Résumé
Pour protéger la sécurité du système d’exploitation Windows, les mises à jour ont été précédemment signées (à l’aide des algorithmes de hachage SHA-1 et SHA-2). Les signatures sont utilisées pour s’authentifier que les mises à jour proviennent directement de Microsoft et n’ont pas été falsifiées lors de la livraison. En raison des faiblesses de l’algorithme SHA-1 et pour s’aligner sur les normes de l’industrie, nous avons modifié la signature des mises à jour Windows pour utiliser exclusivement l’algorithme SHA-2 le plus sécurisé. Cette modification a été effectuée par phases commençant d’avril 2019 à septembre 2019 afin de permettre une migration en douceur (voir la section « Planification de mise à jour des produits » pour plus d’informations sur les modifications).
Les clients qui exécutent des versions héritées de système d’exploitation (Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2) doivent avoir installé la prise en charge de la signature de code SHA-2 sur leurs appareils pour installer les mises à jour publiées le ou après juillet 2019. Les appareils sans prise en charge SHA-2 ne pourront pas installer les mises à jour de Windows depuis juillet 2019. Pour vous préparer à ce changement, nous avons publié la prise en charge de la signature SHA-2 depuis mars 2019 et avons apporté des améliorations incrémentielles. Windows Server Update Services (WSUS) 3.0 SP2 recevra le support SHA-2 pour fournir en toute sécurité les mises à jour signées SHA-2. Consultez la section « Planification de mise à jour des produits » pour la chronologie de migration SHA-2 uniquement.
Détails de l’arrière-plan
L’algorithme de hachage sécurisé 1 (SHA-1) a été développé en tant que fonction de hachage irréversible et est largement utilisé dans le cadre de la signature de code. Malheureusement, la sécurité de l’algorithme de hachage SHA-1 est devenue moins sécurisée au fil du temps en raison des faiblesses trouvées dans l’algorithme, de l’augmentation des performances du processeur et de l’apparition du cloud computing. Des alternatives plus puissantes telles que Secure Hash Algorithm 2 (SHA-2) sont désormais vivement préférées, car elles n’ont pas les mêmes problèmes. Pour plus d’informations sur le retrait de SHA-1, voir Hachage et Algorithmes de signatures.
Planification de mise à jour du produit
Depuis début 2019, le processus de migration vers le support SHA-2 a commencé en plusieurs phases et le support sera pris en charge par des mises à jour autonomes. Microsoft cible le planning suivant pour offrir un support SHA-2. Veuillez noter que la chronologie suivante peut faire l’objet de changements. Nous continuerons à mettre à jour cette page si nécessaire.
|
Date cible |
Événement |
S’applique à |
|
12 mars 2019 |
Mises à jour de sécurité autonomes KB4474419 et KB4490628 publiées pour introduire la prise en charge de la signature de code SHA-2. |
Windows 7 SP1 |
|
12 mars 2019 |
Mise à jour autonome, KB4484071 est disponible sur le catalogue Windows Update pour WSUS 3.0 SP2 qui prend en charge la livraison des mises à jour signées SHA-2. Pour les clients qui utilisent WSUS 3.0 SP2, cette mise à jour doit être installée manuellement au plus tard le 18 juin 2019. |
WSUS 3.0 SP2 |
|
9 avril 2019 |
Mise à jour autonome, KB4493730 qui introduisait la prise en charge de la signature de code SHA-2 pour la pile de maintenance (SSU) publiée en tant que mise à jour de sécurité. |
Windows Server 2008 SP2 |
|
14 mai 2019 |
Mise à jour de sécurité autonome KB4474419 publiée pour introduire la prise en charge de la signature de code SHA-2. |
Windows Server 2008 SP2 |
|
11 juin 2019 |
Nouvelle publication de la mise à jour de sécurité Autonome KB4474419pour ajouter la prise en charge manquante de la signature de code MSI SHA-2. |
Windows Server 2008 SP2 |
|
18 juin 2019 |
Les signatures des mises à jour Windows 10 ont changé de signatures à double signature (SHA-1/SHA-2) en SHA-2 uniquement. Aucune action du client n’est requise. |
Windows 10, version 1709 |
|
18 juin 2019 |
Obligatoire: Pour les clients qui utilisent WSUS 3.0 SP2, la mise à jour KB4484071 doit être installée manuellement à cette date pour prendre en charge les mises à jour SHA-2. |
WSUS 3.0 SP2 |
|
9 juillet 2019 |
Obligatoire: Les mises à jour pour les versions antérieures de Windows nécessitent l’installation de la prise en charge de la signature du code SHA-2. Le support publié en avril et en mai(KB4493730 et KB4474419)sera nécessaire pour continuer à recevoir des mises à jour sur ces versions de Windows. Toutes les signatures de mises à jour Windows héritées ont changé de SHA1 et à double signature (SHA-1/SHA-2) en SHA-2 uniquement pour le moment. |
Windows Server 2008 SP2 |
|
16 juillet 2019 |
Les signatures des mises à jour Windows 10 ont changé de signatures à double signature (SHA-1/SHA-2) en SHA-2 uniquement. Aucune action du client n’est requise. |
Windows 10, version 1507 |
|
13 août 2019 |
Obligatoire: Les mises à jour pour les versions antérieures de Windows nécessitent l’installation de la prise en charge de la signature du code SHA-2. Le support publié en mars(KB4474419 et KB4490628)sera nécessaire pour continuer à recevoir les mises à jour sur ces versions de Windows. Si vous avez un appareil ou une machine vm à l’aide du démarrage EFI, consultez la section FAQ pour obtenir des étapes supplémentaires afin d’éviter un problème pour lequel votre appareil ne démarre pas. Toutes les signatures de mises à jour Windows héritées ont changé de SHA-1 et à double signature (SHA-1/SHA-2) en SHA-2 uniquement pour le moment. |
Windows 7 SP1 |
|
10 septembre 2019 |
Les signatures de mise à jour Windows héritées ont changé de signatures à double signature (SHA-1/SHA-2) en SHA-2 uniquement. Aucune action du client n’est requise. |
Windows Server 2012 |
|
10 septembre 2019 |
La mise à jour de sécurité Autonome KB4474419 a été publiée pour ajouter des gestionnaires de démarrage EFI manquants. Assurez-vous que cette version est installée. |
Windows 7 SP1 |
|
28 janvier 2020 |
Les signatures des listes de confiance de certificats pour le programme racine de confiance Microsoft ont changé de double signature (SHA-1/SHA-2) à SHA-2 uniquement. Aucune action du client n’est requise. |
Toutes les plateformes Windows prise en charge |
|
Août 2020 |
Les points de terminaison de service basés sur Windows Update SHA-1 sont arrêtés. Cela n’a d’impact que sur les appareils Windows plus anciens qui n’ont pas été mis à jour avec les mises à jour de sécurité appropriées. Pour plus d’informations, voir KB4569557. |
Windows 7 |
|
3 août 2020 |
Contenu retiré par Windows pour Secure Hash Algorithm 1 (SHA-1) à partir du Centre de téléchargement Microsoft. Pour plus d’informations, consultez le blog professionnel de l’it pour Windows SHA-1 windows qui sera retiré le 3 août 2020. |
Windows Server 2000 |
État actuel
Windows 7 SP1 et Windows Server 2008 R2 SP1
Les mises à jour requises suivantes doivent être installées, puis l’appareil doit être redémarré avant d’installer une mise à jour publiée le 13 août 2019 ou ultérieure. Les mises à jour requises peuvent être installées dans n’importe quel ordre et n’ont pas besoin d’être réinstallées, sauf s’il existe une nouvelle version de la mise à jour requise.
-
Mise à jour de la pile de maintenance (SSU)(KB4490628). Si vous utilisez Windows Update, l’offre SSU requise vous sera proposée automatiquement.
-
Mise à jour SHA-2(KB4474419)publiée le 10 septembre 2019. Si vous utilisez Windows Update, la mise à jour SHA-2 requise vous sera proposée automatiquement.
Important Vous devez redémarrer votre appareil après avoir installé toutes les mises à jour requises, avant d’installer un rollup mensuel, une mise à jour de sécurité uniquement, un aperçu du déploiement mensuel ou une mise à jour autonome.
Windows Server 2008 SP2
Les mises à jour suivantes doivent être installées, puis l’appareil doit être redémarré avant d’installer un rollup publié le 10 septembre 2019 ou une version ultérieure. Les mises à jour requises peuvent être installées dans n’importe quel ordre et n’ont pas besoin d’être réinstallées, sauf s’il existe une nouvelle version de la mise à jour requise.
-
Mise à jour de la pile de maintenance (SSU) (KB4493730). Si vous utilisez Windows Update, la mise à jour SSU requise vous sera proposée automatiquement.
-
Dernière mise à jour SHA-2(KB4474419)publiée le 10 septembre 2019. Si vous utilisez Windows Update, la mise à jour SHA-2 requise vous sera proposée automatiquement.
Important Vous devez redémarrer votre appareil après avoir installé toutes les mises à jour requises, avant d’installer un rollup mensuel, une mise à jour de sécurité uniquement, un aperçu du déploiement mensuel ou une mise à jour autonome.
Poser fréquemment des questions
Informations générales, planification et prévention des problèmes
Le support de signature de code SHA-2 a été livré de façon anticipée afin de garantir que la plupart des clients auront accès au support bien avant la modification par Microsoft de la signature SHA-2 pour les mises à jour de ces systèmes. Les mises à jour autonomes incluent d’autres correctifs et sont mises à disposition pour garantir que toutes les mises à jour SHA-2 incluent un petit nombre de mises à jour facilement identifiables. Microsoft recommande aux clients qui conservent des images système pour ces systèmes d’exploitation d’appliquer ces mises à jour aux images.
Avec WSUS 4.0 sur Windows Server 2012, WSUS prend déjà en charge les mises à jour signées SHA-2 et aucune action du client n’est requise pour ces versions.
Seul WSUS 3.0 SP2 doit être installé avec KB4484071pour prendre en charge les mises à jour signées uniquement de SHA2.
Supposons que vous exécutez Windows Server 2008 SP2. Si vous démarrez en double démarrage avec Windows Server 2008 R2 SP1/Windows 7 SP1, le gestionnaire de démarrage pour ce type de système est issu du système Windows Server 2008 R2/Windows 7. Pour mettre à jour ces deux systèmes de sorte qu’ils utilisent la prise en charge SHA-2, vous devez d’abord mettre à jour le système Windows Server 2008 R2/Windows 7 de sorte que le gestionnaire de démarrage soit mis à jour vers la version qui prend en charge SHA-2. Mettez ensuite à jour le système Windows Server 2008 SP2 avec la prise en charge SHA-2.
Tout comme le scénario du démarrage en double démarrage, l’environnement PE Windows 7 doit être mis à jour vers la prise en charge SHA-2. Le système Windows Server 2008 SP2 doit ensuite être mis à jour vers la prise en charge SHA-2.
-
Exécuter le programme d’installation de Windows pour terminer et démarrer dans Windows avant d’installer les mises à jour du 13 août 2019 ou ultérieures
-
Ouvrez une fenêtre d’invite de commandes d’administrateur, bcdboot.exe. Cela copie les fichiers de démarrage à partir du répertoire Windows et définit l’environnement de démarrage. Pour plus d’informations, Command-Line BCDBoot.
-
Avant d’installer d’autres mises à jour, installez la nouvelle version du 13 août 2019 de la mise à jour KB4474419 et de la KB4490628 pour Windows 7 SP1 et Windows Server 2008 R2 SP1.
-
Redémarrez le système d’exploitation. Ce redémarrage est nécessaire
-
Installez les mises à jour restantes.
-
Installez l’image sur le disque et démarrez dans Windows.
-
À l’invite de commandes, exécutez bcdboot.exe. Cela copie les fichiers de démarrage à partir du répertoire Windows et définit l’environnement de démarrage. Pour plus d’informations, Command-Line BCDBoot.
-
Avant d’installer d’autres mises à jour, installez la nouvelle version du 23 septembre 2019 de la mise à jour KB4474419 et de la KB4490628 pour Windows 7 SP1 et Windows Server 2008 R2 SP1.
-
Redémarrez le système d’exploitation. Ce redémarrage est nécessaire
-
Installez les mises à jour restantes.
Oui, vous devez installer les mises à jour requises avant de poursuivre : SSU(KB4490628)et la mise à jour SHA-2(KB4474419). De plus, vous devez redémarrer votre appareil après avoir installé les mises à jour requises avant d’installer d’autres mises à jour.
Windows 10, version 1903 prend en charge SHA-2 depuis sa publication et toutes les mises à jour sont déjà signées uniquement par SHA-2. Aucune action n’est nécessaire pour cette version de Windows.
Windows 7 SP1 et Windows Server 2008 R2 SP1
-
Démarrez Windows avant d’installer les mises à jour du 13 août 2019 ou ultérieures.
-
Avant d’installer d’autres mises à jour, installez la nouvelle version du 23 septembre 2019 de la mise à jour KB4474419 et de la KB4490628pour Windows 7 SP1 et Windows Server 2008 R2 SP1.
-
Redémarrez le système d’exploitation. Ce redémarrage est nécessaire
-
Installez les mises à jour restantes.
Windows Server 2008 SP2
-
Démarrez windows avant d’installer les mises à jour du 9 juillet 2019 ou ultérieures.
-
Avant d’installer d’autres mises à jour, installez la nouvelle version du 23 septembre 2019 de la mise à jour KB4474419 et de la mise à jour KB4493730 pour Windows Server 2008 SP2.
-
Redémarrez le système d’exploitation. Ce redémarrage est nécessaire
-
Installez les mises à jour restantes.
Récupération de problème
Si vous voyez l’erreur 0xc0000428 le message « Windows ne peut pas vérifier la signature numérique de ce fichier. Un changement récent de matériel ou de logiciel peut avoir installé un fichier qui est signé de façon incorrecte ou endommagé, ou qui peut être un logiciel malveillant provenant d’une source inconnue ». suivez ces étapes pour récupérer.
-
Démarrez le système d’exploitation à l’aide du support de récupération.
-
Avant d’installer d’autres mises à jour, installez la mise à jour KB4474419 qui se trouve le 23 septembre 2019 ou une date ultérieure à l’aide de la gestion et de la maintenance des images de déploiement(DISM)pour Windows 7 SP1 et Windows Server 2008 R2 SP1.
-
À l’invite de commandes, exécutez bcdboot.exe. Cela copie les fichiers de démarrage à partir du répertoire Windows et définit l’environnement de démarrage. Pour plus d’informations, Command-Line BCDBoot.
-
Redémarrez le système d’exploitation.
-
Suspendez le déploiement sur d’autres appareils et ne redémarrez pas les appareils ou les périphériques VM qui n’ont pas encore été redémarrés.
-
Identifiez les appareils et les périphériques VM en redémarrage en attente avec les mises à jour publiées le 13 août 2019 ou version ultérieure et ouvrez une invite de commandes avec élévation de élévation de niveaux
-
Recherchez l’identité du package de la mise à jour à supprimer à l’aide de la commande suivante à l’aide du numéro de base de données de cette mise à jour (remplacez le 4512506 par le numéro de base de données que vous ciblez, s’il ne s’agit pas du rollup mensuel publié le 13 août 2019) : dism /online /get-packages | findstr 4512506
-
Utiliser la commande suivante pour supprimer la mise à jour, en remplaçant les>d’identité de package< par ce qui était trouvé dans la commande précédente :Dism.exe /online /remove-package /packagename:<package identity>
-
Vous devrez à présent installer les mises à jour requises répertoriées dans la section Comment obtenir cette mise à jour de la mise à jour que vous essayez d’installer, ou les mises à jour requises répertoriées ci-dessus dans la section État actuel de cet article.
RemarqueSi vous recevez actuellement un 0xc0000428 d’erreur ou qui démarre dans l’environnement de récupération, vous devez suivre les étapes de la question FAQ à l’erreur 0xc0000428.
Si vous rencontrez ces erreurs, vous devez installer les mises à jour requises répertoriées dans la section Comment obtenir cette mise à jour de la mise à jour que vous essayez d’installer, ou les mises à jour requises répertoriées ci-dessus dans la section État actuel de cet article.
Si vous voyez l’erreur 0xc0000428 le message « Windows ne peut pas vérifier la signature numérique de ce fichier. Un changement récent de matériel ou de logiciel peut avoir installé un fichier qui est signé de façon incorrecte ou endommagé, ou qui peut être un logiciel malveillant provenant d’une source inconnue ». suivez ces étapes pour récupérer.
-
Démarrez le système d’exploitation à l’aide du support de récupération.
-
Installez la dernière mise à jour SHA-2(KB4474419)publiée le 13 août 2019 à l’aide deDISM(Deployment Image Servicing and Management) pour Windows 7 SP1 et Windows Server 2008 R2 SP1.
-
Redémarrez dans le support de récupération. Ce redémarrage est nécessaire
-
À l’invite de commandes, exécutez bcdboot.exe. Cela copie les fichiers de démarrage à partir du répertoire Windows et définit l’environnement de démarrage. Pour plus d’informations, Command-Line BCDBoot.
-
Redémarrez le système d’exploitation.
Si vous rencontrez ce problème, vous pouvez limiter ce problème en ouvrant une fenêtre d’invite de commandes et en exécutez la commande suivante pour installer la mise à jour (remplacez l’espace réservé> de l’emplacement de <msu par l’emplacement et le nom de fichier réels de la mise à jour) :
wusa.exe <emplacement de> /quiet
Ce problème est résolu dans la mise à jour KB4474419 publiée le 8 octobre 2019. Cette mise à jour s’installe automatiquement à partir de Windows Update et de Windows Server Update Services (WSUS). Si vous devez installer cette mise à jour manuellement, vous devez utiliser la solution de contournement ci-dessus.
RemarqueSi vous avez précédemment installé la mise à jour KB4474419 publiée le 23 septembre 2019, vous avez déjà la dernière version de cette mise à jour et n’avez pas besoin de réinstaller.
