2019 SHA-2 Code Signing Support-kravet for Windows og WSUS

Sammendrag

For å beskytte sikkerheten til Windows-operativsystemet ble oppdateringer tidligere signert (ved bruk av hash-algoritmene SHA-1 og SHA-2). Signaturene brukes til å godkjenne at oppdateringene kommer direkte fra Microsoft og ikke ble endret under levering. På grunn av svakheter i SHA-1-algoritmen og for å justere til bransjestandarder, har vi endret signeringen av Windows-oppdateringer for å bruke den sikrere SHA-2-algoritmen utelukkende. Denne endringen ble utført i faser fra og med april 2019 til og med september 2019 for å tillate problemfri overføring (se avsnittet «Tidsplan for produktoppdatering» for mer informasjon om endringene).

Kunder som kjører eldre OS-versjoner (Windows 7 SP1, Windows Server 2008 R2 SP1 og Windows Server 2008 SP2) må ha sha-2-kodesigneringsstøtte installert på enhetene for å installere oppdateringer utgitt på eller etter juli 2019. Enheter uten SHA-2-støtte kan ikke installere Windows-oppdateringer på eller etter juli 2019. Vi har lansert støtte for SHA-2-pålogging fra og med mars 2019 og har gjort trinnvise forbedringer for å forberede deg til denne endringen. Windows Server Update Services (WSUS) 3.0 SP2 får SHA-2-støtte for sikker levering av SHA-2-signerte oppdateringer. Se avsnittet «Tidsplan for produktoppdatering» for bare SHA-2-overføringstidslinjen.

Bakgrunnsdetaljer

Sha-1 (Secure Hash Algorithm 1) ble utviklet som en irreversible hash-kodefunksjon og er mye brukt som en del av kodesignering. Sikkerheten til SHA-1 hash-algoritmen har dessverre blitt mindre sikkert over tid på grunn av svakhetene som finnes i algoritmen, økt prosessorytelse og bruk av databehandling i skyen. Sterkere alternativer, for eksempel sikker hash-algoritme 2 (SHA-2), foretrekkes på det sterkeste fordi de ikke opplever de samme problemene. Hvis du vil ha mer informasjon om avviklingen av SHA-1, kan du se Hash- og Signaturalgoritmer.

Tidsplan for produktoppdatering

Fra tidlig i 2019 startet overføringsprosessen til SHA-2-støtte i faser, og støtte vil bli levert i frittstående oppdateringer. Microsoft retter seg mot følgende tidsplan for å tilby sha-2-støtte. Vær oppmerksom på at følgende tidslinje kan endres. Vi fortsetter å oppdatere denne siden etter behov.

Måldato	Hendelse	Gjelder for
12. mars 2019	Frittstående sikkerhetsoppdateringer KB4474419 og KB4490628 er utgitt for å introdusere støtte for SHA-2-kodetegn.	Windows 7 SP1 Windows Server 2008 R2 SP1
12. mars 2019	Frittstående oppdatering, KB4484071 er tilgjengelig i Windows Update-katalogen for WSUS 3.0 SP2 som støtter levering av SHA-2-signerte oppdateringer. Denne oppdateringen bør installeres manuelt senest 18. juni 2019 for kunder som bruker WSUS 3.0 SP2.	WSUS 3.0 SP2
9. april 2019	Frittstående oppdatering, KB4493730 som innførte støtte for SHA-2-kodetegn for vedlikeholdsstakken (SSU), ble utgitt som en sikkerhetsoppdatering.	Windows Server 2008 SP2
14. mai 2019	Frittstående sikkerhetsoppdatering KB4474419 utgitt for å introdusere støtte for SHA-2-kodetegn.	Windows Server 2008 SP2
11. juni 2019	Frittstående sikkerhetsoppdatering KB4474419utgitt på nytt for å legge til manglende støtte for MSI SHA-2-kodetegn.	Windows Server 2008 SP2
18. juni 2019	Windows 10 oppdaterer signaturer endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves.	Windows 10, versjon 1709 Windows 10, versjon 1803 Windows 10, versjon 1809 Windows Server 2019
18. juni 2019	Obligatorisk: Kb4484071 må være manuelt installert på denne datoen for å støtte SHA-2-oppdateringer for at kundene skal kunne bruke WSUS 3.0 SP2.	WSUS 3.0 SP2
9. juli 2019	Obligatorisk: Oppdateringer for eldre Versjoner av Windows krever at SHA-2-støtte for kodesignering installeres. Støtten utgitt i april og mai(KB4493730 og KB4474419)kreves for å fortsette å motta oppdateringer på disse versjonene av Windows. Alle eldre Windows-oppdateringerssignaturer er endret fra SHA1 og to signerte (SHA-1/SHA-2) til SHA-2 bare på dette tidspunktet.	Windows Server 2008 SP2
16. juli 2019	Windows 10 oppdaterer signaturer endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves.	Windows 10, versjon 1507 Windows 10, versjon 1607 Windows Server 2016 Windows 10, versjon 1703
13. august 2019	Obligatorisk: Oppdateringer for eldre Versjoner av Windows krever at SHA-2-støtte for kodesignering installeres. Støtten som ble utgitt i mars(KB4474419 og KB4490628)kreves for å fortsette å motta oppdateringer på disse versjonene av Windows. Hvis du har en enhet eller VM ved hjelp av en EFI-oppstart, kan du se delen Vanlige spørsmål for flere trinn for å forhindre et problem der enheten kanskje ikke starter. Alle eldre Windows-oppdateringerssignaturer er endret fra SHA-1 og to signerte (SHA-1/SHA-2) til SHA-2 bare på dette tidspunktet.	Windows 7 SP1 Windows Server 2008 R2 SP1
10. september 2019	Eldre Windows-oppdateringssignaturer er endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves.	Windows Server 2012 Windows 8.1 Windows Server 2012 R2
10. september 2019	Frittstående sikkerhetsoppdatering KB4474419 ble utgitt på nytt for å legge til manglende EFI-oppstartsutgaver. Kontroller at denne versjonen er installert.	Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2
28. januar 2020	Signaturer på sertifikatklareringslister (CTLer) for det klarerte rotprogrammet i Microsoft er endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves.	Alle støttede Windows-plattformer
August 2020	Windows Update SHA-1-baserte tjenesteendepunkter avvikles. Dette påvirker bare eldre Windows-enheter som ikke har oppdatert med aktuelle sikkerhetsoppdateringer. Hvis du vil ha mer informasjon, kan du se KB4569557.	Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1
3. august 2020	Microsoft har fjernet innhold som er Windows-signert for Secure Hash Algorithm 1 (SHA-1) fra Microsoft Download Center. Hvis du vil ha mer informasjon, kan du se WINDOWS IT pro-bloggen SHA-1 Windows-innhold som skal avvikles 3. august 2020.	Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Server

Gjeldende status

Windows 7 SP1 og Windows Server 2008 R2 SP1

Følgende nødvendige oppdateringer må installeres, og deretter startes enheten på nytt før du installerer en oppdatering utgitt 13. august 2019 eller nyere. De nødvendige oppdateringene kan installeres i hvilken som helst rekkefølge og trenger ikke å installeres på nytt, med mindre det er en ny versjon av den nødvendige oppdateringen.

Oppdatering av vedlikeholdsstakken (SSU) (KB4490628). Hvis du bruker Windows Update, tilbys du automatisk den nødvendige SSU-en.
SHA-2-oppdatering(KB4474419)utgitt 10. september 2019. Hvis du bruker Windows Update, tilbys den nødvendige SHA-2-oppdateringen automatisk.

ViktigDu må starte enheten på nytt etter å ha installert alle nødvendige oppdateringer, før du installerer månedlig samleoppdatering, sikkerhetsoppdatering, forhåndsvisning av månedlig samleoppdatering eller frittstående oppdatering.

Windows Server 2008 SP2

Følgende oppdateringer må installeres, og deretter startes enheten på nytt før du installerer en fremhevet samleoppdatering 10. september 2019 eller nyere. De nødvendige oppdateringene kan installeres i hvilken som helst rekkefølge og trenger ikke å installeres på nytt, med mindre det er en ny versjon av den nødvendige oppdateringen.

Oppdatering av vedlikeholdsstakken (SSU) (KB4493730). Hvis du bruker Windows Update, tilbys den nødvendige SSU-oppdateringen automatisk.
Den nyeste SHA-2-oppdateringen(KB4474419)utgitt 10. september 2019. Hvis du bruker Windows Update, tilbys den nødvendige SHA-2-oppdateringen automatisk.

Vanlige spørsmål

Generell informasjon, planlegging og problem forebygging

1. Hvordan er oppdateringene for KB3033929 og KB4039648 forskjellige fra de frittstående oppdateringene som ble levert i mars og april?

SHA-2-støtte for kodesignering ble sendt tidlig for å sikre at de fleste kundene hadde støtte i god tid før Microsofts endring til SHA-2-signering for oppdateringer til disse systemene. De frittstående oppdateringene inkluderer noen flere løsninger og gjøres tilgjengelige for å sikre at alle SHA-2-oppdateringene er i et lite antall lett identifiserbare oppdateringer. Microsoft anbefaler at kunder som vedlikeholder systembilder for disse operativsystemene, kan bruke disse oppdateringene på bildene.

2. Vil andre versjoner av WSUS legge til støtte for SHA-2?

Fra og med WSUS 4.0 på Windows Server 2012 støtter WSUS allerede SHA-2-signerte oppdateringer, og ingen kundehandling er nødvendig for disse versjonene.

Bare WSUS 3.0 SP2 trenger KB4484071installert for å støtte SHA2 bare signerte oppdateringer.

3. Jeg har et Windows Server 2008 SP2-system som starter med to oppstarter med Windows Server 2008 R2 (eller Windows 7). Hvordan bør jeg oppdatere til SHA-2-støtte?

Anta at du kjører Windows Server 2008 SP2. Hvis du starter opp med Windows Server 2008 R2 SP1/Windows 7 SP1, er oppstartsbehandlingen for denne typen system fra Windows Server 2008 R2/Windows 7-systemet. Hvis du vil oppdatere begge disse systemene til å bruke SHA-2-støtte, må du først oppdatere Windows Server 2008 R2/Windows 7-systemet slik at oppstartsbehandlingen oppdateres til versjonen som støtter SHA-2. Oppdater deretter Windows Server 2008 SP2-systemet med SHA-2-støtte.

4. Jeg har et system med to partisjoner, én med Windows Server 2008 SP2 og det andre med et Windows 7 PE-oppstartsmiljø (WinPE). Hvordan oppdaterer jeg til SHA-2-støtte?

Windows 7 PE-miljøet må oppdateres til SHA-2-støtte, på samme måte som scenarioet med to oppstarter. Deretter må Windows Server 2008 SP2-systemet oppdateres til SHA-2-støtte.

5. Jeg bruker konfigurasjonen til å utføre en ren installasjon av Windows 7 SP1 eller Windows Server 2008 R2 SP1. Jeg bruker et bilde som har blitt tilpasset med oppdateringer (for eksempel ved hjelp av dism.exe). Hvordan oppdaterer jeg til SHA-2-støtte?

Kjør Installasjonsprogrammet for Windows for å fullføre og starte opp i Windows før du installerer oppdateringer 13. august 2019 eller nyere
Åpne ledetekstvinduet for en administrator, og kjør bcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.
Før du installerer flere oppdateringer, må du installere den nye versjonen av KB4474419 og KB4490628 for Windows 7 SP1 og Windows Server 2008 R2 SP1 for 13. august 2019.
Start operativsystemet på nytt. Denne omstarten er nødvendig
Installer eventuelle gjenværende oppdateringer.

6. Jeg installerer et bilde av Windows 7 SP1 eller Windows Server 2008 R2 SP1 direkte på disken uten å kjøre installasjonen. Hvordan får jeg dette scenarioet til å fungere?

Installer bildet på disken og start den opp i Windows.
Kjør installasjonsprogrammet i ledeteksten, ogbcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.
Før du installerer flere oppdateringer, må du installere den 23. september 2019-versjonen av KB4474419 og KB4490628 for Windows 7 SP1 og Windows Server 2008 R2 SP1.
Start operativsystemet på nytt. Denne omstarten er nødvendig
Installer eventuelle gjenværende oppdateringer.

7. Støttes min x64-enhet eller VM ved hjelp av EFI-oppstart av denne SHA-2-oppdateringen på Windows 7 SP1 og Windows Server 2008 R2 SP1?

Ja, du må installere de nødvendige oppdateringene før du fortsetter: SSU(KB4490628)og SHA-2-oppdateringen(KB4474419). Du må også starte enheten på nytt etter å ha installert de nødvendige oppdateringene før du installerer flere oppdateringer.

8. Windows 10, versjon 1903 er ikke oppført i tabellen ovenfor, støtter det SHA-2-oppdateringer? Er det noen handling kreves?

Windows 10, versjon 1903, støtter SHA-2 siden den lanseres, og alle oppdateringer er allerede SHA-2 bare signert. Denne versjonen av Windows trenger ikke å gjøre noe.

9. Jeg installerer oppdateringer for et nettbasert (kjørende) system ved hjelp av dism.exe /online. Hvordan får jeg dette scenarioet til å fungere?

Windows 7 SP1 og Windows Server 2008 R2 SP1

Start i Windows før du installerer oppdateringer fra 13. august 2019 eller nyere.
Før du installerer flere oppdateringer, må du installere den 23. september 2019-versjonen av KB4474419 og KB4490628for Windows 7 SP1 og Windows Server 2008 R2 SP1.
Start operativsystemet på nytt. Denne omstarten er nødvendig
Installer eventuelle gjenværende oppdateringer.

Windows Server 2008 SP2

Start i Windows før du installerer oppdateringer 9. juli 2019 eller nyere.
Før du installerer flere oppdateringer, må du installere den nye versjonen av KB4474419 og KB4493730 for Windows Server 2008 SP2 på nytt 23. september 2019.
Start operativsystemet på nytt. Denne omstarten er nødvendig
Installer eventuelle gjenværende oppdateringer.

Problemgjenoppretting

1. X86- eller x64-enheten eller den virtuelle maskinen (VM) starter ikke, og jeg får en feilmelding 0xc0000428 (STATUS_INVALID_IMAGE_HASH), eller enheten starter i gjenopprettingsmiljøet når jeg starter på nytt etter å ha installert oppdateringene som ble utgitt 13. august 2019 eller nyere. Jeg har installert KB4474419 og KB4490628 for å inkludere SHA-2-støtte. Hvordan gjenoppretter jeg installasjonen?

Hvis du ser feil 0xc0000428 meldingen Windows kan ikke bekrefte den digitale signaturen for denne filen. En nylig endring av maskinvare eller programvare kan ha installert en fil som er signert feil eller skadet, eller som kan være skadelig programvare fra en ukjent kilde.» følg disse trinnene for å gjenopprette.

Start operativsystemet ved hjelp av gjenopprettingsmedier.
Før du installerer flere oppdateringer, må du installere oppdateringen KB4474419 som er datert 23. september 2019 eller en senere dato ved hjelp avDisM(Deployment Image Servicing and Management) for Windows 7 SP1 og Windows Server 2008 R2 SP1.
Kjør installasjonsprogrammet i ledeteksten, ogbcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.
Start operativsystemet på nytt.

2. Jeg har distribuert en samleoppdatering til alle enhetene eller virtuelle maskiner (virtuelle maskiner) i miljøet mitt, og ved omstart får jeg en feilmelding 0xc0000428 (STATUS_INVALID_IMAGE_HASH) eller enheten starter i gjenopprettingsmiljøet. Hva bør jeg gjøre på de gjenværende enhetene eller virtuelle maskiner som ennå ikke har startet på nytt?

Stopp distribusjonen til andre enheter, og start ingen enheter eller virtuelle maskiner som ikke allerede har startet på nytt.
Identifisere enheter og virtuelle maskiner i ventende tilstand for omstart med oppdateringer utgitt 13. august 2019 eller nyere, og åpne en hevet ledetekst
Finn pakkeidentiteten for oppdateringen du vil fjerne, ved hjelp av kommandoen nedenfor ved hjelp av KB-nummeret for denne oppdateringen (erstatt 4512506 med KB-nummeret du retter deg mot, hvis det ikke er den månedlige samleoppdateringen utgitt 13. august 2019): dism /online /get-packages | findstr 4512506
Bruk følgende kommando for å fjerne oppdateringen, som erstatter<-pakkeidentitet > med det som ble funnet i forrige kommando: Dism.exe /online /remove-package /packagename:<package identity>
Nå må du installere de nødvendige oppdateringene som er oppført i delen Slik får du denne oppdateringen av oppdateringen du prøver å installere, eller de nødvendige oppdateringene som er oppført ovenfor i delen om gjeldende status i denne artikkelen.

Obs! Alle enheter eller VM som du for øyeblikket mottar en feil 0xc0000428 eller som starter i gjenopprettingsmiljøet, må du følge fremgangsmåten i vanlige spørsmål om feil 0xc0000428.

3. Hva gjør jeg hvis jeg får feilkode 80096010 eller feilkode 80092004 (CRYPT_E_NOT_FOUND), «Det oppstod en ukjent feil med Windows Update» når jeg prøvde å installere en oppdatering på Windows 7 SP1, Windows Server 2008 R2 SP1 eller Windows Server 2008 SP2?

Hvis du støter på disse feilene, må du installere de nødvendige oppdateringene som er oppført i delen Slik får du denne oppdateringen av oppdateringen du prøver å installere, eller de nødvendige oppdateringene som er oppført ovenfor under Gjeldende status i denne artikkelen.

4. Intel Itanium IA64-enheten min starter ikke og jeg får en feilmelding 0xc0000428 (STATUS_INVALID_IMAGE_HASH), men jeg har installert KB4474419 og KB4490628. Hvordan gjenoppretter jeg installasjonen?

Start operativsystemet ved hjelp av gjenopprettingsmedier.
Installer den nyeste SHA-2-oppdateringen(KB4474419)utgitt 13. august 2019, ved hjelp av Deployment Image Servicing and Management(DISM)for Windows 7 SP1 og Windows Server 2008 R2 SP1.
Start på nytt til gjenopprettingsmediet. Denne omstarten er nødvendig
Kjør installasjonsprogrammet i ledeteksten, ogbcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.
Start operativsystemet på nytt.

5. Når jeg har installert SHA-2-oppdateringen (KB4474419) utgitt 10. september 2019 for Windows Server 2008 SP2, kan jeg ikke installere oppdateringer manuelt ved å dobbeltklikke .msu-filen og motta feilmeldingen «Installasjonsprogrammet oppdaget en feil: 0x80073afc. Ressurslasteren klarte ikke å finne MUI-filen.»

Hvis du støter på dette problemet, kan du redusere dette problemet ved å åpne et ledetekstvindu og kjøre følgende kommando for å installere oppdateringen (erstatt plassholderen for <msu-plassering> med den faktiske plasseringen og filnavnet til oppdateringen):

wusa.exe <msu-plassering> /stille

Dette problemet er løst i KB4474419 som ble utgitt 8. oktober 2019. Denne oppdateringen installeres automatisk fra Windows Update og Windows Server Update Services (WSUS). Hvis du må installere denne oppdateringen manuelt, må du bruke løsningen ovenfor.

Obs! Hvis du tidligere har installert KB4474419 utgitt 23. september 2019, har du allerede den nyeste versjonen av denne oppdateringen og trenger ikke å installere på nytt.