Перейти до основного
Підтримка
Вхід

2019 SHA-2: вимоги до підписання коду для Windows і WSUS

Загальні відомості

Щоб захистити безпеку операційної системи Windows, раніше було підписано оновлення (за допомогою алгоритмів хеш-1 і SHA-2). Підписи використовуються, щоб автентифікувати, що оновлення надходять безпосередньо від корпорації Майкрософт, і їх не було підроблено під час доставки. Через слабкі сторони в алгоритмі SHA-1 та відповідно до галузевих стандартів, ми змінили підписання оновлень Windows для використання більш безпечного алгоритму SHA-2. Ця зміна була проведена в стадії, починаючи з квітня 2019 по вересень 2019, щоб дозволити плавний перехід (див. розділ "графік оновлення продукту", щоб отримати докладні відомості про зміни).

Користувачі, які працюють у версії Legacy OS (Windows 7 SP1, Windows Server 2008 R2 SP1 і Windows Server 2008 SP2), повинні мати підтримку підпису коду SHA-2, інстальованого на своїх пристроях, щоб інсталювати оновлення, випущені або після липня 2019. Будь-які пристрої без підтримки SHA-2 не зможуть інсталювати оновлення ОС Windows або після липня 2019. Щоб підготуватися до цієї зміни, ми випустили підтримку входу в SHA-2, починаючи з 2019 березня, і зробили додаткові вдосконалення. Служби оновлень Windows Server (WSUS) 3,0 SP2 отримають підтримку за допомогою SHA-2, щоб безпечно доставити оновлені оновлення SHA-2. У розділі "Розклад оновлення продукту" можна переглянути лише часову шкалу "SHA-2". 

Довідкові відомості

Алгоритм захищеного гешування 1 (SHA-1) розроблявся як незворотні функції хешування і широко використовується як частина кодового підпису. На жаль, захист гешування SHA-1 за часом стає ще меншою, оскільки слабкі сторони, що містяться в алгоритмі, підвищили продуктивність процесора, а також поява хмарних обчислень. Сильні альтернативи, такі як алгоритм захищеного гешування 2 (SHA-2), тепер сильно воліють, оскільки вони не відчувають ті ж проблеми. Щоб отримати докладніші відомості про несхвалення SHA-1, ознайомтеся з алгоритмами гешування та підпису

Розклад оновлення продукту

Починаючи з початку 2019, процес перенесення до служби SHA-2 розпочався поетапно, а підтримка буде доставлено в автономні оновлення. Корпорація Майкрософт націлено на такий графік, щоб запропонувати підтримку SHA-2. Зверніть увагу, що ця часова шкала може змінюватися. Ми продовжуватимете оновлювати цю сторінку за потреби.

Цільова дата

Подія

Застосовується до

12 березня 2019 р.

Самостійні оновлення системи безпеки KB4474419 і KB4490628 , випущені для введення коду "SHA-2".

Пакет оновлень 1 (SP1
) для Windows 7 Windows Server 2008 R2 SP1

12 березня 2019 р.

Автономний пакет оновлень KB4484071 доступний в каталозі Windows update для WSUS 3,0 SP2, який ПІДТРИМУЄ доставку підписаних оновлень SHA-2. Для тих клієнтів, за допомогою WSUS 3,0 SP2, це оновлення має бути інстальовано вручну не раніше 18 червня 2019.

WSUS 3,0 SP2

9 квітня 2019 р.

Не вдалося самостійно оновити, KB4493730 , що відповідно до символу "код запису" SHA-2, було випущено як оновлення системи безпеки.

Windows Server 2008 SP2

14 травня 2019 р.

Автономний компонент "оновлення системи безпеки" KB4474419 ВИПУСТИВ для введення коду SHA-2.

Windows Server 2008 SP2

11 червня 2019 р.

Автономний компонент "оновлення системи безпеки" KB4474419повторно випущено, щоб додати до НЕЇ підтримку підпису коду MSI SHA-2.

Windows Server 2008 SP2

18 червня 2019 р.

У Windows 10 підписи оновлень змінилися з подвійного підпису (SHA-1/SHA-2) до SHA-2. Немає потрібної дії для клієнта.

Windows 10, версія 1709
Windows 10, версія 1803
Windows 10, версія 1809
Windows Server 2019

18 червня 2019 р.

Необхідні Для тих клієнтів, за допомогою WSUS 3,0 SP2, KB4484071 потрібно вручну інсталювати цю дату для підтримки оновлень SHA-2.

WSUS 3,0 SP2

9 липня 2019 р.

Необхідні Оновлення для застарілих версій Windows потребуватимуть, що для інсталяції коду SHA-2 буде інстальовано підтримку підпису. Підтримка, випущена у квітні та травні (KB4493730 і KB4474419), буде необхідна для того, щоб надалі отримувати оновлення в цих версіях Windows.

Усі застарілі підписи оновлень Windows змінювалися з SHA1 і подвійного підпису (SHA-1/SHA-2) до SHA-2.

Windows Server 2008 SP2

16 липня 2019 р.

У Windows 10 підписи оновлень змінилися з подвійного підпису (SHA-1/SHA-2) до SHA-2. Немає потрібної дії для клієнта.

Windows 10, версія 1507
Windows 10, версія 1607
Windows Server 2016
Windows 10, версія 1703

13 серпня 2019 р.

Необхідні Оновлення для застарілих версій Windows потребуватимуть, що для інсталяції коду SHA-2 буде інстальовано підтримку підпису. Підтримка, опублікована в березні (KB4474419 і KB4490628), буде необхідна для того, щоб надалі отримувати оновлення в цих версіях Windows. Якщо у вас є пристрій або VM, використовуючи завантажувальний EFI, ознайомтеся з розділом запитання й відповіді про додаткові дії, щоб запобігти проблемі, яка може не починатися з пристрою.

Усі застарілі підписи оновлень Windows змінювалися від SHA-1 і подвійного підпису (SHA-1/SHA-2) до SHA-2.

Пакет оновлень 1 (SP1
) для Windows 7 Windows Server 2008 R2 SP1

10 вересня 2019 р.

Застарілі підписи Windows Update, змінені з подвійного підпису (SHA-1/SHA-2) до SHA-2. Немає потрібної дії для клієнта.

Windows Server 2012
Windows 8,1
Windows Server 2012 R2

10 вересня 2019 р.

Не вдалося виконати оновлення системи безпекиKB4474419 повторно випущено, щоб додати відсутні засоби завантаження EFI. Переконайтеся, що цю версію інстальовано.

Пакет оновлень 1 (SP1
) для Windows 7 Windows Server 2008 R2 SP1
Windows Server 2008 з пакетом оновлень 2 (SP2)

28 січня 2020 р.

Підписи у списках довірених сертифікатів (CTLs) для надійного кореневої програми Microsoft змінювалися з подвійного ПІДПИСУ (SHA-1/SHA-2) до SHA-2. Немає потрібної дії для клієнта.

Усі підтримувані платформи Windows

Серпень 2020

Кінцеві точки служб на базі Windows Update SHA-1 припинено. Це впливає лише на старіших пристроях із Windows, які не оновлювалися відповідними оновленнями системи безпеки. Щоб отримати докладніші відомості, ознайомтеся з KB4569557.

Операційна система Windows 7
Пакет оновлень 1 (SP1
) для Windows 7 Windows Server 2008
Windows Server 2008 з пакетом оновлень 2 (SP2
) Windows Server 2008 R2
Windows Server 2008 R2 SP1

3 серпня 2020 р.

У центрі завантажень Microsoft (SHA-1) Microsoft, що входить до складу Windows, підписано на основі захищеного гешування. Щоб отримати докладніші відомості, ознайомтеся з вмістом Windows IT Pro для блоґу SHA-1 для Windows, який має бути відставним 3 серпня 2020.

Windows Server 2000
Операційна система Windows XP
Windows Server 2003
Операційна система Windows Vista
Windows Server 2008
Операційна система Windows 7
Windows Server 2008 R2
Операційна система Windows 8
Windows Server 2012
Windows 8,1
Windows Server 2012 R2
Windows 10
Сервер Windows 10

Поточний стан

Windows 7 із пакетом оновлень 1 (SP1) і Windows Server 2008 R2 SP1

Потрібно інсталювати наведені нижче необхідні оновлення, а потім перезавантажити пристрій, перш ніж інсталювати оновлення, випущену 13 серпня 2019 або пізнішої. Необхідні оновлення можна інсталювати в будь-якому порядку та не потрібно повторно інсталювати, якщо у вас є нова версія необхідного оновлення.

  • Обслуговування оновлення стека (ДСТУ) (KB4490628). Якщо ви використовуєте службу Windows Update, вам буде запропоновано автоматично працювати з вимогами СБУ.

  • Оновлення SHA-2 (KB4474419) випущено 10 вересня 2019 р. Якщо ви використовуєте службу Windows Update, обов'язково буде запропоновано автоматично інсталювати пакет SHA-2.

Важливо! Після інсталяції всіх потрібних оновлень потрібно перезавантажити пристрій, перш ніж інсталювати будь-який щомісячний зведене, оновлення тільки для безпеки, попередню версію щомісячного зведення або автономне оновлення.

Windows Server 2008 SP2

Ці оновлення потрібно інсталювати, а потім перезавантажити пристрій, перш ніж інсталювати будь-яке зведене значення, яке випущено 10 вересня 2019 або пізнішої. Необхідні оновлення можна інсталювати в будь-якому порядку та не потрібно повторно інсталювати, якщо у вас є нова версія необхідного оновлення.

  • Обслуговування оновлення стека (ДСТУ) (KB4493730). Якщо ви використовуєте службу Windows Update, потрібне оновлення служби СБУ буде запропоновано автоматично.

  • Останнє оновлення SHA-2 (KB4474419) випущено 10 вересня 2019 р. Якщо ви використовуєте службу Windows Update, обов'язково буде запропоновано автоматично інсталювати пакет SHA-2.

Важливо! Після інсталяції всіх потрібних оновлень потрібно перезавантажити пристрій, перш ніж інсталювати будь-який щомісячний зведене, оновлення тільки для безпеки, попередню версію щомісячного зведення або автономне оновлення.

Запитання й відповіді

Загальні відомості, планування та попередження про випуск

Служба підтримки за допомогою коду SHA-2 відвантажується раніше, щоб більшість клієнтів могли завчасно отримати підтримку від корпорації Майкрософт до входу в SHA-2 для оновлення цих систем. Автономні оновлення містять деякі додаткові виправлення та доступні для того, щоб усі оновлення SHA-2 були в невеликій кількості легко ідентифікованих оновлень. Корпорація Майкрософт рекомендує користувачам, які підтримують системні зображення для цих операційних систем, щоб вони могли використовувати ці оновлення до зображень.

Починаючи з WSUS 4,0 на Windows Server 2012, WSUS уже підтримує оновлення SHA-2, і для цих версій не потрібна дія клієнта.

Для підтримки SHA2 лише підписаних оновлень потрібно інсталювати лише 3,0 SP2 KB4484071.

Припустимо, що ви запускаєте Windows Server 2008 SP2. Якщо під час подвійного завантаження з Windows Server 2008 R2 SP1 або Windows 7 SP1, диспетчер завантаження для цього типу системи перебуває в системі Windows Server 2008 R2/Windows 7. Щоб успішно оновити обидві ці системи, щоб використовувати підтримку SHA-2, спочатку потрібно оновити систему Windows Server 2008 R2 або Windows 7, щоб Диспетчер завантаження оновлено до версії, яка підтримує SHA-2. Потім Оновіть систему Windows Server 2008 SP2 з підтримкою SHA-2.

Подібно до сценарію подвійного завантаження, середовище для ОС Windows 7 має бути оновлено до підтримки SHA-2. Після цього система Windows Server 2008 SP2 має бути оновлена до служби SHA-2.

  1. Запустіть програму інсталяції Windows, щоб завершити та завантажитися в ОС Windows перед інсталяцією 13 серпня 2019 або пізнішими оновленнями

  2. Відкрийте вікно командного рядка для адміністратора, запустіть bcdboot.exe. Це копіює файли завантаження з каталогу Windows і установлює середовище завантаження. Щоб отримати докладніші відомості, ознайомтеся з параметрами Bcdboot Command-Line .

  3. Перш ніж інсталювати додаткові оновлення, інсталюйте 13 серпня 2019 повторно випуск KB4474419 і KB4490628 для Windows 7 SP1 і Windows Server 2008 R2 SP1.

  4. Перезапустіть операційну систему. Цей перезапуск обов'язковий

  5. Інсталюйте решту оновлень.

  1. Інсталюйте зображення на диску та завантажте його в ОС Windows.

  2. У командному рядку запустіть bcdboot.exe. Це копіює файли завантаження з каталогу Windows і установлює середовище завантаження. Щоб отримати докладніші відомості, ознайомтеся з параметрами Bcdboot Command-Line .

  3. Перш ніж інсталювати будь-які додаткові оновлення, інсталюйте 23 вересня 2019 перевидання KB4474419 і KB4490628 для Windows 7 SP1 і Windows Server 2008 R2 SP1.

  4. Перезапустіть операційну систему. Цей перезапуск обов'язковий

  5. Інсталюйте решту оновлень.

Так, перш ніж продовжити, необхідно інсталювати необхідні оновлення: СБУ (KB4490628) і SHA-2 Update (KB4474419).  Крім того, потрібно перезавантажити пристрій після інсталяції потрібних оновлень, перш ніж інсталювати додаткові оновлення.

Windows 10, версія 1903 підтримує SHA-2, оскільки це випуск, і всі оновлення вже підписані за допомогою SHA-2.  Дії, необхідні для цієї версії Windows, не потрібні.

Windows 7 із пакетом оновлень 1 (SP1) і Windows Server 2008 R2 SP1

  1. Завантажте в ОС Windows, перш ніж інсталювати будь-який із 13 серпня 2019 або новіші версії оновлень.

  2. Перш ніж інсталювати будь-які додаткові оновлення, інсталюйте 23 вересня 2019 перевидання KB4474419 і KB4490628для Windows 7 SP1 і Windows Server 2008 R2 SP1.

  3. Перезапустіть операційну систему. Цей перезапуск обов'язковий

  4. Інсталюйте решту оновлень.

Windows Server 2008 SP2

  1. Завантажте в ОС Windows, перш ніж інсталювати будь-яке з 9 липня 2019 або новіші версії оновлень.

  2. Перш ніж інсталювати будь-які додаткові оновлення, інсталюйте 23 вересня 2019 повторний випуск KB4474419 і KB4493730 для Windows Server 2008 з пакетом оновлень 2 (SP2).

  3. Перезапустіть операційну систему. Цей перезапуск обов'язковий

  4. Інсталюйте решту оновлень.

Відновлення випуску

Якщо відображається повідомлення про помилку 0xc0000428 з повідомленням "Windows не вдалося перевірити цифровий підпис для цього файлу. Під час нещодавньої зміни апаратного або програмного забезпечення, можливо, інстальовано файл, який було підписано неправильно або пошкоджено, або це може бути зловмисне програмне забезпечення з невідомого джерела. виконайте наведені нижче дії, щоб відновити їх.

  1. Запустіть операційну систему, використовуючи засоби відновлення мультимедіа.

  2. Перш ніж інсталювати будь-які додаткові оновлення, інсталюйте оновлення KB4474419 від 23 вересня 2019 або пізнішу дату, використовуючи обслуговування та керування зображеннями в службі Office (DISM) для Windows 7 із пакетом оновлень 1 (SP1) і Windows Server 2008 R2 SP1.

  3. У командному рядку запустіть bcdboot.exe. Це копіює файли завантаження з каталогу Windows і установлює середовище завантаження. Щоб отримати докладніші відомості, ознайомтеся з параметрами Bcdboot Command-Line .

  4. Перезапустіть операційну систему.

  1. Припинення розгортання до інших пристроїв і не перезавантажувати жодного пристрою або віртуальних машин, які ще не було перезавантажено.

  2. Визначення пристроїв і віртуальних машин у стані очікування перезавантаження стан із оновленнями випущено 13 серпня 2019 або пізнішими версіями та відкриття команди підвищеного командного рядка

  3. Знайдіть посвідчення пакета для оновлення, яке потрібно видалити, за допомогою наведеної нижче команди, використовуючи номер KB для цього оновлення (замініть 4512506 на номер KB, який ви орієнтуєтеся, якщо це не щомісячний пакет випущено 13 серпня 2019): PASM/Online/Get-Packages | findstr 4512506

  4. За допомогою наведеної нижче команди можна видалити оновлення, замінюючи <посвідчення про пакет> з такими, що було знайдено в попередній команді: Dism.exe/Online/Remove-Package/packagename: <пакет ідентифікації>

  5.  Тепер потрібно інсталювати необхідні оновлення, наведені в розділі як отримати оновлення, яке ви намагаєтеся інсталювати, або потрібні оновлення, наведені вище в розділі поточного стану цієї статті.

Примітка.Будь-який пристрій або VM, які зараз отримують помилку 0xc0000428 або що починається з середовища відновлення, потрібно виконати кроки, описані в розділі запитання й відповіді про помилку 0xc0000428.

Якщо ви зіткнулися з цими помилками, потрібно інсталювати необхідні оновлення, наведені в розділі як отримати оновлення, яке ви намагаєтеся інсталювати, або потрібні оновлення, наведені вище в розділі поточного стану цієї статті.

Якщо відображається повідомлення про помилку 0xc0000428 з повідомленням "Windows не вдалося перевірити цифровий підпис для цього файлу. Під час нещодавньої зміни апаратного або програмного забезпечення, можливо, інстальовано файл, який було підписано неправильно або пошкоджено, або це може бути зловмисне програмне забезпечення з невідомого джерела. виконайте наведені нижче дії, щоб відновити їх.

  1. Запустіть операційну систему, використовуючи засоби відновлення мультимедіа.

  2. Інсталюйте найновішу версію SHA-2Update (KB4474419), випущеній або після 13 серпня 2019, використовуючи обслуговування та керування зображеннями в службі Windows 7 sp1 і Windows Server 2008 R2 SP1.

  3. Перезавантажитися в носій відновлення. Цей перезапуск обов'язковий

  4. У командному рядку запустіть bcdboot.exe. Це копіює файли завантаження з каталогу Windows і установлює середовище завантаження. Щоб отримати докладніші відомості, ознайомтеся з параметрами Bcdboot Command-Line .

  5. Перезапустіть операційну систему.

Якщо ви зіткнулися з цією проблемою, ви можете пом'якшити цю проблему, відкривши вікно командного рядка, і виконайте таку команду, щоб інсталювати оновлення (замініть <розташування МГУ> покажчик місця заповнення в полі фактичне розташування та ім'я файлу оновлення):

wusa.exe <МГУ>/Quiet

Цю проблему вирішено в KB4474419 , випущеній 8 жовтня 2019. Це оновлення буде автоматично інстальовано з Windows Update і Windows Server Update Services (WSUS). Якщо вам потрібно інсталювати це оновлення уручну, вам потрібно буде скористатися цим способом. 

Примітка.Якщо ви попередньо інсталювали KB4474419 випущено 23 вересня 2019, то у вас уже є Найновіша версія цього оновлення та не потрібно повторно інсталювати.

Потрібна додаткова довідка?

Отримуйте нові функції раніше за інших
Приєднатися до Microsoft оцінювачів

Чи були ці відомості корисні?

Дякуємо за ваш відгук!

Дякуємо, що знайшли час і надіслали нам відгук! Можливо, у нас не буде часу відповісти на кожен коментар, але докладемо максимум зусиль, щоб переглянути їх усі. Вас цікавить, як ми використовуємо ваші відгуки?

×