2019 SHA-2 kodsignering support krav för Windows och WSUS

Gäller för: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

Sammanfattning


För att skydda säkerheten i Windows-operativsystemet, har uppdateringar tidigare signerats (med både SHA-1 och SHA-2 hash-algoritmer). Signaturerna används för att autentisera att uppdateringarna kommer direkt från Microsoft och inte har manipulerats under leveransen. På grund av svagheter i SHA-1-algoritmen och för att anpassa sig till branschstandarder har vi ändrat undertecknandet av Windows-uppdateringar för att använda den säkrare SHA-2-algoritmen exklusivt. Denna ändring gjordes i faser från och med april 2019 till och med september 2019 för att möjliggöra smidig migrering (se avsnittet "uppdatering av produkt schema" för mer information om ändringarna).

Kunder som kör äldre OS-versioner (Windows 7 SP1, Windows Server 2008 R2 SP1 och Windows Server 2008 SP2) måste ha stöd för kodsignering för SHA-2 installerat på sina enheter för att kunna installera uppdateringar som släppts på eller efter den 2019 juli. Alla enheter utan SHA-2-stöd kommer inte att kunna installera Windows-uppdateringar på eller efter juli 2019. För att förbereda dig för den här ändringen släppte vi stöd för SHA-2-signering i början av mars 2019 och har gjort inkrementella förbättringar. Windows Server Update Services (WSUS) 3,0 SP2 får SHA-2-stöd för att säkert leverera SHA-2-signerade uppdateringar. Se avsnittet "uppdatering av produkt schema" för migreringstidslinjen för SHA-2 endast.

Bakgrundsinformation


Den säkra hash-algoritmen 1 (SHA-1) utvecklades som en oåterkallelig hashing-funktion och används ofta som en del av kodsignering. Tyvärr har säkerheten för SHA-1 hash-algoritmen blivit mindre säker med tiden på grund av de svagheter som finns i algoritmen, ökad processorprestanda och tillkomsten av molnbaserade datortjänster. Starkare alternativ som den säkra hash-algoritmen 2 (SHA-2) är nu starkt att föredra eftersom de inte upplever samma problem. Mer information om utfasningen av SHA-1 finns i hash-och signaturalgoritmer.

Schema för produktuppdatering


Från och med början av 2019 börjadeMIGRERINGSPROCESSEN till SHA-2- stöd i etapper och support levereras i fristående uppdateringar.Microsoft riktar följande schema för att erbjuda SHA-2-stöd. Observera att följande tidslinje kan komma att ändras. Vi kommer att fortsätta att uppdatera den här sidan efter behov.

Måldatum

Händelse

Gäller för

12 mars, 2019

Fristående säkerhetsuppdateringarKB4474419 och KB4490628 släpptes för att introducera SHA-2 kod Sign support.

 

Windows 7 SP1,Windows Server 2008 R2 SP1

12 mars, 2019

Fristående uppdatering, KB4484071 är tillgänglig på Windows Update-katalogen för WSUS 3,0 SP2 som stöder leverans av SHA-2 signerade uppdateringar. För de kunder som använder WSUS 3,0 SP2 bör den här uppdateringen installeras manuellt senast den 18 juni 2019.

WSUS 3,0 SP2

Den 9 april 2019

Fristående uppdatering, KB4493730 som introducerar SHA-2 kodtecken stöd för servicing stack (SSU) släpptes som en säkerhetsuppdatering.

Windows Server 2008 SP2
14 maj 2019 Fristående säkerhetsuppdatering KB4474419 släppt att införa SHA-2 kodtecken stöd. Windows Server 2008 SP2
11 juni 2019 Fristående säkerhetsuppdatering KB4474419 återutgiven för att lägga till saknade MSI SHA-2 kodtecken stöd. Windows Server 2008 SP2
18 juni, 2019 Windows 10 uppdaterar signaturer ändras från Dual Signed (SHA-1/SHA-2) endast till SHA-2. Ingen kundåtgärd krävs. Windows 10 1709, Windows 10 1803, Windows 10 1809, Windows Server 2019
18 juni, 2019 Obligatoriskt: för de kunder som använder WSUS 3,0 SP2 måste KB4484071 installeras manuellt med detta datum för att stödja SHA-2-uppdateringar. WSUS 3,0 SP2

9 juli 2019

Krävs: uppdateringar för äldre Windows-versioner kräver att SHA-2 kodsignering stöd installeras.Supporten som släpptes i april och maj (KB4493730 och KB4474419) kommer att krävas för att fortsätta att få uppdateringar om dessa versioner av Windows.

Alla äldre Windows-uppdateringssignaturer ändrades från SHA1 och Dual Signed (SHA-1/SHA-2) till SHA-2 endast vid denna tidpunkt.

Windows Server 2008 SP2
16 juli, 2019 Windows 10 uppdaterar signaturer ändras från Dual Signed (SHA-1/SHA-2) endast till SHA-2. Ingen kundåtgärd krävs.

Windows 10 1507, Windows 10 1607, Windows Server 2016, Windows 10 1703

13 augusti, 2019

Krävs: uppdateringar för äldre Windows-versioner kräver att SHA-2 kodsignering stöd installeras. Supporten som släpptes i mars (KB4474419 och KB4490628) kommer att krävas för att fortsätta att få uppdateringar om dessa versioner av Windows. Om du har en enhet eller virtuell dator med hjälp av EFI Boot, se avsnittet frågor och svar för ytterligare åtgärder för att förhindra ett problem där enheten inte kan starta.

Alla äldre Windows-uppdateringssignaturer ändrades från SHA-1 och Dual Signed (SHA-1/SHA-2) till SHA-2 endast vid denna tidpunkt.

Windows 7 SP1, Windows Server 2008 R2 SP1
September 10, 2019 Äldre Windows Update-signaturer ändrades från Dual-Signed (SHA-1/SHA-2) endast till SHA-2. Ingen kundåtgärd krävs. Windows Server 2012, Windows 8,1, Windows Server 2012 R2
September 10, 2019 Fristående säkerhetsuppdateringKB4474419 gavs ut igen för att lägga till saknade EFI-startmangers. Kontrollera att den här versionen är installerad. Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2

Aktuell status


Windows 7 SP1 och Windows Server 2008 R2 SP1

Följande nödvändiga uppdateringar måste installeras och sedan enheten startas om innan du installerar en uppdatering som släpptes 13 augusti 2019 eller senare. Nödvändiga uppdateringar kan installeras i valfri ordning och behöver inte installeras om, såvida det inte finns en ny version av den nödvändiga uppdateringen.

  • Servicing stack-uppdatering (SSU) (KB4490628). Om du använder Windows Update, den nödvändiga SSU kommer att erbjudas dig automatiskt.
  • SHA-2 Update (KB4474419) släpptes 10 september 2019. Om du använder Windows Update kommer den nödvändiga SHA-2-uppdateringen att erbjudas dig automatiskt.

Viktiga Du måste starta om enheten när du har installerat alla nödvändiga uppdateringar, innan du installerar en månatlig Samlad uppdatering, endast säkerhetsuppdateringar eller förhandsversion av månatlig samlad.

Windows Server 2008 SP2

Följande uppdateringar måste installeras och sedan enheten startas om innan du installerar en sammanslagning som släpptes den 10 september 2019 eller senare. Nödvändiga uppdateringar kan installeras i valfri ordning och behöver inte installeras om, såvida det inte finns en ny version av den nödvändiga uppdateringen.

  • Servicing stack-uppdatering (SSU) (KB4493730). Om du använder Windows Update kommer den nödvändiga SSU-uppdateringen att erbjudas dig automatiskt.
  • Den senaste SHA-2-uppdateringen (KB4474419) släpptes den 10 september 2019. Om du använder Windows Update kommer den nödvändiga SHA-2-uppdateringen att erbjudas dig automatiskt.

Viktiga Du måste starta om enheten när du har installerat alla nödvändiga uppdateringar, innan du installerar en månatlig Samlad uppdatering, endast säkerhetsuppdateringar eller förhandsversion av månatlig samlad.

Ofta ställa frågor


Allmän information, planering och förebyggande av problem

Problem med återställning