Obligation de prise en charge de la signature du code SHA-2 2019 pour Windows et WSUS

S’applique à : Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

Résumé


Pour aider à protéger la sécurité du système d'exploitation Windows, des mises à jour ont déjà été signées (en utilisant les algorithmes de hachage SHA-1 et SHA-2). Les signatures sont utilisées pour authentifier que les mises à jour proviennent directement de Microsoft et n'ont pas été altérées pendant la livraison. En raison des faiblesses de l'algorithme SHA-1 et pour s'aligner sur les normes de l'industrie, Microsoft signera les mises à jour Windows en utilisant exclusivement l'algorithme SHA-2, plus sécurisé. Ce changement a été effectué par étapes à partir d'avril 2019 à septembre 2019 pour permettre une migration en douceur (voir la section « Calendrier de mise à jour des produits » pour plus de détails sur les changements).

Les clients exécutant d'anciennes versions de systèmes d'exploitation (Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2) devront avoir installé le support de signature de code SHA-2 sur leurs appareils pour installer les mises à jours publiées d'ici à juillet 2019. Aucun appareil incompatible avec SHA-2 ne pourra bénéficier des mises à jour Windows pendant ou après juillet 2019. Pour vous aider à vous préparer à ce changement, nous avons lancé la compatibilité avec la signature SHA-2 en mars 2019 et nous avons avancé par étapes. Windows Server Update Services (WSUS) 3.0 SP2 recevra la compatibilité SHA-2 pour fournir correctement les mises à jour signées SHA-2. Veuillez consulter la section « Calendrier de mise à jour des produits » pour le seul calendrier de migration SHA-2.

Informations générales


L'algorithme de hachage sécurisé 1 (SHA-1) a été développé comme fonction de hachage irréversible et est largement utilisé dans le cadre de la signature de code. Malheureusement, la sécurité de l'algorithme de hachage SHA-1 est devenue moindre au fil du temps en raison de faiblesses découvertes dans l'algorithme, des performances accrues des processeurs et de l'avènement du cloud computing. Des alternatives plus fortes telles que l'algorithme de hachage sécurisé 2 (SHA-2) sont maintenant fortement privilégiées car elles ne souffrent pas des mêmes problèmes. Pour plus d'informations sur la dépréciation de SHA-1, voir Algorithmes de hachage et de signature.

Calendrier de mise à jour des produits


À partir de début 2019, le processus de migration vers la compatibilité SHA-2 se fera par étapes, et le support sera fourni via des mises à jour autonomes.. Microsoft vise le calendrier suivant pour offrir la compatibilité SHA-2. Veuillez noter que l'échéancier ci-dessous est susceptible de changer. Nous mettrons à jour cet article si nécessaire.

Date cible

Événement

Produits concernés

12 mars 2019

Mises à jour de sécurité autonomes KB4474419 et KB4490628 lancées pour introduire la compatibilité avec la signature de code SHA-2.

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

12 mars 2019

Mise à jour autonome KB4484071 disponible dans le catalogue Windows Update pour WSUS 3.0 SP2 qui prend en charge les mises à jour de la signature SHA-2. Pour les clients utilisant WSUS 3.0 SP2, cette mise à jour devrait être installée manuellement au plus tard le 18 juin 2019.

WSUS 3.0 SP2

9 avril 2019

Mise à jour autonome KB4493730 introduisant la compatibilité avec la signature de code SHA-2 pour la pile de maintenance (SSU), publiée comme mise à jour de sécurité.

Windows Server 2008 SP2
14 mai 2019 Mise à jour de sécurité autonome KB4474419 publiée pour introduire la compatibilité avec la signature de code SHA-2. Windows Server 2008 SP2
11 juin 2019 Mise à jour de sécurité autonome KB4474419 publiée à nouveau pour ajouter la compatibilité manquante avec la signature de code MSI SHA-2.
 
Windows Server 2008 SP2
 
18 juin 2019 Les signatures des mises à jour Windows 10 passent d'une double signature (SHA-1/SHA-2) à SHA-2 uniquement. Aucune action client requise. Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019
18 juin 2019 Obligatoire : Pour les clients utilisant WSUS 3.0 SP2, KB4484071 doit être installée manuellement avant cette date pour permettre les mises à jour SHA-2. WSUS 3.0 SP2

9 juillet 2019

Obligatoire : Les mises à jour pour les anciennes versions de Windows nécessiteront l'installation de la compatibilité avec la signature de code SHA-2. La prise en charge publiée en avril et mai (KB4493730 et KB4474419) sera requis afin de continuer de recevoir des mises à jour de ces versions de Windows.

Les signatures des anciennes mises à jour Windows sont passées de SHA-1 et d'une double signature SHA-1/SHA-2 à SHA-2 seulement pour le moment.

Windows Server 2008 SP2
16 juillet 2019 Les signatures des mises à jour Windows 10 passent d'une double signature (SHA-1/SHA-2) à SHA-2 uniquement. Aucune action client requise.

Windows 10 1507,
Windows 10 1607,
Windows Server 2016,
Windows 10 1703

13 août 2019

Obligatoire : Les mises à jour pour les anciennes versions de Windows nécessiteront l'installation de la compatibilité avec la signature de code SHA-2. La compatibilité publiée en mars (KB4474419 et KB4490628) seront nécessaires pour continuer à recevoir des mises à jour sur ces versions de Windows.  Si vous disposez d'un appareil ou d'un ordinateur virtuel utilisant le démarrage EFI, veuillez consulter la section FAQ pour connaître les étapes supplémentaires permettant d'éviter les problèmes de démarrage de votre appareil.

Les signatures des anciennes mises à jour Windows sont passées de SHA-1 et d'une double signature SHA-1/SHA-2 à SHA-2 seulement pour le moment.

Windows 7 SP1,
Windows Server 2008 R2 SP1
10 septembre 2019 Les signatures des anciennes mises à jour Windows sont passées d'une double signature SHA-1/SHA-2 à SHA-2 uniquement. Aucune action client requise. Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2
10 septembre 2019 La mise à jour de sécurité autonome KB4474419 a été rééditée pour ajouter les gestionnaires de démarrage EFI manquants. Assurez-vous que cette version est installée. Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2

Statut actuel


Windows 7 SP1 et Windows Server 2008 R2 SP1

Les mises à jour suivantes doivent être installées et l'appareil doit être redémarré avant d'installer toute mise à jour publiée le 13 août 2019 ou ultérieurement. Les mises à jour requises peuvent être installées dans n'importe quel ordre et n'ont pas besoin d'être réinstallées, sauf s'il existe une nouvelle version de la mise à jour requise.

  • Mise à jour de la pile de maintenance (SSU) (KB4490628). Si vous utilisez Windows Update, la dernière mise à jour SSU vous sera proposée automatiquement. 
  • La mise à jour SHA-2 (KB4474419) a été publiée le 10 septembre 2019. Si vous utilisez Windows Update, la mise à jour requise SHA-2 vous sera proposée automatiquement.

Important Vous devez redémarrer votre appareil après avoir installé toutes les mises à jour requises, avant d'installer un correctif cumulatif mensuel, une mise à jour de sécurité uniquement ou un aperçu du correctif cumulatif mensuel.

Windows Server 2008 SP2

Les mises à jour suivantes doivent être installées et l'appareil doit être redémarré avant d'installer tout correctif cumulatif publié le 10 septembre 2019 ou ultérieurement. Les mises à jour requises peuvent être installées dans n'importe quel ordre et n'ont pas besoin d'être réinstallées, sauf s'il existe une nouvelle version de la mise à jour requise.

  • Mise à jour de la pile de maintenance (SSU) (KB4493730). Si vous utilisez Windows Update, la dernière mise à jour SSU vous sera proposée automatiquement. 
  • Dernière mise à jour SHA-2 (KB4474419), publiée le 10 septembre 2019. Si vous utilisez Windows Update, la mise à jour requise SHA-2 vous sera proposée automatiquement.

Important Vous devez redémarrer votre appareil après avoir installé toutes les mises à jour requises, avant d'installer un correctif cumulatif mensuel, une mise à jour de sécurité uniquement, ou un aperçu du correctif cumulatif.

Foire Aux Questions


Informations générales, planification et prévention des problèmes

Résolution de problèmes