דרישת תמיכה בקוד של 2019 SHA-2 עבור Windows ו-WSUS

סיכום

כדי לסייע בהגנה על האבטחה של מערכת ההפעלה של Windows, העדכונים נחתמו בעבר (באמצעות אלגוריתמי hash של SHA-1 ו-SHA-2). החתימות משמשות לאימות שהעדכונים מגיעים ישירות מ-Microsoft ולא טופלו במהלך המסירה. בשל חולשות באלגוריתם SHA-1 וליישור לסטנדרטים בתעשייה, שינינו את החתימה של עדכוני Windows כדי להשתמש באלגוריתם SHA-2 המאובטח ביותר באופן בלעדי. שינוי זה התבצע בשלבים החל מ-2019 באפריל עד ספטמבר 2019 כדי לאפשר העברה חלקה (עיין בסעיף "לוח זמנים לעדכון מוצר" לקבלת פרטים נוספים על השינויים).

לקוחות שפועלים בגירסאות של מערכת הפעלה מדור קודם (Windows 7 SP1, Windows Server 2008 R2 SP1 ו-Windows Server 2008 SP2) נדרשים כדי להתקין תמיכה בחתימת קוד של SHA-2 במכשירים שלהם כדי להתקין עדכונים שהופצו ב-or לאחר יולי 2019. כל המכשירים שאינם תומכים ב-SHA-2 לא יוכלו להתקין את עדכוני Windows ב-2019 או אחרי יולי. כדי לעזור לך להכין שינוי זה, הפצנו את התמיכה לחתימת SHA-2 בתחילת מרץ 2019 ובוצעו שיפורים מצטברים. Windows Server Update Services (WSUS) 3.0 SP2 יקבל תמיכה של SHA-2 כדי לספק באופן מאובטח את העדכונים החתומים של SHA-2. עיין בסעיף "לוח זמנים לעדכון מוצר" עבור ציר הזמן של ההעברה של SHA-2 בלבד. 

פרטי רקע

אלגוריתם Hash מאובטח 1 (SHA-1) פותח כפונקציית hashing בלתי הפיכה והוא משמש באופן נרחב כחלק מחתימת הקוד. למרבה הצער, האבטחה של אלגוריתם ה-SHA-1 מאובטחת פחות לאורך זמן בשל החולשות שנמצאו באלגוריתם, ביצועי המעבד המוגברים והופעתו של מחשוב ענן. חלופות חזקות יותר, כגון אלגוריתם ה-Hash המאובטח 2 (SHA-2) מועדפות מאוד כאשר הן אינן נתקלות באותן בעיות. לקבלת מידע נוסף אודות תבטלות של SHA-1, ראה אלגוריתמים של Hash וחתימות

לוח זמנים לעדכון מוצר

החל מתחילת 2019, תהליך ההעברה לתמיכה של SHA-2 החל בשלבים, והתמיכה תימסר בעדכונים העצמאיים. Microsoft מייעדת את לוח הזמנים הבא להצעת תמיכה של SHA-2. שים לב שציר הזמן הבא כפוף לשינוי. נמשיך לעדכן עמוד זה לפי הצורך.

תאריך יעד

אירוע

חל על

התעברות ב-12 במרץ 2019

עמוד לבדך עדכוני אבטחה KB4474419 ו- KB4490628 שוחרר כדי להציג את התמיכה בחתימת קוד של SHA-2.

Windows 7 SP1
Windows Server 2008 R2 SP1

התעברות ב-12 במרץ 2019

עדכון עצמאי , KB4484071 זמין בקטלוג Windows UPDATE עבור WSUS 3.0 SP2 התומך בהעברת עדכונים חתומים של SHA-2. עבור לקוחות המשתמשים ב-WSUS 3.0 SP2, עדכון זה צריך להיות מותקן באופן ידני לא יאוחר מ-18 ביוני 2019.

WSUS 3.0 SP2

התעברות ב-9 באפריל 2019

התעדכן באופן עצמאי , KB4493730 שמציגים את התמיכה בחתימת קוד של SHA-2 עבור מחסנית מתן השירות (SSU) הופצה כעדכון אבטחה.

Windows Server 2008 SP2

14 במאי 2019

עצמאי עדכון אבטחה KB4474419 שוחרר כדי להציג תמיכה בחתימת קוד של SHA-2.

Windows Server 2008 SP2

התקיימות ב-11 ביוני 2019

עמוד עצמאי של עדכון אבטחה KB4474419שוחרר מחדש כדי להוסיף תמיכה בחתימת קוד של MSI SHA-2.

Windows Server 2008 SP2

התעברות ב-18 ביוני 2019

חתימות העדכונים של Windows 10 השתנו מחתימה כפולה (SHA-1/SHA-2) ל-SHA-2 בלבד. אין צורך בפעולת לקוח.

Windows 10, גירסה 1709
Windows 10, גירסה 1803
Windows 10, גירסה 1809
Windows Server 2019

התעברות ב-18 ביוני 2019

נדרש עבור לקוחות המשתמשים ב-WSUS 3.0 SP2, KB4484071 חייב להיות מותקן באופן ידני על-ידי תאריך זה כדי לתמוך בעדכוני SHA-2.

WSUS 3.0 SP2

התעברות ב-9 ביולי 2019

נדרש עדכונים עבור גירסאות מדור קודם של Windows ידרשו להתקין תמיכה בחתימת קוד של SHA-2. התמיכה שהופצו באפריל ובמאי (KB4493730 ו- KB4474419) תידרש כדי להמשיך לקבל עדכונים על גירסאות אלה של Windows.

כל החתימות המורשות של Windows updates השתנו מ-SHA1 וחתימה כפולה (SHA-1/SHA-2) ל-SHA-2 רק בשלב זה.

Windows Server 2008 SP2

ה-16 ביולי 2019

חתימות העדכונים של Windows 10 השתנו מחתימה כפולה (SHA-1/SHA-2) ל-SHA-2 בלבד. אין צורך בפעולת לקוח.

Windows 10, גירסה 1507
Windows 10, גירסה 1607
Windows Server 2016
Windows 10, גירסה 1703

יום שלוש 13 אוגוסט 2019

נדרש עדכונים עבור גירסאות מדור קודם של Windows ידרשו להתקין תמיכה בחתימת קוד של SHA-2. התמיכה שהופצו במרץ (KB4474419 ו- KB4490628) תידרש כדי להמשיך לקבל עדכונים על גירסאות אלה של Windows. אם יש לך מכשיר או VM באמצעות אתחול EFI, עיין בסעיף שאלות נפוצות לקבלת שלבים נוספים כדי למנוע בעיה שבה ייתכן שהמכשיר לא יופעל.

כל החתימות המורשות של Windows updates השתנו מ-SHA-1 וחתומות כפולה (SHA-1/SHA-2) ל-SHA-2 רק בשלב זה.

Windows 7 SP1
Windows Server 2008 R2 SP1

התקיימות ב-10 בספטמבר 2019

חתימות מדור קודם של Windows update השתנו מחתימה כפולה (SHA-1/SHA-2) ל-SHA-2 בלבד. אין צורך בפעולת לקוח.

Windows Server 2012
Windows 8.1
Windows Server 2012 R2

התקיימות ב-10 בספטמבר 2019

עמוד עצמאי עדכון אבטחה KB4474419 שוחרר מחדש כדי להוסיף MANGERS של אתחול של EFI חסר. הקפד להתקין גירסה זו.

Windows 7 SP1
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

התקיימות ב-28 בינואר 2020

חתימות ברשימות אישורים אמינים (CTLs) עבור תוכנית הבסיס המהימנה של Microsoft השתנתה מחתימה כפולה (SHA-1/SHA-2) ל-SHA-2 בלבד. אין צורך בפעולת לקוח.

כל הפלטפורמות הנתמכות של Windows

אוגוסט 2020

נקודות הקצה של שירות מבוסס SHA-1 של Windows Update הופסקו. פעולה זו משפיעה רק על מכשירי Windows ישנים יותר שלא עודכנו עם עדכוני אבטחה מתאימים. לקבלת מידע נוסף, ראה KB4569557.

Windows 7
Windows 7 SP1
Windows Server 2008
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2008 R2 SP1

ה-3 באוגוסט 2020

תוכן של Microsoft שהוצאה משימוש ב-Windows לאלגוריתם Hash מאובטח 1 (SHA-1) ממרכז ההורדות של Microsoft. לקבלת מידע נוסף, עיין בבלוג של Windows IT pro SHA-1 Windows התוכן שיצא לפנסיה ב-3 באוגוסט, 2020.

Windows Server 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Windows 8.1
Windows Server 2012 R2
Windows 10
Windows 10 Server

מצב נוכחי

Windows 7 SP1 ו-Windows Server 2008 R2 SP1

יש להתקין את העדכונים הדרושים הבאים ולאחר מכן להפעיל מחדש את המכשיר לפני התקנת עדכון שפורסם באוגוסט 13, 2019 ואילך. ניתן להתקין את העדכונים הדרושים בכל סדר ואין צורך להתקין אותו מחדש, אלא אם יש גירסה חדשה של העדכון הנדרש.

  • עדכון מחסנית של מתן שירות (SSU) (KB4490628). אם אתה משתמש ב-Windows Update, ה-SSU הנדרש יוצע לך באופן אוטומטי.

  • העדכון של SHA-2 (KB4474419) הופץ ב-10 בספטמבר 2019. אם אתה משתמש ב-Windows Update, העדכון הנדרש של SHA-2 יוצע לך באופן אוטומטי.

חשוב עליך להפעיל מחדש את המכשיר לאחר התקנת כל העדכונים הדרושים, לפני התקנת סיכום חודשי, עדכון אבטחה בלבד, תצוגה מקדימה של סיכום חודשי או עדכון עצמאי.

Windows Server 2008 SP2

העדכונים הבאים חייבים להיות מותקנים ולאחר מכן ההתקן הופעל מחדש לפני התקנת סיכום שפורסם בספטמבר 10, 2019 ואילך. ניתן להתקין את העדכונים הדרושים בכל סדר ואין צורך להתקין אותו מחדש, אלא אם יש גירסה חדשה של העדכון הנדרש.

  • עדכון מחסנית של מתן שירות (SSU) (KB4493730). אם אתה משתמש ב-Windows Update, העדכון הנדרש של SSU יוצע לך באופן אוטומטי.

  • העדכון האחרון של SHA-2 (KB4474419) הופץ ב-10 בספטמבר 2019. אם אתה משתמש ב-Windows Update, העדכון הנדרש של SHA-2 יוצע לך באופן אוטומטי.

חשוב עליך להפעיל מחדש את המכשיר לאחר התקנת כל העדכונים הדרושים, לפני התקנת סיכום חודשי, עדכון אבטחה בלבד, תצוגה מקדימה של סיכום חודשי או עדכון עצמאי.

שאלות נפוצות

מידע כללי, מניעת תכנון ובעיה

התמיכה של שימוש בחתימת קוד של SHA-2 נשלחה מוקדם כדי להבטיח שרוב הלקוחות יסייעו מראש בשינוי השינויים של Microsoft לחתימת SHA-2 לקבלת עדכונים למערכות אלה. העדכונים העצמאיים כוללים כמה תיקונים נוספים וזמינים כדי להבטיח שכל עדכוני SHA-2 מוצגים במספר קטן של עדכונים הניתנים לזיהוי בקלות. Microsoft ממליצה ללקוחות השומרים על תמונות מערכת עבור OSes אלה להחיל עדכונים אלה על התמונות.

התחלה ב-WSUS 4.0 ב-Windows Server 2012, WSUS כבר תומך בעדכונים של SHA-2, ואין צורך בפעולת לקוח עבור גירסאות אלה.

רק התקנת WSUS 3.0 SP2 זקוקה ל- KB4484071כדי לתמוך בעדכונים שנחתמו ב-SHA2 בלבד.

נניח שאתה מפעיל את Windows Server 2008 SP2. אם אתה מבצע אתחול כפול עם Windows Server 2008 R2 SP1/Windows 7 SP1, מנהל האתחול עבור סוג זה של מערכת הוא מהמערכת Windows Server 2008 R2/Windows 7. כדי לעדכן בהצלחה את שתי המערכות האלה לשימוש בתמיכה של SHA-2, תחילה עליך לעדכן את מערכת Windows Server 2008 R2/Windows 7 כדי שמנהל האתחול יתעדכן לגירסה התומכת ב-SHA-2. לאחר מכן, עדכן את מערכת Windows Server 2008 SP2 עם תמיכת SHA-2.

בדומה לתרחיש אתחול כפול, יש לעדכן את סביבת Windows 7 PE לתמיכה של SHA-2. לאחר מכן, מערכת Windows Server 2008 SP2 חייבת להיות מעודכנת לתמיכה של SHA-2.

  1. הפעלה של התקנת Windows כדי לבצע השלמה ואתחול ב-Windows לפני התקנת 13 באוגוסט, 2019 או עדכונים מאוחרים יותר

  2. פתח חלון שורת פקודה של מנהל מערכת, הפעיל אתbcdboot.exe. פעולה זו מעתיקה את קבצי האתחול ממדריך הכתובות של Windows ומגדירה את סביבת האתחול. לקבלת פרטים נוספים, עיין באפשרויות Command-Line של BCDBoot .

  3. לפני התקנת עדכונים נוספים, 2019 התקן את המהדורה החדשה של KB4474419 ו- KB4490628 עבור windows 7 SP1 ו-WINDOWS Server 2008 R2 sp1.

  4. הפעל מחדש את מערכת ההפעלה. נדרשת הפעלה מחדש זו

  5. התקן את העדכונים הנותרים.

  1. התקן את התמונה בדיסק ואתחל אותה ב-Windows.

  2. בשורת הפקודה, הפעילbcdboot.exe. פעולה זו מעתיקה את קבצי האתחול ממדריך הכתובות של Windows ומגדירה את סביבת האתחול. לקבלת פרטים נוספים, עיין באפשרויות Command-Line של BCDBoot .

  3. לפני התקנת עדכונים נוספים, התקן את ה-23 בספטמבר 2019 מחדש את KB4474419 ו- KB4490628 עבור windows 7 SP1 ו-WINDOWS Server 2008 R2 sp1.

  4. הפעל מחדש את מערכת ההפעלה. נדרשת הפעלה מחדש זו

  5. התקן את העדכונים הנותרים.

כן, יהיה עליך להתקין את העדכונים הדרושים לפני שתמשיך: SSU (KB4490628) ו-SHA-2 Update (KB4474419).  כמו כן, נדרשת לך הפעלה מחדש של המכשיר לאחר התקנת העדכונים הדרושים לפני התקנת עדכונים נוספים.

Windows 10, גירסה 1903 תומכת ב-SHA-2 מאחר שהוא מהדורה וכל העדכונים כבר מוצגים ב-SHA-2.  אין צורך בפעולה עבור גירסה זו של Windows.

Windows 7 SP1 ו-Windows Server 2008 R2 SP1

  1. החלק את האתחול ל-Windows לפני התקנת העדכונים העדכניים של 13 באוגוסט 2019 ואילך.

  2. לפני התקנת עדכונים נוספים, התקן את ה-23 בספטמבר 2019 מחדש את KB4474419 ו- KB4490628עבור windows 7 SP1 ו-WINDOWS Server 2008 R2 sp1.

  3. הפעל מחדש את מערכת ההפעלה. נדרשת הפעלה מחדש זו

  4. התקן את העדכונים הנותרים.

Windows Server 2008 SP2

  1. היכנס ל-Windows לפני התקנת העדכונים הנוספים ב-9 ביולי 2019 ואילך.

  2. לפני התקנת עדכונים נוספים, התקן את ה-23 בספטמבר 2019 מחדש את המהדורה החדשה של KB4474419 ו- KB4493730 עבור Windows Server 2008 SP2.

  3. הפעל מחדש את מערכת ההפעלה. נדרשת הפעלה מחדש זו

  4. התקן את העדכונים הנותרים.

בעיה בשחזור

אם אתה רואה את השגיאה 0xc0000428 עם ההודעה "ל-Windows אין אפשרות לאמת את החתימה הדיגיטלית של קובץ זה. ייתכן ששינוי חומרה או תוכנה שאירע לאחרונה התקין קובץ שנחתם באופן שגוי או פגום, או שייתכן שמדובר בתוכנה זדונית ממקור לא ידוע. " פעל בהתאם לשלבים הבאים כדי להתאושש.

  1. הפעל את מערכת ההפעלה באמצעות מדיית שחזור.

  2. לפני התקנת עדכונים נוספים, התקן את update KB4474419 שתאריך ה-23 בספטמבר 2019 או תאריך מאוחר יותר באמצעות ' טיפול וניהול של תמונות פריסה ' (DISM) עבור windows 7 SP1 ו-WINDOWS Server 2008 R2 SP1.

  3. בשורת הפקודה, הפעילbcdboot.exe. פעולה זו מעתיקה את קבצי האתחול ממדריך הכתובות של Windows ומגדירה את סביבת האתחול. לקבלת פרטים נוספים, עיין באפשרויות Command-Line של BCDBoot .

  4. הפעל מחדש את מערכת ההפעלה.

  1. הפסקת הפריסה למכשירים אחרים ואין להפעיל מחדש מכשירים או וירטואלית שעדיין לא הופעלו מחדש.

  2. זיהוי מכשירים ו-וירטואלית במצב הפעלה מחדש ממתינים עם עדכונים שהופצו באוגוסט 13, 2019 ואילך ופתיחת שורת פקודה מוגבהת

  3. חפש את זהות החבילה עבור העדכון שברצונך להסיר באמצעות הפקודה הבאה באמצעות מספר ה-KB עבור עדכון זה (החלף את 4512506 עם מספר ה-kb שאתה מייעד, אם אינו הסיכום החודשי שפורסם באוגוסט 13, 2019): dism/online/get-packages | findstr 4512506

  4. השתמש בפקודה הבאה כדי להסיר את העדכון, תוך החלפת<זהות החבילה> עם מה שנמצא בפקודה הקודמת :Dism.exe/online/remove-package/packagename: <> זהות

  5.  כעת תצטרך להתקין את העדכונים הדרושים המפורטים בסעיף כיצד לקבל עדכון זה של העדכון שאתה מנסה להתקין, או את העדכונים הדרושים המפורטים לעיל במקטע המצב הנוכחי של מאמר זה.

הערה כל מכשיר או VM שאתה מקבל כעת 0xc0000428 שגיאה או שמתחיל בסביבת השחזור, תצטרך לבצע את השלבים המפורטים בשאלת שאלות נפוצות עבור שגיאה 0xc0000428.

אם אתה נתקל בשגיאות אלה, עליך להתקין את העדכונים הדרושים המפורטים בסעיף כיצד לקבל עדכון זה של העדכון שאתה מנסה להתקין, או את העדכונים הדרושים המפורטים לעיל במקטע המצב הנוכחי של מאמר זה.

אם אתה רואה את השגיאה 0xc0000428 עם ההודעה "ל-Windows אין אפשרות לאמת את החתימה הדיגיטלית של קובץ זה. ייתכן ששינוי חומרה או תוכנה שאירע לאחרונה התקין קובץ שנחתם באופן שגוי או פגום, או שייתכן שמדובר בתוכנה זדונית ממקור לא ידוע. " פעל בהתאם לשלבים הבאים כדי להתאושש.

  1. הפעל את מערכת ההפעלה באמצעות מדיית שחזור.

  2. התקן את העדכון האחרון של SHA-2 (KB4474419) שהופצו ב-13 באוגוסט או אחרי 13 באוגוסט, 2019 באמצעות ' טיפול וניהול של תמונות פריסה ' (DISM) עבור windows 7 SP1 ו-WINDOWS Server 2008 R2 SP1.

  3. אתחל מחדש את מדיית השחזור. נדרשת הפעלה מחדש זו

  4. בשורת הפקודה, הפעילbcdboot.exe. פעולה זו מעתיקה את קבצי האתחול ממדריך הכתובות של Windows ומגדירה את סביבת האתחול. לקבלת פרטים נוספים, עיין באפשרויות Command-Line של BCDBoot .

  5. הפעל מחדש את מערכת ההפעלה.

אם אתה נתקל בבעיה זו, באפשרותך לצמצם בעיה זו על-ידי פתיחת חלון שורת פקודה והפעלת הפקודה הבאה כדי להתקין את העדכון (להחליף את מיקום ה<של msu> מציין מיקום בפועל ושם קובץ של העדכון):

wusa.exe <מיקום msu>/quiet

בעיה זו נפתרה ב- KB4474419 שהופצו ב-8 באוקטובר 2019. עדכון זה יותקן באופן אוטומטי מ-Windows Update ו-Windows Server Update Services (WSUS). אם עליך להתקין את העדכון באופן ידני, יהיה עליך להשתמש בפתרון שלעיל. 

הערה אם התקנת בעבר את KB4474419 הופצה ב-23 בספטמבר, 2019, הגירסה העדכנית ביותר של עדכון זה אינה צריכה להתקין מחדש.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×