Riepilogo
Per proteggere la sicurezza del sistema operativo Windows, in precedenza erano stati firmati gli aggiornamenti usando sia gli algoritmi hash SHA-1 che SHA-2. Le firme vengono usate per autenticare che gli aggiornamenti provengono direttamente da Microsoft e non sono stati manomesso durante il recapito. A causa della vulnerabilità nell'algoritmo SHA-1 e da allineare agli standard di settore, la firma degli aggiornamenti di Windows è stata modificata per usare esclusivamente l'algoritmo sha-2 più sicuro. Questa modifica è stata eseguita in fasi a partire da aprile 2019 a settembre 2019 per consentire una migrazione senza problemi (vedere la sezione "Pianificazione degli aggiornamenti dei prodotti" per maggiori dettagli sulle modifiche).
I clienti che eseguono versioni legacy del sistema operativo (Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2) devono avere installato il supporto per la firma del codice SHA-2 nei dispositivi per installare gli aggiornamenti rilasciati a luglio 2019 o dopo. Tutti i dispositivi senza supporto sha-2 non potranno installare gli aggiornamenti di Windows a partire da luglio 2019. Per prepararsi a questa modifica, a partire da marzo 2019 è stato rilasciato il supporto per l'accesso a SHA-2 e sono stati apportati miglioramenti incrementali. Windows Server Update Services 3.0 SP2 riceverà il supporto di SHA-2 per la distribuzione sicura degli aggiornamenti firmati SHA-2. Vedere la sezione "Pianificazione dell'aggiornamento del prodotto" per la sequenza temporale di migrazione solo per SHA-2.
Dettagli di sfondo
Sha-1 (Secure Hash Algorithm 1) è stato sviluppato come funzione di hashing irreversibile ed è ampiamente usato come parte della firma di codice. Purtroppo, la sicurezza dell'algoritmo hash SHA-1 è diventata meno sicura nel tempo a causa delle punti di vulnerabilità riscontrate nell'algoritmo, dell'aumento delle prestazioni del processore e dell'arrivo del cloud computing. Alternative più solide, come SHA-2 (Secure Hash Algorithm 2), sono ora decisamente preferite perché non hanno gli stessi problemi. Per altre informazioni sulla deprecazione di SHA-1, vedere Algoritmi di hash e firma.
Pianificazione dell'aggiornamento del prodotto
A partire dall'inizio del 2019, il processo di migrazione al supporto di SHA-2 è iniziato in varie fasi e il supporto verrà fornito in aggiornamenti autonomi. Microsoft sta seguendo la pianificazione seguente per offrire supporto per SHA-2. Tieni presente che la seguente sequenza temporale è soggetta a modifiche. Continueremo ad aggiornare questa pagina in base alle esigenze.
|
Data di destinazione |
Evento |
Si applica a |
|
12 marzo 2019 |
Aggiornamenti della sicurezza autonomi KB4474419 e KB4490628 rilasciati per presentare il supporto per la firma di codice SHA-2. |
Windows 7 SP1 |
|
12 marzo 2019 |
Aggiornamento autonomo, KB4484071 è disponibile nel Catalogo di Windows Update per Windows Server Update Services 3.0 SP2 che supporta la distribuzione di aggiornamenti firmati SHA-2. Per gli utenti che usano Windows Server Update Services 3.0 SP2, questo aggiornamento dovrebbe essere installato manualmente non oltre il 18 giugno 2019. |
WINDOWS SERVER UPDATE SERVICES 3.0 SP2 |
|
9 aprile 2019 |
Aggiornamento autonomo KB4493730 che introduce il supporto della firma di codice SHA-2 per lo stack di manutenzione (SSU) è stato rilasciato come aggiornamento della sicurezza. |
Windows Server 2008 SP2 |
|
14 maggio 2019 |
Aggiornamento della sicurezza autonomo KB4474419 rilasciato per presentare il supporto per la firma di codice SHA-2. |
Windows Server 2008 SP2 |
|
11 giugno 2019 |
Aggiornamento della sicurezza autonomo KB4474419rilasciato di nuovo per aggiungere il supporto del codice MSI SHA-2 mancante. |
Windows Server 2008 SP2 |
|
18 giugno 2019 |
Windows 10 aggiorna solo le firme da SHA-1/SHA-2 a SHA-2. Non è richiesta alcuna azione da parte del cliente. |
Windows 10, versione 1709 |
|
18 giugno 2019 |
Obbligatorio: Per gli utenti che usano Windows Server Update Services 3.0 SP2, l'aggiornamento KB4484071 deve essere installato manualmente entro questa data per supportare gli aggiornamenti di SHA-2. |
WINDOWS SERVER UPDATE SERVICES 3.0 SP2 |
|
9 luglio 2019 |
Obbligatorio: Gli aggiornamenti per le versioni legacy di Windows richiedono l'installazione del supporto per la firma del codice SHA-2. Il supporto rilasciato ad aprile e maggio (KB4493730 e KB4474419) sarà necessario per continuare a ricevere gli aggiornamenti su queste versioni di Windows. Tutte le firme legacy di Windows sono state modificate solo da SHA1 e da SHA1 a SHA-2 con firma doppia (SHA-1/SHA-2). |
Windows Server 2008 SP2 |
|
16 luglio 2019 |
Windows 10 aggiorna solo le firme da SHA-1/SHA-2 a SHA-2. Non è richiesta alcuna azione da parte del cliente. |
Windows 10, versione 1507 |
|
13 agosto 2019 |
Obbligatorio: Gli aggiornamenti per le versioni legacy di Windows richiedono l'installazione del supporto per la firma del codice SHA-2. Il supporto rilasciato a marzo (KB4474419 e KB4490628) sarà necessario per continuare a ricevere gli aggiornamenti su queste versioni di Windows. Se si ha un dispositivo o una macchina virtuale con avvio EFI, vedere la sezione delle domande frequenti per ulteriori passaggi per evitare un problema di avvio del dispositivo. Tutte le firme legacy di Windows sono cambiate solo da SHA-1 e con firma doppia (SHA-1/SHA-2) a SHA-2 al momento. |
Windows 7 SP1 |
|
10 settembre 2019 |
Le firme legacy degli aggiornamenti di Windows sono cambiate da SHA-1/SHA-2 a SHA-2. Non è richiesta alcuna azione da parte del cliente. |
Windows Server 2012 |
|
10 settembre 2019 |
L'aggiornamento della sicurezza autonomo KB4474419 è stato rilasciato di nuovo per aggiungere i manager di avvio di EFI mancanti. Verificare che questa versione sia installata. |
Windows 7 SP1 |
|
28 gennaio 2020 |
Le firme degli elenchi di certificati attendibili (CRL) per il programma radice attendibile Microsoft sono state modificate solo da SHA-1/SHA-2 (dual-signed) a SHA-2. Non è richiesta alcuna azione da parte del cliente. |
Tutte le piattaforme Windows supportate |
|
Agosto 2020 |
Gli endpoint del servizio basato su SHA-1 di Windows Update non sono più disponibili. Questo problema ha effetto solo sui dispositivi Windows meno recenti che non sono stati aggiornati con gli aggiornamenti della sicurezza appropriati. Per altre informazioni, vedere KB4569557. |
Windows 7 |
|
3 agosto 2020 |
Microsoft ha ritirato contenuti firmati da Windows per Secure Hash Algorithm 1 (SHA-1) dall'Area download Microsoft. Per altre informazioni, vedere il blog di Windows SHA-1 per professionisti WINDOWS che verrà ritirato il 3 agosto 2020. |
Windows Server 2000 |
Stato corrente
Windows 7 SP1 e Windows Server 2008 R2 SP1
Gli aggiornamenti necessari seguenti devono essere installati e quindi riavviati prima di installare gli aggiornamenti rilasciati il 13 agosto 2019 o versione successiva. Gli aggiornamenti necessari possono essere installati in qualsiasi ordine e non è necessario reinstallarli, a meno che non sia disponibile una nuova versione dell'aggiornamento necessario.
-
Aggiornamento dello stack di manutenzione (SSU) (KB4490628). Se usi Windows Update, la SSU richiesta verrà offerta automaticamente.
-
Aggiornamento SHA-2(KB4474419)rilasciato il 10 settembre 2019. Se si usa Windows Update, l'aggiornamento sha-2 richiesto verrà offerto automaticamente.
Importante È necessario riavviare il dispositivo dopo aver installato tutti gli aggiornamenti necessari, prima di installare qualsiasi aggiornamento cumulativo mensile, solo per la sicurezza, anteprima dell'aggiornamento cumulativo mensile o aggiornamento autonomo.
Windows Server 2008 SP2
Gli aggiornamenti seguenti devono essere installati e quindi riavviati prima di installare qualsiasi aggiornamento cumulativo rilasciato il 10 settembre 2019 o versione successiva. Gli aggiornamenti necessari possono essere installati in qualsiasi ordine e non è necessario reinstallarli, a meno che non sia disponibile una nuova versione dell'aggiornamento necessario.
-
Aggiornamento dello stack di manutenzione (SSU) (KB4493730). Se usi Windows Update, l'aggiornamento SSU richiesto verrà offerto automaticamente.
-
Ultimo aggiornamento SHA-2(KB4474419)rilasciato il 10 settembre 2019. Se si usa Windows Update, l'aggiornamento sha-2 richiesto verrà offerto automaticamente.
Importante È necessario riavviare il dispositivo dopo aver installato tutti gli aggiornamenti necessari, prima di installare qualsiasi aggiornamento cumulativo mensile, solo per la sicurezza, anteprima dell'aggiornamento cumulativo mensile o aggiornamento autonomo.
Domande frequenti
Informazioni generali, pianificazione e prevenzione dei problemi
Il supporto per la firma del codice SHA-2 è stato fornito in anticipo per garantire che la maggior parte dei clienti abbia il supporto prima della modifica di Microsoft alla firma SHA-2 per gli aggiornamenti a questi sistemi. Gli aggiornamenti autonomi includono alcune correzioni aggiuntive e sono in fase di disponibilità per garantire che tutti gli aggiornamenti sha-2 siano disponibili in un numero limitato di aggiornamenti facilmente identificabili. Microsoft consiglia ai clienti che gestiscono immagini di sistema per questi sistemi operativo di applicare questi aggiornamenti alle immagini.
A partire da Windows Server 4.0 in Windows Server 2012, Windows Server Update Services supporta già gli aggiornamenti con firma SHA-2 e per queste versioni non è necessaria alcuna azione da parte dei clienti.
Solo Windows Server Update Services 3.0 SP2 deve installare KB4484071per supportare solo gli aggiornamenti firmati sha2.
Si supponga di eseguire Windows Server 2008 SP2. Se si avvia il doppio avvio con Windows Server 2008 R2 SP1/Windows 7 SP1, il programma di avvio per questo tipo di sistema è del sistema Windows Server 2008 R2/Windows 7. Per aggiornare correttamente entrambi questi sistemi per usare il supporto di SHA-2, è necessario aggiornare prima il sistema Windows Server 2008 R2/Windows 7 in modo che il boot manager sia aggiornato alla versione che supporta SHA-2. Quindi, aggiornare il sistema Windows Server 2008 SP2 con il supporto di SHA-2.
Come per lo scenario con avvio doppio, l'ambiente PE di Windows 7 deve essere aggiornato al supporto SHA-2. Quindi, il sistema Windows Server 2008 SP2 deve essere aggiornato al supporto sha-2.
-
Eseguire l'installazione di Windows per completare e avviare Windows prima di installare gli aggiornamenti del 13 agosto 2019 o versioni successive
-
Aprire una finestra del prompt dei comandi dell'amministratore,bcdboot.exe. In questo modo i file di avvio vengono copiati dalla directory di Windows e viene impostato l'ambiente di avvio. Per altre informazioni, vedere opzioni Command-Line BCDBoot.
-
Prima di installare altri aggiornamenti, installare la rilasci del 13 agosto 2019 dell'aggiornamento KB4474419 e KB4490628 per Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
Riavviare il sistema operativo. Questo riavvio è necessario
-
Installare gli eventuali aggiornamenti rimanenti.
-
Installare l'immagine sul disco e avviarlo in Windows.
-
Al prompt dei comandi eseguire bcdboot.exe. In questo modo i file di avvio vengono copiati dalla directory di Windows e viene impostato l'ambiente di avvio. Per altre informazioni, vedere opzioni Command-Line BCDBoot.
-
Prima di installare altri aggiornamenti, installare la rilasci del 23 settembre 2019 dell'aggiornamento KB4474419 e KB4490628 per Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
Riavviare il sistema operativo. Questo riavvio è necessario
-
Installare gli eventuali aggiornamenti rimanenti.
Windows 10 versione 1903 supporta SHA-2 poiché è stato rilasciato e tutti gli aggiornamenti sono già firmati solo per SHA-2. Non è necessario alcun intervento per questa versione di Windows.
Windows 7 SP1 e Windows Server 2008 R2 SP1
-
Eseguire l'avvio in Windows prima di installare gli aggiornamenti del 13 agosto 2019 o successivi.
-
Prima di installare altri aggiornamenti, installare la rilasci del 23 settembre 2019 dell'aggiornamento KB4474419 e KB4490628per Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
Riavviare il sistema operativo. Questo riavvio è necessario
-
Installare gli eventuali aggiornamenti rimanenti.
Windows Server 2008 SP2
-
Eseguire l'avvio in Windows prima di installare gli aggiornamenti del 9 luglio 2019 o successivi.
-
Prima di installare altri aggiornamenti, installare di nuovo il 23 settembre 2019 KB4474419 e KB4493730 per Windows Server 2008 SP2.
-
Riavviare il sistema operativo. Questo riavvio è necessario
-
Installare gli eventuali aggiornamenti rimanenti.
Ripristino dei problemi
Se viene visualizzato un messaggio di 0xc0000428 viene visualizzato il messaggio "Windows non riesce a verificare la firma digitale per il file. Una recente modifica all'hardware o al software potrebbe aver installato un file firmato in modo non corretto o danneggiato oppure che potrebbe trattarsi di software dannoso di un'origine sconosciuta". segui questi passaggi per recuperarlo.
-
Avviare il sistema operativo con il supporto di ripristino.
-
Prima di installare altri aggiornamenti, installare l'aggiornamento KB4474419 datato 23 settembre 2019 o versione successiva usando Manutenzione e gestione immagini distribuzione per Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
Al prompt dei comandi eseguire bcdboot.exe. In questo modo i file di avvio vengono copiati dalla directory di Windows e viene impostato l'ambiente di avvio. Per altre informazioni, vedere opzioni Command-Line BCDBoot.
-
Riavviare il sistema operativo.
-
Interrompere la distribuzione ad altri dispositivi e non riavviare i dispositivi o le macchine virtuali non ancora riavviati.
-
Identificare i dispositivi e le macchine virtuali in stato di riavvio in sospeso con gli aggiornamenti rilasciati il 13 agosto 2019 o versione successiva e aprire un prompt dei comandi con privilegi elevati
-
Trovare l'identità del pacchetto per l'aggiornamento da rimuovere usando il comando seguente usando il numero KB per l'aggiornamento. Sostituire 4512506 con il numero KB di destinazione, se non si tratta dell'aggiornamento cumulativo mensile rilasciato il 13 agosto 2019): dism /online /get-packages | findstr 4512506
-
Usare il comando seguente per rimuovere l'aggiornamento, sostituendo il> di identità del pacchetto di<con quello trovato nel comando precedente: Dism.exe /online /remove-package /packagename:<identità pacchetto>
-
A questo punto sarà necessario installare gli aggiornamenti necessari elencati nella sezione Come ottenere questo aggiornamento dell'aggiornamento che si sta provando a installare oppure gli aggiornamenti necessari elencati sopra nella sezione Stato corrente di questo articolo.
Nota Qualsiasi dispositivo o vm in cui si sta ricevendo un 0xc0000428 di errore o che sta iniziando nell'ambiente di ripristino, è necessario seguire i passaggi della domanda di domande frequenti per la risoluzione dei problemi 0xc0000428.
Se si verificano questi errori, è necessario installare gli aggiornamenti necessari elencati nella sezione Come ottenere questo aggiornamento dell'aggiornamento che si sta provando a installare o gli aggiornamenti necessari elencati in precedenza nella sezione Stato corrente di questo articolo.
Se viene visualizzato un messaggio di 0xc0000428 viene visualizzato il messaggio "Windows non riesce a verificare la firma digitale per il file. Una recente modifica all'hardware o al software potrebbe aver installato un file firmato in modo non corretto o danneggiato oppure che potrebbe trattarsi di software dannoso di un'origine sconosciuta". segui questi passaggi per recuperarlo.
-
Avviare il sistema operativo con il supporto di ripristino.
-
Installare l'aggiornamento SHA-2 più recente (KB4474419) rilasciato il 13 agosto 2019, usando Gestione e manutenzione immagini distribuzione per Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
Riavvia il sistema nel supporto di ripristino. Questo riavvio è necessario
-
Al prompt dei comandi eseguire bcdboot.exe. In questo modo i file di avvio vengono copiati dalla directory di Windows e viene impostato l'ambiente di avvio. Per altre informazioni, vedere opzioni Command-Line BCDBoot.
-
Riavviare il sistema operativo.
Se si verifica questo problema, è possibile ridurre il problema aprendo una finestra del prompt dei comandi ed eseguire il comando seguente per installare l'aggiornamento (sostituire il segnaposto> percorso di <msu con il percorso effettivo e il nome file dell'aggiornamento):
wusa.exe <posizione msu> /quiet
Questo problema è stato risolto nell'aggiornamento KB4474419 rilasciato l'8 ottobre 2019. Questo aggiornamento verrà installato automaticamente da Windows Update e Windows Server Update Services. Se è necessario installare manualmente questo aggiornamento, è necessario usare la soluzione alternativa riportata sopra.
Nota Se in precedenza è stato installato l'aggiornamento KB4474419 rilasciato il 23 settembre 2019, si ha già la versione più recente di questo aggiornamento e non è necessario reinstallarlo.
