2019 SHA-2 Требование подписания кода для Windows и WSUS

Применимо к: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

Аннотация


Для защиты безопасности операционной системы Windows обновления раньше подписывались (с использованием алгоритмов хэширования SHA-1 и SHA-2). Подписи используются для проверки подлинности того, что обновления поступают непосредственно от корпорации Майкрософт и не были подделаны во время доставки. Из-за слабых мест алгоритма SHA-1 и для соответствия отраслевым стандартам корпорация Майкрософт подписывает обновления Windows только с помощью более безопасного алгоритма SHA-2. Это изменение было введено поэтапно с апреля 2019 года по сентябрь 2019 года, чтобы обеспечить плавную миграцию (подробнее об изменениях см. раздел "Расписание обновления продуктов").

Клиенты, использующие устаревшие версии ОС (Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 SP1 и Windows Server 2008 с пакетом обновления 2 (SP2), должны иметь поддержку по входу кода SHA-2 на своих устройствах, чтобы устанавливать обновления, выпущенные в июле 2019 г. и позднее. Все устройства без поддержки SHA-2 не смогут загрузить обновления Windows, начиная с июля 2019 и позднее. Чтобы помочь вам подготовиться к этому изменению, мы выпустили поддержку для подписывания SHA-2 в марте 2019 года и постепенно вносили улучшения. Службы Windows Server Update Services (WSUS) 3.0 с пакетом обновления 2 (SP2) получат поддержку SHA-2 для надлежащей доставки SHA-2 обновления. Пожалуйста, ознакомьтесь с разделом "Расписание обновления продуктов" для временной шкалы миграции SHA-2.

Основные сведения


Алгоритм Secure Hash Algorithm 1 (SHA-1) был разработан как функция хэширования и широко используется как часть подписи кода. К сожалению, безопасность алгоритма SHA-1 со временем стала меньше по причине обнаружения слабых мест в алгоритме, повышения производительности процессора и появления облачных вычислений. Более надежные альтернативы, такие как Secure Hash Algorithm 2 (SHA-2), теперь более предпочтительны, поскольку в них нет таких проблем. Дополнительные сведения о шифровании SHA-1 см. в разделе Алгоритмы хэширования и подписи.

График обновления продукта


Начиная с начала 2019,процесс миграции на SHA-2будет выполняться поэтапно, а поддержка будет реализована вотдельных обновлениях. Корпорация Майкрософт планирует предоставлять поддержку SHA-2 по следующему графику. Обратите внимание, что сроки могут измениться. Мы будем продолжать обновлять эту страницу по мере необходимости.

Целевая дата

Источник

Информация в данной статье относится к следующим продуктам:

12 марта 2019 г.

Отдельные обновления безопасности для KB4474419 и KB4490628, выпущенные для внедрения поддержки подписи SHA-2 кода.

 

Windows 7 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 с пакетом обновления 1 (SP1)

12 марта 2019 г.

Отдельное обновление, KB4484071 доступно в каталоге Центра обновления Windows для WSUS 3.0 с пакетом обновления 2 (SP2), который поддерживает доставку подписанных обновлений SHA-2. Для клиентов, использующих WSUS 3.0 SP2, это обновление должно быть установлено вручную не позднее 18 июня 2019.

WSUS 3.0 с пакетом обновления 2 (SP2)

9 апреля 2019 г.

Отдельное обновление, KB4493730 в котором вводится поддержка кода SHA-2 для стека обслуживания (SSU) было выпущено как обновление для системы безопасности.

Windows Server 2008 SP2
14 мая 2019 г. Изолированное обновление безопасности KB4474419, выпущенное для внедрения поддержки подписи SHA-2 кода. Windows Server 2008 SP2
11 июня 2019 г. Отдельное обновление безопасности KB4474419 было перевыпущено, чтобы добавить поддержку кода подписи MSI SHA-2.
 
Windows Server 2008 SP2
 
18 июня 2019 г. Windows 10 обновляет только сигнатуры, измененные с двойной подписи (SHA-1/SHA-2) на SHA-2. Выполнять какие-либо дополнительные действия не нужно. Windows 10 1709
Windows 10 1803
Windows 10 1809
Windows Server 2019
18 июня 2019 г. Необходимо: Для тех клиентов, которые используют WSUS 3.0 с пакетом обновления 2 (SP2), KB4484071 необходимо установить вручную для поддержки обновлений SHA-2. WSUS 3.0 с пакетом обновления 2 (SP2)

9 июля 2019 г.

Необходимо: Для обновления старых версий Windows потребуется установить поддержку подписи кода SHA-2. Поддержка, выпущенная в апреле и мае (KB4493730 и KB4474419) будет необходима для получения обновлений этих версий Windows.

Устаревшие сигнатуры обновлений Windows были изменены с двух подписей (SHA-1/SHA-2) на одну SHA-2.

Windows Server 2008 SP2
16 июля 2019 г. Windows 10 обновляет только сигнатуры, измененные с двойной подписи (SHA-1/SHA-2) на SHA-2. Выполнять какие-либо дополнительные действия не нужно.

Windows 10 1507
Windows 10 1607
Windows Server 2016
Windows 10 1703

13 августа 2019 г.

Необходимо: Для обновления старых версий Windows потребуется установить поддержку подписи кода SHA-2. Поддержка, выпущенная в марте (KB4474419 и KB4490628), потребуется для продолжения получения обновлений для этих версий Windows. Если у вас есть устройство или VM с EFI загрузкой, пожалуйста, ознакомьтесь с разделом часто задаваемых вопросов для дополнительных шагов, которые могут предотвратить проблему, при которой устройство не может запуститься.

Устаревшие сигнатуры обновлений Windows были изменены с двух подписей (SHA-1/SHA-2) на одну SHA-2.

Windows 7 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 с пакетом обновления 1 (SP1)
10 сентября 2019 г. Устаревшие сигнатуры обновлений Windows были изменены с двух подписей (SHA-1/SHA-2) только на одну SHA-2. Выполнять какие-либо дополнительные действия не нужно. Windows Server 2012
Windows 8.1
Windows Server 2012 R2
10 сентября 2019 г. Обновление безопасности Stand Alone KB4474419 было переиздано, чтобы добавить недостающие диспетчеры загрузки EFI. Пожалуйста, убедитесь, что эта версия установлена. Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 R2

Текущее состояние:


Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Следующие обновления должны быть установлены и устройство должно быть перезапущено перед установкой любой свертки, выпущенной 13 августа 2019 или позже. Необходимые обновления могут быть установлены в любом порядке и не должны быть переустановлены, если нет новой версии необходимого обновления.

  • Обновление стека обслуживания (SSU) (KB4490628). Если используется Центр обновления Windows, вам автоматически будет предложено последнее обновление стека обслуживания. 
  • Последнее обновление SHA-2 (KB4474419) выпущено 10 сентября 2019 года. Если вы используете Центр обновления Windows, вам автоматически будет предложено последнее обновление SHA-2.

Важно перезапустить устройство после установки всех необходимых обновлений, прежде чем устанавливать любое ежемесячное обновление свертки, обновления безопасности или предварительного просмотр ежемесячного обновления свертки.

Windows Server 2008 SP2

Следующие обновления должны быть установлены, и устройство должно быть перезагружено перед установкой любого накопительного пакета обновлений, выпущенного 10 сентября 2019 года или позже. Необходимые обновления могут быть установлены в любом порядке и не должны быть переустановлены, если нет новой версии необходимого обновления.

  • Обновления стека обслуживания (SSU) (KB4493730). Если используется Центр обновления Windows, вам автоматически будет предложено последнее обновление стека обслуживания. 
  • Последнее обновление SHA-2 (KB4474419) выпущено 10 сентября 2019 года. Если вы используете Центр обновления Windows, вам автоматически будет предложено последнее обновление SHA-2.

Важно Вы должны перезагрузить устройство после установки всех необходимых обновлений, прежде чем устанавливать любой ежемесячный накопительный пакет обновлений, только обновления безопасности или предварительный просмотр ежемесячного накопительного пакета обновлений.

Вопросы и ответы


Общая информация, планирование и предотвращение проблем

Устранение проблемы