Podsumowanie
Aby chronić bezpieczeństwo systemu operacyjnego Windows, wcześniej podpisywano aktualizacje (przy użyciu algorytmów skrótów SHA-1 i SHA-2). Podpisy służą do uwierzytelniania, że aktualizacje pochodzą bezpośrednio od firmy Microsoft i nie były modyfikowane podczas dostarczania. Ze względu na braki w algorytmie SHA-1 i w celu dostosowania do standardów branżowych zmieniliśmy podpisywanie aktualizacji systemu Windows, aby używać bezpieczniejszego algorytmu SHA-2 wyłącznie. Tę zmianę wprowadzano w fazach, począwszy od kwietnia 2019 r. do września 2019 r., aby umożliwić bezproblemową migrację (zobacz sekcję "Harmonogram aktualizacji produktu", aby uzyskać więcej szczegółowych informacji na temat zmian).
Klienci korzystający ze starszych wersji systemu operacyjnego (Windows 7 z dodatkiem SP1, Windows Server 2008 R2 z dodatkiem SP1 i Windows Server 2008 z dodatkiem SP2) muszą mieć na swoich urządzeniach zainstalowaną obsługę podpisywania kodu SHA-2 w celu zainstalowania aktualizacji opublikowanych w lipcu 2019 r. lub później. Żadne urządzenia bez obsługi sha-2 nie będą mogły instalować aktualizacji systemu Windows w lipcu 2019 r. ani później. Aby ułatwić Ci przygotowanie się na tę zmianę, od marca 2019 r. opublikowano obsługę logowania SHA-2 i wprowadzono ulepszenia przyrostowe. Usługi Windows Server Update Services (WSUS) 3.0 z dodatkiem SP2 otrzymają pomoc techniczną SHA-2 w celu bezpiecznego dostarczania aktualizacji z podpisem SHA-2. Zobacz sekcję "Harmonogram aktualizacji produktu" na osi czasu migracji tylko SHA-2.
Szczegóły tła
Algorytm 1 bezpiecznego skrótu (SHA-1) został opracowany jako nieodwracalna funkcja skrótów i jest powszechnie stosowany jako część podpisywania kodu. Niestety, bezpieczeństwo algorytmu skrótu SHA-1 z czasem staje się mniej bezpieczne ze względu na słabe działanie algorytmu, wzrost wydajności procesora oraz nadejście przetwarzania w chmurze. Silniejsze alternatywy, takie jak algorytm bezpiecznego skrótu 2 (SHA-2), są teraz zdecydowanie preferowane, ponieważ nie doświadczą one tych samych problemów. Aby uzyskać więcej informacji na temat cofania funkcji SHA-1, zobacz algorytmy skrótów i podpisów.
Harmonogram aktualizacji produktu
Od początku 2019 r. proces migracji do pomocy technicznej SHA-2 rozpoczął się etapowo, a obsługa będzie dostarczana w aktualizacjach autonomicznych. W celu zaoferować pomoc techniczną SHA-2 firma Microsoft jest kierowana do następującego harmonogramu. Pamiętaj, że następująca oś czasu może ulec zmianie. Będziemy nadal aktualizować tę stronę zgodnie z potrzebami.
Data docelowa |
Zdarzenie |
Dotyczy |
12 marca 2019 r. |
Aktualizacje zabezpieczeń KB4474419 i KB4490628 opublikowane w celu wprowadzenia obsługi podpisywania kodu SHA-2. |
Windows 7 z dodatkiem SP1 Windows Server 2008 R2 SP1 |
12 marca 2019 r. |
Autonomiczna aktualizacja KB4484071 jest dostępna w wykazie usługi Windows Update dla programu WSUS 3.0 z dodatkiem SP2, który obsługuje dostarczanie aktualizacji z podpisem SHA-2. W przypadku klientów korzystających z programu WSUS 3.0 z dodatkiem SP2 należy ręcznie zainstalować tę aktualizację nie później niż 18 czerwca 2019 r. |
WSUS 3.0 SP2 |
9 kwietnia 2019 r. |
Aktualizacja KB4493730, która wprowadza obsługę podpisywania kodu SHA-2 dla stosu obsługi (SSU, Stand Alone Update), została wydana jako aktualizacja zabezpieczeń. |
Windows Server 2008 SP2 |
14 maja 2019 r. |
Aktualizacja zabezpieczeń KB4474419 opublikowana w celu wprowadzenia obsługi podpisywania kodu SHA-2. |
Windows Server 2008 SP2 |
11 czerwca 2019 r. |
Aktualizacja zabezpieczeń KB4474419opublikowana ponownie w celu dodania brakującej obsługi znaku kodu MSI SHA-2. |
Windows Server 2008 SP2 |
18 czerwca 2019 r. |
W systemie Windows 10 podpisy zostały zmienione tylko z dwóch podpisów (SHA-1/SHA-2) na SHA-2. Nie są wymagane żadne działania klienta. |
Windows 10, wersja 1709 Windows 10, wersja 1803 Windows 10, wersja 1809 Windows Server 2019 |
18 czerwca 2019 r. |
Wymagane: W przypadku klientów korzystających z programu WSUS 3.0 z dodatkiem SP2 do tej daty należy ręcznie zainstalować aktualizację KB4484071 w celu obsługi aktualizacji SHA-2. |
WSUS 3.0 SP2 |
9 lipca 2019 r. |
Wymagane: Aktualizacje starszych wersji systemu Windows wymagają zainstalowania obsługi podpisywania kodu SHA-2. Aby nadal otrzymywać aktualizacje dla tych wersji systemu Windows, wymagana będzie pomoc techniczna wydana w kwietniu i maju(KB4493730 i KB4474419). Wszystkie starsze wersje systemu Windows w tej chwili tylko zmieniły podpisy z SHA1 i z dwóch podpisów (SHA-1/SHA-2) na SHA-2. |
Windows Server 2008 SP2 |
16 lipca 2019 r. |
W systemie Windows 10 podpisy zostały zmienione tylko z dwóch podpisów (SHA-1/SHA-2) na SHA-2. Nie są wymagane żadne działania klienta. |
Windows 10, wersja 1507 Windows 10, wersja 1607 Windows Server 2016 Windows 10, wersja 1703 |
13 sierpnia 2019 r. |
Wymagane: Aktualizacje starszych wersji systemu Windows wymagają zainstalowania obsługi podpisywania kodu SHA-2. Aby nadal otrzymywać aktualizacje dla tych wersji systemu Windows, wymagana będzie pomoc techniczna wydana w marcu(KB4474419 i KB4490628). Jeśli masz urządzenie lub maszyny wirtualnej korzystające z rozruchu EFI, zobacz sekcję z często zadawanymi pytaniami, aby uzyskać dodatkowe instrukcje dotyczące zapobiegania problemom, które mogą powodować, że urządzenie nie uruchamia się. W tej chwili wszystkie starsze podpisy systemu Windows zostały zmienione z SHA-1 i z dwóch podpisów (SHA-1/SHA-2) na SHA-2. |
Windows 7 z dodatkiem SP1 Windows Server 2008 R2 SP1 |
10 września 2019 r. |
Podpisy starszych aktualizacji systemu Windows zostały zmienione tylko z dwóch podpisów (SHA-1/SHA-2) na SHA-2. Nie są wymagane żadne działania klienta. |
Windows Server 2012 Windows 8.1 Windows Server 2012 R2 |
10 września 2019 r. |
Aktualizacja zabezpieczeń "Autonomiczny" KB4474419 została ponownie wydana w celu dodania brakujących mangerów rozruchu EFI. Upewnij się, że ta wersja jest zainstalowana. |
Windows 7 z dodatkiem SP1 Windows Server 2008 R2 z dodatkiem SP1 Windows Server 2008 SP2 |
28 stycznia 2020 r. |
Podpisy na listach zaufania certyfikatów w zaufanym programie głównym firmy Microsoft zostały zmienione z dwóch podpisów (SHA-1/SHA-2) na tylko SHA-2. Nie są wymagane żadne działania klienta. |
Wszystkie obsługiwane platformy systemu Windows |
Sierpień 2020 r. |
Punkty końcowe usługi oparte na usłudze Windows Update SHA-1 zostaną wycofane. Ma to wpływ tylko na starsze urządzenia z systemem Windows, które nie zostały zaktualizowane o odpowiednie aktualizacje zabezpieczeń. Aby uzyskać więcej informacji, zobacz ARTYKUŁ KB4569557. |
Windows 7 Windows 7 z dodatkiem SP1 Windows Server 2008 Windows Server 2008 z dodatkiem SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1 |
3 sierpnia 2020 r. |
Firma Microsoft wycofała zawartość podpisaną przez system Windows dla algorytmu bezpiecznego skrótu 1 (SHA-1) z Centrum pobierania Microsoft. Aby uzyskać więcej informacji, zobacz blog programu Windows IT Pro SHA-1 w systemie Windows, który zostanie wycofany 3 sierpnia 2020 r. |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Server |
Bieżący stan
Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1
Poniższe wymagane aktualizacje muszą zostać zainstalowane, a następnie ponownie uruchomione urządzenie przed zainstalowaniem jakiejkolwiek aktualizacji wydanej 13 sierpnia 2019 r. lub nowszej. Wymagane aktualizacje można zainstalować w dowolnej kolejności i nie trzeba ich ponownie instalować, chyba że istnieje nowa wersja wymaganej aktualizacji.
-
Aktualizacja stosu obsługi (SSU)(KB4490628). Jeśli korzystasz z usługi Windows Update, wymagana wersja SSU zostanie Ci oferowana automatycznie.
-
Aktualizacja SHA-2(KB4474419)wydana 10 września 2019 r. Jeśli korzystasz z usługi Windows Update, wymagana aktualizacja SHA-2 będzie ci oferowana automatycznie.
Ważne Po zainstalowaniu wszystkich wymaganych aktualizacji musisz ponownie uruchomić urządzenie przed zainstalowaniem miesięcznego pakietu zb. pakietu zbiorczego, aktualizacji tylko do zabezpieczeń, podglądu miesięcznego pakietu zb. lub aktualizacji autonomicznej.
Windows Server 2008 SP2
Poniższe aktualizacje muszą zostać zainstalowane, a następnie ponownie uruchomione urządzenie przed zainstalowaniem pakietu zbiorczego wydanego 10 września 2019 r. lub nowszego. Wymagane aktualizacje można zainstalować w dowolnej kolejności i nie trzeba ich ponownie instalować, chyba że istnieje nowa wersja wymaganej aktualizacji.
-
Aktualizacja stosu obsługi (SSU)(KB4493730). Jeśli korzystasz z usługi Windows Update, wymagana aktualizacja SSU zostanie Ci oferowana automatycznie.
-
Najnowsza aktualizacja SHA-2(KB4474419)wydana 10 września 2019 r. Jeśli korzystasz z usługi Windows Update, wymagana aktualizacja SHA-2 będzie ci oferowana automatycznie.
Ważne Po zainstalowaniu wszystkich wymaganych aktualizacji musisz ponownie uruchomić urządzenie przed zainstalowaniem miesięcznego pakietu zb. pakietu zbiorczego, aktualizacji tylko do zabezpieczeń, podglądu miesięcznego pakietu zb. lub aktualizacji autonomicznej.
Często zadawaj pytania
Informacje ogólne, planowanie i zapobieganie problemom
Obsługa podpisywania kodu SHA-2 została wysłana wcześniej, aby zapewnić, że większość klientów będzie miała pomoc techniczną z dużym wyprzedzeniem przed zmianą podpisów SHA-2 firmy Microsoft na potrzeby aktualizacji tych systemów. Aktualizacje autonomiczne zawierają pewne dodatkowe poprawki i są udostępniane w celu zapewnienia, że wszystkie aktualizacje SHA-2 będą zawierały niewielką liczbę łatwo rozpoznawalnych aktualizacji. Firma Microsoft zaleca klientom korzystającym z obrazów systemowych dla tych systemów operacyjnych stosowanie tych aktualizacji do obrazów.
Począwszy od wersji WSUS 4.0 w systemie Windows Server 2012 program WSUS obsługuje już aktualizacje z podpisem SHA-2 i w przypadku tych wersji nie są wymagane żadne działania klienta.
Tylko program WSUS 3.0 z dodatkiem SP2 wymaga zainstalowania aktualizacji KB4484071 wcelu obsługi tylko podpisanych aktualizacji SHA2.
Załóżmy, że jest uruchomiony system Windows Server 2008 z dodatkiem SP2. Jeśli używasz dwóch rozruchów w systemie Windows Server 2008 R2 z dodatkiem SP1/Windows 7 z dodatkiem SP1, menedżerem rozruchu dla tego typu systemu jest system Windows Server 2008 R2/Windows 7. Aby pomyślnie zaktualizować oba te systemy w celu używania obsługi sha-2, należy najpierw zaktualizować system Windows Server 2008 R2/Windows 7, aby menedżer rozruchu został zaktualizowany do wersji obsługującej sha-2. Następnie zaktualizuj system Windows Server 2008 z dodatkiem SP2 przy użyciu obsługi sha-2.
Podobnie jak w scenariuszu z dwoma rozruchami środowisko pe systemu Windows 7 musi zostać zaktualizowane do obsługi sha-2. Następnie należy zaktualizować system Windows Server 2008 z dodatkiem SP2 do obsługi sha-2.
-
Uruchamianie konfiguracji systemu Windows w celu ukończenia i rozruchu systemu Windows przed zainstalowaniem aktualizacji z 13 sierpnia 2019 r. lub nowszych
-
Otwórz okno wiersza polecenia administratora, uruchom polecenie bcdboot.exe. To kopiuje pliki rozruchu z katalogu systemu Windows i konfiguruje środowisko rozruchu. Zobacz opcje narzędzia BCDBoot Command-Line, aby uzyskać więcej szczegółowych informacji.
-
Przed zainstalowaniem jakichkolwiek dodatkowych aktualizacji zainstaluj ponowne wydanie aktualizacji KB4474419 i KB4490628 z 13 sierpnia 2019 r. dla systemów Windows 7 SP1 i Windows Server 2008 R2 SP1.
-
Uruchom ponownie system operacyjny. To ponowne uruchomienie jest wymagane
-
Zainstaluj wszystkie pozostałe aktualizacje.
-
Zainstaluj obraz na dysku i uruchom komputer z systemem Windows.
-
W wierszu polecenia uruchom polecenie bcdboot.exe. To kopiuje pliki rozruchu z katalogu systemu Windows i konfiguruje środowisko rozruchu. Zobacz opcje narzędzia BCDBoot Command-Line, aby uzyskać więcej szczegółowych informacji.
-
Przed zainstalowaniem jakichkolwiek dodatkowych aktualizacji zainstaluj ponowne wydanie aktualizacji KB4474419 i KB4490628 z 23 września 2019 r. dla systemów Windows 7 SP1 i Windows Server 2008 R2 SP1.
-
Uruchom ponownie system operacyjny. To ponowne uruchomienie jest wymagane
-
Zainstaluj wszystkie pozostałe aktualizacje.
Tak, konieczne będzie zainstalowanie wymaganych aktualizacji przed przystąpieniem do procedury: aktualizacjaKB4490628 (KB4490628)i aktualizacja SHA-2(KB4474419). Ponadto po zainstalowaniu wymaganych aktualizacji konieczne jest ponowne uruchomienie urządzenia przed zainstalowaniem dalszych aktualizacji.
System Windows 10 w wersji 1903 obsługuje technologię SHA-2, ponieważ jest ona dostępna, a wszystkie aktualizacje są już podpisane tylko przez sha-2. W przypadku tej wersji systemu Windows nie trzeba nic zrobić.
Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1
-
Uruchom system Windows przed zainstalowaniem jakichkolwiek aktualizacji z 13 sierpnia 2019 r. lub nowszych.
-
Przed zainstalowaniem jakichkolwiek dodatkowych aktualizacji zainstaluj ponowne wydanie aktualizacji KB4474419 i KB4490628z 23 września 2019 r. dla systemów Windows 7 SP1 i Windows Server 2008 R2 SP1.
-
Uruchom ponownie system operacyjny. To ponowne uruchomienie jest wymagane
-
Zainstaluj wszystkie pozostałe aktualizacje.
Windows Server 2008 SP2
-
Uruchom system Windows przed zainstalowaniem jakichkolwiek aktualizacji z 9 lipca 2019 r. lub nowszych.
-
Przed zainstalowaniem jakichkolwiek dodatkowych aktualizacji zainstaluj ponowne wydanie aktualizacji KB4474419 i KB4493730 dla systemu Windows Server 2008 z dodatkiem SP2 z 23 września 2019 r.
-
Uruchom ponownie system operacyjny. To ponowne uruchomienie jest wymagane
-
Zainstaluj wszystkie pozostałe aktualizacje.
Odzyskiwanie problemów
Jeśli zostanie wyświetlony komunikat o błędzie 0xc0000428 z komunikatem "System Windows nie może zweryfikować podpisu cyfrowego dla tego pliku. Ostatnio w wyniku zmiany sprzętu lub oprogramowania mógł zostać zainstalowany plik, który jest niepoprawnie zalogowany lub uszkodzony albo że może to być złośliwe oprogramowanie z nieznanego źródła". wykonaj poniższe czynności, aby odzyskać.
-
Uruchom system operacyjny przy użyciu nośnika odzyskiwania.
-
Przed zainstalowaniem jakichkolwiek dodatkowych aktualizacji zainstaluj aktualizację KB4474419 z datą 23 września 2019 r. lub późniejszą, używając funkcji OBSŁUGI i zarządzania obrazami wdrażania(DISM)dla systemów Windows 7 SP1 i Windows Server 2008 R2 SP1.
-
W wierszu polecenia uruchom polecenie bcdboot.exe. To kopiuje pliki rozruchu z katalogu systemu Windows i konfiguruje środowisko rozruchu. Zobacz opcje narzędzia BCDBoot Command-Line, aby uzyskać więcej szczegółowych informacji.
-
Uruchom ponownie system operacyjny.
-
Zatrzymaj wdrożenie na innych urządzeniach i nie uruchamiaj ponownie żadnych urządzeń ani maszyn wirtualnych, które nie zostały jeszcze uruchomione ponownie.
-
Identyfikowanie urządzeń i maszyn wirtualnych w stanie oczekiwania na ponowne uruchomienie za pomocą aktualizacji opublikowanych 13 sierpnia 2019 r. lub nowszych oraz otwarcie wiersza polecenia z podwyższonym poziomem uprawnień
-
Znajdź tożsamość pakietu dla aktualizacji, którą chcesz usunąć, używając następującego polecenia, używając numeru KB dla tej aktualizacji (zastąp 4512506 numerem KB, do którego jest kierowana aktualizacja, jeśli nie jest to miesięczny pakiet zbiorczy opublikowany 13 sierpnia 2019 r.): dism /online /get-packages | findstr 4512506
-
Aby usunąć aktualizację, użyj następującego polecenia, zastępując<tożsamości pakietu > tym, co znaleziono w poprzednim poleceniu: Dism.exe /online /remove-package /packagename:<package identity>
-
Teraz musisz zainstalować wymagane aktualizacje wymienione w sekcji Jak uzyskać tę aktualizację aktualizacji, która próbujesz zainstalować, lub wymagane aktualizacje wymienione powyżej w sekcji Bieżący stan w tym artykule.
UwagaKażde urządzenie lub maszyny wirtualnej, na których obecnie jest wyświetlany komunikat o błędzie 0xc0000428 lub które rozpoczyna się w środowisku odzyskiwania, musisz wykonać czynności opisane w pytaniu z często zadawanymi pytaniami, aby uzyskać informacje o błędach 0xc0000428.
Jeśli wystąpią te błędy, musisz zainstalować wymagane aktualizacje wymienione w sekcji Jak uzyskać tę aktualizację aktualizacji, która próbujesz zainstalować, lub wymagane aktualizacje wymienione powyżej w sekcji Bieżący stan w tym artykule.
Jeśli zostanie wyświetlony komunikat o błędzie 0xc0000428 z komunikatem "System Windows nie może zweryfikować podpisu cyfrowego dla tego pliku. Ostatnio w wyniku zmiany sprzętu lub oprogramowania mógł zostać zainstalowany plik, który jest niepoprawnie zalogowany lub uszkodzony albo że może to być złośliwe oprogramowanie z nieznanego źródła". wykonaj poniższe czynności, aby odzyskać.
-
Uruchom system operacyjny przy użyciu nośnika odzyskiwania.
-
Zainstaluj najnowszą aktualizację SHA-2(KB4474419)wydaną 13 sierpnia 2019 r. lub później, używając funkcji obsługi i zarządzania obrazami wdrażania(DISM)dla systemów Windows 7 SP1 i Windows Server 2008 R2 SP1.
-
Uruchom ponownie nośnik odzyskiwania. To ponowne uruchomienie jest wymagane
-
W wierszu polecenia uruchom polecenie bcdboot.exe. To kopiuje pliki rozruchu z katalogu systemu Windows i konfiguruje środowisko rozruchu. Zobacz opcje narzędzia BCDBoot Command-Line, aby uzyskać więcej szczegółowych informacji.
-
Uruchom ponownie system operacyjny.
Jeśli wystąpi ten problem, możesz zminimalizować ten problem, otwierając okno wiersza polecenia i uruchamiać następujące polecenie w celu zainstalowania aktualizacji <(zastąp symbol zastępczy> lokalizacji msu rzeczywistą lokalizacją i nazwą pliku aktualizacji):
wusa.exe <lokalizacji msu> /quiet
Ten problem został rozwiązany w aktualizacji KB4474419 wydanej 8 października 2019 r. Ta aktualizacja zostanie automatycznie instalowana z usług Windows Update i Windows Server Update Services (WSUS). Jeśli musisz zainstalować tę aktualizację ręcznie, musisz skorzystać z powyższego obejścia.
UwagaJeśli wcześniej zainstalowano aktualizację KB4474419 wydaną 23 września 2019 r., to masz już najnowszą wersję tej aktualizacji i nie trzeba jej ponownie instalować.