requisiti di supporto per la firma del codice di 2019 SHA-2 per Windows e WSUS

Riepilogo

Per proteggere la sicurezza del sistema operativo Windows, gli aggiornamenti sono stati precedentemente firmati (usando gli algoritmi hash SHA-1 e SHA-2). Le firme vengono usate per autenticare che gli aggiornamenti provengono direttamente da Microsoft e non sono stati manomessi durante il recapito. A causa delle debolezze nell'algoritmo SHA-1 e per allinearle agli standard del settore, abbiamo cambiato la firma degli aggiornamenti di Windows in modo da usare l'algoritmo SHA-2 più sicuro in esclusiva. Questa modifica è stata eseguita in fasi che iniziano da aprile 2019 a settembre 2019 per consentire la migrazione agevole (vedere la sezione "programmazione aggiornamento prodotto" per altre informazioni sulle modifiche).

I clienti che eseguono versioni legacy del sistema operativo (Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2) devono avere il supporto per la firma del codice SHA-2 installato nei propri dispositivi per installare gli aggiornamenti rilasciati a luglio o dopo il 2019. Tutti i dispositivi senza supporto SHA-2 non saranno in grado di installare gli aggiornamenti di Windows o dopo il 2019 luglio. Per preparare la modifica, è stato rilasciato il supporto per l'accesso SHA-2 a partire da marzo 2019 e sono stati apportati miglioramenti incrementali. Windows Server Update Services (WSUS) 3,0 SP2 riceverà il supporto SHA-2 per consegnare in modo sicuro gli aggiornamenti firmati SHA-2. Vedere la sezione "pianificazione dell'aggiornamento del prodotto" per la sequenza temporale di migrazione solo SHA-2.

Dettagli di sfondo

Il Secure Hash Algorithm 1 (SHA-1) è stato sviluppato come funzione hash irreversibile ed è ampiamente usato come parte della firma del codice. Sfortunatamente, la sicurezza dell'algoritmo hash SHA-1 è diventata meno sicura nel tempo a causa delle debolezze riscontrate nell'algoritmo, delle prestazioni del processore migliorate e dell'avvento del cloud computing. Le alternative più forti, come l'algoritmo di hash sicuro 2 (SHA-2), sono ora fortemente preferite perché non presentano gli stessi problemi. Per altre informazioni sulla deprecazione di SHA-1, Vedi algoritmi hash e Signature.

Pianificazione dell'aggiornamento del prodotto

A partire dall'inizio di 2019, ilprocesso di migrazione al supporto SHA-2 iniziò in fasi e il supporto verrà recapitato in aggiornamenti autonomi.Microsoft mira alla pianificazione seguente per offrire il supporto SHA-2. Tieni presente che la sequenza temporale seguente è soggetta a modifiche. Continueremo ad aggiornare questa pagina in base alle esigenze.

Data di destinazione

Evento

Si applica a

12 marzo 2019

Aggiornamenti della sicurezza di KB4474419 e KB4490628 rilasciati per l'introduzione del supporto per il sign di codice SHA-2.

 

Windows 7 SP1Windows Server 2008 R2 SP1

12 marzo 2019

Aggiornamento autonomo, KB4484071 è disponibile in Windows Update Catalog per WSUS 3,0 SP2 che supporta la distribuzione di aggiornamenti firmati SHA-2. Per i clienti che usano WSUS 3,0 SP2, questo aggiornamento deve essere installato manualmente entro il 18 giugno 2019.

WSUS 3,0 SP2

9 aprile 2019

Aggiornamento autonomo , KB4493730 che introduce il supporto del simbolo di codice SHA-2 per lo stack di manutenzione (SSU) è stato rilasciato come aggiornamento della sicurezza.

Windows Server 2008 SP2

14 maggio 2019

Stand Alone Aggiornamento della sicurezza di KB4474419 rilasciati per introdurre il supporto del codice di accesso SHA-2.

Windows Server 2008 SP2

11 giugno 2019

Stand Alone L' aggiornamento della sicurezza di KB4474419è stato ripubblicato per aggiungere il supporto per il segnale di codice MSI SHA-2 mancante.

Windows Server 2008 SP2

18 giugno 2019

Windows 10 aggiorna le firme modificate dalla doppia firma (SHA-1/SHA-2) a SHA-2 only. Non è necessaria alcuna azione del cliente.

Windows 10, versione 1709 Windows 10, versione 1803 Windows 10, versione 1809 Windows Server 2019

18 giugno 2019

Obbligatorio: per i clienti che usano WSUS 3,0 SP2, KB4484071 deve essere installato manualmente in questa data per supportare gli aggiornamenti di SHA-2.

WSUS 3,0 SP2

9 luglio 2019

Obbligatorio: gli aggiornamenti per le versioni legacy di Windows richiedono l'installazione del supporto per la firma del codice SHA-2.Il supporto rilasciato in aprile e maggio (KB4493730 e KB4474419) sarà necessario per continuare a ricevere gli aggiornamenti in queste versioni di Windows.

Tutte le firme degli aggiornamenti legacy di Windows sono state modificate da SHA1 e Dual signed (SHA-1/SHA-2) a SHA-2 solo in questo momento.

Windows Server 2008 SP2

16 luglio 2019

Windows 10 aggiorna le firme modificate dalla doppia firma (SHA-1/SHA-2) a SHA-2 only. Non è necessaria alcuna azione del cliente.

Windows 10, versione 1507 Windows 10, versione 1607 Windows Server 2016 Windows 10, versione 1703

13 agosto 2019

Obbligatorio: gli aggiornamenti per le versioni legacy di Windows richiedono l'installazione del supporto per la firma del codice SHA-2. Il supporto rilasciato a marzo (KB4474419 e KB4490628) saranno necessarie per continuare a ricevere gli aggiornamenti in queste versioni di Windows. Se si usa un dispositivo o una VM con l'avvio EFI, vedere la sezione Domande frequenti per ulteriori passaggi per evitare un problema in cui il dispositivo potrebbe non avviarsi.

Tutte le firme degli aggiornamenti legacy di Windows sono state modificate da SHA-1 e Dual signed (SHA-1/SHA-2) a SHA-2 solo in questo momento.

Windows 7 SP1 Windows Server 2008 R2 SP1

10 settembre 2019

Le firme di Windows Update legacy sono state modificate solo dalla doppia firma (SHA-1/SHA-2) alla sola SHA-2. Non è necessaria alcuna azione del cliente.

Windows Server 2012 Windows 8,1 Windows Server 2012 R2

10 settembre 2019

L'aggiornamento della sicurezza autonomo di KB4474419 è stato ripubblicato per aggiungere gestori di boot EFI mancanti. Verificare che questa versione sia installata.

Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2

28 gennaio 2020

Le firme degli elenchi di attendibilità dei certificati (CTL) per il programma Microsoft attendibile radice sono state modificate solo in SHA-2 (SHA-1/SHA-2). Non è necessaria alcuna azione del cliente.

Tutte le piattaforme Windows supportate

2020 agosto

Gli endpoint di servizio basati su SHA-1 di Windows Update vengono interrotti. Questo ha un impatto solo sui dispositivi Windows meno recenti che non sono stati aggiornati con gli aggiornamenti di sicurezza appropriati. Per altre informazioni, Vedi KB4569557.

Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1

3 agosto 2020

Contenuto ritirato di Microsoft con firma Windows per Secure Hash Algorithm 1 (SHA-1) nell'area download Microsoft. Per altre informazioni, vedere il Blog di Windows IT Pro SHA-1 Windows contenuto da ritirarsi il 3 agosto 2020.

Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8,1 Windows Server 2012 R2 Windows 10 Server Windows 10

Stato corrente

Windows 7 SP1 e Windows Server 2008 R2 SP1

È necessario installare gli aggiornamenti obbligatori seguenti e quindi riavviare il dispositivo prima di installare qualsiasi aggiornamento rilasciati il 13 agosto 2019 o versione successiva. Gli aggiornamenti necessari possono essere installati in qualsiasi ordine e non devono essere reinstallati, a meno che non sia presente una nuova versione dell'aggiornamento richiesto.

  • Aggiornamento dello stack di manutenzione (SSU) (KB4490628). Se si usa Windows Update, il SSU richiesto verrà offerto automaticamente.

  • SHA-2 Update (KB4474419) rilasciati il 10 settembre 2019. Se si usa Windows Update, l' aggiornamento richiesto SHA-2 verrà offerto automaticamente.

Importante Dopo l'installazione di tutti gli aggiornamenti necessari, è necessario riavviare il dispositivo prima di installare un rollup mensile, un aggiornamento solo per la sicurezza, l'anteprima del rollup mensile o l'aggiornamento autonomo.

Windows Server 2008 SP2

È necessario installare gli aggiornamenti seguenti e quindi riavviare il dispositivo prima di installare un rollup rilasciati il 10 settembre 2019 o versione successiva. Gli aggiornamenti necessari possono essere installati in qualsiasi ordine e non devono essere reinstallati, a meno che non sia presente una nuova versione dell'aggiornamento richiesto.

  • Aggiornamento dello stack di manutenzione (SSU) (KB4493730). Se si usa Windows Update, l'aggiornamento di SSU richiesto verrà offerto automaticamente.

  • Ultimo aggiornamento SHA-2 (KB4474419) rilasciati il 10 settembre 2019. Se si usa Windows Update, l' aggiornamento richiesto SHA-2 verrà offerto automaticamente.

Importante Dopo l'installazione di tutti gli aggiornamenti necessari, è necessario riavviare il dispositivo prima di installare un rollup mensile, un aggiornamento solo per la sicurezza, l'anteprima del rollup mensile o l'aggiornamento autonomo.

Domande frequenti

Informazioni generali, pianificazione e prevenzione del problema

Il supporto per la firma del codice SHA-2 è stato spedito in anticipo per garantire che la maggior parte dei clienti abbia il supporto in anticipo sulla firma di Microsoft SHA-2 per gli aggiornamenti a questi sistemi. Gli aggiornamenti autonomi includono alcune correzioni aggiuntive e vengono resi disponibili per garantire che tutti gli aggiornamenti SHA-2 si trovino in un numero limitato di aggiornamenti facilmente identificabili. Microsoft consiglia ai clienti che gestiscono le immagini di sistema per questi sistemi operativi di applicare questi aggiornamenti alle immagini.

A partire da WSUS 4,0 in Windows Server 2012, WSUS supporta già gli aggiornamenti con firma SHA-2 e non è necessario eseguire alcuna azione per queste versioni.

Solo WSUS 3,0 SP2 deve essere installato KB4484071per supportare solo gli aggiornamenti firmati di SHA2.

Supponiamo che tu esegua Windows Server 2008 SP2. Se si è in dual-boot con Windows Server 2008 R2 SP1/Windows 7 SP1, il Boot Manager per questo tipo di sistema è basato sul sistema Windows Server 2008 R2/Windows 7. Per aggiornare correttamente entrambi questi sistemi per l'uso del supporto SHA-2, è necessario prima di tutto aggiornare il sistema Windows Server 2008 R2/Windows 7 in modo che il gestore di avvio venga aggiornato alla versione che supporta SHA-2. Aggiornare quindi il sistema Windows Server 2008 SP2 con il supporto SHA-2.

In modo analogo allo scenario dual-boot, l'ambiente Windows 7 PE deve essere aggiornato al supporto SHA-2. Il sistema Windows Server 2008 SP2 deve quindi essere aggiornato al supporto SHA-2.

  1. Eseguire la configurazione di Windows per il completamento e l'avvio in Windows prima di installare gli aggiornamenti del 13 agosto 2019 o versioni successive

  2. Aprire una finestra del prompt dei comandi di amministratore, eseguire BCDboot. exe. In questo articolo vengono copiati i file di avvio dalla directory di Windows e viene impostato l'ambiente di avvio. Vedere la paginaOpzioni della riga di comando di BCDboot per altri dettagli.

  3. Prima di installare gli eventuali aggiornamenti aggiuntivi, installare la riversione del 13 agosto 2019 di KB4474419 e KB4490628per Windows 7 SP1 e Windows Server 2008 R2 SP1.

  4. Riavviare il sistema operativo. Questo riavvio è obbligatorio

  5. Installare gli eventuali aggiornamenti rimanenti.

  1. Installare l'immagine sul disco e avviare Windows.

  2. Al prompt dei comandi eseguire BCDboot. exe. In questo articolo vengono copiati i file di avvio dalla directory di Windows e viene impostato l'ambiente di avvio. Per altre informazioni, vedere Opzioni della riga di comando di BCDboot .

  3. Prima di installare gli eventuali aggiornamenti aggiuntivi, installare il 23 settembre 2019 ririlascio di KB4474419 e KB4490628per Windows 7 SP1 e Windows Server 2008 R2 SP1.

  4. Riavviare il sistema operativo. Questo riavvio è obbligatorio

  5. Installare gli eventuali aggiornamenti rimanenti.

Sì, è necessario installare gli aggiornamenti necessari prima di procedere: SSU (KB4490628) e SHA-2 Update (KB4474419).  È inoltre necessario riavviare il dispositivo dopo l'installazione degli aggiornamenti necessari prima di installare altri aggiornamenti.

Windows 10, versione 1903 supporta SHA-2 dal momento che è stato rilasciato e tutti gli aggiornamenti sono già SHA-2 firmati solo.  Per questa versione di Windows non è necessaria alcuna azione.

Windows 7 SP1 e Windows Server 2008 R2 SP1

  1. Eseguire il boot in Windows prima di installare gli aggiornamenti di 2019 o successive.

  2. Prima di installare gli eventuali aggiornamenti aggiuntivi, installare il 23 settembre 2019 ririlascio di KB4474419 e KB4490628 per Windows 7 SP1 e Windows Server 2008 R2 SP1.

  3. Riavviare il sistema operativo. Questo riavvio è obbligatorio

  4. Installare gli eventuali aggiornamenti rimanenti.

Windows Server 2008 SP2

  1. Eseguire l'avvio in Windows prima di installare gli aggiornamenti del 9 luglio 2019 o versioni successive.

  2. Prima di installare gli eventuali aggiornamenti aggiuntivi, installare il 23 settembre 2019 ririlascio di KB4474419 e KB4493730 per Windows Server 2008 SP2.

  3. Riavviare il sistema operativo. Questo riavvio è obbligatorio

  4. Installare gli eventuali aggiornamenti rimanenti.

Problema di ripristino

Se viene visualizzato l'errore 0xc0000428 con il messaggio "Windows non può verificare la firma digitale per il file. Un recente cambiamento hardware o software potrebbe avere installato un file firmato in modo non corretto o danneggiato o che potrebbe essere un software malintenzionato proveniente da origini sconosciute. "Segui questi passaggi per recuperare.

  1. Avviare il sistema operativo usando il supporto di ripristino.

  2. Prima di installare gli eventuali aggiornamenti aggiuntivi, installare l'aggiornamento KB 4474419, datato KB 4474419 23 settembre 2019 o una data successiva, utilizzando Gestione e manutenzione immaginiDISMdistribuzione per Windows 7 SP1 e Windows Server 2008 R2 SP1.

  3. Al prompt dei comandi eseguire BCDboot. exe. In questo articolo vengono copiati i file di avvio dalla directory di Windows e viene impostato l'ambiente di avvio. Per altre informazioni, vedere Opzioni della riga di comando di BCDboot .

  4. Riavviare il sistema operativo.

  1. Arrestare la distribuzione ad altri dispositivi e non riavviare i dispositivi o le VM che non sono già stati riavviati.

  2. Identificare i dispositivi e le VM nello stato in attesa di riavvio con gli aggiornamenti rilasciati il 13 agosto 2019 o versione successiva e aprire un prompt dei comandi con privilegi elevati

  3. Trovare l'identità del pacchetto per l'aggiornamento che si vuole rimuovere usando il comando seguente usando il numero della KB per tale aggiornamento (sostituire 4512506 con il numero della KB di destinazione, se non è il rollup mensile rilasciati il 13 agosto 2019): DISM/online/get-packages | findstr 4512506

  4. Usare il comando seguente per rimuovere l'aggiornamento, sostituendo <>dell'identità del pacchetto con le informazioni trovate nel comando precedente: DISM. exe/online/remove-package/PackageName: <Identity Package>

  5.  Sarà ora necessario installare gli aggiornamenti necessari elencati nella sezione come ottenere questo aggiornamento dell'aggiornamento che si sta provando a installare oppure gli aggiornamenti necessari elencati sopra nella sezione stato corrente di questo articolo.

Nota qualsiasi dispositivo o VM in corso di ricezione di un errore 0xc0000428 o che sta iniziando nell'ambiente di ripristino, è necessario seguire la procedura descritta nella domanda domande frequenti per l'errore 0xc0000428.

Se si verificano questi errori, è necessario installare gli aggiornamenti necessari elencati nella sezione come ottenere questo aggiornamento dell'aggiornamento che si sta provando a installare o gli aggiornamenti necessari elencati sopra nella sezione stato corrente di questo articolo.

Se viene visualizzato l'errore 0xc0000428 con il messaggio "Windows non può verificare la firma digitale per il file. Un recente cambiamento hardware o software potrebbe avere installato un file firmato in modo non corretto o danneggiato o che potrebbe essere un software malintenzionato proveniente da origini sconosciute. "Segui questi passaggi per recuperare.

  1. Avviare il sistema operativo usando il supporto di ripristino.

  2. Installare la versione più recente di aggiornamento SHA-2 (KB4474419) rilasciata il 13 agosto 2019, usando gestionee manutenzione immaginidistribuzione per Windows 7 sp1 e Windows Server 2008 R2 SP1.

  3. Riavviare il file multimediale di ripristino. Questo riavvio è obbligatorio

  4. Al prompt dei comandi eseguire BCDboot. exe. In questo articolo vengono copiati i file di avvio dalla directory di Windows e viene impostato l'ambiente di avvio. Per altre informazioni, vedere Opzioni della riga di comando di BCDboot .

  5. Riavviare il sistema operativo.

Se si verifica questo problema, è possibile ridurre il problema aprendo una finestra del prompt dei comandi ed eseguire il comando seguente per installare l'aggiornamento (sostituire la posizione <MSU> segnaposto con il percorso effettivo e il nome file dell'aggiornamento):

Wusa. exe <posizione di MSU>/quiet

Questo problema è stato risolto in KB4474419 rilasciata l'8 ottobre 2019. Questo aggiornamento verrà installato automaticamente da Windows Update e Windows Server Update Services (WSUS). Se è necessario installare manualmente questo aggiornamento, sarà necessario usare la soluzione alternativa riportata sopra. 

Nota Se in precedenza è stato installato KB4474419 rilasciata il 23 settembre 2019, è già disponibile la versione più recente di questo aggiornamento e non è necessario reinstallare.

 

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×