Samenvatting
Ter bescherming van de beveiliging van het Windows-besturingssysteem zijn updates eerder ondertekend (met zowel de hash-algoritmen van SHA-1 als SHA-2). De handtekeningen worden gebruikt om te verifiëren dat de updates rechtstreeks van Microsoft afkomstig zijn en niet zijn geknoeid tijdens de bezorging. Vanwege zwakke punten in het algoritme van SHA-1 en om te voldoen aan industriestandaarden, hebben we de ondertekening van Windows-updates gewijzigd, om het veiligere algoritme van SHA-2 exclusief te gebruiken. Deze wijziging is in fasen doorgevoerd van april 2019 tot en met september 2019 voor een soepele migratie (zie de sectie 'Planning productupdate' voor meer informatie over de wijzigingen).
Klanten die oudere versies van het besturingssysteem (Windows 7 SP1, Windows Server 2008 R2 SP1 en Windows Server 2008 SP2) uitvoeren, moeten ondersteuning voor SHA-2-code ondertekening op hun apparaten hebben geïnstalleerd om updates te installeren die op of na juli 2019 zijn uitgebracht. Windows-updates kunnen niet worden geïnstalleerd op of na juli 2019 op apparaten zonder SHA-2-ondersteuning. Om u voor te bereiden op deze wijziging, hebben we ondersteuning voor sha-2-aanmelding uitgebracht vanaf maart 2019 en zijn incrementele verbeteringen aangebracht. Windows Server Update Services (WSUS) 3.0 SP2 ontvangt SHA-2-ondersteuning voor het veilig leveren van met SHA-2 ondertekende updates. Zie de sectie 'Planning productupdate' voor alleen de tijdlijn van de sha-2-migratie.
Achtergronddetails
De Secure Hash-algoritme 1 (SHA-1) is ontwikkeld als een onomkeerbare hashing-functie en wordt veel gebruikt als onderdeel van code-ondertekening. Helaas is de beveiliging van de sha-1-hashalgoritme in de tijd minder veilig geworden vanwege de zwakke punten die zijn aangetroffen in de algoritme, de verbeterde processorprestaties en de komst van cloud computing. Sterkere alternatieven, zoals de Secure Hash-algoritme 2 (SHA-2), worden nu sterk aanbevolen, omdat ze niet dezelfde problemen ervaren. Zie Hash- en handtekeningalgoritmen voor meer informatie over het aftrekken van SHA-1.
Planning voor productupdates
Vanaf begin 2019 is het migratieproces voor ondersteuning voor SHA-2 gefasef gestart en wordt ondersteuning geleverd als zelfstandige updates. Microsoft heeft het volgende doel: ondersteuning voor SHA-2. Houd er rekening mee dat de volgende tijdlijn kan worden gewijzigd. We blijven deze pagina zo nodig bijwerken.
|
Doeldatum |
Gebeurtenis |
Van toepassing op |
|
12 maart 2019 |
Stand Alone-beveiligingsupdates KB4474419 en KB4490628 zijn uitgebracht om ondersteuning voor SHA-2-codetekens te introduceren. |
Windows 7 SP1 |
|
12 maart 2019 |
Standaardupdate is KB4484071 beschikbaar in de Windows Update-catalogus voor WSUS 3.0 SP2 die ondersteuning biedt voor het leveren van updates die met SHA-2 zijn ondertekend. Voor klanten die WSUS 3.0 SP2 gebruiken, moet deze update niet later dan 18 juni 2019 handmatig worden geïnstalleerd. |
WSUS 3.0 SP2 |
|
9 april 2019 |
Stand Alone-update, KB4493730 die ondersteuning biedt voor SHA-2-codetekens voor de servicestack (SSU), is uitgebracht als een beveiligingsupdate. |
Windows Server 2008 SP2 |
|
14 mei 2019 |
Stand Alone-beveiligingsupdate KB4474419 is uitgebracht om ondersteuning voor SHA-2-codetekens te introduceren. |
Windows Server 2008 SP2 |
|
11 juni 2019 |
Stand Alone-beveiligingsupdate KB4474419wordt opnieuw uitgebracht om ondersteuning voor ontbrekende MSI SHA-2-codetekens toe te voegen. |
Windows Server 2008 SP2 |
|
18 juni 2019 |
In Windows 10 worden handtekeningen gewijzigd van dubbel ondertekend (alleen SHA-1/SHA-2) in SHA-2. Geen actie van de klant vereist. |
Windows 10, versie 1709 |
|
18 juni 2019 |
Vereist: Voor klanten die WSUS 3.0 SP2 gebruiken, moet KB4484071 op deze datum handmatig worden geïnstalleerd om SHA-2-updates te ondersteunen. |
WSUS 3.0 SP2 |
|
9 juli 2019 |
Vereist: Bij updates voor oudere Windows-versies moet ondersteuning voor SHA-2-code-ondertekening worden geïnstalleerd. De ondersteuning die is uitgebracht in april en mei(KB4493730 en KB4474419),is vereist om updates voor deze versies van Windows te kunnen blijven ontvangen. Op dit moment zijn alleen de handtekeningen van oudere Windows-updates gewijzigd van SHA1 en zijn ze met twee ondertekening (SHA-1/SHA-2) gewijzigd in SHA-2. |
Windows Server 2008 SP2 |
|
16 juli 2019 |
In Windows 10 worden handtekeningen gewijzigd van dubbel ondertekend (alleen SHA-1/SHA-2) in SHA-2. Geen actie van de klant vereist. |
Windows 10, versie 1507 |
|
13 augustus 2019 |
Vereist: Bij updates voor oudere Windows-versies moet ondersteuning voor SHA-2-code-ondertekening worden geïnstalleerd. De ondersteuning die in maart(KB4474419 en KB4490628)is uitgebracht, is vereist om updates voor deze versies van Windows te kunnen blijven ontvangen. Als u een apparaat of VM met EFI-opstart hebt, raadpleegt u de sectie Veelgestelde vragen voor aanvullende stappen om een probleem te voorkomen waarbij uw apparaat mogelijk niet wordt opgestart. Op dit moment zijn alle handtekeningen voor oudere Windows-updates gewijzigd van SHA-1 en dubbel ondertekend (SHA-1/SHA-2) naar SHA-2. |
Windows 7 SP1 |
|
10 september 2019 |
Oudere Windows-updatehandtekeningen zijn gewijzigd van dubbel ondertekend (alleen SHA-1/SHA-2) in SHA-2. Geen actie van de klant vereist. |
Windows Server 2012 |
|
10 september 2019 |
De Stand Alone-beveiligingsupdate KB4474419 is opnieuw uitgebracht om ontbrekende EFI-opstarters toe te voegen. Zorg ervoor dat deze versie is geïnstalleerd. |
Windows 7 SP1 |
|
28 januari 2020 |
Handtekeningen op de vertrouwenslijsten voor certificaten voor het vertrouwde basisprogramma van Microsoft zijn gewijzigd van tweeledig (SHA-1/SHA-2) in alleen SHA-2. Geen actie van de klant vereist. |
Alle ondersteunde Windows-platforms |
|
Augustus 2020 |
Service-eindpunten op basis van Windows Update SHA-1 worden niet meer gebruikt. Dit is alleen van invloed op oudere Windows-apparaten die niet zijn bijgewerkt met de juiste beveiligingsupdates. Zie KB4569557voor meer informatie. |
Windows 7 |
|
3 augustus 2020 |
Microsoft heeft inhoud die in Windows is ondertekend voor Secure Hash Algorithm 1 (SHA-1) teruggetrokken uit het Microsoft Downloadcentrum. Zie voor meer informatie de Windows IT pro-blog SHA-1 Windows-inhouddie op 3 augustus 2020 wordt teruggetrokken. |
Windows Server 2000 |
Huidige status
Windows 7 SP1 en Windows Server 2008 R2 SP1
De volgende vereiste updates moeten worden geïnstalleerd en vervolgens moet het apparaat opnieuw worden opgestart voordat u een update installeert die is uitgebracht op 13 augustus 2019 of hoger. De vereiste updates kunnen in elke gewenste volgorde worden geïnstalleerd en hoeven niet opnieuw te worden geïnstalleerd, tenzij er een nieuwe versie van de vereiste update is.
-
Onderhoudsstackupdate (SSU)(KB4490628). Als u Windows Update gebruikt, krijgt u automatisch de vereiste SSU te zien.
-
SHA-2-update(KB4474419)uitgebracht op 10 september 2019. Als u Windows Update gebruikt, krijgt u automatisch de vereiste SHA-2-update te zien.
BelangrijkU moet uw apparaat opnieuw opstarten nadat u alle vereiste updates hebt geïnstalleerd voordat u een maandelijkse update, beveiligingsupdate, preview van maandelijkse rollup of zelfstandige update installeert.
Windows Server 2008 SP2
De volgende updates moeten worden geïnstalleerd en vervolgens moet het apparaat opnieuw worden opgestart voordat u een rollup installeert die is uitgebracht op 10 september 2019 of hoger. De vereiste updates kunnen in elke gewenste volgorde worden geïnstalleerd en hoeven niet opnieuw te worden geïnstalleerd, tenzij er een nieuwe versie van de vereiste update is.
-
Onderhoudsstackupdate (SSU)(KB4493730). Als u Windows Update gebruikt, krijgt u automatisch de vereiste SSU-update te zien.
-
De nieuwste SHA-2-update(KB4474419)is uitgebracht op 10 september 2019. Als u Windows Update gebruikt, krijgt u automatisch de vereiste SHA-2-update te zien.
BelangrijkU moet uw apparaat opnieuw opstarten nadat u alle vereiste updates hebt geïnstalleerd voordat u een maandelijkse update, beveiligingsupdate, preview van maandelijkse rollup of zelfstandige update installeert.
Veelgestelde vragen
Algemene informatie, planning en preventie van problemen
De ondersteuning voor SHA-2-code-ondertekening is vroeg verzonden om ervoor te zorgen dat de meeste klanten de ondersteuning ruim voor de wijziging van Microsoft in SHA-2-ondertekening voor updates voor deze systemen krijgen. De stand-alone updates omvatten enkele aanvullende oplossingen en worden beschikbaar gesteld om ervoor te zorgen dat alle SHA-2-updates in een klein aantal gemakkelijk identificeerbare updates staan. Microsoft raadt klanten aan om systeemafbeeldingen voor deze OSes te onderhouden om deze updates op de afbeeldingen toe te passen.
Vanaf WSUS 4.0 op Windows Server 2012 ondersteunt WSUS al SHA-2-ondertekende updates en is er geen klantactie nodig voor deze versies.
Alleen WSUS 3.0 SP2 moet KB4484071hebben geïnstalleerd om alleen ondertekende updates van SHA2 te ondersteunen.
Stel dat u sp2 Windows Server 2008 uitvoeren. Als u twee keer start met Windows Server 2008 R2 SP1/Windows 7 SP1, is de opstartbeheer voor dit type systeem afkomstig van het Windows Server 2008 R2/Windows 7-systeem. Als u beide systemen met succes wilt bijwerken voor gebruik van SHA-2-ondersteuning, moet u eerst het Windows Server 2008 R2/Windows 7-systeem bijwerken, zodat de opstartbeheerder wordt bijgewerkt naar de versie die ondersteuning biedt voor SHA-2. Werk vervolgens het Windows Server 2008 SP2-systeem bij met ondersteuning voor SHA-2.
Net als bij het scenario met twee opstarten moet de Windows 7 PE-omgeving worden bijgewerkt naar ondersteuning voor SHA-2. Vervolgens moet het Windows Server 2008 SP2-systeem worden bijgewerkt naar SHA-2-ondersteuning.
-
Windows setup uitvoeren om Windows af te ronden en op te starten in Windows vóór de installatie van updates van 13 augustus 2019 of hoger
-
Open een opdrachtpromptvenster voor de beheerder en voer bcdboot.exe. Hiermee kopieert u de opstartbestanden uit de Windows-map en stelt u de opstartomgeving in. Zie BCDBoot Command-Line voor meer informatie.
-
Installeer, voordat u extra updates installeert, de re-release van 13 augustus 2019 van KB4474419 en KB4490628 voor Windows 7 SP1 en Windows Server 2008 R2 SP1.
-
Start het besturingssysteem opnieuw op. Deze herstart is vereist
-
Installeer alle overige updates.
-
Installeer de afbeelding op de schijf en start deze in Windows.
-
Voer bij de opdrachtprompt de bcdboot.exe. Hiermee kopieert u de opstartbestanden uit de Windows-map en stelt u de opstartomgeving in. Zie BCDBoot Command-Line voor meer informatie.
-
Installeer, voordat u extra updates installeert, de re-release van 23 september 2019 van KB4474419 en KB4490628 voor Windows 7 SP1 en Windows Server 2008 R2 SP1.
-
Start het besturingssysteem opnieuw op. Deze herstart is vereist
-
Installeer alle overige updates.
Ja, u moet de vereiste updates installeren voordat u doorgaat: SSU(KB4490628)en SHA-2-update(KB4474419). Bovendien moet u uw apparaat opnieuw opstarten na het installeren van de vereiste updates voordat u verdere updates installeert.
Windows 10, versie 1903 ondersteunt SHA-2 omdat de release wordt uitgebracht en alle updates al zijn ondertekend met SHA-2. Er is geen actie nodig voor deze versie van Windows.
Windows 7 SP1 en Windows Server 2008 R2 SP1
-
Start in Windows voordat u updates van 13 augustus 2019 of hoger installeert.
-
Installeer, voordat u extra updates installeert, de re-release van 23 september 2019 van KB4474419 en KB4490628voor Windows 7 SP1 en Windows Server 2008 R2 SP1.
-
Start het besturingssysteem opnieuw op. Deze herstart is vereist
-
Installeer alle overige updates.
Windows Server 2008 SP2
-
Start in Windows voordat u updates van 9 juli 2019 of hoger installeert.
-
Installeer, voordat u extra updates installeert, de re-release van 23 september 2019 van KB4474419 en KB4493730 voor Windows Server 2008 SP2.
-
Start het besturingssysteem opnieuw op. Deze herstart is vereist
-
Installeer alle overige updates.
Probleemherstel
Als u een foutmelding 0xc0000428 met het bericht 'Windows kan de digitale handtekening voor dit bestand niet controleren. Bij een recente hardware- of softwarewijziging is mogelijk een bestand geïnstalleerd dat onjuist is ondertekend of beschadigd, of dat schadelijke software van een onbekende bron is.' volg deze stappen om te herstellen.
-
Start het besturingssysteem met herstelmedia.
-
Voordat u extra updates installeert, installeert u update KB4474419 van 23 september 2019 of een latere datum met behulp van Deployment Image Servicing and Management(DISM)voor Windows 7 SP1 en Windows Server 2008 R2 SP1.
-
Voer bij de opdrachtprompt de bcdboot.exe. Hiermee kopieert u de opstartbestanden uit de Windows-map en stelt u de opstartomgeving in. Zie BCDBoot Command-Line voor meer informatie.
-
Start het besturingssysteem opnieuw op.
-
Stop de implementatie op andere apparaten en start geen apparaten of VM's die nog niet opnieuw zijn opgestart.
-
Identificeer apparaten en VM's die opnieuw moeten worden opgestart met updates die zijn uitgebracht op 13 augustus 2019 of hoger en open een opdrachtprompt met verhoogde verhoogde niveaus
-
Zoek de pakketidentiteit voor de update die u wilt verwijderen met behulp van de volgende opdracht met behulp van het KB-nummer voor die update (vervang 4512506 door het KB-nummer dat u als doel hebt, als dit niet het maandelijkse samenrol is dat op 13 augustus 2019 is uitgebracht): dism /online /get-packages | findstr 4512506
-
Gebruik de volgende opdracht om de update te verwijderen en<package identity> te vervangen door wat is gevonden in de vorige opdracht: Dism.exe /online /remove-package /packagename:<package identity>
-
U moet nu de vereiste updates installeren die worden vermeld in het gedeelte Hoe u deze update kunt downloaden van de update die u probeert te installeren, of de vereiste updates die hierboven staan vermeld in het gedeelte Huidige status van dit artikel.
Opmerking Elk apparaat of VM dat momenteel een foutmelding 0xc0000428 of die begint in de herstelomgeving, moet u de stappen volgen in de veelgestelde vragen over foutmeldingen 0xc0000428.
Als deze fouten optreden, moet u de vereiste updates installeren die worden vermeld in het gedeelte Hoe u deze update kunt downloaden van de update die u probeert te installeren, of de vereiste updates die hierboven worden vermeld in het gedeelte Huidige status van dit artikel.
Als u een foutmelding 0xc0000428 met het bericht 'Windows kan de digitale handtekening voor dit bestand niet controleren. Bij een recente hardware- of softwarewijziging is mogelijk een bestand geïnstalleerd dat onjuist is ondertekend of beschadigd, of dat schadelijke software van een onbekende bron is.' volg deze stappen om te herstellen.
-
Start het besturingssysteem met herstelmedia.
-
Installeer de meest recente SHA-2-update(KB4474419)die is uitgebracht op of na 13 augustus 2019 met behulp van Deployment Image Servicing and Management(DISM)voor Windows 7 SP1 en Windows Server 2008 R2 SP1.
-
Start opnieuw op in de herstelmedia. Deze herstart is vereist
-
Voer bij de opdrachtprompt de bcdboot.exe. Hiermee kopieert u de opstartbestanden uit de Windows-map en stelt u de opstartomgeving in. Zie BCDBoot Command-Line voor meer informatie.
-
Start het besturingssysteem opnieuw op.
Als u dit probleem ondervindt, kunt u dit probleem beperken door een opdrachtpromptvenster te openen en de volgende opdracht uit te voeren om de update te installeren (vervang de tijdelijke aanduiding van de <MSU-locatie> door de werkelijke locatie en bestandsnaam van de update):
wusa.exe <MSU-locatie> /stil
Dit probleem is opgelost in KB4474419, uitgebracht op 8 oktober 2019. Deze update wordt automatisch geïnstalleerd vanuit Windows Update en Windows Server Update Services (WSUS). Als u deze update handmatig moet installeren, moet u de bovenstaande tijdelijke oplossing gebruiken.
Opmerking Als u KB4474419 eerder hebt geïnstalleerd op 23 september 2019, hebt u de nieuwste versie van deze update al en hoeft u deze niet opnieuw te installeren.
