Kokkuvõte
Windowsi operatsioonisüsteemi turbe kaitsmiseks on varem allkirjastatud värskendused (kasutades nii SHA-1 kui ka SHA-2 Hash algoritme). Allkirju kasutatakse selleks, et autentida, kas värskendused on pärit otse Microsoftilt ja mida pole kohaletoimetamise ajal muudetud. SHA-1 algoritmi nõrkuste tõttu ja tööstuse standarditele vastavusse viimiseks oleme muutnud Windowsi värskenduste allakirjutamist, et kasutada ainult SHA-2 algoritmi. Seda muudatust on tehtud etappides, mis algavad aprillis 2019 kuni septembris 2019, et võimaldada sujuvat migreerimist (lugege lisateavet muudatuste kohta jaotisest "toote värskendamise ajakava").
Kliendid, kes käitavad pärand OS-i versioone (Windows 7 SP1, Windows Server 2008 R2 hoolduspaketti SP1 ja Windows Server 2008 SP2), peavad oma seadmesse installitud tugiteenuste installimiseks kasutama oma seadmesse installitud värskendusi, et installida värskendused, mis 2019 on välja antud Kõik seadmed, millel pole SHA-2 tuge, ei saa Windows Update ' i installida 2019 juulis või pärast seda. Selleks, et aidata sind selle muudatuse tegemiseks ette valmistada, toetame SHA-2 sisselogimist 2019 märtsiks ja oleme teinud täiendavaid täiustusi. Windows Server Update Services (WSUS) 3,0 SP2 saab SHA-2 tuge, et pakkuda kindlalt SHA-2 allkirjastatud värskendusi. Vaadake ainult rakenduse SHA-2 jaotise "Product Update ' i ajakava" ainult migreerimise ajaskaalat.
Tausta üksikasjad
Secure Hash Algoritm 1 (SHA-1) töötati välja pöördumatu hashing funktsiooniga ja seda kasutatakse laialdaselt koodi allkirjastamise osana. Kahjuks on SHA-1 Hash algoritmi turvalisus aja jooksul vähem turvatud, sest algoritmis leiti nõrkusi, protsessori jõudluse suurenemine ja pilvandmetöötluse tekk. Tugevamad alternatiivid (nt Secure Hash Algoritm 2 (SHA-2) on nüüd väga eelistatud, kuna neil ei teki samu probleeme. Lisateavet SHA-1 kasutamise kohta leiate teemast hash ja allkirja algoritmid.
Toote värskendamise ajakava
Alates varajasest 2019saab ta migreerimise protsessi protsessis SHA-2 toetada järk-järgult ja tuge antakse autonoomsetes värskendustes.Microsoft suunab SHA-2 toe pakkumiseks järgmise ajakava. Pange tähele, et järgmine ajaskaala võib muutuda. Jätkame selle lehe värskendamist vastavalt vajadusele.
Tähtaeg |
Sündmuse |
Rakendub |
12 märts, 2019 |
Autonoomsed turvavärskendused KB4474419 ja KB4490628 vabastatakse SHA-2 koodi allkirjastamise toe kasutuselevõtmiseks.
|
Windows 7 SP1Windows Server 2008 R2 hoolduspakett SP1 |
12 märts, 2019 |
Autonoomse värskenduse korral on KB4484071 saadaval Windows Update ' i kataloogis WSUS 3,0 SP2 jaoks, mis toetab ka SHA-2 allkirjastatud värskenduste edastamist. Nende klientide jaoks, kes kasutavad WSUS-i 3,0 hoolduspaketti SP2, tuleks see värskendus käsitsi installida hiljemalt 18 juuni 2019. |
WSUS 3,0 SP2 |
Aprill 9, 2019 |
Autonoomsed Update ' i KB4493730 , mis tutvustavad SHA-2 koodi allkirjastamise tuge teeninduse pinule (SSU), anti välja turvavärskendusena. |
Windows Server 2008 SP2 |
14. mai 2019 |
Stand Alone Security Update ' i KB4474419 lastakse kasutusele SHA-2 koodi allkirjastamise tugi. |
Windows Server 2008 SP2 |
11. juuni 2019 |
Autonoomse turvavärskenduse KB4474419uuesti välja, et lisada puuduva MSI SHA-2 koodi allkirjastamise tugi. |
Windows Server 2008 SP2 |
18. juuni, 2019 |
Windows 10 Update ' i signatuurid on muudetud ainult kahele allkirjale (SHA-1/SHA-2) ainult SHA-2. Ühtegi kliendi toimingut pole vaja. |
Windows 10, versioon 1709 Windows 10, versioon 1803 Windows 10, versioon 1809 Windows Server 2019 |
18. juuni, 2019 |
Nõutav: nende klientide jaoks, kes kasutavad WSUS-i 3,0 hoolduspaketti SP2, peab KB4484071 olema käsitsi installitud selle kuupäevaga, et toetada SHA-2 värskendusi. |
WSUS 3,0 SP2 |
9. juuli 2019 |
Nõutav: Windowsi varasemate versioonide jaoks mõeldud värskendused peavad olema installitud.Aprillis ja mai (KB4493730 ja KB4474419) antud tugi onvajalik, et edaspidi nende Windowsi versioonidega värskendusi saada. Kõik pärand Windows Updates ' i signatuurid on muudetud SHA1 ja kahekordselt allkirjastatud (SHA-1/SHA-2) abil SHA-2-ni ainult praegu. |
Windows Server 2008 SP2 |
Juuli 16, 2019 |
Windows 10 Update ' i signatuurid on muudetud ainult kahele allkirjale (SHA-1/SHA-2) ainult SHA-2. Ühtegi kliendi toimingut pole vaja. |
Windows 10, versioon 1507 Windows 10, versioon 1607 Windows Server 2016 Windows 10, versioon 1703 |
August 13, 2019 |
Nõutav: Windowsi varasemate versioonide jaoks mõeldud värskendused peavad olema installitud. Märtsis antud toetus (KB4474419 ja KB4490628) on vaja selleks, et nende Windowsi versioonidega edaspidi värskendusi saada. Kui teil on kasutusel EFI-algkäivitusega seade või VM, lugege lisatoimingute jaotisest KKK, et vältida probleemi, mille korral teie seade ei pruugi käivituda. Kõik pärand Windowsi värskendused on signatuurid muudetud SHA-1 ja Dual Signed (SHA-1/SHA-2) abil SHA-2-ni ainult praegu. |
Windows 7 hoolduspakett SP1 Windows Server 2008 R2 hoolduspakett SP1 |
10. septembril 2019 |
Pärand Windows Update ' i signatuurid muutuvad ainult kahele allkirjastatud (SHA-1/SHA-2), mis on ainult SHA-2. Ühtegi kliendi toimingut pole vaja. |
Windows Server 2012 Windows 8,1 Windows Server 2012 R2 |
10. septembril 2019 |
Stand Alone Security Update KB4474419 oli uuesti välja, et lisada puuduvad EFI boot sõimed. Palun veendu, et see versioon oleks installitud. |
Windows 7 hoolduspakett SP1 Windows Server 2008 R2 hoolduspakett SP1 Windows Server 2008 SP2 |
28. jaanuar 2020 |
Allkirjad serdi Trusti loendites (CTLs) Microsoft usaldusväärse juure programmi kohta, mis on muudetud kahekordselt allkirjastatud (SHA-1/SHA-2) abil ainult SHA-2. Ühtegi kliendi toimingut pole vaja. |
Kõik toetatud Windowsi platvormid |
August 2020 |
Windows Update SHA-1 põhiste teenuste lõpp-punktid katkestatakse. See mõjutab ainult neid vanemaid Windowsi seadmeid, mida ei ole värskendatud vastavate turvavärskendusedega. Lisateavet leiate teemast KB4569557. |
Windows 7 Windows 7 hoolduspakett SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 hoolduspakett SP1 |
August 3, 2020 |
Microsoft Office ' i aegunud sisu, mis on Windowsi-allkirjastatud turvaliste Hash algoritmi 1 (SHA-1) Microsoft Download Center. Lisateavet leiate teemast Windows IT Pro ajaveeb SHA-1 Windowsi sisu, mis on aegunud 3. augustil 2020. |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8,1 Windows Server 2012 R2 Windows 10 Windows 10 server |
Praegune olek
Windows 7 hoolduspakett SP1 ja Windows Server 2008 R2 hoolduspakett SP1
Järgmised nõutavad värskendused peavad olema installitud ja seejärel on seade uuesti käivitanud enne värskenduse installimist 13, 2019 või uuem versioon. Vajalikke värskendusi saab installida mis tahes järjestuses ja neid ei pea uuesti installima, välja arvatud juhul, kui nõutav värskendus on uut versiooni.
-
Teeninduse pinu värskendus (SSU) (KB4490628). Kui kasutate Windows Update ' i, pakutakse teile vajalikku SSU automaatselt.
-
SHA-2 Update (KB4474419) anti välja 10 september 2019. Kui kasutate Windows Update ' i, pakutakse teile automaatselt vajalikku SHA-2 värskendust .
NB!Pärast kõigi vajalike värskenduste installimist peate oma seadme taaskäivitama, enne kui installite iga kuu värskenduskomplekti, turbe-Only Update ' i, igakuise värskenduskomplekti eelvaate või autonoomse värskenduse.
Windows Server 2008 SP2
Järgmised värskendused peavad olema installitud ja seejärel on seade uuesti käivitanud, enne kui installite värskenduskomplekti 10, 2019 või uuem versioon. Vajalikke värskendusi saab installida mis tahes järjestuses ja neid ei pea uuesti installima, välja arvatud juhul, kui nõutav värskendus on uut versiooni.
-
Teeninduse pinu värskendus (SSU) (KB4493730). Kui kasutate Windows Update ' i, pakutakse teile automaatselt vajalikku SSU värskendust.
-
Hiljemalt SHA-2 Update (KB4474419) anti välja 10 september 2019. Kui kasutate Windows Update ' i, pakutakse teile automaatselt vajalikku SHA-2 värskendust .
NB!Pärast kõigi vajalike värskenduste installimist peate oma seadme taaskäivitama, enne kui installite iga kuu värskenduskomplekti, turbe-Only Update ' i, igakuise värskenduskomplekti eelvaate või autonoomse värskenduse.
Korduma kippuvad küsimused
Üldine teave, kavandamine ja probleemide ennetamine
SHA-2 kood-allkirjastamise kasutajatugi saadeti varakult tagamaks, et enamikel klientidel oleks Microsoft ' i muutmisest eelnevalt abi. Eraldiseisvad värskendused sisaldavad täiendavaid parandusi ja tehakse kättesaadavaks tagamaks, et kõik SHA-2 värskendused on väikeses arvus hõlpsalt äratuntavad värskendused. Microsoft soovitab, et kasutajad, kes hoiavad süsteemi pildid nende operatsioonisüsteemide jaoks, saavad neid värskendusi piltidele rakendada.
Alates WSUS-i 4,0 Windows Server 2012, WSUS toetab juba SHA-2-allkirjastatud värskendusi ja nende versioonide jaoks ei ole vaja klientide toiminguid.
Ainult SHA2 toetamiseks on vaja KB4484071installitud ainult WSUS 3,0 SP2.
Oletagem, et käivitate Windows Server 2008 SP2. Kui kasutate Windows serveriga Windows Server 2008 R2 hoolduspaketti SP1/Windows 7 hoolduspaketti SP1, on seda tüüpi süsteemi Boot Manager Windows Server 2008 R2/Windows 7 süsteemist. Kui soovite, et mõlemat süsteemi saaks kasutada SHA-2 toe kasutamiseks, peate esmalt värskendama Windows Server 2008 R2/Windows 7 süsteemi, et Boot Manager oleks värskendatud SHA-2 toetava versiooniga. Seejärel värskendage Windows Server 2008 SP2 süsteemi SHA-2 toega.
Sarnaselt kahesüsteemse buutimisega stsenaariumiga peab Windows 7 PE Environment olema värskendatud SHA-2 toega. Seejärel peab Windows Server 2008 SP2 süsteemi värskendama SHA-2 tugi.
-
Käivitage Windows setup, et viia lõpule ja Boot Windows enne paigaldamist 13, 2019 või uuemate värskendustega.
-
Avage käsuviiba aken, käivitage bcdboot. exe. See kopeerib boot failid Windowsi kataloogist ja häälestab algkäivituse keskkonna. Vaadake teematLisateavet leiateBCDBoot käsurea suvanditest .
-
Enne täiendavate värskenduste installimist installige KB4474419 ja KB4490628Windows 7 SP1 ja Windows Server 2008 R2 hoolduspaketti SP1 uuesti avaldamiseks 2019 13.
-
Taaskäivitage operatsioonisüsteem. See taaskäivitamine on nõutav
-
Installige allesjäänud värskendused.
-
Paigaldage pilt kettale ja Boot Windows.
-
Käivitage käsureal Käsuviip bcdboot. exe. See kopeerib boot failid Windowsi kataloogist ja häälestab algkäivituse keskkonna. Lisateabe saamiseks lugege BCDBoot käsurea suvandeid .
-
Enne täiendavate värskenduste installimist installige 23. septembril 2019 KB4474419 -ja KB4490628 uuesti versiooniks Windows 7 SP1 ja Windows Server 2008 R2 hoolduspaketti SP1.
-
Taaskäivitage operatsioonisüsteem. See taaskäivitamine on nõutav
-
Installige allesjäänud värskendused.
Windows 10, versioon 1903 toetab SHA-2 alates sellest, kui see on välja antud ja kõik värskendused on juba allkirjastatud ainult SHA-2. Selle Windowsi versiooni jaoks pole vaja midagi teha.
Windows 7 hoolduspakett SP1 ja Windows Server 2008 R2 hoolduspakett SP1
-
Boot Windowsile enne 13. august 2019 või uuemate värskenduste installimist.
-
Enne täiendavate värskenduste installimist installige 23. septembril 2019 KB4474419 -ja KB4490628 uuesti versiooniks Windows 7 SP1 ja Windows Server 2008 R2 hoolduspaketti SP1.
-
Taaskäivitage operatsioonisüsteem. See taaskäivitamine on nõutav
-
Installige allesjäänud värskendused.
Windows Server 2008 SP2
-
Boot Windowsile enne 9. juuli, 2019 või uuemate värskenduste installimist.
-
Enne täiendavate värskenduste installimist installige 23. septembril 2019 KB4474419 -ja KB4493730 uuesti versiooniksWindows Server 2008 SP2.
-
Taaskäivitage operatsioonisüsteem. See taaskäivitamine on nõutav
-
Installige allesjäänud värskendused.
Probleemi taastamine
Kui kuvatakse tõrketeade "Windows ei saa selle 0xc0000428 digitaalallkirja kinnitada. Hiljutine riistvara või tarkvara muudatus võib olla installinud faili, mis on valesti allkirjastatud või kahjustatud või mis võib olla tundmatust allikast pärit pahatahtlik tarkvara. "taastamiseks järgige järgmisi juhiseid.
-
Käivitage operatsioonisüsteem taastekonsooli abil.
-
Enne täiendavate värskenduste installimist installige värskendus KB 4474419 , mis on dateeritud 23. septembril, 2019 või uuemal kuupäeval, kasutades Windows 7 SP1 ja Windows Server 2008 R2 hoolduspaketti SP1 juurutuse piltide hooldust ja juhtimist (DISM).
-
Käivitage käsureal Käsuviip bcdboot. exe. See kopeerib boot failid Windowsi kataloogist ja häälestab algkäivituse keskkonna. Lisateabe saamiseks lugege BCDBoot käsurea suvandeid .
-
Taaskäivitage operatsioonisüsteem.
-
Peatage juurutus teistesse seadmetesse ja ärge taaskäivitage seadmeid ega VMs-seadmeid, mida pole veel taaskäivitada.
-
Tuvastage seadmed ja VMs-süsteemi taaskäivitamiseks ootel olekus värskendused, mis on välja antud august 13, 2019 või uuem versioon, ja avage käsuviiba
-
Leidke selle värskenduse jaoks paketi identiteet, mida soovite eemaldada, kasutades järgmist käsku KB-numbriga selle värskenduse jaoks (Asendage 4512506 , kui teie sihiks on määratud KB-number, kui see pole igakuine koondpakett 13; august 2019): DISM/online/get-packages | Findstr 4512506
-
Järgmise käsu abil saate värskenduse eemaldada, asendades <paketi identiteedi> mis leiti eelmisest käsust: DISM. exe/online/remove-package/PackageName: <paketi identiteet>
-
Nüüd tuleb teil installida nõutavad värskendused, mis on loetletud selle värskenduse jaotises, mida proovite installida, või eespool loetletud nõutavad värskendused käesoleva artikli jaotises Praegune olek .
Pange tähele , et mis tahes seade või VM, mida praegu saate 0xc0000428 või mis algab taastekeskkonna, peate täitma tõrke 0xc0000428 KKK-s olevaid juhiseid.
Kui teil esineb need tõrked, peate installima nõutavad värskendused, mis on loetletud selle värskenduse jaotises, mida proovite installida, või eespool loetletud nõutavad värskendused käesoleva artikli jaotises Praegune olek .
Kui kuvatakse tõrketeade "Windows ei saa selle 0xc0000428 digitaalallkirja kinnitada. Hiljutine riistvara või tarkvara muudatus võib olla installinud faili, mis on valesti allkirjastatud või kahjustatud või mis võib olla tundmatust allikast pärit pahatahtlik tarkvara. "taastamiseks järgige järgmisi juhiseid.
-
Käivitage operatsioonisüsteem taastekonsooli abil.
-
Installige uusim SHA-2 Update (KB4474419), mis on välja antud versioonis 13, 2019, kasutades Windows 7 hoolduspaketile SP1 ja windows Server 2008 R2 hoolduspaketti SP1 kasutamise ja haldamise (DISM).
-
Taaskäivitage irdkandja. See taaskäivitamine on nõutav
-
Käivitage käsureal Käsuviip bcdboot. exe. See kopeerib boot failid Windowsi kataloogist ja häälestab algkäivituse keskkonna. Lisateabe saamiseks lugege BCDBoot käsurea suvandeid .
-
Taaskäivitage operatsioonisüsteem.
Kui ilmneb probleem, saate selle probleemi leevendada, avades käsuviiba akna ja käivitades värskenduse (asendage <msu asukoha> kohatäide, kus on tegelik asukoht ja värskenduse failinimi).
Wusa. exe <msu asukoht>/Quiet
See probleem on lahendatud KB4474419 välja antud 8. oktoobril 2019. See värskendus installitakse automaatselt Windows Update ' i ja Windows Server Update Services (WSUS) kaudu. Kui teil on vaja seda värskendust käsitsi installida, peate kasutama eespool toodud lahendust.
Märkus.Kui olete varem installinud KB4474419 välja antud 23. septembril, 2019, siis on teil juba selle värskenduse uusim versioon ja te ei pea seda uuesti installima.