Exigência de suporte para assinatura de código SHA-2 de 2019 para o Windows e o WSUS

Resumo

Para ajudar a proteger a segurança do sistema operacional Windows, as atualizações foram assinadas anteriormente (usando os algoritmos de hash SHA-1 e SHA-2). As assinaturas são usadas para autenticar que as atualizações vêm diretamente da Microsoft e não foram violadas durante a entrega. Devido a pontos fracos no algoritmo SHA-1 e para alinhar aos padrões do setor, mudamos a assinatura de atualizações do Windows para usar exclusivamente o algoritmo SHA-2 mais seguro. Essa alteração foi feita em fases que começam em abril de 2019 a setembro de 2019 para permitir a migração suave (consulte a seção "Agenda de atualização do produto" para obter mais detalhes sobre as alterações).

Os clientes que executarem versões herdadas do sistema operacional (Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2) devem ter suporte para assinatura de código SHA-2 instalado em seus dispositivos para instalar atualizações lançadas em ou após julho de 2019. Todos os dispositivos sem suporte sha-2 não poderão instalar atualizações do Windows em ou após julho de 2019. Para ajudá-lo a se preparar para essa mudança, lançamos suporte para a assinatura sha-2 a partir de março de 2019 e fizemos melhorias incrementais. O Windows Server Update Services (WSUS) 3.0 SP2 receberá suporte sha-2 para fornecer atualizações assinadas sha-2 com segurança. Consulte a seção "Agenda de atualização do produto" para a linha do tempo de migração somente SHA-2. 

Detalhes em segundo plano

O Algoritmo de Hash Seguro 1 (SHA-1) foi desenvolvido como uma função de hash irreversível e é amplamente usado como parte da assinatura de código. Infelizmente, a segurança do algoritmo de hash SHA-1 se tornou menos segura ao longo do tempo devido às fraquezas encontradas no algoritmo, ao aumento do desempenho do processador e ao advento da computação em nuvem. Alternativas mais fortes, como o Algoritmo de Hash Seguro 2 (SHA-2), agora são fortemente preferidas, pois não têm os mesmos problemas. Para obter mais informações sobre a deprecação do SHA-1, consulte Hash and Signature Algorithms

Agenda de atualização do produto

A partir do início de 2019, o processo de migração para o suporte sha-2 começou em estágios e o suporte será entregue em atualizações autônomas. A Microsoft está direcionando o cronograma a seguir para oferecer suporte ao SHA-2. Observe que a linha do tempo a seguir está sujeita a alterações. Continuaremos a atualizar esta página conforme necessário.

Data de destino

Evento

Aplica-se a

12 de março de 2019

Atualizações de segurança autônomos KB4474419 e KB4490628 lançadas para introduzir o suporte a sinais de código SHA-2.

Windows 7 SP1
Windows Server 2008 R2 SP1

12 de março de 2019

Atualização autônomo, O KB4484071 está disponível no Catálogo de Atualizações do Windows para WSUS 3.0 SP2 que oferece suporte à entrega de atualizações assinadas sha-2. Para os clientes que usam o WSUS 3.0 SP2, essa atualização deve ser instalada manualmente até 18 de junho de 2019.

WSUS 3.0 SP2

9 de abril de 2019

A atualização Stand Alone,KB4493730 que introduz o suporte de sinal de código SHA-2 para a pilha de manutenção (SSU) foi lançada como uma atualização de segurança.

Windows Server 2008 SP2

14 de maio de 2019

Atualização de segurança autônomo KB4474419 lançada para introduzir o suporte a sinais de código SHA-2.

Windows Server 2008 SP2

11 de junho de 2019

Atualização de segurança autônomo KB4474419re-lançado para adicionar suporte de sinal de código SHA-2 do MSI ausente.

Windows Server 2008 SP2

18 de junho de 2019

As assinaturas de atualizações do Windows 10 foram alteradas da assinatura dual assinada (SHA-1/SHA-2) para SHA-2 somente. Nenhuma ação do cliente é necessária.

Windows 10, versão 1709
Windows 10, versão 1803
Windows 10, versão 1809
Windows Server 2019

18 de junho de 2019

Necessário: Para os clientes que usam o WSUS 3.0 SP2, o KB4484071 deve ser instalado manualmente até essa data para dar suporte a atualizações SHA-2.

WSUS 3.0 SP2

9 de julho de 2019

Necessário: As atualizações para versões herdadas do Windows exigirão que o suporte à assinatura de código SHA-2 seja instalado. O suporte lançado em abril e maio (KB4493730 e KB4474419) será necessário para continuar a receber atualizações sobre essas versões do Windows.

Todas as assinaturas de atualizações do Windows herdados foram alteradas de SHA1 e dual signed (SHA-1/SHA-2) para SHA-2 somente no momento.

Windows Server 2008 SP2

16 de julho de 2019

As assinaturas de atualizações do Windows 10 foram alteradas da assinatura dual assinada (SHA-1/SHA-2) para SHA-2 somente. Nenhuma ação do cliente é necessária.

Windows 10, versão 1507
Windows 10, versão 1607
Windows Server 2016
Windows 10, versão 1703

13 de agosto de 2019

Necessário: As atualizações para versões herdadas do Windows exigirão que o suporte à assinatura de código SHA-2 seja instalado. O suporte lançado em março (KB4474419 e KB4490628) será necessário para continuar a receber atualizações nessas versões do Windows. Se você tiver um dispositivo ou VM usando a inicialização EFI, consulte a seção Perguntas frequentes para obter etapas adicionais para evitar um problema no qual seu dispositivo pode não ser inicializado.

Todas as assinaturas de atualizações herdada do Windows foram alteradas de SHA-1 e dual signed (SHA-1/SHA-2) para SHA-2 somente no momento.

Windows 7 SP1
Windows Server 2008 R2 SP1

10 de setembro de 2019

As assinaturas de atualização herdada do Windows foram alteradas de dual-signed (SHA-1/SHA-2) para SHA-2 somente. Nenhuma ação do cliente é necessária.

Windows Server 2012
Windows 8.1
Windows Server 2012 R2

10 de setembro de 2019

A atualização de segurança autônomo KB4474419 foi re-lançada para adicionar os manjedos de inicialização EFI ausentes. Verifique se essa versão está instalada.

Windows 7 SP1
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

28 de janeiro de 2020

As assinaturas nas Listas de Certificados de Confiança (CTLs) para o Programa Raiz Confiável da Microsoft foram alteradas de dual-signed (SHA-1/SHA-2) para SHA-2 somente. Nenhuma ação do cliente é necessária.

Todas as plataformas windows com suporte

Agosto de 2020

Os pontos de extremidade de serviço baseados em SHA-1 do Windows Update são descontinuados. Isso afeta apenas dispositivos Windows mais antigos que não foram atualizados com atualizações de segurança apropriadas. Para obter mais informações, consulte KB4569557.

Windows 7
Windows 7 SP1
Windows Server 2008
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2008 R2 SP1

3 de agosto de 2020

Conteúdo retirado da Microsoft que é assinado pelo Windows para o Algoritmo de Hash Seguro 1 (SHA-1) do Centro de Download da Microsoft. Para obter mais informações, consulte o blog do Windows IT pro SHA-1 Windows para ser retirado em 3 de agosto de 2020.

Windows Server 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Windows 8.1
Windows Server 2012 R2
Windows 10
Windows 10 Server

Status atual

Windows 7 SP1 e Windows Server 2008 R2 SP1

As atualizações necessárias a seguir devem ser instaladas e, em seguida, o dispositivo reiniciado antes de instalar qualquer atualização lançada em 13 de agosto de 2019 ou posterior. As atualizações necessárias podem ser instaladas em qualquer ordem e não precisam ser reinstaladas, a menos que haja uma nova versão da atualização necessária.

  • Atualização de pilha de manutenção (SSU) (KB4490628). Se você usar o Windows Update, o SSU necessário será oferecido automaticamente.

  • Atualização SHA-2 (KB4474419) lançada em 10 de setembro de 2019. Se você usar o Windows Update, a atualização SHA-2 necessária será oferecida automaticamente.

                Importante Você deve reiniciar seu dispositivo depois de instalar todas as atualizações necessárias, antes de instalar qualquer Atualização Mensal, Somente Segurança, Visualização do Acúmulo Mensal ou atualização autônoma.

Windows Server 2008 SP2

As atualizações a seguir devem ser instaladas e, em seguida, o dispositivo reiniciado antes de instalar qualquer Rollup lançado em 10 de setembro de 2019 ou posterior. As atualizações necessárias podem ser instaladas em qualquer ordem e não precisam ser reinstaladas, a menos que haja uma nova versão da atualização necessária.

  • Atualização de pilha de manutenção (SSU) (KB4493730). Se você usar o Windows Update, a atualização SSU necessária será oferecida automaticamente.

  • A atualização sha-2 mais recente (KB4474419) lançada em 10 de setembro de 2019. Se você usar o Windows Update, a atualização SHA-2 necessária será oferecida automaticamente.

                Importante Você deve reiniciar seu dispositivo depois de instalar todas as atualizações necessárias, antes de instalar qualquer Atualização Mensal, Somente Segurança, Visualização do Acúmulo Mensal ou atualização autônoma.

Perguntas frequentes

Informações gerais, planejamento e prevenção de problemas

O suporte à assinatura de código SHA-2 foi enviado antecipadamente para garantir que a maioria dos clientes teria o suporte bem antes da alteração da Microsoft para a assinatura sha-2 para atualizações para esses sistemas. As atualizações autônomos incluem algumas correções adicionais e estão sendo disponibilizadas para garantir que todas as atualizações sha-2 estão em um pequeno número de atualizações de fácil identificação. A Microsoft recomenda que os clientes que mantêm imagens do sistema para esses OSes apliquem essas atualizações às imagens.

A partir do WSUS 4.0 no Windows Server 2012, o WSUS já dá suporte a atualizações assinadas pelo SHA-2 e nenhuma ação do cliente é necessária para essas versões.

Somente o WSUS 3.0 SP2 precisa de KB4484071instalado para dar suporte a atualizações assinadas somente sha2.

Suponha que você execute o Windows Server 2008 SP2. Se você inicializar com o Windows Server 2008 R2 SP1/Windows 7 SP1, o gerenciador de inicialização para esse tipo de sistema será do sistema Windows Server 2008 R2/Windows 7. Para atualizar com êxito ambos os sistemas para usar o suporte sha-2, você deve primeiro atualizar o sistema Windows Server 2008 R2/Windows 7 para que o gerenciador de inicialização seja atualizado para a versão compatível com SHA-2. Em seguida, atualize o sistema Windows Server 2008 SP2 com suporte sha-2.

Semelhante ao cenário de inicialização dupla, o ambiente do Windows 7 PE deve ser atualizado para o suporte sha-2. Em seguida, o sistema Windows Server 2008 SP2 deve ser atualizado para o suporte sha-2.

  1. Execute a instalação do Windows para conclusão e inicialização no Windows antes de instalar atualizações de 13 de agosto de 2019 ou posteriores

  2. Abra uma janela de prompt de comando do administrador, execute bcdboot.exe. Isso copia os arquivos de inicialização do diretório do Windows e configura o ambiente de inicialização. Confira Opções Command-Line BCDBoot para obter mais detalhes.

  3. Antes de instalar quaisquer atualizações adicionais, instale a re-versão de 13 de agosto de 2019 do KB4474419 e do KB4490628 para Windows 7 SP1 e Windows Server 2008 R2 SP1.

  4. Reinicie o sistema operacional. Essa reinicialização é necessária

  5. Instale as atualizações restantes.

  1. Instale a imagem no disco e inicial no Windows.

  2. No prompt de comando, execute bcdboot.exe. Isso copia os arquivos de inicialização do diretório do Windows e configura o ambiente de inicialização. Confira Opções Command-Line BCDBoot para obter mais detalhes.

  3. Antes de instalar quaisquer atualizações adicionais, instale a re-versão de 23 de setembro de 2019 do KB4474419 e KB4490628 para Windows 7 SP1 e Windows Server 2008 R2 SP1.

  4. Reinicie o sistema operacional. Essa reinicialização é necessária

  5. Instale as atualizações restantes.

Sim, você precisará instalar as atualizações necessárias antes de prosseguir: SSU (KB4490628) e atualização SHA-2 (KB4474419).  Além disso, você deve reiniciar seu dispositivo depois de instalar as atualizações necessárias antes de instalar outras atualizações.

O Windows 10, versão 1903 dá suporte ao SHA-2, pois seu lançamento e todas as atualizações já estão assinadas somente sha-2.  Não há nenhuma ação necessária para essa versão do Windows.

Windows 7 SP1 e Windows Server 2008 R2 SP1

  1. Inicializar no Windows antes de instalar qualquer atualização de 13 de agosto de 2019 ou posterior.

  2. Antes de instalar quaisquer atualizações adicionais, instale a re-versão de 23 de setembro de 2019 do KB4474419 e KB4490628para Windows 7 SP1 e Windows Server 2008 R2 SP1.

  3. Reinicie o sistema operacional. Essa reinicialização é necessária

  4. Instale as atualizações restantes.

Windows Server 2008 SP2

  1. Inicializar no Windows antes de instalar qualquer atualização de 9 de julho de 2019 ou posterior.

  2. Antes de instalar as atualizações adicionais, instale o lançamento de 23 de setembro de 2019 do KB4474419 e KB4493730 para Windows Server 2008 SP2.

  3. Reinicie o sistema operacional. Essa reinicialização é necessária

  4. Instale as atualizações restantes.

Recuperação de problemas

Se você estiver vendo o erro 0xc0000428 com a mensagem "O Windows não pode verificar a assinatura digital desse arquivo. Uma alteração recente de hardware ou software pode ter instalado um arquivo assinado incorretamente ou danificado, ou que pode ser um software mal-intencionado de uma fonte desconhecida." siga estas etapas para recuperar.

  1. Inicie o sistema operacional usando mídia de recuperação.

  2. Antes de instalar quaisquer atualizações adicionais, instale a atualização KB4474419 datada de 23 de setembro de 2019 ou uma data posterior usando oDISM(Deployment Image Servicing and Management) para Windows 7 SP1 e Windows Server 2008 R2 SP1.

  3. No prompt de comando, execute bcdboot.exe. Isso copia os arquivos de inicialização do diretório do Windows e configura o ambiente de inicialização. Confira Opções Command-Line BCDBoot para obter mais detalhes.

  4. Reinicie o sistema operacional.

  1. Pare a implantação para outros dispositivos e não reinicie nenhum dispositivo ou VMs que ainda não tenham reiniciado.

  2. Identificar dispositivos e VMs em estado pendente de reinicialização com atualizações lançadas em 13 de agosto de 2019 ou posteriores e abrir um prompt de comando elevado

  3. Localize a identidade do pacote para a atualização que você deseja remover usando o seguinte comando usando o número KB para essa atualização (substitua 4512506 pelo número KB que você está direcionando, se não for o acúmulo mensal lançado em 13 de agosto de 2019): dism /online /get-packages | findstr 4512506

  4. Use o seguinte comando para remover a atualização, substituindo<identidade do pacote > pelo que foi encontrado no comando anterior: Dism.exe /online /remove-package /packagename:<identidade do pacote>

  5.  Agora você precisará instalar as atualizações necessárias listadas na seção Como obter essa atualização da atualização que você está tentando instalar ou as atualizações necessárias listadas acima na seção Status atual deste artigo.

ObservaçãoQualquer dispositivo ou VM que você está recebendo atualmente um erro 0xc0000428 ou que está começando no ambiente de recuperação, você precisará seguir as etapas na pergunta perguntas frequentes sobre erros 0xc0000428.

Se você encontrar esses erros, precisará instalar as atualizações necessárias listadas na seção Como obter essa atualização da atualização que você está tentando instalar ou as atualizações necessárias listadas acima na seção Status atual deste artigo.

Se você estiver vendo o erro 0xc0000428 com a mensagem "O Windows não pode verificar a assinatura digital desse arquivo. Uma alteração recente de hardware ou software pode ter instalado um arquivo assinado incorretamente ou danificado, ou que pode ser um software mal-intencionado de uma fonte desconhecida." siga estas etapas para recuperar.

  1. Inicie o sistema operacional usando mídia de recuperação.

  2. Instale a atualização sha-2 mais recente (KB4474419) lançada em ou após 13 de agosto de 2019, usando oDISM(Serviço e Gerenciamento de Imagens de Implantação) para Windows 7 SP1 e Windows Server 2008 R2 SP1.

  3. Reiniciar na mídia de recuperação. Essa reinicialização é necessária

  4. No prompt de comando, execute bcdboot.exe. Isso copia os arquivos de inicialização do diretório do Windows e configura o ambiente de inicialização. Confira Opções Command-Line BCDBoot para obter mais detalhes.

  5. Reinicie o sistema operacional.

Se você encontrar esse problema, poderá atenuar esse problema abrindo uma janela de prompt de comando e executar o seguinte comando para instalar a atualização (substitua o espaço reservado do <msu ms> u pelo local real e o nome do arquivo da atualização):

wusa.exe <local do msu> /quiet

Esse problema é resolvido no KB4474419 lançado em 8 de outubro de 2019. Essa atualização será instalada automaticamente a partir do Windows Update e do Windows Server Update Services (WSUS). Se você precisar instalar essa atualização manualmente, precisará usar a solução alternativa acima. 

ObservaçãoSe você instalou anteriormente o KB4474419 lançado em 23 de setembro de 2019, então você já tem a versão mais recente dessa atualização e não precisa reinstalar.

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×