2019 年 Windows 和 WSUS 的 SHA-2 程式碼簽署支援需求 (機器翻譯)

適用於: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

摘要


為了幫助保護 Windows 作業系統的安全性,以前對更新進行了簽名(同時使用 SHA-1 和 SHA-2 雜湊演算法)。 簽名用於驗證更新是否直接來自 Microsoft,在交付過程中未被篡改。 由於 SHA-1 演算法中的弱點,以及為符合 Microsoft 行業標準,Microsoft 只會使用更安全的 SHA-2 演算法來簽署 Windows 更新。 此更改從 2019 年 4 月到 2019 年 9 月分階段完成,以便順利遷移(有關更改的更多詳細資訊,請參閱「產品更新排程」部分)。

執行舊版 OS 版本(Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2)的客戶,必須在其裝置上安裝 2019 年 7 月或更新的 SHA-2 程式碼簽署支援。 沒有 SHA-2 支援的裝置將無法安裝 2019 年 7 月或更新的 Windows 更新。 為了協助您面對此項變更,我們將發布 2019 年 3 月簽署的 SHA-2 支援,並已經進行改進。 Windows Server Update Services(WSUS)3.0 SP2 將會收到 SHA-2 支援,以正確地提供 SHA-2 簽署的更新。 請參閱 SHA-2 僅遷移時間表的「產品更新排程」部分。

背景詳細資料


安全雜湊演算法1(SHA-1)是做為無法復原的函數,而且廣泛用做程式碼簽署的一部分。 很遺憾,由於算法中存在的弱點、處理器性能的提高以及雲計算的出現,SHA-1雜湊算法的安全性隨著時間的推移而變得不安全。 目前更安全的替代方案如雜湊演算法 2(SHA-2)更受青睞,因為它們不會受到同樣問題的影響。 如需棄用 SHA-1 的詳細資訊,請參閱《雜湊算法和簽章運算法》

產品更新排程


從 2019 年開始,移轉至 SHA-2 的程序將分階段進行 ,而支援將在獨立更新中提供。 Microsoft 針對以下排程提供 SHA-2 支援。 請注意,下面的時間表可能會變更。 我們會視需要更新本文。

目標日期

事件

適用於

2019 年 3 月 12 日

獨立安全性更新 KB4474419 和 KB4490628 已發佈,引入 SHA-2 程式碼簽署支援。

 

Windows 7 SP1,
Windows Server 2008 R2 SP1

2019 年 3 月 12 日

獨立更新, KB4484071 在Windows Update Catalog 中可用於 WSUS 3.0 SP2,支援提供 SHA-2 簽署更新。 對於使用 WSUS 3.0 SP2 的客戶,應在 2019 年 6 月 18 日之前手動安裝此更新。

WSUS 3.0 SP2

2019 年 4 月 9 日

獨立更新, KB4493730引入服務堆疊(SSU)的 SHA-2 程式碼簽署支援已作為安全更新發布。

Windows Server 2008 SP2
2019 年 5 月 14 日 獨立安全性更新 KB4474419已發佈,引入 SHA-2 程式碼簽署支援。 Windows Server 2008 SP2
2019 年 6 月 11 日 獨立安全性更新 KB4474419重新發佈以引入消失的 MSI SHA-2 程式碼簽署支援。
 
Windows Server 2008 SP2
 
2019 年 6 月 18 日 Windows 10 更新簽署從雙簽署(SHA-1 / SHA-2)更改為僅需 SHA-2。 客戶端無需動作。 Windows 10 1709、
Windows 10 1803、
Windows 10 1809、
Windows Server 2019
2019 年 6 月 18 日 必要項目: 對於使用 WSUS 3.0 SP2 的客戶,必須在此日期前手動安裝 KB4484071,以支援 SHA-2 更新。 WSUS 3.0 SP2

2019 年 7 月 9 日

必要項目: 舊版 Windows 的更新需要安裝 SHA-2 程式碼簽署支援。 需要四月和五月發行的支援 (KB4493730KB4474419) 以便繼續接受這些 Windows 版本的更新。

此次舊版 Windows 更新簽署從雙簽署(SHA-1 / SHA-2)變更為僅需 SHA-2。

Windows Server 2008 SP2
2019 年 7 月 16 日 Windows 10 更新簽署從雙簽署(SHA-1 / SHA-2)更改為僅需 SHA-2。 客戶端無需動作。

Windows 10 1507、
Windows 10 1607、
Windows Server 2016、
Windows 10 1703

2019 年 8 月 13 日

必要項目: 舊版 Windows 的更新需要安裝 SHA-2 程式碼簽署支援。 此支援於 3 月時發佈 (KB4474419KB4490628) 必須存在,以在不同 Windows 版本上繼續收到更新。 如果您有使用 EFI 啟動的設備或 VM,請參閱常見問題部分,瞭解防止設備無法啟動問題的其他步驟。

此次舊版 Windows 更新簽署從雙簽署(SHA-1 / SHA-2)變更為僅需 SHA-2。

Windows 7 SP1,
Windows Server 2008 R2 SP1
2019 年 9 月 10 日 舊版 Windows 更新簽署從雙簽署(SHA-1 / SHA-2)變更為僅需 SHA-2。 客戶端無需動作。 Windows Server 2012、
Windows 8.1、
Windows Server 2012 R2
2019 年 9 月 10 日 獨立安全更新 KB4474419被重新發佈,以添加缺少的 EFI 開機管理程式。 請確保已安裝此版本。 Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2

目前狀態:


Windows 7 SP1 和 Windows Server 2008 R2 SP1

在安裝 2019 年 8 月 13 日或更新版本發佈的任何彙總前,必須安裝以下更新,並且必須重新開機。 所需的更新可以按任意順序安裝,並且不需要重新安裝,除非有所需更新的新版本。

  • 服務堆疊更新(SSU)(KB4490628)。 如果使用 Windows Update,最新的 SSU 將會自動提供給您。 
  • 2019 年 9 月 10 日發行的最新 SHA-2 更新 (KB4474419)。 如果使用 Windows Update,會自動為您提供所需要的 SHA-2 更新

重要提示 在安裝所有必需的更新後,在安裝任何每月彙總、限安全更新或每月彙總預覽之前,必須重新開機。

Windows Server 2008 SP2

在安裝 2019 年 9 月 10 日或更新版本發佈的任何匯總之前,必須安裝以下更新,並且必須重新開機。 所需的更新可以按任意順序安裝,並且不需要重新安裝,除非有所需更新的新版本。

  • 服務堆疊更新(SSU)(KB4493730)。 如果使用 Windows Update,所需要的 SSU 將會自動提供給您。 
  • 2019 年 9 月 10 日發行的最新 SHA-2 更新 (KB4474419)。 如果使用 Windows Update,所需要的 SHA-2 更新將會自動提供給您。

重要提示 在安裝所有必需的更新後,在安裝任何每月匯總、僅安全更新或每月匯總預覽之前,必須重新開機設備。

常見問題集


一般資訊、規劃和問題預防

問題修復