2019 SHA-2 Требование подписания кода для Windows и WSUS

Применимо к: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2 Больше

Аннотация


Для защиты системы безопасности операционная система Windows дважды защищена с помощью алгоритмов хеширования SHA-1 и SHA-2, чтобы проверить подлинность обновлений и что они доставляются непосредственно от Microsoft и не повреждены во время доставки. Из-за слабых мест алгоритма SHA-1 и для соответствия отраслевым стандартам корпорация Майкрософт подписывает обновления Windows только с помощью более безопасного алгоритма SHA-2.

Клиенты, использующие устаревшие версии ОС (Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 SP1 и Windows Server 2008 с пакетом обновления 2 (SP2), должны иметь поддержку по входу кода SHA-2 на свои устройства к июлю 2019. Все устройства без поддержки SHA-2 не будут предлагаться через обновления Windows после июля 2019. Чтобы помочь вам подготовиться к этому изменению, мы выпустили поддержку для подписывания SHA-2 в 2019 году. Службы Windows Server Update Services (WSUS) 3.0 с пакетом обновления 2 (SP2) получат поддержку SHA-2 для надлежащей доставки SHA-2 обновления. См. раздел «Обновления продукта» для уточнения сроков миграции.

Основные сведения


Алгоритм Secure Hash Algorithm 1 (SHA-1) был разработан как функция хэширования и широко используется как часть подписи кода. К сожалению, безопасность алгоритма SHA-1 со временем стала меньше по причине обнаружения слабых мест в алгоритме, повышения производительности процессора и появления облачных вычислений. Более надежные альтернативы, такие как Secure Hash Algorithm 2 (SHA-2), теперь более предпочтительны, поскольку в них нет таких проблем. Дополнительные сведения о шифровании SHA-1 см. в разделе Алгоритмы хэширования и подписи.

Обновления продуктов


Начиная с начала 2019,процесс миграции на SHA-2будет выполняться поэтапно, а поддержка будет реализована вотдельных обновлениях. Корпорация Майкрософт планирует предоставлять поддержку SHA-2 по следующему графику. Обратите внимание, что сроки могут измениться. Мы обновим эту страницу при необходимости, когда начнется процесс.

Целевая дата

Источник

Информация в данной статье относится к следующим продуктам:

12 марта 2019 г.

Отдельные обновления безопасности для KB4474419 и KB4490628, выпущенные для внедрения поддержки подписи SHA-2 кода.

 

Windows 7 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 с пакетом обновления 1 (SP1)

12 марта 2019 г.

Отдельное обновление, KB4484071 доступно в каталоге Центра обновления Windows для WSUS 3.0 с пакетом обновления 2 (SP2), который поддерживает доставку подписанных обновлений SHA-2. Для клиентов, использующих WSUS 3.0 SP2, это обновление должно быть установлено вручную не позднее 18 июня 2019.

WSUS 3.0 с пакетом обновления 2 (SP2)

9 апреля 2019 г.

Отдельное обновление, KB4493730, в котором вводится поддержка кода SHA-2 для стека обслуживания (SSU) было выпущено как обновление для системы безопасности.

Windows Server 2008 SP2
14 мая 2019 г. Изолированное обновление безопасности KB4474419, выпущенное для внедрения поддержки подписи SHA-2 кода. Windows Server 2008 SP2
18 июня 2019 г. Windows 10 обновляет только сигнатуры, измененные с двойной подписи (SHA-1/SHA-2) на SHA-2. Выполнять какие-либо дополнительные действия не нужно. Windows 10 1709
Windows 10 1803
Windows 10 1809
Windows Server 2019
18 июня 2019 г. Необходимо: Для тех клиентов, которые используют WSUS 3.0 с пакетом обновления 2 (SP2), KB4484071 необходимо установить вручную для поддержки обновлений SHA-2. WSUS 3.0 с пакетом обновления 2 (SP2)

9 июля 2019 г.

Необходимо: Для обновления старых версий Windows потребуется установить поддержку подписи кода SHA-2. Поддержка, выпущенная в апреле и мае (KB4493730 и KB4474419), потребуется для продолжения получения обновлений для этих версий Windows.

Windows Server 2008 SP2
16 июля 2019 г. Windows 10 обновляет только сигнатуры, измененные с двойной подписи (SHA-1/SHA-2) на SHA-2. Выполнять какие-либо дополнительные действия не нужно. Windows 10 1507
Windows 10 1607
Windows 10 1703
13 августа 2019 г. Необходимо: Для обновления старых версий Windows потребуется установить поддержку подписи кода SHA-2. Поддержка, выпущенная в марте (KB4474419 и KB4490628), потребуется для продолжения получения обновлений для этих версий Windows. Windows 7 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 с пакетом обновления 1 (SP1)
13 августа 2019 г. Устаревшие сигнатуры обновлений Windows были изменены с двух подписей (SHA-1/SHA-2) только на одну SHA-2. Выполнять какие-либо дополнительные действия не нужно. Windows Server 2008 SP2
16 сентября 2019 г. Устаревшие сигнатуры обновлений Windows были изменены с двух подписей (SHA-1/SHA-2) только на одну SHA-2. Выполнять какие-либо дополнительные действия не нужно. Windows 7 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Windows Server 2012
Windows 8.1
Windows Server 2012 R2

Вопросы и ответы