Yhteenveto
Windows-käyttöjärjestelmän suojauksen suojaamiseksi päivitykset allekirjoitettiin aiemmin (sekä SHA-1- että SHA-2-hajautusalgoritmien avulla). Allekirjoitusten avulla todennetaan, että päivitykset ovat suoraan Microsoftilta eikä niitä ole peukaloitu toimituksen aikana. SHA-1-algoritmin heikkouksien vuoksi ja alan standardien mukaisesti Microsoft on muuttanut Windows-päivitysten allekirjoittamista käyttämään vain turvallisempaa SHA-2-algoritmia. Tämä muutos on tehty vaiheissa huhtikuusta 2019 syyskuuhun 2019, jotta siirto sujuu sujuvasti (katso lisätietoja muutoksista Tuotteen päivitysaikataulu -osiosta).
Jos asiakas käyttää vanhoja käyttöjärjestelmäversioita (Windows 7 SP1, Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2), SHA-2-koodin allekirjoitustuki on asennettava laitteisiinsa heinäkuun 2019 jälkeen julkaistujen päivitysten asentamista varten. Laitteet, joissa ei ole SHA-2-tukea, eivät voi asentaa Windows-päivityksiä heinäkuussa 2019 tai sen jälkeen. Tämän muutoksen valmistelemiseksi SHA-2-kirjautumisen tuki julkaistiin maaliskuusta 2019 alkaen, ja siihen on tehty lisää parannuksia. Windows Server Update Services (WSUS) 3.0 SP2 saa SHA-2-tuen SHA-2-allekirjoitettujen päivitysten turvalliseen toimitukseen. Katso vain SHA-2-siirron aikajanan Tuotepäivitysaikataulu-osio.
Taustan tiedot
Secure Hash Algorithm 1 (SHA-1) kehitettiin peruuttamattomana hajautusfunktiona, ja sitä käytetään laajalti osana koodin allekirjoitusta. SHA-1-hajautusalgoritmin suojaus on valitettavasti huonontunut ajan mittaan algoritmin löytämien heikkouksien, suorittimen suorituskyvyn parantamisen ja pilvitekniikan myötä. Vahvemmat vaihtoehdot, kuten Suojattu hash-algoritmi 2 (SHA-2), ovat nyt erittäin suositeltaessa, sillä niissä ei ole samoja ongelmia. Lisätietoja SHA-1-algoritmin precation-misesta on kohdassa Hajautus- ja allekirjoitusalgoritmit.
Tuotteen päivityksen aikataulu
Alkuvuodesta 2019 alkaen siirtoPROSESSI SHA-2-tukeen alkoi vaiheittain, ja tuki toimitetaan erillisenä päivityksenä. Microsoft kohdistaa sha-2-tuen seuraavan aikataulun mukaisesti. Huomaa, että seuraava aikajana voi muuttua. Jatkamme tämän sivun päivittämista tarpeen mukaan.
|
Tavoitepäivämäärä |
Tapahtuma |
Koskee seuraavia: |
|
12. maaliskuuta 2019 |
Erillisiä suojauspäivityksiä KB4474419 ja KB4490628, jotka on julkaistu SHA-2-koodimerkkituen esittele varten. |
Windows 7 SP1 |
|
12. maaliskuuta 2019 |
Erillinen päivitys KB4484071 on saatavilla WSUS 3.0 SP2:n Windows Update -luetteloon, joka tukee SHA-2-allekirjoitettujen päivitysten toimittamista. Jos asiakas käyttää WSUS 3.0 SP2 -käyttöjärjestelmää, tämä päivitys on asennettava manuaalisesti viimeistään 18. kesäkuuta 2019. |
WSUS 3.0 SP2 |
|
9. huhtikuuta 2019 |
Erillinen päivitys KB4493730, joka sisältää SHA-2-koodimerkkituen ylläpitopinolle (SSU), julkaistiin suojauspäivityksenä. |
Windows Server 2008 SP2 |
|
14. toukokuuta 2019 |
Erillinen suojauspäivitys KB4474419, joka julkaistiin SHA-2-koodimerkkituen esittelemään. |
Windows Server 2008 SP2 |
|
11. kesäkuuta 2019 |
Erillinen suojauspäivitys KB4474419julkaistiin uudelleen puuttuvan MSI SHA-2 -koodimerkkituen tueksi. |
Windows Server 2008 SP2 |
|
18. kesäkuuta 2019 |
Windows 10 päivittää allekirjoitukset, jotka on muutettu kaksoisallekirjoituksesta (SHA-1/SHA-2) vain SHA-2-versioon. Asiakkaan toimia ei tarvita. |
Windows 10, versio 1709 |
|
18. kesäkuuta 2019 |
Pakollinen: Jos asiakas käyttää WSUS 3.0 SP2 -versiota, KB4484071 on asennettava manuaalisesti tähän päivämäärään mennessä SHA-2-päivitysten tueksi. |
WSUS 3.0 SP2 |
|
9. heinäkuuta 2019 |
Pakollinen: Vanhojen Windows-versioiden päivitykset edellyttävät SHA-2-koodin allekirjoitustuen asentamista. Huhtikuussa ja toukokuussa(KB4493730 ja KB4474419)julkaistu tuki on pakollinen, jotta päivitysten vastaanottaminen voidaan jatkaa näissä Windows-versioissa. Kaikki vanhat Windows-päivitykset päivittyy SHA1-allekirjoituksen ja kahden allekirjoitetun (SHA-1/SHA-2) allekirjoituksen sha-2-versioksi vain tällä hetkellä. |
Windows Server 2008 SP2 |
|
16. heinäkuuta 2019 |
Windows 10 päivittää allekirjoitukset, jotka on muutettu kaksoisallekirjoituksesta (SHA-1/SHA-2) vain SHA-2-versioon. Asiakkaan toimia ei tarvita. |
Windows 10, versio 1507 |
|
13. elokuuta 2019 |
Pakollinen: Vanhojen Windows-versioiden päivitykset edellyttävät SHA-2-koodin allekirjoitustuen asentamista. Maaliskuussa(KB4474419 ja KB4490628)julkaistu tuki on pakollinen, jotta näihin Windows-versioihin voidaan edelleen saada päivityksiä. Jos käytät EFI-käynnistystä laitteella tai VIRTUAALIKONE:lla, katso usein kysytyistä kysymyksistä lisätietoja, joiden avulla voit estää ongelman, jossa laite ei ehkä käynnisty. Kaikki vanhat Windows-päivitykset päivittyy SHA-1-versiosta ja kaksi allekirjoitettavasta (SHA-1/SHA-2) SHA-2-versioon vain tällä hetkellä. |
Windows 7 SP1 |
|
10. syyskuuta 2019 |
Vanhat Windows-päivitysallekirjoitukset on muutettu vain kaksi allekirjoitettavasta (SHA-1/SHA-2) SHA-2-versioon. Asiakkaan toimia ei tarvita. |
Windows Server 2012 |
|
10. syyskuuta 2019 |
Erillinen suojauspäivitys KB4474419 julkaistiin uudelleen puuttuvien EFI-käynnistyskoneiden lisäämistä. Varmista, että tämä versio on asennettu. |
Windows 7 SP1 |
|
28. tammikuuta 2020 |
Microsoftin luotetun pääohjelman varmenteiden luottamusluetteloiden allekirjoitukset muuttuivat vain kaksi allekirjoitetusta (SHA-1/SHA-2) SHA-2-versioksi. Asiakkaan toimia ei tarvita. |
Kaikki tuetut Windows-käyttöympäristöt |
|
Elokuu 2020 |
Windows Update SHA-1 -pohjaiset palvelun päätepisteet on lopetettu. Tämä koskee vain vanhempia Windows-laitteita, joita ei ole päivitetty asianmukaisilla suojauspäivityksillä. Lisätietoja on artikkelissa KB4569557. |
Windows 7 |
|
3. elokuuta 2020 |
Microsoftin käytöstä poistettu sisältö, joka on Windows-allekirjoitettu Secure Hash Algorithm 1 (SHA-1) -algoritmille Microsoft Download Centeristä. Lisätietoja on Windows IT Pro -blogin SHA-1 Windows-sisällössä, joka on poistettu käytöstä 3. elokuuta 2020. |
Windows Server 2000 |
Nykyinen tila
Windows 7 SP1 ja Windows Server 2008 R2 SP1
Seuraavat pakolliset päivitykset on asennettava ja laite käynnistettävä uudelleen ennen 13. elokuuta 2019 julkaistun päivityksen asentamista. Tarvittavat päivitykset voidaan asentaa missä tahansa järjestyksessä, eikä niitä tarvitse asentaa uudelleen, ellei pakollisesta päivityksestä ole olemassa uutta versiota.
-
Ylläpitopinon päivitys (SSU) (KB4490628). Jos käytät Windows Updatea, tarvittava SSU tarjotaan sinulle automaattisesti.
-
SHA-2-päivitys (KB4474419) julkaistu 10. syyskuuta 2019. Jos käytät Windows Updatea, tarvittava SHA-2-päivitys tarjotaan sinulle automaattisesti.
TärkeääSinun on käynnistettävä laite uudelleen kaikkien tarvittavien päivitysten asentamisen jälkeen ennen kuukausittaisen koonnin, vain suojausta edellyttävän päivityksen, kuukausittaisen koonnin esikatselun tai erillisen päivityksen asentamista.
Windows Server 2008 SP2
Seuraavat päivitykset on asennettava ja laite käynnistettävä uudelleen ennen koostamisen asentamista, joka julkaistiin 10. syyskuuta 2019 tai sitä uudemmassa vaiheessa. Tarvittavat päivitykset voidaan asentaa missä tahansa järjestyksessä, eikä niitä tarvitse asentaa uudelleen, ellei pakollisesta päivityksestä ole olemassa uutta versiota.
-
Ylläpitopinon päivitys (SSU) (KB4493730). Jos käytät Windows Updatea, tarvittava SSU-päivitys tarjotaan sinulle automaattisesti.
-
Uusin SHA-2-päivitys (KB4474419) julkaistu 10. syyskuuta 2019. Jos käytät Windows Updatea, tarvittava SHA-2-päivitys tarjotaan sinulle automaattisesti.
TärkeääSinun on käynnistettävä laite uudelleen kaikkien tarvittavien päivitysten asentamisen jälkeen ennen kuukausittaisen koonnin, vain suojausta edellyttävän päivityksen, kuukausittaisen koonnin esikatselun tai erillisen päivityksen asentamista.
Usein kysyttyjä kysymyksiä
Yleisiä tietoja, suunnittelu ja riskien estäminen
SHA-2-koodin allekirjoitustuki toimitettiin ajoissa, jotta useimmat asiakkaat saavat tukea hyvin ennen sha-2-kirjautumisen muutosta näihin järjestelmiin. Eri päivitykset sisältävät joitain lisäkorjauksia, ja ne ovat saatavilla sen varmistamiseksi, että kaikki SHA-2-päivitykset ovat pienissä päivityksissä, jotka on helppo tunnistaa. Microsoft suosittelee, että asiakkaat, jotka ylläpitävät näiden OS:iden järjestelmäkuvia, soveltavat näitä päivityksiä kuviin.
Windows Server 2012:n WSUS 4.0 -versiosta alkaen WSUS tukee jo SHA-2-allekirjoitettuja päivityksiä, eikä näille versioille tarvita asiakkaan toimia.
Vain WSUS 3.0 SP2 tarvitsee KB4484071-päivityksenSHA2:n vain allekirjoitettujen päivitysten tueksi.
Oletetaan, että käytät Windows Server 2008 SP2:ta. Jos kaksoiskäynnistys on käytössä Windows Server 2008 R2 SP1:n tai Windows 7 SP1:n kanssa, tämäntyyppisen järjestelmän käynnistyksen hallinta on peräisin Windows Server 2008 R2- tai Windows 7 -järjestelmästä. Jotta molemmat järjestelmät voidaan päivittää käyttämään SHA-2-tukea, sinun on ensin päivitettävä Windows Server 2008 R2- tai Windows 7 -järjestelmä niin, että käynnistyksen hallinta päivitetään SHA-2-versiota tukevaan versioon. Päivitä sitten Windows Server 2008 SP2 -järjestelmä SHA-2-tuen avulla.
Kuten kaksikäynnistysskenaariossa, Windows 7 PE -ympäristö on päivitettävä SHA-2-tukeen. Tämän jälkeen Windows Server 2008 SP2 -järjestelmä on päivitettävä SHA-2-tukeen.
-
Suorita Windowsin asennus windowsiin viimeistelyä ja käynnistystä varten ennen 13. elokuuta 2019 tai sitä uudempien päivitysten asentamista
-
Avaa järjestelmänvalvojan komentokehoteikkuna ja suoritabcdboot.exe. Tämä kopioi käynnistystiedostot Windows-hakemistosta ja määrittää käynnistysympäristön. Lisätietoja on BCDBootCommand-Line asetusten vaihtoehdoissa.
-
Ennen kuin asennat muita päivityksiä, asenna 13. elokuuta 2019 uudelleenjulkaisu KB4474419ja KB4490628 for Windows 7 SP1 ja Windows Server 2008 R2 SP1.
-
Käynnistä käyttöjärjestelmä uudelleen. Tämä uudelleenkäynnistys on pakollinen
-
Asenna jäljellä olevat päivitykset.
-
Asenna kuva levylle ja käynnistä se Windowsiin.
-
Suorita komentokehotteessa bcdboot.exe. Tämä kopioi käynnistystiedostot Windows-hakemistosta ja määrittää käynnistysympäristön. Lisätietoja on BCDBootCommand-Line asetusten vaihtoehdoissa.
-
Ennen kuin asennat muita päivityksiä, asenna 23. syyskuuta 2019 uudelleenjulkaisu KB4474419ja KB4490628 for Windows 7 SP1 ja Windows Server 2008 R2 SP1.
-
Käynnistä käyttöjärjestelmä uudelleen. Tämä uudelleenkäynnistys on pakollinen
-
Asenna jäljellä olevat päivitykset.
Kyllä, tarvittavat päivitykset on asennettava ennen jatkamista: SSU(KB4490628) ja SHA-2-päivitys(KB4474419). Lisäksi laite on käynnistettävä uudelleen vaadittujen päivitysten asentamisen jälkeen ennen uusien päivitysten asentamista.
Windows 10: n versio 1903 tukee SHA-2-versiota, koska se on julkaistu ja kaikki päivitykset ovat jo SHA-2-allekirjoitettuja. Tälle Windows-versiolle ei tarvita toimia.
Windows 7 SP1 ja Windows Server 2008 R2 SP1
-
Käynnistä Windowsiin ennen 13. elokuuta 2019 julkaistujen tai uudempien päivitysten asentamista.
-
Ennen kuin asennat muita päivityksiä, asenna 23. syyskuuta 2019 uudelleenjulkaisu KB4474419ja KB4490628for Windows 7 SP1 ja Windows Server 2008 R2 SP1.
-
Käynnistä käyttöjärjestelmä uudelleen. Tämä uudelleenkäynnistys on pakollinen
-
Asenna jäljellä olevat päivitykset.
Windows Server 2008 SP2
-
Käynnistä Windowsiin ennen 9. heinäkuuta 2019 julkaistujen tai uudempien päivitysten asentamista.
-
Ennen kuin asennat muita päivityksiä, asenna 23. syyskuuta 2019 uudelleenjulkaisu KB4474419ja KB4493730 for Windows Server 2008 SP2.
-
Käynnistä käyttöjärjestelmä uudelleen. Tämä uudelleenkäynnistys on pakollinen
-
Asenna jäljellä olevat päivitykset.
Ongelman palauttaminen
Jos näyttöön tulee virheilmoitus 0xc0000428 "Windows ei voi vahvistaa tämän tiedoston digitaalista allekirjoitusta. Äskettäinen laitteiston tai ohjelmiston muutos on saattanut asentaa tiedoston, joka on allekirjoitettu virheellisesti tai vioittunut tai joka voi olla haittaohjelmia tuntemattomasta lähteestä." palauta ne noudattamalla seuraavia ohjeita.
-
Käynnistä käyttöjärjestelmä palautusmedian avulla.
-
Ennen kuin asennat muita päivityksiä, asenna päivitys KB4474419, joka on päivätty 23.9.2019 tai sitä uudempi versio käyttäen Windows 7 SP1:n ja Windows Server 2008 R2 SP1:n Deployment Image Servicing and Management(DISM)-versiota.
-
Suorita komentokehotteessa bcdboot.exe. Tämä kopioi käynnistystiedostot Windows-hakemistosta ja määrittää käynnistysympäristön. Lisätietoja on BCDBootCommand-Line asetusten vaihtoehdoissa.
-
Käynnistä käyttöjärjestelmä uudelleen.
-
Pysäyttää käyttöönoton muihin laitteisiin, älä käynnistä uudelleen laitteita tai VMS-laitteita, joita ei ole vielä käynnistetty uudelleen.
-
Tunnista laitteet ja pikalaitteet uudelleenkäynnistyksen odottavassa tilassa 13.8.2019 tai sitä uudemmissa versioissa julkaistuilla päivityksillä ja avaa järjestelmänvalvojan oikeuksin varustettu komentokehote
-
Etsi poistettavan päivityksen paketin käyttäjätiedot käyttämällä seuraavaa komentoa päivityksessä kb-numeron avulla (korvaa 4512506 kohdentamallasi KB-numerolla, jos se ei ole 13. elokuuta 2019 julkaistu kuukausittainen koonti): dism /online /get-packages | findstr 4512506
-
Poista päivitys seuraavalla komennolla ja korvaa <-paketin käyttäjätiedot>edellisellä komennolla: Dism.exe /online /remove-package /packagename:<package identity>
-
Sinun on nyt asennettava tarvittavat päivitykset, jotka on mainittu asennettavan päivityksen tämän päivitysosion saaminen, tai tämän artikkelin Nykyinen tila -osiossa edellä luetellut pakolliset päivitykset.
HuomautusJos laitteessa tai virtuaalikoneessa 0xc0000428 virheilmoitus tai joka alkaa palautusympäristöön, sinun on noudatettava usein kysyttyjen kysymysten ohjeita virheilmoituksia 0xc0000428.
Jos kohtaat näitä virheitä, sinun on asennettava tarvittavat päivitykset, jotka on lueteltu asennettavan päivityksen tämän päivitysosion ohjeiden mukaisesti, tai yllä luetellut pakolliset päivitykset, jotka on lueteltu tämän artikkelin Nykyinen tila -osassa.
Jos näyttöön tulee virheilmoitus 0xc0000428 "Windows ei voi vahvistaa tämän tiedoston digitaalista allekirjoitusta. Äskettäinen laitteiston tai ohjelmiston muutos on saattanut asentaa tiedoston, joka on allekirjoitettu virheellisesti tai vioittunut tai joka voi olla haittaohjelmia tuntemattomasta lähteestä." palauta ne noudattamalla seuraavia ohjeita.
-
Käynnistä käyttöjärjestelmä palautusmedian avulla.
-
Asenna uusin SHA-2-päivitys(KB4474419),joka julkaistiin 13. elokuuta 2019 tai sen jälkeen käyttäen Windows 7 SP1:n ja Windows Server 2008 R2 SP1:n Deployment Image Servicing and Management(DISM)-palvelua.
-
Käynnistä palautusmedia uudelleen. Tämä uudelleenkäynnistys on pakollinen
-
Suorita komentokehotteessa bcdboot.exe. Tämä kopioi käynnistystiedostot Windows-hakemistosta ja määrittää käynnistysympäristön. Lisätietoja on BCDBootCommand-Line asetusten vaihtoehdoissa.
-
Käynnistä käyttöjärjestelmä uudelleen.
Jos ongelma ilmenee, voit pienentää tätä ongelmaa avaamalla komentokehoteikkunan ja asentamalla päivityksen seuraavan komennon (korvaa <msu -sijainti>-paikkamerkki päivityksen todellisella sijainnilla ja tiedostonimellä):
wusa.exe <msu-sijainti> /hiljainen
Tämä ongelma on korjattu KB4474419-ratkaisussa, joka julkaistiin 8. lokakuuta 2019. Tämä päivitys asennetaan automaattisesti Windows Updatesta ja Windows Server Update Servicesistä (WSUS). Jos haluat asentaa tämän päivityksen manuaalisesti, sinun on käytettävä edellä kuvattua vaihtoehtoista tapaa.
HuomautusJos olet aiemmin asentanut KB4474419-version, joka julkaistiin 23. syyskuuta 2019, sinulla on jo tämän päivityksen uusin versio eikä sinun tarvitse asentaa sitä uudelleen.
