2019 SHA-2-koodin allekirjoitustukivaatimus Windowsissa ja WSUS:ssa

Yhteenveto

Windows-käyttöjärjestelmän suojauksen suojaamiseksi päivitykset allekirjoitettiin aiemmin (sekä SHA-1- että SHA-2-hajautusalgoritmien avulla). Allekirjoitusten avulla todennetaan, että päivitykset ovat suoraan Microsoftilta eikä niitä ole peukaloitu toimituksen aikana. SHA-1-algoritmin heikkouksien vuoksi ja alan standardien mukaisesti Microsoft on muuttanut Windows-päivitysten allekirjoittamista käyttämään vain turvallisempaa SHA-2-algoritmia. Tämä muutos on tehty vaiheissa huhtikuusta 2019 syyskuuhun 2019, jotta siirto sujuu sujuvasti (katso lisätietoja muutoksista Tuotteen päivitysaikataulu -osiosta).

Jos asiakas käyttää vanhoja käyttöjärjestelmäversioita (Windows 7 SP1, Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2), SHA-2-koodin allekirjoitustuki on asennettava laitteisiinsa heinäkuun 2019 jälkeen julkaistujen päivitysten asentamista varten. Laitteet, joissa ei ole SHA-2-tukea, eivät voi asentaa Windows-päivityksiä heinäkuussa 2019 tai sen jälkeen. Tämän muutoksen valmistelemiseksi SHA-2-kirjautumisen tuki julkaistiin maaliskuusta 2019 alkaen, ja siihen on tehty lisää parannuksia. Windows Server Update Services (WSUS) 3.0 SP2 saa SHA-2-tuen SHA-2-allekirjoitettujen päivitysten turvalliseen toimitukseen. Katso vain SHA-2-siirron aikajanan Tuotepäivitysaikataulu-osio.

Taustan tiedot

Secure Hash Algorithm 1 (SHA-1) kehitettiin peruuttamattomana hajautusfunktiona, ja sitä käytetään laajalti osana koodin allekirjoitusta. SHA-1-hajautusalgoritmin suojaus on valitettavasti huonontunut ajan mittaan algoritmin löytämien heikkouksien, suorittimen suorituskyvyn parantamisen ja pilvitekniikan myötä. Vahvemmat vaihtoehdot, kuten Suojattu hash-algoritmi 2 (SHA-2), ovat nyt erittäin suositeltaessa, sillä niissä ei ole samoja ongelmia. Lisätietoja SHA-1-algoritmin precation-misesta on kohdassa Hajautus- ja allekirjoitusalgoritmit.

Tuotteen päivityksen aikataulu

Alkuvuodesta 2019 alkaen siirtoPROSESSI SHA-2-tukeen alkoi vaiheittain, ja tuki toimitetaan erillisenä päivityksenä. Microsoft kohdistaa sha-2-tuen seuraavan aikataulun mukaisesti. Huomaa, että seuraava aikajana voi muuttua. Jatkamme tämän sivun päivittämista tarpeen mukaan.

Tavoitepäivämäärä	Tapahtuma	Koskee seuraavia:
12. maaliskuuta 2019	Erillisiä suojauspäivityksiä KB4474419 ja KB4490628, jotka on julkaistu SHA-2-koodimerkkituen esittele varten.	Windows 7 SP1 Windows Server 2008 R2 SP1
12. maaliskuuta 2019	Erillinen päivitys KB4484071 on saatavilla WSUS 3.0 SP2:n Windows Update -luetteloon, joka tukee SHA-2-allekirjoitettujen päivitysten toimittamista. Jos asiakas käyttää WSUS 3.0 SP2 -käyttöjärjestelmää, tämä päivitys on asennettava manuaalisesti viimeistään 18. kesäkuuta 2019.	WSUS 3.0 SP2
9. huhtikuuta 2019	Erillinen päivitys KB4493730, joka sisältää SHA-2-koodimerkkituen ylläpitopinolle (SSU), julkaistiin suojauspäivityksenä.	Windows Server 2008 SP2
14. toukokuuta 2019	Erillinen suojauspäivitys KB4474419, joka julkaistiin SHA-2-koodimerkkituen esittelemään.	Windows Server 2008 SP2
11. kesäkuuta 2019	Erillinen suojauspäivitys KB4474419julkaistiin uudelleen puuttuvan MSI SHA-2 -koodimerkkituen tueksi.	Windows Server 2008 SP2
18. kesäkuuta 2019	Windows 10 päivittää allekirjoitukset, jotka on muutettu kaksoisallekirjoituksesta (SHA-1/SHA-2) vain SHA-2-versioon. Asiakkaan toimia ei tarvita.	Windows 10, versio 1709 Windows 10, versio 1803 Windows 10, versio 1809 Windows Server 2019
18. kesäkuuta 2019	Pakollinen: Jos asiakas käyttää WSUS 3.0 SP2 -versiota, KB4484071 on asennettava manuaalisesti tähän päivämäärään mennessä SHA-2-päivitysten tueksi.	WSUS 3.0 SP2
9. heinäkuuta 2019	Pakollinen: Vanhojen Windows-versioiden päivitykset edellyttävät SHA-2-koodin allekirjoitustuen asentamista. Huhtikuussa ja toukokuussa(KB4493730 ja KB4474419)julkaistu tuki on pakollinen, jotta päivitysten vastaanottaminen voidaan jatkaa näissä Windows-versioissa. Kaikki vanhat Windows-päivitykset päivittyy SHA1-allekirjoituksen ja kahden allekirjoitetun (SHA-1/SHA-2) allekirjoituksen sha-2-versioksi vain tällä hetkellä.	Windows Server 2008 SP2
16. heinäkuuta 2019	Windows 10 päivittää allekirjoitukset, jotka on muutettu kaksoisallekirjoituksesta (SHA-1/SHA-2) vain SHA-2-versioon. Asiakkaan toimia ei tarvita.	Windows 10, versio 1507 Windows 10, versio 1607 Windows Server 2016 Windows 10, versio 1703
13. elokuuta 2019	Pakollinen: Vanhojen Windows-versioiden päivitykset edellyttävät SHA-2-koodin allekirjoitustuen asentamista. Maaliskuussa(KB4474419 ja KB4490628)julkaistu tuki on pakollinen, jotta näihin Windows-versioihin voidaan edelleen saada päivityksiä. Jos käytät EFI-käynnistystä laitteella tai VIRTUAALIKONE:lla, katso usein kysytyistä kysymyksistä lisätietoja, joiden avulla voit estää ongelman, jossa laite ei ehkä käynnisty. Kaikki vanhat Windows-päivitykset päivittyy SHA-1-versiosta ja kaksi allekirjoitettavasta (SHA-1/SHA-2) SHA-2-versioon vain tällä hetkellä.	Windows 7 SP1 Windows Server 2008 R2 SP1
10. syyskuuta 2019	Vanhat Windows-päivitysallekirjoitukset on muutettu vain kaksi allekirjoitettavasta (SHA-1/SHA-2) SHA-2-versioon. Asiakkaan toimia ei tarvita.	Windows Server 2012 Windows 8.1 Windows Server 2012 R2
10. syyskuuta 2019	Erillinen suojauspäivitys KB4474419 julkaistiin uudelleen puuttuvien EFI-käynnistyskoneiden lisäämistä. Varmista, että tämä versio on asennettu.	Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2
28. tammikuuta 2020	Microsoftin luotetun pääohjelman varmenteiden luottamusluetteloiden allekirjoitukset muuttuivat vain kaksi allekirjoitetusta (SHA-1/SHA-2) SHA-2-versioksi. Asiakkaan toimia ei tarvita.	Kaikki tuetut Windows-käyttöympäristöt
Elokuu 2020	Windows Update SHA-1 -pohjaiset palvelun päätepisteet on lopetettu. Tämä koskee vain vanhempia Windows-laitteita, joita ei ole päivitetty asianmukaisilla suojauspäivityksillä. Lisätietoja on artikkelissa KB4569557.	Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1
3. elokuuta 2020	Microsoftin käytöstä poistettu sisältö, joka on Windows-allekirjoitettu Secure Hash Algorithm 1 (SHA-1) -algoritmille Microsoft Download Centeristä. Lisätietoja on Windows IT Pro -blogin SHA-1 Windows-sisällössä, joka on poistettu käytöstä 3. elokuuta 2020.	Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Server

Nykyinen tila

Windows 7 SP1 ja Windows Server 2008 R2 SP1

Seuraavat pakolliset päivitykset on asennettava ja laite käynnistettävä uudelleen ennen 13. elokuuta 2019 julkaistun päivityksen asentamista. Tarvittavat päivitykset voidaan asentaa missä tahansa järjestyksessä, eikä niitä tarvitse asentaa uudelleen, ellei pakollisesta päivityksestä ole olemassa uutta versiota.

Ylläpitopinon päivitys (SSU) (KB4490628). Jos käytät Windows Updatea, tarvittava SSU tarjotaan sinulle automaattisesti.
SHA-2-päivitys (KB4474419) julkaistu 10. syyskuuta 2019. Jos käytät Windows Updatea, tarvittava SHA-2-päivitys tarjotaan sinulle automaattisesti.

TärkeääSinun on käynnistettävä laite uudelleen kaikkien tarvittavien päivitysten asentamisen jälkeen ennen kuukausittaisen koonnin, vain suojausta edellyttävän päivityksen, kuukausittaisen koonnin esikatselun tai erillisen päivityksen asentamista.

Windows Server 2008 SP2

Seuraavat päivitykset on asennettava ja laite käynnistettävä uudelleen ennen koostamisen asentamista, joka julkaistiin 10. syyskuuta 2019 tai sitä uudemmassa vaiheessa. Tarvittavat päivitykset voidaan asentaa missä tahansa järjestyksessä, eikä niitä tarvitse asentaa uudelleen, ellei pakollisesta päivityksestä ole olemassa uutta versiota.

Ylläpitopinon päivitys (SSU) (KB4493730). Jos käytät Windows Updatea, tarvittava SSU-päivitys tarjotaan sinulle automaattisesti.
Uusin SHA-2-päivitys (KB4474419) julkaistu 10. syyskuuta 2019. Jos käytät Windows Updatea, tarvittava SHA-2-päivitys tarjotaan sinulle automaattisesti.

Usein kysyttyjä kysymyksiä

Yleisiä tietoja, suunnittelu ja riskien estäminen

1. Miten KB3033929- ja KB4039648-päivitykset eroavat maaliskuussa ja huhtikuussa toimitetuista eri päivityksistä?

SHA-2-koodin allekirjoitustuki toimitettiin ajoissa, jotta useimmat asiakkaat saavat tukea hyvin ennen sha-2-kirjautumisen muutosta näihin järjestelmiin. Eri päivitykset sisältävät joitain lisäkorjauksia, ja ne ovat saatavilla sen varmistamiseksi, että kaikki SHA-2-päivitykset ovat pienissä päivityksissä, jotka on helppo tunnistaa. Microsoft suosittelee, että asiakkaat, jotka ylläpitävät näiden OS:iden järjestelmäkuvia, soveltavat näitä päivityksiä kuviin.

2. Lisääkö muut WSUS-versiot SHA-2-tuen?

Windows Server 2012:n WSUS 4.0 -versiosta alkaen WSUS tukee jo SHA-2-allekirjoitettuja päivityksiä, eikä näille versioille tarvita asiakkaan toimia.

Vain WSUS 3.0 SP2 tarvitsee KB4484071-päivityksenSHA2:n vain allekirjoitettujen päivitysten tueksi.

3. Minulla on Windows Server 2008 SP2 -järjestelmä, jossa on kaksisaappinen Windows Server 2008 R2 (tai Windows 7). Miten SHA-2-tukeen kannattaa päivittää?

Oletetaan, että käytät Windows Server 2008 SP2:ta. Jos kaksoiskäynnistys on käytössä Windows Server 2008 R2 SP1:n tai Windows 7 SP1:n kanssa, tämäntyyppisen järjestelmän käynnistyksen hallinta on peräisin Windows Server 2008 R2- tai Windows 7 -järjestelmästä. Jotta molemmat järjestelmät voidaan päivittää käyttämään SHA-2-tukea, sinun on ensin päivitettävä Windows Server 2008 R2- tai Windows 7 -järjestelmä niin, että käynnistyksen hallinta päivitetään SHA-2-versiota tukevaan versioon. Päivitä sitten Windows Server 2008 SP2 -järjestelmä SHA-2-tuen avulla.

4. Minulla on järjestelmä, jossa on kaksi osiota, toisessa Windows Server 2008 SP2 ja toinen Windows 7 PE (WinPE) -käynnistysympäristössä. Miten voin päivittää SHA-2-tukeen?

Kuten kaksikäynnistysskenaariossa, Windows 7 PE -ympäristö on päivitettävä SHA-2-tukeen. Tämän jälkeen Windows Server 2008 SP2 -järjestelmä on päivitettävä SHA-2-tukeen.

5. Suoritan asennuksena puhtaan Windows 7 SP1- tai Windows Server 2008 R2 SP1 -asennuksen. Käytössäni on kuva, joka on mukautettu päivityksillä (esimerkiksi dism.exe). Miten voin päivittää SHA-2-tukeen?

Suorita Windowsin asennus windowsiin viimeistelyä ja käynnistystä varten ennen 13. elokuuta 2019 tai sitä uudempien päivitysten asentamista
Avaa järjestelmänvalvojan komentokehoteikkuna ja suoritabcdboot.exe. Tämä kopioi käynnistystiedostot Windows-hakemistosta ja määrittää käynnistysympäristön. Lisätietoja on BCDBootCommand-Line asetusten vaihtoehdoissa.
Ennen kuin asennat muita päivityksiä, asenna 13. elokuuta 2019 uudelleenjulkaisu KB4474419 ja KB4490628 for Windows 7 SP1 ja Windows Server 2008 R2 SP1.
Käynnistä käyttöjärjestelmä uudelleen. Tämä uudelleenkäynnistys on pakollinen
Asenna jäljellä olevat päivitykset.

6. Asennan Windows 7 SP1- tai Windows Server 2008 R2 SP1 -kuvan suoraan levylle suorittamatta asennusta. Miten saan tämän skenaarion toimimaan?

Asenna kuva levylle ja käynnistä se Windowsiin.
Suorita komentokehotteessa bcdboot.exe. Tämä kopioi käynnistystiedostot Windows-hakemistosta ja määrittää käynnistysympäristön. Lisätietoja on BCDBootCommand-Line asetusten vaihtoehdoissa.
Ennen kuin asennat muita päivityksiä, asenna 23. syyskuuta 2019 uudelleenjulkaisu KB4474419 ja KB4490628 for Windows 7 SP1 ja Windows Server 2008 R2 SP1.
Käynnistä käyttöjärjestelmä uudelleen. Tämä uudelleenkäynnistys on pakollinen
Asenna jäljellä olevat päivitykset.

7. Tukeeko tämä SHA-2-päivitys Windows 7 SP1- ja Windows Server 2008 R2 SP1 -käyttöjärjestelmän EFI-käynnistysta x64-laitteessani tai VIRTUAALIKONEessa?

Kyllä, tarvittavat päivitykset on asennettava ennen jatkamista: SSU(KB4490628) ja SHA-2-päivitys(KB4474419). Lisäksi laite on käynnistettävä uudelleen vaadittujen päivitysten asentamisen jälkeen ennen uusien päivitysten asentamista.

8. Windows 10, versio 1903, ei näy yllä olevassa taulukossa, tukeeko se SHA-2-päivityksiä? Tarvitaanko toimia?

Windows 10: n versio 1903 tukee SHA-2-versiota, koska se on julkaistu ja kaikki päivitykset ovat jo SHA-2-allekirjoitettuja. Tälle Windows-versiolle ei tarvita toimia.

9. Asennan päivityksiä online-järjestelmään käyttämällä dism.exe /online. Miten saan tämän skenaarion toimimaan?

Windows 7 SP1 ja Windows Server 2008 R2 SP1

Käynnistä Windowsiin ennen 13. elokuuta 2019 julkaistujen tai uudempien päivitysten asentamista.
Ennen kuin asennat muita päivityksiä, asenna 23. syyskuuta 2019 uudelleenjulkaisu KB4474419 ja KB4490628for Windows 7 SP1 ja Windows Server 2008 R2 SP1.
Käynnistä käyttöjärjestelmä uudelleen. Tämä uudelleenkäynnistys on pakollinen
Asenna jäljellä olevat päivitykset.

Windows Server 2008 SP2

Käynnistä Windowsiin ennen 9. heinäkuuta 2019 julkaistujen tai uudempien päivitysten asentamista.
Ennen kuin asennat muita päivityksiä, asenna 23. syyskuuta 2019 uudelleenjulkaisu KB4474419 ja KB4493730 for Windows Server 2008 SP2.
Käynnistä käyttöjärjestelmä uudelleen. Tämä uudelleenkäynnistys on pakollinen
Asenna jäljellä olevat päivitykset.

Ongelman palauttaminen

1. X86- tai x64-laitteeni tai virtuaalikoneeni (VM) ei käynnisty, ja saan virhesanoman 0xc0000428 (STATUS_INVALID_IMAGE_HASH) tai laitteeni käynnistyy palautusympäristöön uudelleenkäynnistyksen jälkeen 13. elokuuta 2019 julkaistujen päivitysten asentamisen jälkeen. Olen asentanut KB4474419- ja KB4490628-päivitykseen SHA-2-tuen. Miten voin palauttaa asennukseni?

Jos näyttöön tulee virheilmoitus 0xc0000428 "Windows ei voi vahvistaa tämän tiedoston digitaalista allekirjoitusta. Äskettäinen laitteiston tai ohjelmiston muutos on saattanut asentaa tiedoston, joka on allekirjoitettu virheellisesti tai vioittunut tai joka voi olla haittaohjelmia tuntemattomasta lähteestä." palauta ne noudattamalla seuraavia ohjeita.

Käynnistä käyttöjärjestelmä palautusmedian avulla.
Ennen kuin asennat muita päivityksiä, asenna päivitys KB4474419, joka on päivätty 23.9.2019 tai sitä uudempi versio käyttäen Windows 7 SP1:n ja Windows Server 2008 R2 SP1:n Deployment Image Servicing and Management(DISM)-versiota.
Suorita komentokehotteessa bcdboot.exe. Tämä kopioi käynnistystiedostot Windows-hakemistosta ja määrittää käynnistysympäristön. Lisätietoja on BCDBootCommand-Line asetusten vaihtoehdoissa.
Käynnistä käyttöjärjestelmä uudelleen.

2. Olen ottanut käyttöön koontipäivityksen kaikkiin ympäristön laitteisiin tai virtuaalikoneisiin ja saan uudelleenkäynnistyksen yhteydessä virhesanoman 0xc0000428 (STATUS_INVALID_IMAGE_HASH) tai laitteeni käynnistyy palautusympäristöön. Mitä minun pitää tehdä muille laitteille tai VMS-laitteille, joita ei ole vielä käynnistetty uudelleen?

Pysäyttää käyttöönoton muihin laitteisiin, älä käynnistä uudelleen laitteita tai VMS-laitteita, joita ei ole vielä käynnistetty uudelleen.
Tunnista laitteet ja pikalaitteet uudelleenkäynnistyksen odottavassa tilassa 13.8.2019 tai sitä uudemmissa versioissa julkaistuilla päivityksillä ja avaa järjestelmänvalvojan oikeuksin varustettu komentokehote
Etsi poistettavan päivityksen paketin käyttäjätiedot käyttämällä seuraavaa komentoa päivityksessä kb-numeron avulla (korvaa 4512506 kohdentamallasi KB-numerolla, jos se ei ole 13. elokuuta 2019 julkaistu kuukausittainen koonti): dism /online /get-packages | findstr 4512506
Poista päivitys seuraavalla komennolla ja korvaa <-paketin käyttäjätiedot>edellisellä komennolla: Dism.exe /online /remove-package /packagename:<package identity>
Sinun on nyt asennettava tarvittavat päivitykset, jotka on mainittu asennettavan päivityksen tämän päivitysosion saaminen, tai tämän artikkelin Nykyinen tila -osiossa edellä luetellut pakolliset päivitykset.

HuomautusJos laitteessa tai virtuaalikoneessa 0xc0000428 virheilmoitus tai joka alkaa palautusympäristöön, sinun on noudatettava usein kysyttyjen kysymysten ohjeita virheilmoituksia 0xc0000428.

3. Mitä teen, jos saan virhekoodin 80096010 tai virhekoodin 80092004 (CRYPT_E_NOT_FOUND), "Windows Update kohtasi tuntemattoman virheen", kun yritän asentaa päivityksen Windows 7 SP1:lle, Windows Server 2008 R2 SP1:lle tai Windows Server 2008 SP2:lle?

Jos kohtaat näitä virheitä, sinun on asennettava tarvittavat päivitykset, jotka on lueteltu asennettavan päivityksen tämän päivitysosion ohjeiden mukaisesti, tai yllä luetellut pakolliset päivitykset, jotka on lueteltu tämän artikkelin Nykyinen tila -osassa.

4. Intel Itanium IA64 -laitteeni ei käynnisty ja saan virheilmoituksen 0xc0000428 (STATUS_INVALID_IMAGE_HASH), mutta asensin KB4474419- ja KB4490628-päivityksen. Miten voin palauttaa asennukseni?

Käynnistä käyttöjärjestelmä palautusmedian avulla.
Asenna uusin SHA-2-päivitys(KB4474419),joka julkaistiin 13. elokuuta 2019 tai sen jälkeen käyttäen Windows 7 SP1:n ja Windows Server 2008 R2 SP1:n Deployment Image Servicing and Management(DISM)-palvelua.
Käynnistä palautusmedia uudelleen. Tämä uudelleenkäynnistys on pakollinen
Suorita komentokehotteessa bcdboot.exe. Tämä kopioi käynnistystiedostot Windows-hakemistosta ja määrittää käynnistysympäristön. Lisätietoja on BCDBootCommand-Line asetusten vaihtoehdoissa.
Käynnistä käyttöjärjestelmä uudelleen.

5. Kun olen asentanut SHA-2-päivityksen (KB4474419), joka julkaistiin Windows Server 2008 SP2:lle 10. syyskuuta 2019, en pysty asentamaan päivityksiä manuaalisesti kaksoisnapsauttamalla .msu-tiedostoa ja saa virhesanoman "Asennusohjelma kohtasi virheen: 0x80073afc. Resurssien lataaja ei löytänyt monikielisyyskäyttökeskustiedostoa."

Jos ongelma ilmenee, voit pienentää tätä ongelmaa avaamalla komentokehoteikkunan ja asentamalla päivityksen seuraavan komennon (korvaa <msu -sijainti>-paikkamerkki päivityksen todellisella sijainnilla ja tiedostonimellä):

wusa.exe <msu-sijainti> /hiljainen

Tämä ongelma on korjattu KB4474419-ratkaisussa, joka julkaistiin 8. lokakuuta 2019. Tämä päivitys asennetaan automaattisesti Windows Updatesta ja Windows Server Update Servicesistä (WSUS). Jos haluat asentaa tämän päivityksen manuaalisesti, sinun on käytettävä edellä kuvattua vaihtoehtoista tapaa.

HuomautusJos olet aiemmin asentanut KB4474419-version, joka julkaistiin 23. syyskuuta 2019, sinulla on jo tämän päivityksen uusin versio eikä sinun tarvitse asentaa sitä uudelleen.