الملخص
للمساعدة في حماية أمان نظام التشغيل Windows، تم توقيع التحديثات مسبقا (باستخدام كل من خوارزميات التجزئة SHA-1 و SHA-2). يتم استخدام التواقيع للمصادقة على أن التحديثات تأتي مباشرة من Microsoft ولم يتم التلاعب بها أثناء التسليم. بسبب نقاط الضعف في خوارزمية SHA-1 ولمحاذاتها مع المعايير الصناعية، قمنا بتغيير توقيع تحديثات Windows لاستخدام خوارزمية SHA-2 الأكثر أمانا بشكل حصري. تم إجراء هذا التغيير في المراحل التي تبدأ من أبريل 2019 إلى سبتمبر 2019 للسماح با الترحيل السلس (راجع القسم "جدول تحديث المنتج" للحصول على مزيد من التفاصيل حول التغييرات).
يجب على العملاء الذين يديرون إصدارات نظام التشغيل القديمة (Windows 7 SP1 و Windows Server 2008 R2 SP1 و Windows Server 2008 SP2) تثبيت دعم توقيع التعليمات البرمجية SHA-2 على أجهزتهم لتثبيت التحديثات التي تم إصدارها في يوليو 2019 أو بعده. لن تتمكن أي أجهزة بدون دعم SHA-2 من تثبيت تحديثات Windows في شهر يوليو 2019 أو بعده. لمساعدتك في التحضير لهذا التغيير، قمنا بالتوقيع على توقيع SHA-2 بدءا من مارس 2019، كما قمنا بتحسينات تزايدية. سيتلقى Windows Server Update Services (WSUS) 3.0 SP2 دعم SHA-2 لتقديم تحديثات SHA-2 الموقعة بشكل آمن. الرجاء الاطلاع على المقطع "جدول تحديث المنتج" لميول الترحيل SHA-2 فقط.
تفاصيل الخلفية
تم تطوير خوارزمية التجزئة الآمنة 1 (SHA-1) كدالة تجزء يتعذر التراجع عنها وتستخدم على نطاق واسع كجزء من توقيع التعليمات البرمجية. لسوء الحظ، أصبح أمان خوارزمية التجزئة SHA-1 أقل أمانا مع مرور الوقت بسبب نقاط الضعف الموجودة في الخوارزمية وزيادة أداء المعالج وظهور الحوسبة السحابية. يفضل الآن استخدام بدائل أقوى مثل خوارزمية التجزئة الآمنة 2 (SHA-2) بشدة حيث أنها لا تواجه المشاكل نفسها. لمزيد من المعلومات حول إهمال SHA-1، راجع "التجزئة" و"خوارزميات التواقيع".
جدول تحديث المنتج
بدءا من بداية عام 2019، بدأت عملية الترحيل إلى دعم SHA-2 على مراحل، وسيصل الدعم في تحديثات مستقلة. تستهدف Microsoft الجدول التالي لتقديم دعم SHA-2. تجدر الإشارة إلى أن المخطط الزمني التالي عرضة للتغيير. سنستمر في تحديث هذه الصفحة حسب الحاجة.
التاريخ الهدف |
الحدث |
ينطبق على |
12 مارس 2019 |
تحديثات الأمان الخاصة ب KB4474419وKB4490628 التي تم إصدارها لتقديم دعم توقيعات التعليمات البرمجية SHA-2. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
12 مارس 2019 |
التحديث بذاته، يتوفر KB4484071 في كتالوج Windows Update ل WSUS 3.0 SP2 الذي يدعم تقديم تحديثات SHA-2 الموقعة. بالنسبة إلى العملاء الذين يستخدمون WSUS 3.0 SP2، يجب تثبيت هذا التحديث يدويا في موعد لا يزيد عن 18 يونيو 2019. |
WSUS 3.0 SP2 |
9 أبريل 2019 |
التحديث "بمفرده"، تم إصدار KB4493730 الذي يقدم دعم توقيع التعليمات البرمجية SHA-2 لمكدس الخدمة (SSU) ك تحديث أمان. |
Windows Server 2008 SP2 |
14 مايو 2019 |
تحديث الأمان "اانفرد" KB4474419 الذي تم إصداره لتقديم دعم توقيع رمز SHA-2. |
Windows Server 2008 SP2 |
11 يونيو 2019 |
تم إعادة إصدار تحديث الأمان الخاص ب KB4474419لإضافة دعم توقيع رمز MSI SHA-2 المفقود. |
Windows Server 2008 SP2 |
18 يونيو 2019 |
يقوم Windows 10 بتحديث التواقيع من الموقع المزدوج (SHA-1/SHA-2) إلى SHA-2 فقط. لا يلزم اتخاذ أي إجراء من قبل العميل. |
Windows 10، الإصدار 1709 Windows 10، الإصدار 1803 Windows 10، الإصدار 1809 Windows Server 2019 |
18 يونيو 2019 |
مطلوب: بالنسبة إلى العملاء الذين يستخدمون WSUS 3.0 SP2، يجب تثبيت KB4484071 يدويا بحلول هذا التاريخ لدعم تحديثات SHA-2. |
WSUS 3.0 SP2 |
9 يوليو 2019 |
مطلوب: تتطلب التحديثات الخاصة بالإصدارات القديمة من Windows تثبيت دعم توقيع التعليمات البرمجية SHA-2. سيكون الدعم الذي تم إصداره في أبريل وأيار/مايو(KB4493730وKB4474419)مطلوبا لكي تستمر في تلقي التحديثات على هذه الإصدارات من Windows. تم تغيير جميع تواقيع Windows القديمة التي تم تحديثها من SHA1 والتوقيع المزدوج (SHA-1/SHA-2) إلى SHA-2 فقط في هذا الوقت. |
Windows Server 2008 SP2 |
16 يوليو 2019 |
يقوم Windows 10 بتحديث التواقيع من الموقع المزدوج (SHA-1/SHA-2) إلى SHA-2 فقط. لا يلزم اتخاذ أي إجراء من قبل العميل. |
Windows 10، الإصدار 1507 Windows 10، الإصدار 1607 Windows Server 2016 Windows 10، الإصدار 1703 |
13 أغسطس 2019 |
مطلوب: تتطلب التحديثات الخاصة بالإصدارات القديمة من Windows تثبيت دعم توقيع التعليمات البرمجية SHA-2. سيكون الدعم الذي تم إصداره في مارس(KB4474419وKB4490628)مطلوبا من أجل الاستمرار في تلقي التحديثات على هذه الإصدارات من Windows. إذا كان لديك جهاز أو VM يستخدم تشغيل EFI، فالرجاء الاطلاع على قسم الأسئلة الشائعة للحصول على خطوات إضافية لمنع مشكلة قد لا يبدأ فيها جهازك. تم تغيير جميع تواقيع Windows القديمة التي تم تحديثها من SHA-1 والتوقيع المزدوج (SHA-1/SHA-2) إلى SHA-2 فقط في هذا الوقت. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
10 سبتمبر 2019 |
تم تغيير تواقيع تحديث Windows القديمة من توقيع مزدوج (SHA-1/SHA-2) إلى SHA-2 فقط. لا يلزم اتخاذ أي إجراء من قبل العميل. |
Windows Server 2012 Windows 8.1 Windows Server 2012 R2 |
10 سبتمبر 2019 |
تم إعادة إصدار تحديث الأمان الخاص ب KB4474419 لإضافة برامج تشغيل EFI المفقودة. الرجاء التأكد من تثبيت هذا الإصدار. |
Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
28 يناير 2020 |
تم تغيير التواقيع على قوائم شهادات الثقة (CTLs) لبرنامج الجذر الموثوق به من MICROSOFT من موقع مزدوج (SHA-1/SHA-2) إلى SHA-2 فقط. لا يلزم اتخاذ أي إجراء من قبل العميل. |
جميع الأنظمة الأساسية المدعومة ل Windows |
أغسطس 2020 |
تم إيقاف نقاط نهاية الخدمة المستندة إلى SHA-1 في Windows Update. يؤثر هذا الأمر فقط على أجهزة Windows القديمة التي لم يتم تحديثها بتحديثات الأمان المناسبة. لمزيد من المعلومات، راجع KB4569557. |
Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1 |
3 أغسطس 2020 |
قامت Microsoft بتقاعد المحتوى الموقع من قبل Windows لخوارزمية التجزئة الآمنة 1 (SHA-1) من مركز التنزيل ل Microsoft. للحصول على مزيد من المعلومات، راجع محتوى WINDOWS SHA-1 لمدونة Windows pro IT للتقاعد في 3 أغسطس 2020. |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Server |
الحالة الحالية
Windows 7 SP1 و Windows Server 2008 R2 SP1
يجب تثبيت التحديثات المطلوبة التالية ثم إعادة تشغيل الجهاز قبل تثبيت أي تحديث تم إصداره في 13 أغسطس 2019 أو إصدار لاحق. يمكن تثبيت التحديثات المطلوبة بأي ترتيب ولا يلزم إعادة تثبيتها، ما لم يكن هناك إصدار جديد من التحديث المطلوب.
-
تحديث مكدس الخدمة (SSU) (KB4490628). إذا كنت تستخدم Windows Update، سيتم عرض SSU المطلوب لك تلقائيا.
-
تحديث SHA-2(KB4474419)الذي تم إصداره في 10 سبتمبر 2019. إذا كنت تستخدم Windows Update، سيتم عرض تحديث SHA-2 المطلوب لك تلقائيا.
هام يجب إعادة تشغيل جهازك بعد تثبيت كل التحديثات المطلوبة، قبل تثبيت أي مجموعة تحديثات شهرية أو تحديث الأمان فقط أو معاينة مجموعة تحديثات شهرية أو تحديث مستقل.
Windows Server 2008 SP2
يجب تثبيت التحديثات التالية ثم إعادة تشغيل الجهاز قبل تثبيت أي عملية تحديث تم إصدارها في 10 سبتمبر 2019 أو إصدار لاحق. يمكن تثبيت التحديثات المطلوبة بأي ترتيب ولا يلزم إعادة تثبيتها، ما لم يكن هناك إصدار جديد من التحديث المطلوب.
-
تحديث مكدس الخدمة (SSU) (KB4493730). إذا كنت تستخدم Windows Update، سيتم عرض تحديث SSU المطلوب لك تلقائيا.
-
تم إصدار آخر تحديث SHA-2(KB4474419)في 10 سبتمبر 2019. إذا كنت تستخدم Windows Update، سيتم عرض تحديث SHA-2 المطلوب لك تلقائيا.
هام يجب عليك إعادة تشغيل جهازك بعد تثبيت كل التحديثات المطلوبة، قبل تثبيت أي مجموعة تحديثات شهرية أو تحديث الأمان فقط أو معاينة مجموعة تحديثات شهرية أو تحديث مستقل.
الأسئلة المتكررة
المعلومات العامة والتخطيط ومنع المشكلة
تم شحن دعم توقيع التعليمات البرمجية SHA-2 مبكرا لضمان حصول معظم العملاء على الدعم قبل تغيير Microsoft لتوقيع SHA-2 لتحديثات هذه الأنظمة. تتضمن التحديثات الخاصة بعض الإصلاحات الإضافية، كما يتم توفيرها للتأكد من أن كل تحديثات SHA-2 في عدد صغير من التحديثات التي يمكن التعرف عليها بسهولة. توصي Microsoft العملاء الذين يحتفظون بصور النظام ل OSes هذه بتطبيق هذه التحديثات على الصور.
بدءا من WSUS 4.0 على Windows Server 2012، يدعم WSUS التحديثات الموقعة مسبقا على SHA-2، ولا يلزم اتخاذ أي إجراء عميل لهذه الإصدارات.
يحتاج WSUS 3.0 SP2 فقط إلى تثبيت KB4484071لدعم التحديثات الموقعة فقط على SHA2.
لنفترض أنك تقوم بتشغيل Windows Server 2008 SP2. إذا قمت بتمهيد مزدوج باستخدام Windows Server 2008 R2 SP1/Windows 7 SP1، فإن مدير التشغيل لهذا النوع من النظام من نظام Windows Server 2008 R2/Windows 7. لكي تتمكن من تحديث كلا النظامين بنجاح لاستخدام دعم SHA-2، يجب أولا تحديث نظام Windows Server 2008 R2/Windows 7 بحيث يتم تحديث مدير التشغيل إلى الإصدار الذي يدعم SHA-2. بعد ذلك، قم بتحديث نظام Windows Server 2008 SP2 باستخدام دعم SHA-2.
على غرار سيناريو التشغيل المزدوج، يجب تحديث بيئة Windows 7 PE إلى دعم SHA-2. بعد ذلك، يجب تحديث نظام Windows Server 2008 SP2 إلى دعم SHA-2.
-
تشغيل إعداد Windows حتى الاكتمال والتمهيد في Windows قبل تثبيت تحديثات 13 أغسطس 2019 أو أحدث
-
افتح نافذة موجه أوامر المسؤول، bcdboot.exe. ينسخ ذلك ملفات التشغيل من دليل Windows ويتهيئة بيئة التشغيل. راجع BCDBoot Command-Line للحصول على مزيد من التفاصيل.
-
قبل تثبيت أي تحديثات إضافية، قم بتثبيت إصدار إعادة إصدار KB4474419وKB4490628 ل Windows 7 SP1 و Windows Server 2008 R2 SP1 في 13 أغسطس 2019.
-
أعد تشغيل نظام التشغيل. عملية إعادة التشغيل هذه مطلوبة
-
ثبت أي تحديثات متبقة.
-
ثبت الصورة على القرص ثم قم بتمهيد تشغيلها في Windows.
-
في موجه الأوامر، bcdboot.exe. ينسخ ذلك ملفات التشغيل من دليل Windows ويتهيئة بيئة التشغيل. راجع BCDBoot Command-Line للحصول على مزيد من التفاصيل.
-
قبل تثبيت أي تحديثات إضافية، قم بتثبيت إصدار إعادة إصدار KB4474419وKB4490628 ل Windows 7 SP1 و Windows Server 2008 R2 SP1 في 23 سبتمبر 2019.
-
أعد تشغيل نظام التشغيل. عملية إعادة التشغيل هذه مطلوبة
-
ثبت أي تحديثات متبقة.
نعم، ستحتاج إلى تثبيت التحديثات المطلوبة قبل المتابعة: تحديث SSU (KB4490628)وتحديث SHA-2 (KB4474419). كما تتم مطالبتك بإعادة تشغيل جهازك بعد تثبيت التحديثات المطلوبة قبل تثبيت أي تحديثات أخرى.
Windows 10، يدعم الإصدار 1903 SHA-2 نظرا لأنه تم إصداره وجميع التحديثات بالفعل SHA-2 موقعة فقط. لا يوجد إجراء مطلوب لهذا الإصدار من Windows.
Windows 7 SP1 و Windows Server 2008 R2 SP1
-
التشغيل في Windows قبل تثبيت أي تحديثات 13 أغسطس 2019 أو أحدث.
-
قبل تثبيت أي تحديثات إضافية، قم بتثبيت إصدار إعادة إصدار KB4474419وKB4490628ل Windows 7 SP1 و Windows Server 2008 R2 SP1 في 23 سبتمبر 2019.
-
أعد تشغيل نظام التشغيل. عملية إعادة التشغيل هذه مطلوبة
-
ثبت أي تحديثات متبقة.
Windows Server 2008 SP2
-
قم بتمهيد تشغيل Windows قبل تثبيت أي تحديثات 9 يوليو 2019 أو تحديثات لاحقة.
-
قبل تثبيت أي تحديثات إضافية، قم بتثبيت إصدار إعادة إصدار KB4474419وKB4493730 ل Windows Server 2008 SP2 في 23 سبتمبر 2019.
-
أعد تشغيل نظام التشغيل. عملية إعادة التشغيل هذه مطلوبة
-
ثبت أي تحديثات متبقة.
استرداد المشكلة
إذا رأيت رسالة خطأ 0xc0000428 الرسالة "يتعذر على Windows التحقق من التوقيع الرقمي لهذا الملف. من المحتمل أن يكون التغيير الأخير الذي تم إدخاله على الأجهزة أو البرامج قد ثبت ملفا تم توقيعه بشكل غير صحيح أو تالف، أو قد يكون برنامج ضارا من مصدر غير معروف". يرجى اتباع هذه الخطوات لاسترداده.
-
ابدأ تشغيل نظام التشغيل باستخدام وسائط الاسترداد.
-
قبل تثبيت أي تحديثات إضافية، قم بتثبيت تحديث KB4474419 بتاريخ 23 سبتمبر 2019 أو تاريخ لاحق باستخدام Deployment Image Servicing and Management(DISM)ل Windows 7 SP1 و Windows Server 2008 R2 SP1.
-
في موجه الأوامر، bcdboot.exe. ينسخ ذلك ملفات التشغيل من دليل Windows ويتهيئة بيئة التشغيل. راجع BCDBoot Command-Line للحصول على مزيد من التفاصيل.
-
أعد تشغيل نظام التشغيل.
-
أوقف النشر إلى أجهزة أخرى ولا أعد تشغيل أي أجهزة أو أجهزة VMs لم يتم إعادة تشغيلها بالفعل.
-
تحديد الأجهزة وأجهزة VMs في حالة إعادة التشغيل المعلقة مع التحديثات التي تم إصدارها في 13 أغسطس 2019 أو إصدار لاحق وفتح موجه أوامر غير محدث
-
ابحث عن هوية الحزمة للتحديث الذي تريد إزالته باستخدام الأمر التالي باستخدام رقم KB لهذا التحديث (استبدل 4512506 باستخدام رقم KB الذي تستهدفه، إذا لم تكن المجموعة الشهرية التي تم إصدارها في 13 أغسطس 2019): dism /online /get-packages | findstr 4512506
-
استخدم الأمر التالي لإزالة التحديث، مع استبدال<هوية حزمة > بما تم العثور عليه في الأمر السابق: Dism.exe /online /remove-package/packagename:< حزمة هوية>
-
ستحتاج الآن إلى تثبيت التحديثات المطلوبة المذكورة في القسم "كيفية الحصول على هذا التحديث" للتحديث الذي تحاول تثبيته، أو التحديثات المطلوبة المذكورة أعلاه في قسم الحالة الحالية من هذه المقالة.
ملاحظة أي جهاز أو جهاز VM تتلقى حاليا رسالة خطأ 0xc0000428 أو يبدأ ببيئة الاسترداد، ستحتاج إلى اتباع الخطوات المذكورة في سؤال الأسئلة الشائعة للخطأ 0xc0000428.
إذا واجهت هذه الأخطاء، ستحتاج إلى تثبيت التحديثات المطلوبة المذكورة في قسم "كيفية الحصول على هذا التحديث" للتحديث الذي تحاول تثبيته، أو التحديثات المطلوبة المذكورة أعلاه في قسم "الحالة الحالية" من هذه المقالة.
إذا رأيت رسالة خطأ 0xc0000428 الرسالة "يتعذر على Windows التحقق من التوقيع الرقمي لهذا الملف. من المحتمل أن يكون التغيير الأخير الذي تم إدخاله على الأجهزة أو البرامج قد ثبت ملفا تم توقيعه بشكل غير صحيح أو تالف، أو قد يكون برنامج ضارا من مصدر غير معروف". يرجى اتباع هذه الخطوات لاسترداده.
-
ابدأ تشغيل نظام التشغيل باستخدام وسائط الاسترداد.
-
ثبت آخر تحديث SHA-2(KB4474419)الذي تم إصداره في 13 أغسطس 2019 أو بعده، باستخدام Deployment Image Servicing and Management(DISM)ل Windows 7 SP1 و Windows Server 2008 R2 SP1.
-
إعادة التشغيل في وسائط الاسترداد. عملية إعادة التشغيل هذه مطلوبة
-
في موجه الأوامر، bcdboot.exe. ينسخ ذلك ملفات التشغيل من دليل Windows ويتهيئة بيئة التشغيل. راجع BCDBoot Command-Line للحصول على مزيد من التفاصيل.
-
أعد تشغيل نظام التشغيل.
إذا واجهت هذه المشكلة، يمكنك الحد من هذه المشكلة عن طريق فتح نافذة موجه الأوامر وتشغيل الأمر التالي لتثبيت التحديث (استبدل العنصر النائب لموقع <msu> بموقع التحديث واسم الملف الفعليين):
wusa.exe <موقع msu> /هادئ
تم حل هذه المشكلة في KB4474419 التي تم إصدارها في 8 أكتوبر 2019. سيتم تثبيت هذا التحديث تلقائيا من Windows Update و Windows Server Update Services (WSUS). إذا كنت بحاجة إلى تثبيت هذا التحديث يدويا، ستحتاج إلى استخدام الحل البديل أعلاه.
ملاحظة إذا سبق لك تثبيت KB4474419 الذي تم إصداره في 23 سبتمبر 2019، فهذا يعني أن لديك الإصدار الأخير من هذا التحديث بالفعل ولا تحتاج إلى إعادة تثبيته.