针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求

适用于: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

摘要


为了帮助保护 Windows 操作系统的安全性,以前对更新进行了签名(同时使用 SHA-1 和 SHA-2 哈希算法)。 签名用于验证更新是否直接来自 Microsoft,并且在传递过程中未被篡改。 由于 SHA-1 算法中的缺陷,同时也为了符合行业标准,我们将 Windows 更新的签名更改为只使用更安全的 SHA-2 算法。 此更改从 2019 年 4 月到 2019 年 9 月分阶段完成,以便顺利迁移(有关更改的更多详细信息,请参阅“产品更新计划”部分)。

运行旧操作系统版本(Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2)的客户将需要在其设备上安装 SHA-2 代码签名支持以便安装在 2019 年 7 月及以后发布的更新。 从 2019 年 7 月开始,任何没有安装 SHA-2 支持的设备都不能再安装 Windows 更新。 为了帮助您做好准备,我们从 2019 年 3 月开始发布了对 SHA-2 签署的支持,并进行了逐步改进。 Windows Server Update Services (WSUS) 3.0 SP2 将接收 SHA-2 支持以正确地提供 SHA-2 签名的更新。 有关仅 SHA-2 的迁移时间表,请参阅“产品更新计划”部分。

详细背景信息


安全哈希算法1 (SHA-1) 是一种不可逆的哈希函数,在代码签名中得到了广泛的应用。 遗憾的是,由于算法中存在的漏洞、处理器性能的提高以及云计算的出现,SHA-1 哈希算法的安全性随着时间的推移变得越来越不安全了。 安全哈希算法 2 (SHA-2) 等更强大的替代方案现在非常受欢迎,因为它们不具有相同的问题。 有关替代 SHA-1 的更多信息 , 请参阅哈希和签名算法

产品更新计划


从 2019 年初开始迁移至 SHA-2 的过程 支持分阶段进行,并且支持将以独立更新的形式提供。 Microsoft 针对以下计划提供 SHA-2 支持。 请注意,下面的时间线可能会被更改。 我们将根据需要更新此页。

目标日期

事件

适用于:

2019 年 3 月 12 日

发布独立安全更新 KB4474419KB4490628 以引进 SHA-2 代码签名支持。

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

2019 年 3 月 12 日

独立更新 KB4484071 在支持提供 SHA-2 签名更新的 WSUS 3.0 SP2 的 Windows Update 目录中提供。 对于使用 WSUS 3.0 SP2 的客户,应在 2019 年 6 月 18 日以前手动安装此更新。

WSUS 3.0 SP2

2019 年 4 月 9 日

独立更新 KB4493730 引入了对服务堆栈 (SSU) 的 SHA-2 代码签名支持,并作为安全更新发布。

Windows Server 2008 SP2
2019 年 5 月 14 日 发布了独立安全更新 KB4474419 以引进 SHA-2 代码签名支持。 Windows Server 2008 SP2
2019 年 6 月 11 日 独立安全更新 KB4474419 重新发布以添加缺失的 MSI SHA-2 代码签名支持。
 
Windows Server 2008 SP2
 
2019 年 6 月 18 日 Windows 10 更新签名已从双重签名 (SHA-1/SHA-2) 更改为仅 SHA-2。 无需客户操作。 Windows 10 1709、
Windows 10 1803、
Windows 10 1809、
Windows Server 2019
2019 年 6 月 18 日 是否必需: 对于使用 WSUS 3.0 SP2 的客户,必须在此日期之前手动安装 KB4484071才能支持 SHA-2 更新。 WSUS 3.0 SP2

2019 年 7 月 9 日

是否必需: 旧版 Windows 版本的更新将要求安装 SHA-2 代码签名支持。 将需要在 4 月和 5 月发布的支持 (KB4493730KB4474419) 以便继续接收这些 Windows 版本的更新。

仅在此时,所有旧版的 Windows 更新签名已从 SHA1 和双重签名 (SHA-1/SHA-2) 更改为 SHA-2。

Windows Server 2008 SP2
2019 年 7 月 16 日 Windows 10 更新签名已从双重签名 (SHA-1/SHA-2) 更改为仅 SHA-2。 无需客户操作。

Windows 10 1507、
Windows 10 1607、
Windows Server 2016、
Windows 10 1703

2019 年 8 月 13 日

是否必需: 旧版 Windows 版本的更新将要求安装 SHA-2 代码签名支持。 需要三月份发布的支持 (KB4474419 and KB4490628) 才能继续接收这些版本的 Windows 更新 。 如果您有使用 EFI 启动的设备或 VM,请参阅常见问题解答部分,了解有关防止设备无法启动的问题的其他步骤。

所有旧版 Windows 更新签名从此时起已从 SHA-1 和双重签名 (SHA-1/SHA-2) 更改为仅 SHA-2。

Windows 7 SP1,
Windows Server 2008 R2 SP1
2019 年 9 月 10 日 旧版 Windows 更新签名从双重签名 (SHA-1/SHA-2) 更改为仅 SHA-2。 无需客户操作。 Windows Server 2012、
Windows 8.1,
Windows Server 2012 R2
2019 年 9 月 10 日 独立安全更新 KB4474419 已重新发布,以添加缺少的 EFI 引导管理器。 请确保已安装了此版本。 Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2008 SP2

当前状态


Windows 7 SP1 和 Windows Server 2008 R2 SP1

在安装 2019 年 8 月 13 日或之后发布的任何更新之前,必须安装以下必需的更新,然后重新启动设备。 所需的更新可以按任意顺序安装,并且不需要被重新安装,除非有所需更新的新版本。

  • 服务堆栈更新 (SSU) (KB4490628)。 如果您使用的是 Windows 更新,则将自动为您提供所需的 SSU。 
  • 2019 年 9 月 10 日发布的 SHA-2 更新 (KB4474419) 。 如果您使用的是 Windows 更新,则将自动为您提供所需的 SHA-2 更新

重要提示 在安装所有必需的更新后,且在安装任何每月汇总、安全更新或每月汇总预览之前,必须重新启动设备。

Windows Server 2008 SP2

在安装 2019 年 9 月 10 日或之后发布的任何汇总之前,必须安装以下更新,然后重新启动设备。 所需的更新可以按任意顺序安装,并且不需要被重新安装,除非有所需更新的新版本。

  • 服务堆栈更新 (SSU) (KB4493730)。 如果您使用的是 Windows 更新,则将自动为您提供所需的 SSU 更新。 
  • 2019 年 9 月 10 日发布了最新 SHA-2 更新 (KB4474419)。 如果您使用的是 Windows 更新,则将自动为您提供所需的 SHA-2 更新

重要提示 在安装所有必需的更新之后,且在安装任何每月汇总、仅安全更新或每月汇总预览之前,必须重新启动设备。

常见问题解答


一般信息、规划和问题预防

问题恢复