Exigência de suporte para assinatura de código SHA-2 de 2019 para o Windows e o WSUS

Aplica-se a: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

Resumo


Para ajudar a proteger a segurança do sistema operacional Windows, as atualizações foram assinadas anteriormente (usando os algoritmos de hash SHA-1 e SHA-2). As assinaturas são usadas para autenticar que as atualizações vêm diretamente da Microsoft e não foram adulteradas durante a entrega. Devido a pontos fracos no algoritmo SHA-1 e para se alinhar aos padrões da indústria, alteramos a assinatura das atualizações do Windows usando exclusivamente o algoritmo SHA-2, que é mais seguro. Essa alteração foi feita em fases a partir de abril de 2019 até setembro de 2019 para permitir a migração suave (consulte a seção "Cronograma de atualização do produto" para saber mais sobre as alterações).

Os clientes com versões herdadas do sistema operacional (Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2) precisarão ter suporte à assinatura de código SHA-2 instalado em seus dispositivos para instalar atualizações lançadas a partir de julho de 2019. Nenhum dispositivo sem suporte a SHA-2 receberá atualizações do Windows após julho de 2019. Para ajudar a prepará-lo para essa mudança, lançamos o suporte para a assinatura SHA-2 a partir de março de 2019, e fizemos melhorias incrementais. O Windows Server Update Services (WSUS) 3.0 SP2 receberá suporte a SHA-2 para fornecer as atualizações com assinatura SHA-2 de forma segura. Consulte a seção "Cronograma de atualização do produto" para conhecer a linha do tempo de migração para usar somente SHA-2.

Detalhes do plano de fundo


O Secure Hash Algorithm 1 (SHA-1) foi desenvolvido como uma função de hash irreversível e é amplamente usado como parte da assinatura de código. Infelizmente, a segurança do algoritmo de hash SHA-1 diminuiu ao longo do tempo devido a pontos fracos encontrados no algoritmo, maior desempenho do processador e o advento da computação em nuvem. Alternativas mais seguras, como o Secure Hash Algorithm 2 (SHA-2), agora são altamente preferíveis, já que não enfrentam os mesmos problemas. Para saber mais sobre a reprovação do SHA-1, consulte Algoritmos de assinatura e hash.

Cronograma de atualização do produto


A partir do início de 2019, o processo de migração para o suporte a SHA-2 ocorrerá em etapas, e o suporte será entregue em atualizações autônomas. A Microsoft está planejando a seguinte agenda para oferecer suporte SHA-2. Observe que o cronograma abaixo está sujeito a alterações. Atualizaremos esta página conforme necessário.

Data de Destino

Evento

Aplica-se a

12 de março de 2019

Atualizações Autônomas de segurança KB4474419 e KB4490628 lançadas para introduzir o suporte à assinatura de código SHA-2.

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

12 de março de 2019

Atualização autônomaKB4484071 está disponível no Catálogo do Windows Update para WSUS 3.0 SP2 que oferece suporte à entrega de atualizações com assinaturas SHA-2. Para os clientes que usam o WSUS 3.0 SP2, esta atualização deve ser instalada manualmente até 18 de junho de 2019.

WSUS 3.0 SP2

9 de abril de 2019

A atualização Autônoma KB4493730, que introduz o suporte à assinatura de código SHA-2 para a pilha de manutenção (SSU), foi lançada como uma atualização de segurança.

Windows Server 2008 SP2
14 de maio de 2019 Atualização de segurança autônoma KB4474419 lançada para introduzir o suporte à assinatura de código SHA-2. Windows Server 2008 SP2
11 de junho de 2019 Atualização de segurança autônoma KB4474419 relançada para introduzir o MSI ausente para oferecer suporte à assinatura de código SHA-2.
 
Windows Server 2008 SP2
 
18 de junho de 2019 O Windows 10 atualiza alteração de assinaturas de duplas (SHA-1/SHA-2) para SHA-2 apenas. Não é necessária nenhuma ação do cliente. Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019
18 de junho de 2019 Necessário: Para usuários com o WSUS 3.0 SP2, KB4484071 deve ser instalado manualmente até esta data para oferecer suporte a atualizações SHA-2. WSUS 3.0 SP2

9 de julho de 2019

Necessário: As atualizações para versões herdadas do Windows exigirão que o suporte à assinatura de código SHA-2 seja instalado. O suporte lançado em abril e maio (KB4493730 e KB4474419) será necessário para continuar a receber atualizações nessas versões do Windows.

Atualmente, as assinaturas de atualizações de sistemas herdados do Windows foram alteradas de SHA-1 e de assinaturas duplas (SHA-1/SHA-2) para apenas SHA-2.

Windows Server 2008 SP2
16 de julho de 2019 O Windows 10 atualiza alteração de assinaturas de duplas (SHA-1/SHA-2) para SHA-2 apenas. Não é necessária nenhuma ação do cliente.

Windows 10 1507,
Windows 10 1607,
Windows Server 2016,
Windows 10 1703

13 de agosto de 2019

Necessário: As atualizações para versões herdadas do Windows exigirão que o suporte à assinatura de código SHA-2 seja instalado. O suporte lançado em março (KB4474419 e KB4490628) será solicitado para receber atualizações nessas versões do Windows. Se você tem um dispositivo ou uma VM usando a inicialização EFI, consulte a seção de perguntas frequentes para conhecer as etapas adicionais para evitar um problema em que o dispositivo não inicia.

Atualmente, todas as assinaturas de atualizações de sistemas herdados do Windows foram alteradas de SHA-1 e de assinaturas duplas (SHA-1/SHA-2) para apenas SHA-2.

Windows 7 SP1,
Windows Server 2008 R2 SP1
10 de setembro de 2019 As assinaturas de atualizações de sistemas herdados do Windows foram alteradas de duplas (SHA-1/SHA-2) para apenas SHA-2. Não é necessária nenhuma ação do cliente. Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2
10 de setembro de 2019 A atualização de segurança autônoma KB4474419 foi relançada para adicionar os gerenciadores de inicialização EFI ausentes. Certifique-se de que esta versão está instalada. Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2

Status atual


Windows 7 SP1 e Windows Server 2008 R2 SP1

As seguintes atualizações devem ser instaladas, e o dispositivo deve ser reiniciado antes de instalar qualquer atualização lançada a partir de 13 de agosto de 2019. As atualizações necessárias podem ser instaladas em qualquer ordem e não precisam ser reinstaladas, a menos que haja uma nova versão da atualização necessária.

  • Atualização da pilha de manutenção (SSU) (KB4490628). Se estiver usando o Windows Update, a SSU obrigatória será automaticamente oferecida a você. 
  • Atualização do SHA-2 (KB4474419), lançada em 10 de setembro de 2019. Se estiver usando o Windows Update, a atualização obrigatória de SHA-2 será automaticamente oferecida a você.

Importante O dispositivo deve ser reiniciado após instalar todas as atualizações necessárias, antes de instalar qualquer valor acumulado mensal, atualização somente de segurança ou visualização do valor acumulado mensal.

Windows Server 2008 SP2

As seguintes atualizações devem ser instaladas e o dispositivo deve ser reiniciado antes de instalar qualquer Pacote cumulativo de atualizações lançado a partir de 10 de setembro de 2019. As atualizações necessárias podem ser instaladas em qualquer ordem e não precisam ser reinstaladas, a menos que haja uma nova versão da atualização necessária.

  • Atualização da pilha de manutenção (SSU) (KB4493730). Se estiver usando o Windows Update, a atualização de SSU obrigatória será automaticamente oferecida a você. 
  • A atualização do SHA-2 mais recente (KB4474419) lançada em 10 de setembro de 2019. Se estiver usando o Windows Update, a atualização obrigatória do SHA-2 será automaticamente oferecida a você.

Importante Você deverá reiniciar o dispositivo depois de instalar todas as atualizações necessárias, antes de instalar qualquer Pacote cumulativo mensal, Atualização somente de segurança ou Prévia do Pacote cumulativo mensal.

Perguntas Frequentes


Informações gerais, planejamento e prevenção de problemas

Resolução de problemas