensaje "Windows no puede comprobar la firma digital de este archivo. Un cambio reciente de hardware o software podría haber instalado un archivo firmado incorrectamente o dañado, o que podría ser software malintencionado de un origen desconocido". Sigue estos pasos para recuperarte.

  1. Inicie el sistema operativo con medios de recuperación.

  2. Antes de instalar actualizaciones adicionales, instale la actualización KB4474419 con fecha del 23 de septiembre de 2019 o una fecha posterior con administración y mantenimiento de imágenes de implementación(DISM)para Windows 7 SP1 y Windows Server 2008 R2 SP1.

  3. En el símbolo del sistema, ejecute bcdboot.exe. Esto copia los archivos de inicio del directorio de Windows y configura el entorno de inicio. Vea Opciones de Command-Line BCDBoot para obtener más información.

  4. Reinicie el sistema operativo.

  1. Detenga la implementación en otros dispositivos y no reinicie ningún dispositivo o máquina virtual que aún no se haya reiniciado.

  2. Identificar dispositivos y máquinas virtuales en estado pendiente de reinicio con actualizaciones publicadas el 13 de agosto de 2019 o posterior y abrir un símbolo del sistema con privilegios elevados

  3. Busque la identidad del paquete para la actualización que desea quitar mediante el siguiente comando con el número KB de esa actualización (reemplace 4512506 por el número DE.KB al que está dirigido, si no es el paquete acumulativo mensual publicado el 13 de agosto de 2019): dism /online /get-packages | findstr 4512506

  4. Use el siguiente comando para quitar la actualización, reemplazando<la identidad del paquete > por lo que se encontró en el comando anterior: Dism.exe /online /remove-package /packagename:<package identity>

  5.  Ahora tendrá que instalar las actualizaciones necesarias enumeradas en la sección Cómo obtener esta actualización de la actualización que está intentando instalar o las actualizaciones necesarias enumeradas anteriormente en la sección Estado actual de este artículo.

Nota: Cualquier dispositivo o máquina virtual que esté recibiendo actualmente un error 0xc0000428 o que comience en el entorno de recuperación, deberá seguir los pasos de la pregunta preguntas más frecuentes sobre el error 0xc0000428.

Si encuentra estos errores, debe instalar las actualizaciones necesarias enumeradas en la sección Cómo obtener esta actualización de la actualización que está intentando instalar, o las actualizaciones necesarias enumeradas anteriormente en la sección Estado actual de este artículo.

Si ve un error 0xc0000428 con el mensaje "Windows no puede comprobar la firma digital de este archivo. Un cambio reciente de hardware o software podría haber instalado un archivo firmado incorrectamente o dañado, o que podría ser software malintencionado de un origen desconocido". Sigue estos pasos para recuperarte.

  1. Inicie el sistema operativo con medios de recuperación.

  2. Instale la actualización más reciente de SHA-2(KB4474419)publicada el 13 de agosto de 2019 o posterior a esta, con administración y mantenimiento de imágenes de implementación(DISM)para Windows 7 SP1 y Windows Server 2008 R2 SP1.

  3. Reinicie en el medio de recuperación. Este reinicio es necesario

  4. En el símbolo del sistema, ejecute bcdboot.exe. Esto copia los archivos de inicio del directorio de Windows y configura el entorno de inicio. Vea Opciones de Command-Line BCDBoot para obtener más información.

  5. Reinicie el sistema operativo.

Si encuentra este problema, puede mitigar este problema abriendo una ventana del símbolo del sistema y ejecute el siguiente comando para instalar la actualización (reemplace la ubicación de <msu> marcador de posición por la ubicación real y el nombre de archivo de la actualización):

wusa.exe <ubicación de msu> /quiet

Este problema se ha resuelto en KB4474419 publicado el 8 de octubre de 2019. Esta actualización se instalará automáticamente desde Windows Update y Windows Server Update Services (WSUS). Si necesita instalar esta actualización manualmente, deberá usar la solución alternativa anterior. 

Nota: Si instaló previamente KB4474419 publicado el 23 de septiembre de 2019, ya tiene la última versión de esta actualización y no es necesario volver a instalarla.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×