Zusammenfassung
Um die Sicherheit des #A0 zu schützen, wurden Updates zuvor signiert (mit den Sha-1- und SHA-2-Hashalgorithmen). Die Signaturen werden verwendet, um zu authentifizieren, dass die Updates direkt von Microsoft stammen und während der Übermittlung nicht manipuliert wurden. Aufgrund von Schwächen beim SHA-1-Algorithmus und zur Anpassung an Branchenstandards haben wir die Signatur von Windows-Updates geändert, um ausschließlich den sichereren SHA-2-Algorithmus zu verwenden. Diese Änderung wurde in Phasen von April 2019 bis September 2019 vorgenommen, um eine reibungslose Migration zu ermöglichen (weitere Details zu den Änderungen finden Sie im Abschnitt "Produktaktualisierungszeitplan").
Kunden mit älteren Betriebssystemversionen (Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2) müssen sha-2-Codesignierungsunterstützung auf ihren Geräten installiert haben, um Updates zu installieren, die am oder nach Juli 2019 veröffentlicht wurden. Geräte ohne SHA-2-Unterstützung können keine Windows-Updates für oder nach Juli 2019 installieren. Um Sie auf diese Änderung vorzubereiten, haben wir ab März 2019 Unterstützung für sha-2-Anmeldungen veröffentlicht und inkrementelle Verbesserungen vorgenommen. Windows Server Update Services (WSUS) 3.0 SP2 erhält SHA-2-Unterstützung, um SHA-2-signierte Updates sicher zu liefern. Bitte lesen Sie den Abschnitt "Produktaktualisierungszeitplan" für die Nur-SHA-2-Migrationszeitachse.
Hintergrunddetails
Der Secure Hash Algorithm 1 (SHA-1) wurde als unwiderrufliche Hashfunktion entwickelt und wird häufig als Teil der Codesignierung verwendet. Leider ist die Sicherheit des SHA-1-Hashalgorithmus im Laufe der Zeit aufgrund der im Algorithmus festgestellten Schwächen, der verbesserten Prozessorleistung und des Aufkommens von Cloud Computing weniger sicher geworden. Stärkere Alternativen wie der Secure Hash Algorithm 2 (SHA-2) werden jetzt dringend bevorzugt, da nicht dieselben Probleme auftreten. Weitere Informationen zum Veralteten von SHA-1 finden Sie unter Hash- und Signaturalgorithmen.
Zeitplan für produktupdates
Ab Anfang 2019 begann der Migrationsprozess zum SHA-2-Support stufenweise, und der Support wird in eigenständigen Updates geliefert. Microsoft verfolgt den folgenden Zeitplan, um SHA-2-Support anbieten zu können. Beachten Sie, dass die folgende Zeitachse geändert werden kann. Diese Seite wird bei Bedarf weiterhin aktualisiert.
Zieldatum |
Ereignis |
Gilt für |
12. März 2019 |
Eigenständige Sicherheitsupdates KB4474419 und KB4490628 zur Einführung der SHA-2-Codezeichenunterstützung veröffentlicht. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
12. März 2019 |
Stand Alone update, KB4484071 ist im Windows Update-Katalog für WSUS 3.0 SP2 verfügbar, der die Bereitstellung von sha-2-signierten Updates unterstützt. Für Kunden, die WSUS 3.0 SP2 verwenden, sollte dieses Update bis zum 18. Juni 2019 manuell installiert werden. |
WSUS 3.0 SP2 |
9. April 2019 |
Stand Alone update, KB4493730 that introduce SHA-2 code sign support for the servicing stack (SSU) was released as a security update. |
Windows Server 2008 SP2 |
14. Mai 2019 |
Eigenständiges Sicherheitsupdate KB4474419 zur Einführung der SHA-2-Codezeichenunterstützung veröffentlicht. |
Windows Server 2008 SP2 |
11. Juni 2019 |
Stand Alone Security Update KB4474419wird erneut veröffentlicht, um fehlende Unterstützung für das MSI SHA-2-Codezeichen hinzuzufügen. |
Windows Server 2008 SP2 |
18. Juni 2019 |
Windows 10 aktualisiert Signaturen, die von nur zwei signierten Signaturen (SHA-1/SHA-2) in SHA-2 geändert wurden. Keine Kundenaktion erforderlich. |
Windows 10, Version 1709 Windows 10, Version 1803 Windows 10, Version 1809 Windows Server 2019 |
18. Juni 2019 |
Erforderlich: Für Kunden, die WSUS 3.0 SP2 verwenden, muss KB4484071 bis zu diesem Datum manuell installiert werden, um SHA-2-Updates zu unterstützen. |
WSUS 3.0 SP2 |
9. Juli 2019 |
Erforderlich: Updates für ältere Windows-Versionen erfordern die Installation der SHA-2-Codesignierungsunterstützung. Der im April und Mai veröffentlichte Support (KB4493730 und KB4474419) ist erforderlich, um weiterhin Updates für diese Versionen von Windows zu erhalten. Alle signaturen für ältere Windows-Updates wurden von SHA1 und dual signiert (SHA-1/SHA-2) nur zu diesem Zeitpunkt in SHA-2 geändert. |
Windows Server 2008 SP2 |
16. Juli 2019 |
Windows 10 aktualisiert Signaturen, die von nur zwei signierten Signaturen (SHA-1/SHA-2) in SHA-2 geändert wurden. Keine Kundenaktion erforderlich. |
Windows 10, Version 1507 Windows 10, Version 1607 Windows Server 2016 Windows 10, Version 1703 |
13. August 2019 |
Erforderlich: Updates für ältere Windows-Versionen erfordern die Installation der SHA-2-Codesignierungsunterstützung. Der im März veröffentlichte Support (KB4474419 und KB4490628) ist erforderlich, um weiterhin Updates für diese Versionen von Windows zu erhalten. Wenn Sie über ein Gerät oder eine VM verfügen, auf dem EFI gestartet wird, finden Sie im Abschnitt Häufig gestellte Fragen weitere Schritte, um ein Problem zu verhindern, bei dem Ihr Gerät möglicherweise nicht gestartet wird. Alle Signaturen für ältere Windows-Updates wurden nur zu diesem Zeitpunkt von SHA-1 und dual signiert (SHA-1/SHA-2) in SHA-2 geändert. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
10. September 2019 |
Legacysignaturen für Windows-Updates wurden von nur zwei signierten Signaturen (SHA-1/SHA-2) in SHA-2 geändert. Keine Kundenaktion erforderlich. |
Windows Server 2012 Windows 8.1 Windows Server 2012 R2 |
10. September 2019 |
Das Eigenständige Sicherheitsupdate KB4474419 wurde erneut veröffentlicht, um fehlende EFI-Boot-Manger hinzuzufügen. Stellen Sie sicher, dass diese Version installiert ist. |
Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
28. Januar 2020 |
Signaturen in den Zertifikatvertrauenslisten (Certificate Trust Lists, CTLs) für das Microsoft Trusted Root Program wurden von nur zwei signierten (SHA-1/SHA-2) in SHA-2 geändert. Keine Kundenaktion erforderlich. |
Alle unterstützten Windows-Plattformen |
August 2020 |
Windows Update SHA-1-basierte Dienstendpunkte werden nicht mehr ausgeführt. Dies betrifft nur ältere Windows-Geräte, die nicht mit geeigneten Sicherheitsupdates aktualisiert wurden. Weitere Informationen finden Sie unter KB4569557. |
Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1 |
3. August 2020 |
Microsoft hat Inhalte, die für Secure Hash Algorithm 1 (SHA-1) von Windows signiert sind, aus dem Microsoft Download Center zurückgezogen. Weitere Informationen finden Sie im Windows IT-Pro-Blog SHA-1 Windows-Inhalte, die am 3. August 2020eingestellt werden sollen. |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Server |
Aktueller Status
Windows 7 SP1 und Windows Server 2008 R2 SP1
Die folgenden erforderlichen Updates müssen installiert und dann das Gerät neu gestartet werden, bevor Ein Update installiert wird, das am 13. August 2019 oder höher veröffentlicht wurde. Die erforderlichen Updates können in beliebiger Reihenfolge installiert werden und müssen nicht erneut installiert werden, es sei denn, es gibt eine neue Version des erforderlichen Updates.
-
Servicing stack update (SSU) (KB4490628). Wenn Sie Windows Update verwenden, wird Ihnen automatisch die erforderliche SSU angeboten.
-
SHA-2-Update (KB4474419) veröffentlicht am 10. September 2019. Wenn Sie Windows Update verwenden, wird Ihnen automatisch das erforderliche SHA-2-Update angeboten.
Wichtig Sie müssen Ihr Gerät nach der Installation aller erforderlichen Updates neu starten, bevor Sie ein monatliches Rollup, ein Sicherheitsupdate, eine Vorschau des monatlichen Rollups oder ein eigenständiges Update installieren.
Windows Server 2008 SP2
Die folgenden Updates müssen installiert und dann das Gerät neu gestartet werden, bevor Sie ein Rollup installieren, das am 10. September 2019 oder höher veröffentlicht wurde. Die erforderlichen Updates können in beliebiger Reihenfolge installiert werden und müssen nicht erneut installiert werden, es sei denn, es gibt eine neue Version des erforderlichen Updates.
-
Servicing stack update (SSU) (KB4493730). Wenn Sie Windows Update verwenden, wird Ihnen das erforderliche SSU-Update automatisch angeboten.
-
Das neueste SHA-2-Update (KB4474419) wurde am 10. September 2019 veröffentlicht. Wenn Sie Windows Update verwenden, wird Ihnen automatisch das erforderliche SHA-2-Update angeboten.
Wichtig Sie müssen Ihr Gerät nach der Installation aller erforderlichen Updates neu starten, bevor Sie ein monatliches Rollup, ein Sicherheitsupdate, eine Vorschau des monatlichen Rollups oder ein eigenständiges Update installieren.
Häufig gestellte Fragen
Allgemeine Informationen, Planung und Problemverhütung
Der SHA-2-Codesignierungssupport wurde vorzeitig ausgeliefert, um sicherzustellen, dass die meisten Kunden bereits im Vorfeld der Umstellung von Microsoft auf SHA-2 die Unterstützung für Updates für diese Systeme erhalten. Die eigenständigen Updates enthalten einige zusätzliche Fixes und werden zur Verfügung gestellt, um sicherzustellen, dass sich alle SHA-2-Updates in einer kleinen Anzahl von leicht identifizierbaren Updates befinden. Microsoft empfiehlt Kunden, die Systembilder für diese Betriebssysteme verwalten, diese Updates auf die Bilder anzuwenden.
Ab WSUS 4.0 unter Windows Server 2012 unterstützt WSUS bereits SHA-2-signierte Updates, und für diese Versionen sind keine Kundenaktion erforderlich.
Nur WSUS 3.0 SP2 benötigt KB4484071,um nur signierte SHA2-Updates zu unterstützen.
Angenommen, Sie führen Windows Server 2008 SP2 aus. Wenn Sie mit Windows Server 2008 R2 SP1/Windows 7 SP1 doppelstarten, ist der Boot-Manager für diesen Systemtyp vom Windows Server 2008 R2/Windows 7-System. Um beide Systeme erfolgreich auf sha-2-Unterstützung zu aktualisieren, müssen Sie zuerst das Windows Server 2008 R2/Windows 7-System aktualisieren, damit der Boot-Manager auf die Version aktualisiert wird, die SHA-2 unterstützt. Aktualisieren Sie dann das Windows Server 2008 SP2-System mit SHA-2-Unterstützung.
Ähnlich wie beim Dualstartszenario muss die Windows 7 PE-Umgebung auf SHA-2-Unterstützung aktualisiert werden. Anschließend muss das Windows Server 2008 SP2-System auf SHA-2-Unterstützung aktualisiert werden.
-
Ausführen des Windows-Setups bis zum Abschluss und Starten in Windows vor der Installation von Updates vom 13. August 2019 oder höher
-
Öffnen Sie ein Eingabeaufforderungsfenster des Administrators, und führen Sie bcdboot.exeaus. Dadurch werden die Startdateien aus dem Windows-Verzeichnis kopiert und die Startumgebung eingerichtet. Weitere Informationen finden Sie unter BCDBoot Command-Line Optionen.
-
Installieren Sie vor der Installation weiterer Updates die Neuversion von KB4474419 und KB4490628 für Windows 7 SP1 und Windows Server 2008 R2 SP1 vom 13. August 2019.
-
Starten Sie das Betriebssystem neu. Dieser Neustart ist erforderlich
-
Installieren Sie alle verbleibenden Updates.
-
Installieren Sie das Bild auf dem Datenträger, und starten Sie es in Windows.
-
Führen Sie an der Eingabeaufforderung die bcdboot.exeaus. Dadurch werden die Startdateien aus dem Windows-Verzeichnis kopiert und die Startumgebung eingerichtet. Weitere Informationen finden Sie unter BCDBoot Command-Line Optionen.
-
Installieren Sie vor der Installation weiterer Updates die Neuversion von KB4474419 und KB4490628 für Windows 7 SP1 und Windows Server 2008 R2 SP1 vom 23. September 2019.
-
Starten Sie das Betriebssystem neu. Dieser Neustart ist erforderlich
-
Installieren Sie alle verbleibenden Updates.
Windows 10, Version 1903 unterstützt SHA-2 seit seiner Veröffentlichung, und alle Updates sind bereits nur SHA-2 signiert. Für diese Version von Windows ist keine Aktion erforderlich.
Windows 7 SP1 und Windows Server 2008 R2 SP1
-
Starten Sie vor der Installation von Updates vom 13. August 2019 oder höher in Windows.
-
Installieren Sie vor der Installation weiterer Updates die Neuversion von KB4474419 und KB4490628für Windows 7 SP1 und Windows Server 2008 R2 SP1 vom 23. September 2019.
-
Starten Sie das Betriebssystem neu. Dieser Neustart ist erforderlich
-
Installieren Sie alle verbleibenden Updates.
Windows Server 2008 SP2
-
Starten Sie in Windows, bevor Sie Updates vom 9. Juli 2019 oder höher installieren.
-
Installieren Sie vor der Installation weiterer Updates die Neuversion von KB4474419 und KB4493730 für Windows Server 2008 SP2 vom 23. September 2019.
-
Starten Sie das Betriebssystem neu. Dieser Neustart ist erforderlich
-
Installieren Sie alle verbleibenden Updates.
Problemwiederherstellung
Wenn ein Fehler angezeigt wird, 0xc0000428 die Meldung "Windows kann die digitale Signatur für diese Datei nicht überprüfen. Bei einer kürzlichen Hardware- oder Softwareänderung wurde möglicherweise eine Datei installiert, die falsch signiert oder beschädigt wurde, oder es sich um Schadsoftware aus einer unbekannten Quelle handelt." führen Sie die folgenden Schritte aus, um die Wiederherstellung zu erhalten.
-
Starten Sie das Betriebssystem mithilfe von Wiederherstellungsmedien.
-
Installieren Sie vor der Installation weiterer Updates das Update KB4474419, das vom 23. September 2019 oder einem späteren Datum datiert ist, mithilfe von Bereitstellungsimagewartung und -verwaltung(DISM)für Windows 7 SP1 und Windows Server 2008 R2 SP1.
-
Führen Sie an der Eingabeaufforderung die bcdboot.exeaus. Dadurch werden die Startdateien aus dem Windows-Verzeichnis kopiert und die Startumgebung eingerichtet. Weitere Informationen finden Sie unter BCDBoot Command-Line Optionen.
-
Starten Sie das Betriebssystem neu.
-
Stoppen Sie die Bereitstellung auf anderen Geräten, und starten Sie keine Geräte oder VMs neu, die noch nicht neu gestartet wurden.
-
Identifizieren von Geräten und VMs im Status "Neustart ausstehend" mit Updates, die am 13. August 2019 oder höher veröffentlicht wurden, und Öffnen einer Eingabeaufforderung mit erhöhten Befehlen
-
Suchen Sie die Paketidentität für das Update, das Sie entfernen möchten, indem Sie den folgenden Befehl verwenden, indem Sie die KB-Nummer für dieses Update verwenden (ersetzen Sie 4512506 durch die kb-Nummer, die Sie verwenden möchten, wenn es sich nicht um das am 13. August 2019 veröffentlichte monatliche Rollup handelt): dism /online /get-packages | findstr 4512506
-
Verwenden Sie den folgenden Befehl, um das Update zu entfernen, und ersetzen Sie<-Paketidentität > durch das, was im vorherigen Befehl gefunden wurde: Dism.exe /online /remove-package /packagename:<package identity>
-
Sie müssen nun die erforderlichen Updates installieren, die im Abschnitt So erhalten Sie dieses Update des Updates, das Sie installieren möchten, oder die erforderlichen Updates installieren, die oben im Abschnitt Aktueller Status dieses Artikels aufgeführt sind.
HinweisJedes Gerät oder eine VM, auf dem aktuell ein Fehler 0xc0000428 oder das in der Wiederherstellungsumgebung gestartet wird, müssen Sie die Schritte in der Faq-Frage ausführen, um Fehler zu 0xc0000428.
Wenn diese Fehler auftreten, müssen Sie die erforderlichen Updates installieren, die im Abschnitt So erhalten Sie dieses Update des Updates, das Sie installieren möchten, oder die erforderlichen Updates installieren, die oben im Abschnitt Aktueller Status dieses Artikels aufgeführt sind.
Wenn ein Fehler angezeigt wird, 0xc0000428 die Meldung "Windows kann die digitale Signatur für diese Datei nicht überprüfen. Bei einer kürzlichen Hardware- oder Softwareänderung wurde möglicherweise eine Datei installiert, die falsch signiert oder beschädigt wurde, oder es sich um Schadsoftware aus einer unbekannten Quelle handelt." führen Sie die folgenden Schritte aus, um die Wiederherstellung zu erhalten.
-
Starten Sie das Betriebssystem mithilfe von Wiederherstellungsmedien.
-
Installieren Sie das neueste SHA-2-Update(KB4474419),das am oder nach dem 13. August 2019 veröffentlicht wurde, mithilfe von Bereitstellungsimagewartung und -verwaltung(DISM)für Windows 7 SP1 und Windows Server 2008 R2 SP1.
-
Starten Sie den Neustart in die Wiederherstellungsmedien. Dieser Neustart ist erforderlich
-
Führen Sie an der Eingabeaufforderung die bcdboot.exeaus. Dadurch werden die Startdateien aus dem Windows-Verzeichnis kopiert und die Startumgebung eingerichtet. Weitere Informationen finden Sie unter BCDBoot Command-Line Optionen.
-
Starten Sie das Betriebssystem neu.
Wenn dieses Problem auftreten, können Sie dieses Problem beheben, indem Sie ein Eingabeaufforderungsfenster öffnen und den folgenden Befehl ausführen, um das Update zu installieren (ersetzen Sie den Platzhalter <msu> durch den tatsächlichen Speicherort und Dateinamen des Updates):
wusa.exe <msu position> /quiet
Dieses Problem wurde in KB4474419 behoben, das am 8. Oktober 2019 veröffentlicht wurde. Dieses Update wird automatisch von Windows Update und Windows Server Update Services (WSUS) installiert. Wenn Sie dieses Update manuell installieren müssen, müssen Sie die oben beschriebene Problemumgehung verwenden.
HinweisWenn Sie KB4474419, das am 23. September 2019 veröffentlicht wurde, bereits installiert haben, verfügen Sie bereits über die neueste Version dieses Updates und müssen nicht erneut installiert werden.