2019 SHA-2 Требование подписания кода для Windows и WSUS

Применимо к: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

Аннотация


Для защиты системы безопасности операционная система Windows дважды защищена с помощью алгоритмов хеширования SHA-1 и SHA-2, чтобы проверить подлинность обновлений и что они доставляются непосредственно от Microsoft и не повреждены во время доставки. Из-за слабых мест алгоритма SHA-1 и для соответствия отраслевым стандартам корпорация Майкрософт подписывает обновления Windows только с помощью более безопасного алгоритма SHA-2.

Клиенты, использующие устаревшие версии ОС (Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 SP1 и Windows Server 2008 с пакетом обновления 2 (SP2), должны иметь поддержку по входу кода SHA-2 на свои устройства к июлю 2019. Все устройства без поддержки SHA-2 не будут предлагаться через обновления Windows после июля 2019. Чтобы помочь вам подготовиться к этому изменению, мы выпустили поддержку для подписывания SHA-2 в 2019 году. Службы Windows Server Update Services (WSUS) 3.0 с пакетом обновления 2 (SP2) получат поддержку SHA-2 для надлежащей доставки SHA-2 обновления. См. раздел «Обновления продукта» для уточнения сроков миграции.

Основные сведения


Алгоритм Secure Hash Algorithm 1 (SHA-1) был разработан как функция хэширования и широко используется как часть подписи кода. К сожалению, безопасность алгоритма SHA-1 со временем стала меньше по причине обнаружения слабых мест в алгоритме, повышения производительности процессора и появления облачных вычислений. Более надежные альтернативы, такие как Secure Hash Algorithm 2 (SHA-2), теперь более предпочтительны, поскольку в них нет таких проблем. Дополнительные сведения о шифровании SHA-1 см. в разделе Алгоритмы хэширования и подписи.

График обновления продукта


Начиная с начала 2019,процесс миграции на SHA-2будет выполняться поэтапно, а поддержка будет реализована вотдельных обновлениях. Корпорация Майкрософт планирует предоставлять поддержку SHA-2 по следующему графику. Обратите внимание, что сроки могут измениться. Мы обновим эту страницу при необходимости, когда начнется процесс.

Целевая дата

Источник

Информация в данной статье относится к следующим продуктам:

12 марта 2019 г.

Отдельные обновления безопасности для KB4474419 и KB4490628, выпущенные для внедрения поддержки подписи SHA-2 кода.

 

Windows 7 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 с пакетом обновления 1 (SP1)

12 марта 2019 г.

Отдельное обновление, KB4484071 доступно в каталоге Центра обновления Windows для WSUS 3.0 с пакетом обновления 2 (SP2), который поддерживает доставку подписанных обновлений SHA-2. Для клиентов, использующих WSUS 3.0 SP2, это обновление должно быть установлено вручную не позднее 18 июня 2019.

WSUS 3.0 с пакетом обновления 2 (SP2)

9 апреля 2019 г.

Отдельное обновление, KB4493730 в котором вводится поддержка кода SHA-2 для стека обслуживания (SSU) было выпущено как обновление для системы безопасности.

Windows Server 2008 SP2
14 мая 2019 г. Изолированное обновление безопасности KB4474419, выпущенное для внедрения поддержки подписи SHA-2 кода. Windows Server 2008 SP2
11 июня 2019 г. Отдельное обновление безопасности KB4474419 было перевыпущено, чтобы добавить поддержку кода подписи MSI SHA-2.
 
Windows Server 2008 SP2
 
18 июня 2019 г. Windows 10 обновляет только сигнатуры, измененные с двойной подписи (SHA-1/SHA-2) на SHA-2. Выполнять какие-либо дополнительные действия не нужно. Windows 10 1709
Windows 10 1803
Windows 10 1809
Windows Server 2019
18 июня 2019 г. Необходимо: Для тех клиентов, которые используют WSUS 3.0 с пакетом обновления 2 (SP2), KB4484071 необходимо установить вручную для поддержки обновлений SHA-2. WSUS 3.0 с пакетом обновления 2 (SP2)

9 июля 2019 г.

Необходимо: Для обновления старых версий Windows потребуется установить поддержку подписи кода SHA-2. Поддержка, выпущенная в апреле и мае (KB4493730 и KB4474419), потребуется для продолжения получения обновлений для этих версий Windows.

Устаревшие сигнатуры обновлений Windows были изменены с двух подписей (SHA-1/SHA-2) на одну SHA-2.

Windows Server 2008 SP2
16 июля 2019 г. Windows 10 обновляет только сигнатуры, измененные с двойной подписи (SHA-1/SHA-2) на SHA-2. Выполнять какие-либо дополнительные действия не нужно.

Windows 10 1507
Windows 10 1607
Windows Server 2016
Windows 10 1703

13 августа 2019 г.

Необходимо: Для обновления старых версий Windows потребуется установить поддержку подписи кода SHA-2. Поддержка, выпущенная в марте (KB4474419 и KB4490628), потребуется для продолжения получения обновлений для этих версий Windows. Если у вас есть устройство или VM с EFI загрузкой, пожалуйста, ознакомьтесь с разделом часто задаваемых вопросов для дополнительных шагов, которые могут предотвратить проблему, при которой устройство не может запуститься.

Устаревшие сигнатуры обновлений Windows были изменены с двух подписей (SHA-1/SHA-2) на одну SHA-2.

Windows 7 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 с пакетом обновления 1 (SP1)
10 сентября 2019 г. Устаревшие сигнатуры обновлений Windows были изменены с двух подписей (SHA-1/SHA-2) только на одну SHA-2. Выполнять какие-либо дополнительные действия не нужно. Windows Server 2012
Windows 8.1
Windows Server 2012 R2

Текущее состояние:


Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Следующие обновления должны быть установлены и устройство должно быть перезапущено перед установкой любой свертки, выпущенной 13 августа 2019 или позже. Необходимые обновления могут быть установлены в любом порядке и не должны быть переустановлены, если нет новой версии необходимого обновления.

  1. Последнее обновление стек-обслуживания (SSU) (KB4490628). Если используется Центр обновления Windows, вам автоматически будет предложено последнее обновление стека обслуживания. 
  2. Последнее обновление SHA-2 (KB4474419) выпущено 13 августа 2019 года.  Если используется Центр обновления Windows, вам автоматически будет предложено последнее обновление SHA-2.
  3. Если вы используете EFI Boot на вашем устройстве или виртуальном компьютере (VM), вы также должны установить KB3133977. В настоящее время KB3133977 требуется в качестве обходного пути для известной проблемы при использовании EFI Boot и должен применяться, даже если вы не используете BitLocker. Дополнительные сведения об этой проблеме см. в разделе Часто задаваемых вопросов.

Важно перезапустить устройство после установки всех необходимых обновлений, прежде чем устанавливать любое ежемесячное обновление свертки, обновления безопасности или предварительного просмотр ежемесячного обновления свертки.

Windows Server 2008 SP2

Следующие обновления должны быть установлены и устройство должно быть перезагружено перед установкой любого накопительного пакета обновлений, выпущенного 9 июля 2019 года или позже. Необходимые обновления могут быть установлены в любом порядке и не должны быть переустановлены, если нет новой версии необходимого обновления.

  1. Последнее обновление стека обслуживания (SSU) (KB4493730). Если используется Центр обновления Windows, вам автоматически будет предложено последнее обновление стека обслуживания. 
  2. Последнее обновление SHA-2 (KB4474419) выпущено 11 июня 2019 года.  Если вы используете Центр обновления Windows, вам автоматически будет предложено последнее обновление SHA-2.

Важно Вы должны перезагрузить устройство после установки всех необходимых обновлений, прежде чем устанавливать любой ежемесячный накопительный пакет обновлений, только обновления безопасности или предварительный просмотр ежемесячного накопительного пакета обновлений.

Вопросы и ответы


Общая информация, планирование и предотвращение проблем

Устранение проблемы