Sažetak
Da biste zaštitili sigurnost operacijskog sustava Windows, ažuriranja su prethodno potpisana (koristite i algoritme za razmativanje SHA-1 i SHA-2). Potpisi se koriste za provjeru autentičnosti da ažuriranja dolaze izravno od Microsofta i da se tijekom isporuke nisu mijenjali. Zbog slabosti u algoritmu SHA-1 i usklađivanja s industrijskim standardima, promijenili smo potpisivanje ažuriranja sustava Windows da biste isključivo koristili sigurniji algoritam za SHA-2. Ta je promjena napravljena u fazama od travnja 2019 do rujna 2019 da bi se omogućila glatka migracija (pogledajte odjeljak "raspored ažuriranja proizvoda" da biste saznali više o promjenama).
Korisnici koji pokreću naslijeđene verzije OS-a (SP1 za Windows 7, Windows Server 2008 R2 SP1 i Windows Server 2008 SP2) moraju imati podršku za potpisivanje koda u programu SHA-2 koja je instalirana na njihovim uređajima da bi instalirali ažuriranja objavljena na servisu ili nakon srpnja 2019. Svi uređaji bez podrške za SHA-2 neće moći instalirati ažuriranja sustava Windows ni nakon srpnja 2019. Da bismo vam pomogli da vas pripremimo za ovu promjenu, objavili smo potporu za potpisivanje SHA-2 u pokretanju ožujka 2019 i stvorili inkrementalne poboljšanja. Windows Server Update Services (WSUS) 3,0 SP2 primit će podršku za SHA-2 da bi sigurno isporučio potpisana ažuriranja za SHA-2. Pročitajte odjeljak "raspored ažuriranja proizvoda" za vremensku crtu migracije samo za SHA-2.
Pojedinosti o pozadini
Sigurnosni algoritam 1 (SHA-1) razvijen je kao nepovratna funkcija raspršivanje i široko se koristi kao dio potpisivanja kodova. Nažalost, sigurnost algoritma za otklanjanje vrijednosti SHA-1 postalo je manje sigurna tijekom vremena zbog slabosti pronađenih u algoritmu, povećanju performansi procesora i pojavom računalnog računala u oblaku. Snažnije alternative, kao što je siguran algoritam 2 (SHA-2), sada su snažno preferirani budući da ne doživljavaju iste probleme. Dodatne informacije o priješavanju programa SHA-1 potražite u članku algoritmi raspršivanja i potpisa.
Raspored ažuriranja proizvoda
Počevši od početka 2019, postupak migracije na podršku za SHA-2 započela je u fazama, a podrška će biti isporučena u samostalnim ažuriranjima. Microsoft cilja sljedeći raspored da bi vam ponudio podršku za SHA-2. Napominjemo da je sljedeća Vremenska traka podložna promjenama. Mi ćemo nastaviti ažurirati ovu stranicu po potrebi.
Ciljni Datum |
Događaja |
Odnosi se na |
12 Ožujak 2019 |
Samostalne sigurnosne obnove KB4474419 i KB4490628 objavljene da biste uveli podršku za prijavu za Sha-2 code. |
SP1 za Windows 7 Windows Server 2008 R2 SP1 |
12 Ožujak 2019 |
Samostalan Update, KB4484071 dostupan je u katalogu servisa Windows update za WSUS 3,0 SP2 koji podržava isporuku ažuriranja za Sha-2. Za one korisnike koji koriste WSUS 3,0 SP2, ovo ažuriranje trebalo bi se ručno instalirati najkasnije do lipnja 18, 2019. |
WSUS 3,0 SP2 |
9. travnja 2019 |
Samostalan Update, KB4493730 koji je predstavio podršku za Sha-2 Code za servis Stack (SSU) izdana je kao Sigurnosno ažuriranje. |
Windows Server 2008 SP2 |
Svibanj 14, 2019 |
Samostalno Sigurnosno ažuriranje KB4474419 objavljeno da bi vam se predstavila Podrška za Sha-2 Code za potpisivanje. |
Windows Server 2008 SP2 |
11. lipnja 2019 |
Samostalnu sigurnosnu nadogradnju KB4474419ponovno izdana da biste dodali podršku za MSI Sha-2 Code za potpisivanje. |
Windows Server 2008 SP2 |
18. lipnja 2019 |
Ažuriranja potpisa u sustavu Windows 10 izmijenjena su s dvostrukim potpisanim (SHA-1/SHA-2) samo za SHA-2. Nije potrebna nijedna akcija kupca. |
Windows 10, verzija 1709 Windows 10, verzija 1803 Windows 10, verzija 1809 Windows Server 2019 |
18. lipnja 2019 |
Obavezno Za one korisnike koji koriste WSUS 3,0 SP2, KB4484071 mora biti ručno instaliran do tog datuma da bi podržao ažuriranja Sha-2. |
WSUS 3,0 SP2 |
Srpanj 9, 2019 |
Obavezno Ažuriranja za naslijeđene verzije sustava Windows zahtijevat će da se instalira Podrška za SHA-2 code potpisivanje. Podrška objavljena u travnju i svibnju (KB4493730 i KB4474419) bit će potrebna da bi se nastavila primati ažuriranja u ovim verzijama sustava Windows. Sva ostavština ažuriranja u sustavu Windows izmijenjena je od SHA1 i dual potpisana (SHA-1/SHA-2) do SHA-2 u ovom trenutku. |
Windows Server 2008 SP2 |
Srpanj 16, 2019 |
Ažuriranja potpisa u sustavu Windows 10 izmijenjena su s dvostrukim potpisanim (SHA-1/SHA-2) samo za SHA-2. Nije potrebna nijedna akcija kupca. |
Windows 10, verzija 1507 Windows 10, verzija 1607 Windows Server 2016 Windows 10, verzija 1703 |
Kolovoz 13, 2019 |
Obavezno Ažuriranja za naslijeđene verzije sustava Windows zahtijevat će da se instalira Podrška za SHA-2 code potpisivanje. Bit će potrebna podrška objavljena u ožujku (KB4474419 i KB4490628) da bi se nastavila primati ažuriranja na ovim verzijama sustava Windows. Ako imate uređaj ili VM pomoću značajke EFI boot, pročitajte odjeljak najčešća pitanja da biste spriječili problem u kojem se uređaj ne može pokrenuti. Sva naslijeđena ažuriranja potpisa u sustavu Windows izmijenjena su od SHA-1 i dual potpisana (SHA-1/SHA-2) do SHA-2 u ovom trenutku. |
SP1 za Windows 7 Windows Server 2008 R2 SP1 |
Rujan 10, 2019 |
Naslijeđeni potpisi za Windows Update promijenili su se s dvostrukim potpisanim (SHA-1/SHA-2) samo za SHA-2. Nije potrebna nijedna akcija kupca. |
Windows Server 2012 Windows 8,1 Windows Server 2012 R2 |
Rujan 10, 2019 |
Samostalno Sigurnosno ažuriranje KB4474419 ponovno je objavljeno da biste dodali propuštene značajke sustava Efi boot. Provjerite je li ova verzija instalirana. |
SP1 za Windows 7 Windows Server 2008 R2 SP1 SP2 za Windows Server 2008 |
28 Siječanj 2020 |
Potpisi na popisima pouzdanih certifikata (CTLs-ovi) za Microsoftov pouzdani root program promijenjen je iz dvojnog potpisa (SHA-1/SHA-2) samo na Sha-2. Nije potrebna nijedna akcija kupca. |
Sve podržane platforme sustava Windows |
2020 Kolovoz |
Krajnje točke servisa u sustavu Windows Update prekinute su. To utječe samo na starije uređaje sa sustavom Windows koji nisu ažurirani odgovarajućim sigurnosnim ažuriranjima. Dodatne informacije potražite u članku KB4569557. |
Windows 7 SP1 za Windows 7 Windows Server 2008 SP2 za Windows Server 2008 Windows Server 2008 R2 Windows Server 2008 R2 SP1 |
3. Kolovoz 2020 |
Microsoft umirovljeni sadržaj koji je Windows-potpisan za sigurni algoritam za preuzimanje 1 (SHA-1) iz Microsoftova centra za download. Dodatne informacije potražite u članku Windows IT Pro Blog SHA-1 sadržaj sustava Windows za umirovljenje 3 kolovoz 2020. |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8,1 Windows Server 2012 R2 Windows 10 Poslužitelj sustava Windows 10 |
Sadašnji status
Windows 7 SP1 i Windows Server 2008 R2 SP1
Mora biti instalirana sljedeća obavezna ažuriranja, a zatim će se uređaj ponovno pokrenuti prije instaliranja bilo kojeg ažuriranja objavljenom u kolovozu 13, 2019 ili noviji. Obavezna ažuriranja mogu se instalirati bilo kojim redoslijedom i ne moraju se ponovno instalirati, osim ako postoji nova verzija obavezno ažuriranje.
-
Servis za ažuriranje stog (SSU) (KB4490628). Ako koristite Windows Update, obavezan će vam se automatski ponuditi SSU.
-
SHA-2 Update (KB4474419) izdana 10. rujna 2019. Ako koristite Windows Update, automatski će vam se ponuditi obavezno ažuriranje SHA-2.
Važno Morate ponovno pokrenuti uređaj nakon instalacije svih potrebnih ažuriranja, prije instaliranja mjesečne kumulativne obrade, ažuriranja samo za sigurnost, pretpregled mjesečne kumulativne obrade ili samostalnog ažuriranja.
Windows Server 2008 SP2
Morate instalirati sljedeća ažuriranja, a zatim ponovno pokrenuti uređaj prije instaliranja kumulativnih vrijednosti objavljenih u rujnu 10, 2019 ili noviji. Obavezna ažuriranja mogu se instalirati bilo kojim redoslijedom i ne moraju se ponovno instalirati, osim ako postoji nova verzija obavezno ažuriranje.
-
Servis za ažuriranje stog (SSU) (KB4493730). Ako koristite Windows Update, automatski će vam se ponuditi obavezno ažuriranje SSU-a.
-
Najnovije ažuriranje za SHA-2 (KB4474419) Objavljeno je 10. rujna 2019. Ako koristite Windows Update, automatski će vam se ponuditi obavezno ažuriranje SHA-2.
Važno Morate ponovno pokrenuti uređaj nakon instalacije svih potrebnih ažuriranja, prije instaliranja mjesečne kumulativne obrade, ažuriranja samo za sigurnost, pretpregled mjesečne kumulativne obrade ili samostalnog ažuriranja.
Najčešća pitanja
Općenite informacije, planiranje i prevencija problema
Podrška za verziju SHA-2 kod-potpisivanje otpremljena je rano da bi većina korisnika podržala podršku Microsofta na servisu SHA-2 za potpisivanje ažuriranja tih sustava. Samostalna ažuriranja obuhvaćaju neke dodatne ispravke i dostupne su da bi se osiguralo da se sva ažuriranja SHA-2 nalaze u malom broju dostupnih ažuriranja. Microsoft preporučuje korisnicima koji zadržavaju sistemske slike za ove postavke da bi primijenili ta ažuriranja na slike.
Počevši od servisa WSUS 4,0 u sustavu Windows Server 2012, WSUS već podr ava She-2-potpisana ažuriranja, a za te verzije nije potrebna nijedna Akcija korisnika.
Za podršku SHA2 samo potpisanim ažuriranjima potrebno je instalirati samo WSUS 3,0 SP2. KB4484071.
Pretpostavimo da pokrenete Windows Server 2008 SP2. Ako koristite dual-boot sa sustavom Windows Server 2008 R2 SP1/Windows 7 SP1, upravitelj pokretanja za ovu vrstu sustava prikazuje se iz sustava Windows Server 2008 R2/Windows 7. Da biste uspješno ažurirali oba sustava pomoću podrške za SHA-2, najprije morate ažurirati sustav Windows Server 2008 R2/Windows 7 da bi se upravitelj pokretanja ažurirao na verziju koja podržava SHA-2. Zatim ažurirajte sustav Windows Server 2008 SP2 pomoću podrške za SHA-2.
Slično u scenariju s dvostrukim pokretanjem, okruženje sustava Windows 7 PE mora se ažurirati na podršku za SHA-2. Zatim se sustav Windows Server 2008 SP2 mora ažurirati na podršku za SHA-2.
-
Pokretanje postavljanja sustava Windows do završetka i pokretanja sustava Windows prije instaliranja kolovoza 13, 2019 ili novija ažuriranja
-
Otvorite prozor administratorskog naredbenog upita, pokrenite bcdboot.exe. Ovo kopira datoteke za pokretanje iz direktorija sustava Windows i postavlja okruženje za pokretanje. Dodatne informacije potražite u članku bcdboot Command-Line mogućnosti .
-
Prije instaliranja dodatnih ažuriranja instalirajte 13 Kolovoz, 2019 re-release of KB4474419 i KB4490628 za Windows 7 sp1 i Windows Server 2008 R2 SP1.
-
Ponovno pokrenite operacijski sustav. Ovo je ponovno pokretanje obavezno
-
Instalirajte sva preostala ažuriranja.
-
Instalirajte sliku na disketu i boot u Windows.
-
U naredbeni upit pokrenite bcdboot.exe. Ovo kopira datoteke za pokretanje iz direktorija sustava Windows i postavlja okruženje za pokretanje. Dodatne informacije potražite u članku bcdboot Command-Line mogućnosti .
-
Prije instaliranja dodatnih ažuriranja instalirajte 2019 ponovno izdanje sustava KB4474419 i KB4490628 za Windows 7 sp1 i Windows Server 2008 R2 SP1.
-
Ponovno pokrenite operacijski sustav. Ovo je ponovno pokretanje obavezno
-
Instalirajte sva preostala ažuriranja.
Windows 10, verzija 1903 podržava SHA-2 budući da je izdanje, a sva su ažuriranja već potpisana samo za SHA-2. Za ovu verziju sustava Windows nije potrebna akcija.
Windows 7 SP1 i Windows Server 2008 R2 SP1
-
Čizma u Windows prije instaliranja bilo kojeg 13 Kolovoz, 2019 ili novija ažuriranja.
-
Prije instaliranja dodatnih ažuriranja instalirajte 2019 ponovno izdanje sustava KB4474419 i KB4490628za Windows 7 sp1 i Windows Server 2008 R2 SP1.
-
Ponovno pokrenite operacijski sustav. Ovo je ponovno pokretanje obavezno
-
Instalirajte sva preostala ažuriranja.
Windows Server 2008 SP2
-
Boot u Windows prije instaliranja bilo kojeg srpnja 9, 2019 ili novija ažuriranja.
-
Prije instaliranja dodatnih ažuriranja instalirajte 2019, a zatim ponovno izdanje sustava KB4474419 i KB4493730 za Windows Server 2008 SP2.
-
Ponovno pokrenite operacijski sustav. Ovo je ponovno pokretanje obavezno
-
Instalirajte sva preostala ažuriranja.
Oporavak problema
Ako vam se prikazuje pogreška 0xc0000428 s porukom "Windows ne može provjeriti digitalni potpis za ovu datoteku. Nedavna hardverska ili programska promjena možda je instalirala datoteku koja je pogrešno potpisana ili oštećena ili je zlonamjerni softver iz nepoznatog izvora. " slijedite ove korake da biste se oporavili.
-
Pokrenite operacijski sustav pomoću medija za oporavak.
-
Prije instaliranja dodatnih ažuriranja instalirajte Update KB4474419 koji je od rujna 23, 2019 ili kasniji datum pomoću servisa Deployment slike za servisiranje i upravljanje (DISM) za Windows 7 sp1 i Windows Server 2008 R2 SP1.
-
U naredbeni upit pokrenite bcdboot.exe. Ovo kopira datoteke za pokretanje iz direktorija sustava Windows i postavlja okruženje za pokretanje. Dodatne informacije potražite u članku bcdboot Command-Line mogućnosti .
-
Ponovno pokrenite operacijski sustav.
-
Zaustavite implementaciju na drugim uređajima i ne ponovnim pokretanjem uređaja ni VMs-a koji već nisu ponovno pokrenuti.
-
Prepoznavanje uređaja i VMs-a u stanju ponovnog pokretanja na čekanju sa ažuriranjima objavljenim u kolovozu 13, 2019 ili noviji i otvaranje povišenog naredbenog upita
-
Pronađite identitet paketa za ažuriranje koje želite ukloniti pomoću sljedeće naredbe pomoću broja KB za to ažuriranje (zamijenite 4512506 brojem KB koje ciljate, ako to nije mjesečna kumulativna vrijednost objavljena Kolovoz 13, 2019): DISM/online/Get-Packages | FINDSTR 4512506
-
Pomoću sljedeće naredbe uklonite ažuriranje, zamjenjujući <identitet paketa> s onim što je pronađeno u prethodnoj naredbi: Dism.exe/online/Remove-Package/packagename: <identitet paketa>
-
Sada ćete morati instalirati obavezna ažuriranja navedena u odjeljku kako nabaviti ovo ažuriranje za ažuriranje koje pokušavate instalirati ili navedena potrebna ažuriranja u odjeljku trenutno stanje u ovom članku.
NapomenaBilo koji uređaj ili VM koji trenutno primate pogrešku 0xc0000428 ili koja započinje u okruženju oporavka, morat ćete slijediti korake u upitima o pogrešci 0xc0000428 u FAQ-u.
Ako naiđete na te pogreške, potrebno je instalirati obavezna ažuriranja navedena u odjeljku kako nabaviti ovo ažuriranje za ažuriranje koje pokušavate instalirati ili navedena potrebna ažuriranja u odjeljku trenutno stanje u ovom članku.
Ako vam se prikazuje pogreška 0xc0000428 s porukom "Windows ne može provjeriti digitalni potpis za ovu datoteku. Nedavna hardverska ili programska promjena možda je instalirala datoteku koja je pogrešno potpisana ili oštećena ili je zlonamjerni softver iz nepoznatog izvora. " slijedite ove korake da biste se oporavili.
-
Pokrenite operacijski sustav pomoću medija za oporavak.
-
Instalirajte najnoviju verziju SHA-2 Update (KB4474419) objavljenu na ili nakon kolovoza 13, 2019, pomoću servisa Deployment slike za servisiranje i upravljanje (DISM) za Windows 7 sp1 i Windows Server 2008 R2 SP1.
-
Ponovno pokrenite medij za oporavak. Ovo je ponovno pokretanje obavezno
-
U naredbeni upit pokrenite bcdboot.exe. Ovo kopira datoteke za pokretanje iz direktorija sustava Windows i postavlja okruženje za pokretanje. Dodatne informacije potražite u članku bcdboot Command-Line mogućnosti .
-
Ponovno pokrenite operacijski sustav.
Ako naiđete na taj problem, možete ublažiti taj problem tako da otvorite prozor naredbenog upita i pokrenete sljedeću naredbu da biste instalirali ažuriranje (zamijenite <MSU mjesto> rezerviranom mjestu s stvarnim mjestom i nazivom datoteke ažuriranja):
wusa.exe <MSU mjesto>/tišina
Taj je problem riješen u KB4474419 objavljenom u listopadu 8, 2019. Ovo će se ažuriranje automatski instalirati iz servisa Windows Update i Windows Server Update Services (WSUS). Ako morate ručno instalirati ovo ažuriranje, morat ćete koristiti zaobilazno rješenje.
NapomenaAko ste prethodno instalirali KB4474419 izdan 23, 2019, onda već imate najnoviju verziju tog ažuriranja i ne morate ponovno instalirati.