Obligation de prise en charge de la signature du code SHA-2 2019 pour Windows et WSUS

Résumé

Pour aider à protéger la sécurité du système d'exploitation Windows, des mises à jour ont déjà été signées (en utilisant les algorithmes de hachage SHA-1 et SHA-2). Les signatures sont utilisées pour authentifier que les mises à jour proviennent directement de Microsoft et n'ont pas été altérées pendant la livraison. En raison des faiblesses de l'algorithme SHA-1 et pour s'aligner sur les normes de l'industrie, Microsoft signera les mises à jour Windows en utilisant exclusivement l'algorithme SHA-2, plus sécurisé. Ce changement a été effectué par étapes à partir d'avril 2019 à septembre 2019 pour permettre une migration en douceur (voir la section « Calendrier de mise à jour des produits » pour plus de détails sur les changements).

Les clients exécutant d'anciennes versions de systèmes d'exploitation (Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2) devront avoir installé le support de signature de code SHA-2 sur leurs appareils pour installer les mises à jours publiées d'ici à juillet 2019. Aucun appareil incompatible avec SHA-2 ne pourra bénéficier des mises à jour Windows pendant ou après juillet 2019. Pour vous aider à vous préparer à ce changement, nous avons lancé la compatibilité avec la signature SHA-2 en mars 2019 et nous avons avancé par étapes. Windows Server Update Services (WSUS) 3.0 SP2 recevra la compatibilité SHA-2 pour fournir correctement les mises à jour signées SHA-2. Veuillez consulter la section « Calendrier de mise à jour des produits » pour le seul calendrier de migration SHA-2.

Informations générales

L'algorithme de hachage sécurisé 1 (SHA-1) a été développé comme fonction de hachage irréversible et est largement utilisé dans le cadre de la signature de code. Malheureusement, la sécurité de l'algorithme de hachage SHA-1 est devenue moindre au fil du temps en raison de faiblesses découvertes dans l'algorithme, des performances accrues des processeurs et de l'avènement du cloud computing. Des alternatives plus fortes telles que l'algorithme de hachage sécurisé 2 (SHA-2) sont maintenant fortement privilégiées car elles ne souffrent pas des mêmes problèmes. Pour plus d'informations sur la dépréciation de SHA-1, voir Algorithmes de hachage et de signature.

Calendrier de mise à jour des produits

À partir de début 2019, le processus de migration vers la compatibilité SHA-2 se fera par étapes, et le support sera fourni via des mises à jour autonomes.. Microsoft vise le calendrier suivant pour offrir la compatibilité SHA-2. Veuillez noter que l'échéancier ci-dessous est susceptible de changer. Nous mettrons à jour cet article si nécessaire.

Date cible

Événement

Produits concernés

12 mars 2019

Mises à jour de sécurité autonomes KB4474419 et KB4490628 lancées pour introduire la compatibilité avec la signature de code SHA-2.

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

12 mars 2019

Mise à jour autonome KB4484071 disponible dans le catalogue Windows Update pour WSUS 3.0 SP2 qui prend en charge les mises à jour de la signature SHA-2. Pour les clients utilisant WSUS 3.0 SP2, cette mise à jour devrait être installée manuellement au plus tard le 18 juin 2019.

WSUS 3.0 SP2

9 avril 2019

Mise à jour autonomeKB4493730 introduisant la compatibilité avec la signature de code SHA-2 pour la pile de maintenance (SSU), publiée comme mise à jour de sécurité.

Windows Server 2008 SP2

14 mai 2019

Mise à jour de sécurité autonomeKB4474419 publiée pour introduire la compatibilité avec la signature de code SHA-2.

Windows Server 2008 SP2

11 juin 2019

Mise à jour de sécurité autonomeKB4474419 publiée à nouveau pour ajouter la compatibilité manquante avec la signature de code MSI SHA-2.

Windows Server 2008 SP2

18 juin 2019

Les signatures des mises à jour Windows 10 passent d'une double signature (SHA-1/SHA-2) à SHA-2 uniquement. Aucune action client requise.

Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019

18 juin 2019

Obligatoire : Pour les clients utilisant WSUS 3.0 SP2, KB4484071 doit être installée manuellement avant cette date pour permettre les mises à jour SHA-2.

WSUS 3.0 SP2

9 juillet 2019

Obligatoire : Les mises à jour pour les anciennes versions de Windows nécessiteront l'installation de la compatibilité avec la signature de code SHA-2. La prise en charge publiée en avril et mai (KB4493730 et KB4474419) sera requis afin de continuer de recevoir des mises à jour de ces versions de Windows.

Les signatures des anciennes mises à jour Windows sont passées de SHA-1 et d'une double signature SHA-1/SHA-2 à SHA-2 seulement pour le moment.

Windows Server 2008 SP2

16 juillet 2019

Les signatures des mises à jour Windows 10 passent d'une double signature (SHA-1/SHA-2) à SHA-2 uniquement. Aucune action client requise.

Windows 10 1507,
Windows 10 1607,
Windows Server 2016,
Windows 10 1703

13 août 2019

Obligatoire : Les mises à jour pour les anciennes versions de Windows nécessiteront l'installation de la compatibilité avec la signature de code SHA-2. La compatibilité publiée en mars (KB4474419 et KB4490628) seront nécessaires pour continuer à recevoir des mises à jour sur ces versions de Windows.  Si vous disposez d'un appareil ou d'un ordinateur virtuel utilisant le démarrage EFI, veuillez consulter la section FAQ pour connaître les étapes supplémentaires permettant d'éviter les problèmes de démarrage de votre appareil.

Les signatures des anciennes mises à jour Windows sont passées de SHA-1 et d'une double signature SHA-1/SHA-2 à SHA-2 seulement pour le moment.

Windows 7 SP1,
Windows Server 2008 R2 SP1

10 septembre 2019

Les signatures des anciennes mises à jour Windows sont passées d'une double signature SHA-1/SHA-2 à SHA-2 uniquement. Aucune action client requise.

Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2

10 septembre 2019

La mise à jour de sécurité autonome KB4474419 a été rééditée pour ajouter les gestionnaires de démarrage EFI manquants. Assurez-vous que cette version est installée.

Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2

28 janvier 2020

Les signatures présentes sur les listes de certificats de confiance (CTL) pour le Microsoft Trusted Root Program sont passées de la double signature (SHA-1/SHA-2) à la simple signature SHA-2 uniquement. Aucune action client requise.

Toutes les plates-formes Windows prises en charge

Août 2020

Les points de terminaison de service Windows Update basés sur SHA-1 sont interrompus. Cela n’affecte que les anciens appareils Windows qui n’ont pas été mis à jour avec les mises à jour de sécurité appropriées. Pour plus d’informations, consultez l’article KB4569557.

Windows 7, Windows 7 SP1, Windows Server 2008, Windows Server 2008 SP2, Windows Server 2008 R2, Windows Server 2008 R2 SP1

Statut actuel

Windows 7 SP1 et Windows Server 2008 R2 SP1

Les mises à jour suivantes doivent être installées et l'appareil doit être redémarré avant d'installer toute mise à jour publiée le 13 août 2019 ou ultérieurement. Les mises à jour requises peuvent être installées dans n'importe quel ordre et n'ont pas besoin d'être réinstallées, sauf s'il existe une nouvelle version de la mise à jour requise.

  • Mise à jour de la pile de maintenance (SSU) (KB4490628). Si vous utilisez Windows Update, la dernière mise à jour SSU vous sera proposée automatiquement.

  • La mise à jour SHA-2 (KB4474419) a été publiée le 10 septembre 2019. Si vous utilisez Windows Update, la mise à jour requise SHA-2 vous sera proposée automatiquement.

Important Vous devez redémarrer votre appareil après avoir installé toutes les mises à jour requises, avant d’installer un correctif cumulatif mensuel, une mise à jour de sécurité uniquement, ou un aperçu du correctif cumulatif.

Windows Server 2008 SP2

Les mises à jour suivantes doivent être installées et l'appareil doit être redémarré avant d'installer tout correctif cumulatif publié le 10 septembre 2019 ou ultérieurement. Les mises à jour requises peuvent être installées dans n'importe quel ordre et n'ont pas besoin d'être réinstallées, sauf s'il existe une nouvelle version de la mise à jour requise.

  • Mise à jour de la pile de maintenance (SSU) (KB4493730). Si vous utilisez Windows Update, la dernière mise à jour SSU vous sera proposée automatiquement.

  • Dernière mise à jour SHA-2 (KB4474419), publiée le 10 septembre 2019. Si vous utilisez Windows Update, la mise à jour requise SHA-2 vous sera proposée automatiquement.

Important Vous devez redémarrer votre appareil après avoir installé toutes les mises à jour requises, avant d’installer un correctif cumulatif mensuel, une mise à jour de sécurité uniquement, ou un aperçu du correctif cumulatif.

Foire Aux Questions

Informations générales, planification et prévention des problèmes

La compatibilité avec la signature de code SHA-2 a été publiée tôt afin que la plupart des clients puissent bénéficier de cette prise en charge bien avant le passage de Microsoft à la signature SHA-2 pour les mises à jour de ces systèmes. Les mises à jour autonomes comprennent des corrections supplémentaires et sont mises à disposition pour s'assurer que toutes les mises à jour SHA-2 soient incluses dans un petit nombre de mises à jour facilement identifiables. Microsoft recommande aux clients qui maintiennent des images système pour ces systèmes d'exploitation d'appliquer ces mises à jour aux images.

À partir de WSUS 4.0 sur Windows Server 2012, WSUS est déjà compatible avec les mises à jour signées SHA-2, et aucune action client n'est nécessaire pour ces versions.

Seul WSUS 3.0 SP2 nécessite l'installation de KB4484071 pour prendre en charge les mises à jour signées uniquement avec SHA2.

Supposons que vous exécutez Windows Server 2008 SP2. Si vous démarrez en double avec Windows Server 2008 R2 SP1/Windows 7 SP1, le gestionnaire de démarrage pour ce type de système est celui du système Windows Server 2008 R2/Windows 7. Afin de mettre à jour avec succès ces deux systèmes pour qu'ils prennent en charge SHA-2, vous devez d'abord mettre à jour le système Windows Server 2008 R2/Windows 7 afin que le gestionnaire de démarrage soit mis à jour vers la version qui prend en charge SHA-2. Ensuite, mettez à jour le système Windows Server 2008 SP2 avec prise en charge de SHA-2.

Comme pour le scénario à double démarrage, l'environnement Windows 7 PE doit être mis à jour pour prendre en charge SHA-2. Ensuite, le système Windows Server 2008 SP2 doit être mis à jour pour prendre en charge SHA-2.

  1. Exécutez la configuration Windows jusqu'à la fin et démarrez sous Windows avant d'installer les mises à jour du 13 août 2019 ou ultérieures

  2. Ouvrez une fenêtre d'invite de commande administrateur, exécutez bcdboot.exe. Cela copie les fichiers de démarrage à partir du répertoire Windows et configure l'environnement de démarrage. Voir BCDBoot Command-Line Options (Options de la ligne de commande BCDBoot) pour plus de détails.

  3. Avant d'installer des mises à jour supplémentaires, installez la réédition du 13 août 2019 des mises à jour KB4474419, KB4490628 pour Windows 7 SP1 et Windows Server 2008 R2 SP1.

  4. Redémarrez le système d'exploitation. Ce redémarrage est requis

  5. Installez toutes les mises à jour restantes.

  1. Installez l'image sur le disque et démarrez sous Windows.

  2. À l'invite de commandes, tapez bcdboot.exe. Cela copie les fichiers de démarrage à partir du répertoire Windows et configure l'environnement de démarrage. Voir BCDBoot Command-Line Options (Options de la ligne de commande BCDBoot) pour plus de détails.

  3. Avant d'installer des mises à jour supplémentaires, installez la réédition du 23 septembre 2019 des mises à jour KB4474419, KB4490628 pour Windows 7 SP1 et Windows Server 2008 R2 SP1.

  4. Redémarrez le système d'exploitation. Ce redémarrage est requis

  5. Installez toutes les mises à jour restantes.

Oui, vous devrez installer les mises à jour nécessaires avant de continuer : Mise à jour SSU (KB4490628) et SHA-2 (KB4474419).  De plus, vous devez redémarrer votre appareil après avoir installé les mises à jour requises avant d'installer toute autre mise à jour.

Windows 10, version 1903 supporte SHA-2 depuis sa sortie et toutes les mises à jour sont déjà signées SHA-2 seulement.  Aucune action n'est nécessaire pour cette version de Windows.

Windows 7 SP1 et Windows Server 2008 R2 SP1

  1. Démarrez sous Windows avant d'installer les mises à jour du 13 août 2019 ou une version ultérieure.

  2. Avant d'installer des mises à jour supplémentaires, installez la réédition du 23 septembre 2019 des mises à jour pour Windows 7 SP1 et Windows Server 2008 R2 SP1.

  3. Redémarrez le système d'exploitation. Ce redémarrage est requis

  4. Installez toutes les mises à jour restantes.

Windows Server 2008 SP2

  1. Démarrez sous Windows avant d'installer des mises à jour du 9 juillet 2019 ou une version ultérieure.

  2. Avant d'installer des mises à jour supplémentaires, installez la réédition du 23 septembre 2019 des articles KB4474419 et KB4493730 pour Windows Server 2008 SP2.

  3. Redémarrez le système d'exploitation. Ce redémarrage est requis

  4. Installez toutes les mises à jour restantes.

Résolution de problèmes

Si vous voyez l'erreur 0xc0000428 avec le message « Windows ne peut pas vérifier la signature numérique pour ce fichier. Un changement récent de matériel ou de logiciel peut avoir installé un fichier signé incorrectement ou endommagé, ou qui peut être un logiciel malveillant provenant d'une source inconnue », veuillez suivre les étapes suivantes pour le récupérer.

  1. Démarrez le système d'exploitation à l'aide d'un support de récupération.

  2. Avant d'installer des mises à jour supplémentaires, installez la mise à jour KB4474419 publiée le 23 septembre 2019 ou ultérieurement à l'aide de la Gestion et maintenance des images de déploiement (DISM) pour Windows 7 SP1 et Windows Server 2008 R2 SP1.

  3. À l'invite de commandes, tapez bcdboot.exe. Cela copie les fichiers de démarrage à partir du répertoire Windows et configure l'environnement de démarrage. Voir BCDBoot Command-Line Options (Options de la ligne de commande BCDBoot) pour plus de détails.

  4. Redémarrez le système d'exploitation.

  1. Arrêtez le déploiement sur les autres appareils et ne redémarrez pas les appareils ou ordinateurs virtuels qui n'ont pas encore redémarré.

  2. Identifiez les appareils et ordinateurs virtuels en attente avec des mises à jour publiées le 13 août 2019 ou plus tard et ouvrez une invite de commande avec élévation de privilèges

  3. Trouvez l'identité du paquet pour la mise à jour que vous voulez supprimer en utilisant la commande suivante en utilisant le numéro d'article de la Base de connaissances de cette mise à jour (remplacez 4512506 par le numéro d'article de la Base de connaissances que vous visez, si ce n'est pas le correctif cumulatif mensuel publié le 13 août 2019) : dism /online /get-packages | findstr 4512506

  4. Utilisez la commande suivante pour supprimer la mise à jour, en remplaçant <identité du paquet> par ce qui a été trouvé dans la commande précédente : Dism.exe /online /remove-package /packagename:<package identity> 

  5.  Vous devez maintenant installer les mises à jour requises énumérées dans la section Comment obtenir cette mise à jour pour la mise à jour que vous essayez d'installer, ou les mises à jour requises énumérées ci-dessus dans la section Statut actuel de cet article.

Remarque Pour tout appareil ou ordinateur virtuel oÙ vous recevez actuellement une erreur 0xc0000428 ou qui démarre dans l'environnement de récupération, vous devrez suivre les étapes de la question FAQ pour l'erreur 0xc0000428.

Si vous rencontrez ces erreurs, vous devez installer les mises à jour requises énumérées dans la section Comment obtenir cette mise à jour pour la mise à jour que vous essayez d'installer, ou les mises à jour requises énumérées ci-dessus dans la section Statut actuel du présent article.

Si vous voyez l'erreur 0xc0000428 avec le message « Windows ne peut pas vérifier la signature numérique pour ce fichier. Un changement récent de matériel ou de logiciel peut avoir installé un fichier signé incorrectement ou endommagé, ou qui peut être un logiciel malveillant provenant d'une source inconnue », veuillez suivre les étapes suivantes pour le récupérer.

  1. Démarrez le système d'exploitation à l'aide d'un support de récupération.

  2. Installez la dernière mise à jour SHA-2 (KB4474419) publiée le 13 ao&ucirc;t 2019 ou ultérieurement en utilisant la Gestion et maintenance des images de déploiement (DISM) pour Windows 7 SP1 et Windows Server 2008 R2 SP1.

  3. Redémarrez sur le support de récupération. Ce redémarrage est requis

  4. À l'invite de commandes, tapez bcdboot.exe. Cela copie les fichiers de démarrage à partir du répertoire Windows et configure l'environnement de démarrage. Voir BCDBoot Command-Line Options (Options de la ligne de commande BCDBoot) pour plus de détails.

  5. Redémarrez le système d'exploitation.

Si vous rencontrez ce problème, vous pouvez l'atténuer en ouvrant une fenêtre de commande rapide et en exécutant la commande suivante pour installer la mise à jour (remplacer l'espace réservé <msu location> par l'emplacement réel et le nom du fichier de la mise à jour) :

wusa.exe <msu location> /quiet

Ce problème est résolu dans la mise à jour KB4474419 publiée le 8 octobre 2019. Cette mise à jour s'installera automatiquement à partir de Windows Update et de Windows Server Update Services (WSUS). Si vous devez installer cette mise à jour manuellement, vous devrez utiliser la solution de contournement ci-dessus. 

Remarque : si vous avez déjà installé KB4474419 publiée le 23 septembre 2019, alors vous avez déjà la dernière version de cette mise à jour et n'avez pas besoin de la réinstaller.

 

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×