Kopsavilkums
Lai palīdzētu aizsargāt Windows operētājsistēmas drošību, iepriekš tika parakstīti atjauninājumi (izmantojot gan SHA-1, gan SHA-2 hash algoritmus). Paraksti tiek izmantoti, lai autentificētu, ka atjauninājumi nāk tieši no Microsoft un netika pārveidoti piegādes laikā. Tā kā ir nepilnības SHA-1 algoritmā un pielāgoties nozares standartiem, mēs esam mainījuši Windows atjauninājumu parakstīšanu, lai izmantotu drošāku SHA-2 algoritmu. Šīs izmaiņas ir pabeigtas fāzēs, sākot no aprīļa 2019 līdz septembrim 2019, lai nodrošinātu vienmērīgu migrāciju (skatiet sadaļu "produkta atjaunināšanas plāns", lai skatītu papildinformāciju par izmaiņām).
Klientiem, kas vada mantotās operētājsistēmas versijas (Windows 7 SP1, Windows Server 2008 R2 SP1 un Windows Server 2008 SP2), ir jābūt instalētai SHA-2 koda parakstīšanas atbalstam savā ierīcē, lai instalētu atjauninājumus, kas izlaisti vai pēc tam jūlijā 2019. Visas ierīces, kas nav ar SHA-2 atbalstu, nevarēs instalēt Windows atjauninājumus (vai pēc 2019. gada jūlija). Lai jums palīdzētu sagatavoties šīm izmaiņām, mēs esam atlaiduši atbalstu SHA-2 parakstīšanai, sākot ar 2019. gada marta un veicis papildu uzlabojumus. Windows Server atjaunināšanas pakalpojumu (WSUS) 3,0 SP2 saņems SHA-2 atbalstu, lai droši nodrošinātu ar SHA-2 parakstītus atjauninājumus. Lūdzu, skatiet sadaļu "produkta atjaunināšanas grafiks", kas attiecas tikai uz SHA-2 migrācijas laika skalu.
Fona informācija
Drošā jaukšanas algoritms 1 (SHA-1) tika izstrādāts kā neatgriezeniska jaukšanas funkcija, un tas tiek plaši izmantots kā daļa no koda parakstīšanas. Diemžēl SHA-1 hash algoritma drošība laika gaitā ir kļuvusi Nedrošāka, jo algoritmā ir konstatētas nepilnības, paaugstināts procesora sniegums un mākoņdatošanas Advent. Lielākas alternatīvas, piemēram, drošā jaukšanas algoritms 2 (SHA-2), tagad ir ļoti ieteicamas, jo tām nav tādu pašu problēmu. Papildinformāciju par SHA-1 novecošanu skatiet rakstā jaukšanas un paraksta algoritmi.
Produkta atjaunināšanas kalendārs
Sākot ar pirmo 2019, migrēšanas process uz SHA-2 atbalstu sākās pakāpeniski, un atbalsts tiks piegādāts savrupos atjauninājumos. Microsoft nosaka tālāk norādīto plānu, lai nodrošinātu atbalstu SHA-2. Lūdzu, ņemiet vērā, ka tālāk norādītā laika skala var tikt mainīta. Mēs turpināsim atjaunināt šo lapu pēc nepieciešamības.
Plānotā datuma |
Gadījumā |
Attiecas uz |
2019. gada 12. marts |
Savrupie drošības atjauninājumi KB4474419 un KB4490628 , lai iepazīstinātu ar SHA-2 koda rakstīšanas atbalstu. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
2019. gada 12. marts |
Savrups atjauninājums, KB4484071 ir pieejams Windows atjaunināšanas katalogos WSUS 3,0 SP2, kas atbalsta piegādi ar SHA-2 parakstītiem atjauninājumiem. Tiem klientiem, kas izmanto WSUS 3,0 SP2, šis atjauninājums ir manuāli jāinstalē ne vēlāk kā 2019. gada 18. jūnijā. |
WSUS 3,0 SP2 |
9. aprīlis, 2019 |
Patstāvīgs atjauninājums, KB4493730 , kas ievieš SHA-2 koda zīmju atbalstu apkalpošanas stekam (SSU), tika izlaists kā drošības atjauninājums. |
Windows Server 2008 SP2 |
2019. maijs |
KB4474419 drošības atjaunināšanas līdzeklis ir izlaists, lai iepazīstinātu ar SHA-2 koda rakstīšanas atbalstu. |
Windows Server 2008 SP2 |
2019. gada 11. jūnijs |
Savrupa drošības atjauninājuma KB4474419atkārtoti, lai pievienotu trūkstošo MSI SHA-2 koda pierakstīšanās atbalstu. |
Windows Server 2008 SP2 |
18. jūnijs, 2019 |
Windows 10 atjaunināšanas paraksti ir mainīti no duālā paraksta (SHA-1/SHA-2) tikai SHA-2. Nav nepieciešama klienta darbība. |
Windows 10, versija 1709 Windows 10, versija 1803 Windows 10, versija 1809 Windows Server 2019 |
18. jūnijs, 2019 |
Nepieciešams Tiem klientiem, kas izmanto WSUS 3,0 SP2, KB4484071 ir manuāli jāinstalē līdz šim datumam, lai atbalstītu SHA-2 atjauninājumus. |
WSUS 3,0 SP2 |
2019. gada 9. jūlijs |
Nepieciešams Mantoto Windows versiju atjauninājumiem būs nepieciešams, lai būtu instalēts SHA-2 koda parakstīšanas atbalsts. Lai turpinātu saņemt atjauninājumus par šīm Windows versijām, būs nepieciešams atbalsts, kas izlaists aprīlī un maijā (KB4493730 un KB4474419). Visi mantotie Windows atjauninājumu paraksti, kas mainīti no SHA1 un duālā parakstīta (SHA-1/SHA-2) uz SHA-2 tikai šajā laikā. |
Windows Server 2008 SP2 |
2019. gada 16. jūlijs |
Windows 10 atjaunināšanas paraksti ir mainīti no duālā paraksta (SHA-1/SHA-2) tikai SHA-2. Nav nepieciešama klienta darbība. |
Windows 10, versija 1507 Windows 10, versija 1607 Windows Server 2016 Windows 10, versija 1703 |
2019. gada 13. augusts |
Nepieciešams Mantoto Windows versiju atjauninājumiem būs nepieciešams, lai būtu instalēts SHA-2 koda parakstīšanas atbalsts. Lai turpinātu saņemt atjauninājumus par šīm Windows versijām, būs nepieciešams atbalsts, kas izlaists martā (KB4474419 un KB4490628). Ja jums ir ierīce vai VM, izmantojot EFI boot, skatiet sadaļu bieži uzdotie jautājumi par papildu darbībām, lai novērstu problēmu, kuras dēļ ierīce var netikt startēta. Visi mantotā Windows atjauninājumu paraksti ir mainīti no SHA-1 un duālā paraksta (SHA-1/SHA-2) uz SHA-2 tikai šajā laikā. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
2019. gada 10. septembris |
Mantotie Windows Update paraksti no duālā paraksta (SHA-1/SHA-2) uz tikai SHA-2. Nav nepieciešama klienta darbība. |
Windows Server 2012 Windows 8,1 Windows Server 2012 R2 |
2019. gada 10. septembris |
KB4474419 drošības atjaunināšanas līdzeklis tika atkārtoti izlaists, lai pievienotu trūkstošos EFI sāknēšanas pārvaldniekus. Lūdzu, pārliecinieties, vai šī versija ir instalēta. |
Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2020. gada 28. janvāris |
Paraksti sertifikātu uzticamības sarakstos (CTL) Microsoft uzticamajai saknes programmai , kas mainīts no duālā paraksta (SHA-1/SHA-2) tikai SHA-2. Nav nepieciešama klienta darbība. |
Visas atbalstītās Windows platformas |
2020. augusts |
Windows Update SHA-1 bāzes galapunkti tiek pārtraukti. Tas ietekmē tikai vecākas Windows ierīces, kas nav atjauninātas ar atbilstošiem drošības atjauninājumiem. Papildinformāciju skatiet rakstā KB4569557. |
Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1 |
3. augusts, 2020 |
Microsoft novecojis saturs, kas ir parakstīts drošā jaukšanas algoritmam 1 (SHA-1) no Microsoft lejupielādes centra. Lai iegūtu papildinformāciju, skatiet rakstu Windows IT Pro emuārs SHA-1 Windows saturs ir novecojis 3. augustā, 2020. |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8,1 Windows Server 2012 R2 Windows 10 Windows 10 Server |
Pašreizējais statuss
Windows 7 SP1 un Windows Server 2008 R2 SP1
Lai instalētu atjauninājumu, kas izlaists augusts 13, 2019 vai jaunāka versija, ir jābūt instalētam šādiem nepieciešamajiem atjauninājumiem un pēc tam ierīce ir jārestartē. Nepieciešamos atjauninājumus var instalēt jebkādā secībā, un tie nav jāinstalē atkārtoti, ja vien nav pieejama jauna nepieciešamā atjauninājuma versija.
-
Apkopes steka atjauninājums (SSU) (KB4490628). Ja izmantojat Windows Update, nepieciešamais SSU tiks automātiski piedāvāts.
-
SHA-2 atjauninājums (KB4474419) izlaists septembris 10, 2019. Ja izmantojat Windows Update, automātiski tiks piedāvāts nepieciešams SHA-2 atjauninājums.
Svarīgi!Pēc visu nepieciešamo atjauninājumu instalēšanas jums ir jārestartē ierīce, pirms instalējat mēneša apkopojumu, tikai drošības atjauninājums, mēneša apkopojuma priekšskatījums vai savrups atjauninājums.
Windows Server 2008 SP2
Tālāk norādītie atjauninājumi ir jāinstalē, un pēc tam ierīce ir jārestartē, pirms instalējat apkopojumus, kas izlaisti 10. septembrī, 2019 vai jaunākā versijā. Nepieciešamos atjauninājumus var instalēt jebkādā secībā, un tie nav jāinstalē atkārtoti, ja vien nav pieejama jauna nepieciešamā atjauninājuma versija.
-
Apkopes steka atjauninājums (SSU) (KB4493730). Ja izmantojat Windows Update, automātiski tiks piedāvāts nepieciešamais SSU atjauninājums.
-
Jaunākais SHA-2 atjauninājums (KB4474419) izlaists septembris 10, 2019. Ja izmantojat Windows Update, automātiski tiks piedāvāts nepieciešams SHA-2 atjauninājums.
Svarīgi!Pēc visu nepieciešamo atjauninājumu instalēšanas jums ir jārestartē ierīce, pirms instalējat mēneša apkopojumu, tikai drošības atjauninājums, mēneša apkopojuma priekšskatījums vai savrups atjauninājums.
Bieži uzdotie jautājumi
Vispārēja informācija, plānošana un problēmu novēršana
Ar SHA-2 koda parakstīšanas atbalstu tika nosūtīts ātrāk, lai nodrošinātu, ka lielākajai daļai klientu pirms Microsoft izmaiņu veikšanas uz SHA-2 parakstīšanas par šo sistēmu atjauninājumiem. Savrupajos atjauninājumos ir iekļauti daži papildu labojumi, un tie ir pieejami, lai nodrošinātu, ka visi SHA-2 atjauninājumi ir nelielā skaitā ar viegli identificējamiem atjauninājumiem. Microsoft iesaka klientiem, kas uztur šīs OSE sistēmas attēlus, lai šos atjauninājumus lietotu šajos attēlos.
Sākot ar WSUS 4,0 operētājsistēmā Windows Server 2012, WSUS jau atbalsta SHA-2 parakstītus atjauninājumus, un šīm versijām nav nepieciešama klienta darbība.
Tikai WSUS 3,0 SP2 nepieciešama KB4484071, lai atbalstītu SHA2 tikai parakstītus atjauninājumus.
Pieņemiet, ka palaižat Windows Server 2008 SP2. Ja veicat duālo sāknēšanu ar Windows Server 2008 R2 SP1/Windows 7 SP1, šī tipa sistēmas sāknēšanas pārvaldnieks ir no Windows Server 2008 R2/Windows 7 sistēmas. Lai veiksmīgi atjauninātu abas šīs sistēmas, lai izmantotu SHA-2 atbalstu, vispirms ir jāatjaunina Windows Server 2008 R2/Windows 7 sistēma, lai sāknēšanas pārvaldnieks tiktu atjaunināts uz versiju, kas atbalsta SHA-2. Pēc tam atjauniniet Windows Server 2008 SP2 sistēmu ar SHA-2 atbalstu.
Līdzīgi kā duālā sāknēšanas scenārijs, Windows 7 PE vide ir jāatjaunina uz SHA-2 atbalstu. Pēc tam Windows Server 2008 SP2 sistēma ir jāatjaunina uz SHA-2 atbalstu.
-
Palaidiet Windows uzstādīšanu, lai to pabeigtu un sāknētu operētājsistēmā Windows pirms 13. augusta, 2019 vai jaunāku atjauninājumu instalēšanas
-
Atveriet administratora komandu uzvednes logu, palaidiet bcdboot.exe. Tādējādi sāknēšanas faili tiek kopēti no Windows direktorija un iestatīta sāknēšanas vide. Detalizētu informāciju skatiet BCDBoot Command-Line opcijas .
-
Pirms papildu atjauninājumu instalēšanas 2019 instalējiet KB4474419 un KB4490628 , lai iegūtu informāciju par Windows 7 SP1 un Windows Server 2008 R2 SP1.
-
Restartējiet operētājsistēmu. Ir nepieciešama šī restartēšana
-
Instalējiet atlikušos atjauninājumus.
-
Instalējiet attēlu diskā un sāknējiet to operētājsistēmā Windows.
-
Komandu uzvednē palaidiet bcdboot.exe. Tādējādi sāknēšanas faili tiek kopēti no Windows direktorija un iestatīta sāknēšanas vide. Detalizētu informāciju skatiet BCDBoot Command-Line opcijas .
-
Pirms papildu atjauninājumu instalēšanas instalējiet 23. septembri, 2019 atkārtoti KB4474419 un KB4490628 , lai iegūtu Windows 7 SP1 un Windows Server 2008 R2 SP1.
-
Restartējiet operētājsistēmu. Ir nepieciešama šī restartēšana
-
Instalējiet atlikušos atjauninājumus.
Windows 10, versija 1903 atbalsta SHA-2, jo tas ir laidiens, un visi atjauninājumi jau ir SHA-2. Šai Windows versijai nav nepieciešama darbība.
Windows 7 SP1 un Windows Server 2008 R2 SP1
-
Ielādējiet sistēmā Windows pirms jebkura augusts 13, 2019 vai jaunākas versijas atjauninājumu instalēšanas.
-
Pirms papildu atjauninājumu instalēšanas instalējiet 23. septembri, 2019 atkārtoti KB4474419 un KB4490628, lai iegūtu Windows 7 SP1 un Windows Server 2008 R2 SP1.
-
Restartējiet operētājsistēmu. Ir nepieciešama šī restartēšana
-
Instalējiet atlikušos atjauninājumus.
Windows Server 2008 SP2
-
Ielādējiet sistēmā Windows, pirms instalējat kādu no 9. jūlija, 2019 vai jaunākas versijas atjauninājumiem.
-
Pirms papildu atjauninājumu instalēšanas instalējiet KB4474419 un KB4493730 , kas paredzēts Windows Server 2008 SP2, atkārtota izlaišanas 2019.
-
Restartējiet operētājsistēmu. Ir nepieciešama šī restartēšana
-
Instalējiet atlikušos atjauninājumus.
Problēmu atkopšana
Ja redzat kļūdas 0xc0000428 ar ziņojumu "Windows nevar pārbaudīt šī faila ciparparakstu. Nesenās aparatūras vai programmatūras izmaiņas var būt instalējis failu, kas ir nepareizi parakstīts vai bojāts vai kas var būt ļaunprātīga programmatūra no nezināma avota. lai atkoptu, veiciet tālāk norādītās darbības.
-
Startējiet operētājsistēmu, izmantojot atkopšanas datu nesēju.
-
Pirms visu papildu atjauninājumu instalēšanas instalējiet atjaunināšanas KB4474419 , kas ir datēts ar 23. septembri, 2019 vai jaunāku datumu, izmantojot izvietošanas attēlu apkopi un pārvaldību (DISM) sistēmai Windows 7 SP1 un Windows Server 2008 R2 SP1.
-
Komandu uzvednē palaidiet bcdboot.exe. Tādējādi sāknēšanas faili tiek kopēti no Windows direktorija un iestatīta sāknēšanas vide. Detalizētu informāciju skatiet BCDBoot Command-Line opcijas .
-
Restartējiet operētājsistēmu.
-
Apturēt izvietošanu citās ierīcēs un nerestartēt nevienu ierīci vai VMs, kas vēl nav restartēts.
-
Identificējiet ierīces un VMs un pēc tam atsāciet statusu ar atjauninājumiem, kas izlaisti 13. augustā, 2019 vai jaunākā versijā, un atveriet privileģētu komandu uzvedni
-
Atrodiet tā atjauninājuma pakotnes identitāti, kuru vēlaties noņemt, izmantojot tālāk norādīto komandu, izmantojot šī atjauninājuma KB numuru (aizstājiet 4512506 ar norādīto KB numuru, ja tas nav mēneša apkopojums izlaists augusts 13, 2019): DISM/Online/get-packages | findstr 4512506
-
Izmantojiet šo komandu, lai noņemtu atjauninājumu, aizstājot <pakotnes identitātes> ar iepriekšējo komandu, kas tika atrasta: Dism.exe/Online/remove-package/packagename: <pakotnes identitāte>
-
Tagad vajadzēs instalēt nepieciešamos atjauninājumus, kas norādīti tā atjauninājuma sadaļā, ko mēģināt instalēt, vai nepieciešamos atjauninājumus, kas norādīti šī raksta sadaļā Pašreizējais statuss .
Piezīme.Jebkura ierīce vai VM, kurā pašlaik tiek rādīts kļūdas 0xc0000428 vai kas tiek startēts atkopšanas vidē, ir jāizpilda rakstā bieži uzdotie jautājumi par kļūdu 0xc0000428.
Ja rodas šīs kļūdas, ir jāinstalē nepieciešamie atjauninājumi, kas norādīti tā atjauninājuma sadaļā, ko mēģināt instalēt, vai nepieciešamie atjauninājumi, kas norādīti šī raksta sadaļā Pašreizējais statuss .
Ja redzat kļūdas 0xc0000428 ar ziņojumu "Windows nevar pārbaudīt šī faila ciparparakstu. Nesenās aparatūras vai programmatūras izmaiņas var būt instalējis failu, kas ir nepareizi parakstīts vai bojāts vai kas var būt ļaunprātīga programmatūra no nezināma avota. lai atkoptu, veiciet tālāk norādītās darbības.
-
Startējiet operētājsistēmu, izmantojot atkopšanas datu nesēju.
-
Instalējiet jaunāko SHA-2 atjauninājumu (KB4474419), kas izlaists 2019. gada 13. augustā vai pēc tam, izmantojot izvietošanas attēlu apkopi un pārvaldību (DISM) darbam ar Windows 7 SP1 un Windows Server 2008 R2 SP1.
-
Atsāknējiet atkopšanas datu nesējā. Ir nepieciešama šī restartēšana
-
Komandu uzvednē palaidiet bcdboot.exe. Tādējādi sāknēšanas faili tiek kopēti no Windows direktorija un iestatīta sāknēšanas vide. Detalizētu informāciju skatiet BCDBoot Command-Line opcijas .
-
Restartējiet operētājsistēmu.
Ja rodas šī problēma, varat novērst šo problēmu, atverot komandu uzvednes logu un izpildiet tālāk norādīto komandu, lai instalētu atjauninājumu (aizstājiet <msu atrašanās vietas> vietturi ar faktisko atrašanās vietu un atjauninājuma faila nosaukumu).
wusa.exe <msu atrašanās vieta>/quiet
Šī problēma ir novērsta programmā KB4474419 , kas izlaista 2019. gada 8. oktobrī. Šis atjauninājums tiks automātiski instalēts no Windows Update un Windows Server Update Services (WSUS). Ja šis atjauninājums ir jāinstalē manuāli, jums vajadzēs izmantot iepriekš minēto risinājumu.
Piezīme.Ja iepriekš instalējāt KB4474419 izlaists septembris 23, 2019, jums jau ir jaunākā šī atjauninājuma versija un tas nav jāpārinstalē.