A 2019-es SHA-2-kód aláírási támogatási követelménye a Windows és a WSUS esetén

Összefoglalás

A Windows operációs rendszer biztonságának védelme érdekében a frissítéseket korábban aláírtuk (az SHA-1 és az SHA-2 kivonat algoritmust használva). Az aláírások annak hitelesítésére használhatók, hogy a frissítések közvetlenül a Microsofttól jöjjön, és a kézbesítés során nem módosították őket. Mivel az SHA-1 algoritmus egyre jobban el van foglalva, és igazodni szeretnénk az iparági szabványokhoz, megváltoztattuk a Windows-frissítések aláírását, hogy kizárólag a biztonságosabb SHA-2 algoritmust használjuk. A módosítás 2019 áprilisának és 2019 szeptembere között történt a zökkenőmentes áttelepítés érdekében (a változásokról bővebben a "Termékfrissítési ütemezés" című szakaszban olvashat).

Az operációs rendszer korábbi verzióit (Windows 7 SP1, Windows Server 2008 R2 SP1 és Windows Server 2008 SP2) futtató ügyfeleinknek telepíteniük kell az SHA-2-kód aláírási támogatását az eszközeiken a 2019. júliusban vagy azt követően kiadott frissítések telepítéséhez. Az SHA-2 támogatás nélküli eszközök 2019. júliustól nem tudják telepíteni a Windows-frissítéseket. A változásra való felkészülés érdekében 2019 márciusának elején megjelent az SHA-2-bejelentkezés támogatása, és növekményes fejlesztéseket hoztunk. A Windows Server Update Services (WSUS) 3.0 SP2 sha-2 támogatást kap az SHA-2 aláírt frissítések biztonságos kézbesítéséhez. Kérjük, olvassa el a "Termékfrissítési ütemezés" című szakaszt csak az SHA-2 áttelepítési ütemtervhez. 

Háttér részletei

A Biztonságos kivonat-algoritmus 1 (SHA-1) visszafordíthatatlan kivonatolási funkcióként lett fejlesztve, és széles körben használják a kódaláírozás részeként. Az SHA-1 kivonatolási algoritmus biztonsága sajnos idővel kevésbé biztonságossá vált az algoritmusban talált megtalált megtalálás, a processzor teljesítményének növelése és a felhőalapú számítástechnikának az oka. Erősebb alternatív megoldások, mint például a biztonságos kivonatolási algoritmus 2 (SHA-2) már kifejezetten ajánlottak, mivel nem tapasztalják ezeket a problémákat. Az SHA-1 elavultságával kapcsolatos további információkért lásd a Hash és az Signature Algorithms (Aláírásialgoritmusok) információt. 

Termékfrissítési ütemezés

2019 elejével kezdődően az SHA-2 támogatásra való áttelepítés szakaszos volt, és a támogatást különálló frissítésekben biztosítjuk. A Microsoft az alábbi ütemezés szerint felajánlja az SHA-2 támogatását. Kérjük, vegye figyelembe, hogy az alábbi idősor változhat. Ezt a lapot továbbra is frissíteni fogjuk, ha szükséges.

Céldátum

Esemény

Érvényes:

2019. március 12.

A KB4474419 és a KB4490628 jelű, AZ SHA-2 kódjel támogatásának bevezetéséhez kiadott különálló biztonsági frissítések.

Windows 7 SP1
Windows Server 2008 R2 SP1

2019. március 12.

A KB4484071 önálló frissítés a Windows Update katalógusában érhető el a WSUS 3.0 SP2 rendszerhez, amely támogatja az SHA-2 aláírt frissítések kézbesítését. A WSUS 3.0 SP2 szervizcsomagot használó ügyfeleink számára ezt a frissítést 2019. június 18-ig kell manuálisan telepíteni.

WSUS 3.0 SP2

2019. április 9.

Biztonsági frissítésként megjelent a KB4493730 jelű önálló frissítés, amely az SHA-2 kódjel támogatását jelenti a karbantartási köteghez (SSU).

Windows Server 2008 SP2

2019. május 14.

A KB4474419 jelű önálló biztonsági frissítés megjelent az SHA-2 kódjel támogatásának bevezetéséhez.

Windows Server 2008 SP2

2019. június 11.

A KB4474419jelű különálló biztonsági frissítés újra megjelent, hogy hozzáadja a hiányzó MSI SHA-2 kódjeltámogatást.

Windows Server 2008 SP2

2019. június 18.

A Windows 10 csak sha-2 aláírásról (SHA-1/SHA-2) módosított aláírásokat. Nincs szükség ügyfélre.

Windows 10, 1709-es verzió
Windows 10, 1803-as verzió
Windows 10, 1809-es verzió
Windows Server 2019

2019. június 18.

Kötelező: A WSUS 3.0 SP2 szervizcsomagot használó ügyfeleknek a KB4484071 szervizcsomagot ezen a napon manuálisan kell telepíteni az SHA-2 frissítés támogatásához.

WSUS 3.0 SP2

2019. július 9.

Kötelező: A régi Windows-verziók frissítéséhez telepíteni kell az SHA-2-kódalá aláírási támogatást. Az áprilisban és májusban (KB4493730 és KB4474419) kiadott támogatásra lesz szükség ahhoz, hogy továbbra is megkapja a frissítéseket a Windows ezen verzióihoz.

Az összes régi Windows-frissítés sha1-ről és kettős aláírásról (SHA-1/SHA-2) –SHA-2 aláírásra módosult.

Windows Server 2008 SP2

2019. július 16.

A Windows 10 csak sha-2 aláírásról (SHA-1/SHA-2) módosított aláírásokat. Nincs szükség ügyfélre.

Windows 10, 1507-es verzió
Windows 10, 1607-es verzió
Windows Server 2016
Windows 10, 1703-as verzió

2019. augusztus 13.

Kötelező: A régi Windows-verziók frissítéséhez telepíteni kell az SHA-2-kódalá aláírási támogatást. A márciusban kiadott(KB4474419 és KB4490628)támogatásra lesz szükség ahhoz, hogy továbbra is megkapja a frissítéseket a Windows ezen verzióihoz. Ha EFI-rendszerindítást használó eszközt vagy VM-et használ, a gyakori kérdések című szakaszban további lépéseket talál az eszköz esetleg nem indul el.

Az összes régi Windows-frissítés aláírásai SHA-1-ről és két aláírtról (SHA-1/SHA-2) csak most frissülnek SHA-2-re.

Windows 7 SP1
Windows Server 2008 R2 SP1

2019. szeptember 10.

A régi Windows-frissítési aláírások két aláírtról (SHA-1/SHA-2) csak SHA-2-re módosulnak. Nincs szükség ügyfélre.

Windows Server 2012
Windows 8.1
Windows Server 2012 R2

2019. szeptember 10.

A KB4474419-es önálló biztonsági frissítés újra megjelent a hiányzó EFI-rendszerindítási mangerek hozzáadásához. Győződjön meg arról, hogy ez a verzió telepítve van.

Windows 7 SP1
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

2020. január 28.

A Microsoft megbízható gyökérprogram tanúsítványmegbízható listáiban (CTL-ek) található aláírások csak sha-2 (sha-1/SHA-2) aláírásról változtak. Nincs szükség ügyfélre.

Az összes támogatott Windows-platform

2020. augusztus

A Windows Update SHA-1-alapú szolgáltatási végpontjai megszűntek. Ez csak a régebbi windowsos eszközökre van hatással, amelyek nem frissítettek a megfelelő biztonsági frissítésekkel. További információ: KB4569557.

Windows 7
Windows 7 SP1
Windows Server 2008
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2008 R2 SP1

2020. augusztus 3.

A Microsoft kivezette a Microsoft letöltőközpontból a Windows által aláírt, 1. biztonságos kivonat-algoritmushoz (SHA-1) aláírt tartalmat. További információt a 2020. augusztus 3-ánkivezetni szükséges Windows SHA-1 Windows-blogban talál.

Windows Server 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Windows 8.1
Windows Server 2012 R2
Windows 10
Windows 10 Server

Aktuális állapot

Windows 7 SP1 és Windows Server 2008 R2 SP1

A 2019. augusztus 13-án kiadott frissítések telepítése előtt telepíteni kell az alábbi szükséges frissítéseket, majd az eszközt újra kell indítani. A szükséges frissítések bármilyen sorrendben telepíthetők, és nem kell újratelepíteni őket, kivéve ha a szükséges frissítés új verziója telepítve van.

  • Karbantartási köteg frissítése (SSU) (KB4490628). Ha a Windows Update-et használja, a rendszer automatikusan felajánlja a szükséges SSU-t.

  • Az SHA-2 frissítés(KB4474419)2019. szeptember 10-én jelent meg. Windows Update használata esetén a rendszer automatikusan felajánlja a szükséges SHA-2 frissítést.

Fontos!Az összes szükséges frissítés telepítése után újra kell indítania az eszközt, mielőtt bármilyen havi összegző, csak biztonsági frissítés, havi összegző frissítés vagy különálló frissítés előzetes verziója telepítené.

Windows Server 2008 SP2

A 2019. szeptember 10-én vagy később kiadott összesítő frissítések telepítése előtt telepíteni kell az alábbi frissítéseket, majd újra kell indítani az eszközt. A szükséges frissítések bármilyen sorrendben telepíthetők, és nem kell újratelepíteni őket, kivéve ha a szükséges frissítés új verziója telepítve van.

  • Karbantartási köteg frissítése (SSU) (KB4493730). Ha a Windows Update-et használja, a rendszer automatikusan felajánlja a szükséges SSU-frissítést.

  • A legújabb SHA-2 frissítés(KB4474419)2019. szeptember 10-én jelent meg. Windows Update használata esetén a rendszer automatikusan felajánlja a szükséges SHA-2 frissítést.

Fontos!Az összes szükséges frissítés telepítése után újra kell indítania az eszközt, mielőtt bármilyen havi összegző, csak biztonsági frissítés, havi összegző frissítés vagy különálló frissítés előzetes verziója telepítené.

Gyakori kérdések

Általános információk, tervezés és probléma megelőzésére

Az SHA-2 kódalá aláírási támogatása korábban ki lett állítva annak érdekében, hogy a legtöbb ügyfél már a microsoftnál az SHA-2-re való átváltás előtt támogatást biztosítsa a frissítésekhez való aláíráshoz. A különálló frissítések további javításokat is tartalmaznak, és folyamatban van annak érdekében, hogy az ÖSSZES SHA-2 frissítés könnyen azonosítható frissítésben legyen. A Microsoft azt javasolja, hogy az ilyen operációs rendszerek rendszerképeit karbantartó ügyfelek alkalmazzák ezeket a frissítéseket a képekre.

A Windows Server 2012-es WSUS 4.0-val kezdődően a WSUS már támogatja az SHA-2-aláírással aláírt frissítéseket, és ezekhez a verziókhoz nincs szükség ügyfélre vonatkozó műveletre.

Csak a WSUS 3.0 SP2 szervizcsomaghoz szükséges telepíteni a KB4484071szervizcsomagot ahhoz, hogy az SHA2 csak aláírt frissítéseket támogatzon.

Tegyük fel, hogy a Windows Server 2008 SP2 rendszert futtatja. Ha a Windows Server 2008 R2 SP1/Windows 7 SP1 rendszerben két rendszerindítást indít, az ilyen típusú rendszer rendszerindítás-kezelője a Windows Server 2008 R2/Windows 7 rendszerből indul. Ahhoz, hogy mindkét rendszer sikeresen frissíthető legyen az SHA-2 támogatás használatára, először frissítenie kell a Windows Server 2008 R2/Windows 7 rendszert, hogy a rendszerindítás-kezelő az SHA-2-t támogató verzióra frissülje. Ezután frissítse a Windows Server 2008 SP2 rendszert SHA-2 támogatással.

A két rendszerindításos környezethez hasonlóan a Windows 7 PE környezetét is frissíteni kell SHA-2 támogatásra. Ezután a Windows Server 2008 SP2 rendszert SHA-2-támogatásra kell frissíteni.

  1. A Windows telepítő futtatása a 2019. augusztus 13-i vagy újabb frissítések telepítése előtt a Windowsba való telepítéshez és a windowsba való indításhoz

  2. Nyisson meg egy rendszergazdai parancssorablakot, és futtassa a bcdboot.exe. Ez a beállítás átmásolja a rendszerindító fájlokat a Windows címtárból, és beállítja a rendszerindítási környezetet. További információt a BCDBoot Command-Line beállítások között talál.

  3. A további frissítések telepítése előtt telepítse a WINDOWS 7 SP1-hez és Windows Server 2008 R2 SP1-hez szükséges KB4474419 és KB4490628 frissítés 2019. augusztus 13-i újra kiadását.

  4. Indítsa újra az operációs rendszert. Ezt az újraindítást kötelező megadni.

  5. Telepítse a további frissítéseket.

  1. Telepítse a képet a lemezre, és indítsa el a Windowst.

  2. A parancssorban futtassa a bcdboot.exe. Ez a beállítás átmásolja a rendszerindító fájlokat a Windows címtárból, és beállítja a rendszerindítási környezetet. További információt a BCDBoot Command-Line beállítások között talál.

  3. A további frissítések telepítése előtt telepítse a Windows 7 SP1-hez és Windows Server 2008 R2 SP1-hez szükséges KB4474419 és KB4490628 frissítés 2019. szeptember 23-i újra kiadását.

  4. Indítsa újra az operációs rendszert. Ezt az újraindítást kötelező megadni.

  5. Telepítse a további frissítéseket.

Igen, a folytatás előtt telepítenie kell a szükséges frissítéseket: SSU (KB4490628) és SHA-2 frissítés(KB4474419).  Ezenkívül a szükséges frissítések telepítése után újra kell indítania az eszközt, mielőtt további frissítéseket telepít.

A Windows 10 1903-as verziója támogatja az SHA-2-t a megjelenése óta, és az összes frissítés már csak az SHA-2 aláírással rendelkezik.  Ehhez a Windows-verzióhoz nincs szükség beavatkozásra.

Windows 7 SP1 és Windows Server 2008 R2 SP1

  1. A 2019. augusztus 13-i vagy újabb frissítések telepítése előtt indítsa el a Windowst.

  2. A további frissítések telepítése előtt telepítse a Windows 7 SP1-hez és Windows Server 2008 R2 SP1-hez szükséges KB4474419 és KB4490628frissítés 2019. szeptember 23-i újra kiadását.

  3. Indítsa újra az operációs rendszert. Ezt az újraindítást kötelező megadni.

  4. Telepítse a további frissítéseket.

Windows Server 2008 SP2

  1. A 2019. július 9-i vagy újabb frissítések telepítése előtt indítsa el a Windowst.

  2. A további frissítések telepítése előtt telepítse a Windows Server 2008 SP2 kb4474419 és KB4493730 kb4493730 frissítését 2019. szeptember 23-án.

  3. Indítsa újra az operációs rendszert. Ezt az újraindítást kötelező megadni.

  4. Telepítse a további frissítéseket.

Probléma-helyreállítás

Ha hibaüzenet jelenik meg, 0xc0000428 "A Windows nem tudja ellenőrizni a fájl digitális aláírását. A legutóbbi hardver- vagy szoftverváltozások miatt előfordulhat, hogy helytelenül vagy sérülten van bejelentkezve egy fájl, vagy ismeretlen forrásból származó kártékony szoftver található." kérjük, kövesse az alábbi lépéseket a helyreállításhoz.

  1. Indítsa el az operációs rendszert helyreállítási adathordozó használatával.

  2. A további frissítések telepítése előtt telepítse a KB4474419 frissítést, amely 2019. szeptember 23-án vagy egy újabb dátummal van frissítve a Windows 7 SP1 és a Windows Server 2008 R2 SP1 telepítési lemezképek karbantartása és kezelése(DISM)használatával.

  3. A parancssorban futtassa a bcdboot.exe. Ez a beállítás átmásolja a rendszerindító fájlokat a Windows címtárból, és beállítja a rendszerindítási környezetet. További információt a BCDBoot Command-Line beállítások között talál.

  4. Indítsa újra az operációs rendszert.

  1. Állítsa le a telepítést más eszközökre, és ne indítsa újra az olyan eszközöket vagy virtuális gépeket, amelyek még nem indítottak újra.

  2. A 2019. augusztus 13-án vagy újabban kiadott frissítésekkel azonosíthatja az újraindításra váró állapotban lévő eszközöket és virtuális gépeket, és megnyithat egy emelt szintű parancssort.

  3. A következő paranccsal keresse meg az eltávolítani kívánt frissítés csomag identitását a frissítés KB-számával (a 4512506-os számot cserélje le a megcélzott KB-számra, ha nem a 2019. augusztus 13-án megjelent havi összegző frissítésről van szükség): dism /online /get-packages | findstr 4512506

  4. A következő paranccsal távolítsa el a frissítést, és cserélje<csomag identitását>az előző parancsban találtra: Dism.exe /online /remove-package /packagename:<package identity>

  5.  Most telepítenie kell a szükséges frissítéseket, amelyek a telepíteni kívánt frissítés jelen frissítési szakaszában, illetve a jelen cikk Jelenlegi állapot szakaszában, fent felsorolt szükséges frissítésekben szerepelnek.

Megjegyzés:Bármely olyan eszköz vagy VM, amelyről jelenleg 0xc0000428 hibaüzenetet kap, vagy amely a helyreállítási környezetbe kezd, a gyakori kérdésekre adott gyakori kérdésekben található lépéseket kell 0xc0000428.

Ha ilyen hibaüzenetet kap, telepítenie kell a szükséges frissítéseket, amelyek a telepíteni kívánt frissítés jelen frissítési szakaszában, illetve a jelen cikk Jelenlegi állapot szakaszában felsorolt szükséges frissítéseket tartalmaznak.

Ha hibaüzenet jelenik meg, 0xc0000428 "A Windows nem tudja ellenőrizni a fájl digitális aláírását. A legutóbbi hardver- vagy szoftverváltozások miatt előfordulhat, hogy helytelenül vagy sérülten van bejelentkezve egy fájl, vagy ismeretlen forrásból származó kártékony szoftver található." kérjük, kövesse az alábbi lépéseket a helyreállításhoz.

  1. Indítsa el az operációs rendszert helyreállítási adathordozó használatával.

  2. Telepítse a 2019. augusztus 13-án vagy azt követően kiadott legújabb SHA-2 frissítést(KB4474419)a Windows 7 SP1 és a Windows Server 2008 R2 SP1 telepítési lemezképek karbantartása és kezelése(DISM)használatával.

  3. Indítsa újra a helyreállítási adathordozót. Ezt az újraindítást kötelező megadni.

  4. A parancssorban futtassa a bcdboot.exe. Ez a beállítás átmásolja a rendszerindító fájlokat a Windows címtárból, és beállítja a rendszerindítási környezetet. További információt a BCDBoot Command-Line beállítások között talál.

  5. Indítsa újra az operációs rendszert.

Ha ezzel a hibával találkozik, csökkentheti a problémát, ha megnyit egy parancssorablakot, és futtatja az alábbi parancsot <frissítés telepítéséhez (cserélje le>> helyőrzőt> frissítés tényleges helyére és fájlnevére):

wusa.exe <msu helye> /quiet

Ezt a problémát a 2019. október 8-án kiadott KB4474419-ben megoldottuk. Ez a frissítés automatikusan telepítve lesz a Windows Update és a Windows Server Update Services (WSUS) szolgáltatásból. Ha manuálisan kell telepítenie a frissítést, a fenti kerülő megoldást kell használnia. 

Megjegyzés:Ha korábban a 2019. szeptember 23-án kiadott KB4474419 frissítést telepítette, akkor már rendelkezik a frissítés legújabb verziójával, és nem kell újratelepítenie.

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Köszönjük visszajelzését!

Köszönjük visszajelzését. Jobbnak látjuk, ha az Office egyik támogatási szakemberéhez irányítjuk.

×