Resumo
Para ajudar a proteger a segurança do sistema operativo Windows, foram previamente assinadas atualizações (utilizando os algoritmos de haxixe SHA-1 e SHA-2). As assinaturas são usadas para autenticar que as atualizações vêm diretamente da Microsoft e não foram adulteradas durante a entrega. Devido às fraquezas no algoritmo SHA-1 e para nos alinharmos com os padrões da indústria, alterámos a assinatura de atualizações do Windows para utilizar o algoritmo SHA-2 mais seguro exclusivamente. Esta alteração foi feita por fases que começaram entre abril de 2019 e setembro de 2019 para permitir uma migração suave (consulte a secção "Agenda de Atualização de Produto" para mais detalhes sobre as alterações).
Os clientes que executam versões de SISTEMA legacy (Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2) são obrigados a ter suporte de assinatura de código SHA-2 instalado nos seus dispositivos para instalar atualizações lançadas em ou depois de julho de 2019. Quaisquer dispositivos sem suporte SHA-2 não poderão instalar atualizações do Windows em ou depois de julho de 2019. Para ajudar a prepará-lo para esta mudança, lançamos suporte para a assinatura SHA-2 a partir de março de 2019 e fizemos melhorias incrementais. Os Serviços de Atualização do Servidor do Windows (WSUS) 3.0 SP2 receberão suporte SHA-2 para fornecer atualizações assinadas por SHA-2 de forma segura. Consulte a secção "Agenda de atualização do Produto" para a única linha de tempo de migração SHA-2.
Detalhes de fundo
O Algoritmo de Hash Seguro 1 (SHA-1) foi desenvolvido como uma função de hashing irreversível e é amplamente utilizado como parte da assinatura de código. Infelizmente, a segurança do algoritmo de haxixe SHA-1 tornou-se menos segura ao longo do tempo devido às fraquezas encontradas no algoritmo, ao aumento do desempenho do processador e ao advento da computação em nuvem. Alternativas mais fortes como o Algoritmo de Hash Seguro 2 (SHA-2) são agora fortemente preferenciais, uma vez que não experimentam os mesmos problemas. Para obter mais informações sobre a depreciação do SHA-1, consulte Os Algoritmos de Hash e Assinatura.
Calendário de atualização do produto
A partir do início de 2019, o processo de migração para o suporte sha-2 começou por etapas, e o apoio será entregue em atualizações autónomas. A Microsoft está a direcionar o seguinte horário para oferecer suporte SHA-2. Por favor, note que a seguinte linha temporal está sujeita a alterações. Continuaremos a atualizar esta página conforme necessário.
Data-alvo |
Evento |
Aplica-se a |
12 de março de 2019 |
Stand Alone atualizações de segurança KB4474419 e KB4490628 lançados para introduzir suporte de sinal de código SHA-2. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
12 de março de 2019 |
A atualização Stand Alone, KB4484071 está disponível no Catálogo de Atualização do Windows para WSUS 3.0 SP2 que suporta a entrega de atualizações assinadas pela SHA-2. Para os clientes que utilizam o WSUS 3.0 SP2, esta atualização deve ser instalada manualmente o mais tardar a 18 de junho de 2019. |
WSUS 3.0 SP2 |
9 de abril de 2019 |
Stand Alone update, KB4493730 que introduzem suporte de sinal de código SHA-2 para a pilha de manutenção (SSU) foi lançado como uma atualização de segurança. |
Windows Server 2008 SP2 |
14 de maio de 2019 |
Stand Alone atualização de segurança KB4474419 lançada para introduzir suporte de sinal de código SHA-2. |
Windows Server 2008 SP2 |
11 de junho de 2019 |
Stand Alone atualização de segurança KB4474419relançado para adicionar suporte de sinal de código MSI SHA-2 desaparecido. |
Windows Server 2008 SP2 |
18 de junho de 2019 |
As assinaturas de atualizações do Windows 10 mudaram de assinatura dupla (SHA-1/SHA-2) apenas para SHA-2. Não é necessária nenhuma ação do cliente. |
Windows 10, versão 1709 Windows 10, versão 1803 Windows 10, versão 1809 Windows Server 2019 |
18 de junho de 2019 |
Necessário: Para os clientes que utilizam o WSUS 3.0 SP2, o KB4484071 deve ser instalado manualmente até esta data para suportar atualizações SHA-2. |
WSUS 3.0 SP2 |
9 de julho de 2019 |
Necessário: As atualizações para as versões antigas do Windows exigirão a instalação do suporte de assinatura de código SHA-2. O suporte lançado em abril e maio(KB4493730 e KB4474419)será necessário para continuar a receber atualizações sobre estas versões do Windows. Todas as assinaturas de atualizações do Windows do legado mudaram de SHA1 e duplas assinadas (SHA-1/SHA-2) para SHA-2 apenas neste momento. |
Windows Server 2008 SP2 |
16 de julho de 2019 |
As assinaturas de atualizações do Windows 10 mudaram de assinatura dupla (SHA-1/SHA-2) apenas para SHA-2. Não é necessária nenhuma ação do cliente. |
Windows 10, versão 1507 Windows 10, versão 1607 Windows Server 2016 Windows 10, versão 1703 |
13 de agosto de 2019 |
Necessário: As atualizações para as versões antigas do Windows exigirão a instalação do suporte de assinatura de código SHA-2. O suporte lançado em março(KB4474419 e KB4490628)será necessário para continuar a receber atualizações sobre estas versões do Windows. Se tiver um dispositivo ou VM utilizando o arranque EFI, consulte a secção FAQ para obter medidas adicionais para evitar um problema em que o seu dispositivo não possa arrancar. Todas as assinaturas de atualizações do Windows do legado mudaram de SHA-1 e duplas assinadas (SHA-1/SHA-2) para SHA-2 apenas neste momento. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
10 de setembro de 2019 |
As assinaturas de atualização legacy Windows mudaram de assinatura dupla (SHA-1/SHA-2) apenas para SHA-2. Não é necessária nenhuma ação do cliente. |
Windows Server 2012 Windows 8.1 Windows Server 2012 R2 |
10 de setembro de 2019 |
A atualização de segurança Stand Alone KB4474419 foi relançada para adicionar manjedouras de botas EFI desaparecidas. Certifique-se de que esta versão está instalada. |
Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
28 de janeiro de 2020 |
As assinaturas nas Listas de Confiança de Certificados (CTLs) para o Programa raiz fidedigna da Microsoft mudaram de assinatura dupla (SHA-1/SHA-2) apenas para SHA-2. Não é necessária nenhuma ação do cliente. |
Todas as plataformas suportadas do Windows |
agosto de 2020 |
Os pontos finais de serviço baseados no Windows Update SHA-1 são descontinuados. Isto apenas afeta dispositivos Windows mais antigos que não tenham atualizado com as atualizações de segurança apropriadas. Para mais informações, consulte KB4569557. |
Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1 |
3 de agosto de 2020 |
O conteúdo retirado da Microsoft que é assinado pelo Windows para Secure Hash Algorithm 1 (SHA-1) do Microsoft Download Center. Para mais informações, consulte o blog do Windows PRO SHA-1 Windows para ser retirado a 3 de agosto de 2020. |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Servidor Windows 10 |
Estado atual
Windows 7 SP1 e Windows Server 2008 R2 SP1
As seguintes atualizações necessárias devem ser instaladas e, em seguida, o dispositivo reiniciado antes de instalar qualquer atualização lançada a 13 de agosto de 2019 ou posterior. As atualizações necessárias podem ser instaladas em qualquer ordem e não precisam de ser reinstaladas, a menos que exista uma nova versão da atualização necessária.
-
Atualização da pilha de manutenção (SSU) (KB4490628). Se utilizar o Windows Update, a SSU necessária será-lhe oferecida automaticamente.
-
Atualização SHA-2 (KB4474419) lançada a 10 de setembro de 2019. Se utilizar o Windows Update, a atualização SHA-2 necessária será-lhe oferecida automaticamente.
ImportanteTem de reiniciar o seu dispositivo depois de instalar todas as atualizações necessárias, antes de instalar qualquer Rollup Mensal, apenas de segurança, pré-visualização do Rollup Mensal ou atualização autónoma.
Windows Server 2008 SP2
As seguintes atualizações devem ser instaladas e, em seguida, o dispositivo reiniciado antes de instalar qualquer Rollup lançado a 10 de setembro de 2019 ou posteriormente. As atualizações necessárias podem ser instaladas em qualquer ordem e não precisam de ser reinstaladas, a menos que exista uma nova versão da atualização necessária.
-
Atualização da pilha de manutenção (SSU) (KB4493730). Se utilizar o Windows Update, a atualização SSU necessária será-lhe oferecida automaticamente.
-
A mais recente atualização SHA-2 (KB4474419) foi lançada a 10 de setembro de 2019. Se utilizar o Windows Update, a atualização SHA-2 necessária será-lhe oferecida automaticamente.
ImportanteTem de reiniciar o seu dispositivo depois de instalar todas as atualizações necessárias, antes de instalar qualquer Rollup Mensal, apenas de segurança, pré-visualização do Rollup Mensal ou atualização autónoma.
Perguntas frequentes
Informação geral, planeamento e prevenção de problemas
O suporte de assinatura de código SHA-2 foi enviado mais cedo para garantir que a maioria dos clientes teria o suporte bem antes da mudança da Microsoft para a assinatura SHA-2 para atualizações para estes sistemas. As atualizações autónomas incluem algumas correções adicionais e estão a ser disponibilizadas para garantir que todas as atualizações sha-2 estão num pequeno número de atualizações facilmente identificáveis. A Microsoft recomenda que os clientes que mantenham imagens do sistema para estes OSes apliquem estas atualizações nas imagens.
Começando pelo WSUS 4.0 no Windows Server 2012, a WSUS já suporta atualizações assinadas pela SHA-2 e não é necessária qualquer ação do cliente para estas versões.
Apenas o WSUS 3.0 SP2 necessita do KB4484071instalado para suportar atualizações assinadas apenas pelo SHA2.
Assuma que executou o Windows Server 2008 SP2. Se tiver duas botas com o Windows Server 2008 R2 SP1/Windows 7 SP1, o gestor de boot para este tipo de sistema é do sistema R2/Windows 7 do Windows Server 2008. Para atualizar com sucesso ambos estes sistemas para utilizar o suporte SHA-2, tem primeiro de atualizar o sistema R2/Windows 7 do Windows Server 2008 para que o gestor de boot seja atualizado para a versão que suporta o SHA-2. Em seguida, atualize o sistema SP2 do Windows Server 2008 com suporte SHA-2.
À semelhança do cenário de arranque duplo, o ambiente Do Windows 7 PE deve ser atualizado para suporte SHA-2. Em seguida, o sistema SP2 do Windows Server 2008 tem de ser atualizado para suporte SHA-2.
-
Executar a configuração do Windows para concluir e iniciar no Windows antes de instalar atualizações de 13 de agosto de 2019 ou posteriores
-
Abra uma janela de pedido de comando do administrador, corra bcdboot.exe. . Isto copia os ficheiros de arranque do diretório do Windows e configura o ambiente de arranque. Consulte bcdBoot Command-Line Opções para mais detalhes.
-
Antes de instalar quaisquer atualizações adicionais, instale o relançamento de 13 de agosto de 2019 do KB44744419 e do KB4490628 para o Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
Reinicie o sistema operativo. Este recomeço é necessário
-
Instale quaisquer atualizações restantes.
-
Instale a imagem no disco e arranque no Windows.
-
Na origem do comando, corra bcdboot.exe. Isto copia os ficheiros de arranque do diretório do Windows e configura o ambiente de arranque. Consulte bcdBoot Command-Line Opções para mais detalhes.
-
Antes de instalar quaisquer atualizações adicionais, instale o relançamento de KB44744419 e KBB4490628 para o Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
Reinicie o sistema operativo. Este recomeço é necessário
-
Instale quaisquer atualizações restantes.
Sim, terá de instalar as atualizações necessárias antes de prosseguir: SSU(KB4490628)e atualização SHA-2(KB4474419). Além disso, é necessário reiniciar o seu dispositivo depois de instalar as atualizações necessárias antes de instalar quaisquer novas atualizações.
O Windows 10, versão 1903 suporta o SHA-2 desde o seu lançamento e todas as atualizações já estão assinadas apenas com SHA-2. Não é necessária nenhuma ação para esta versão do Windows.
Windows 7 SP1 e Windows Server 2008 R2 SP1
-
Iniciar no Windows antes de instalar quaisquer atualizações de 13 de agosto de 2019 ou posteriores.
-
Antes de instalar quaisquer atualizações adicionais, instale o relançamento de KB44744419 e KBB4490628para o Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
Reinicie o sistema operativo. Este recomeço é necessário
-
Instale quaisquer atualizações restantes.
Windows Server 2008 SP2
-
Iniciar no Windows antes de instalar quaisquer atualizações a 9 de julho de 2019 ou posteriores.
-
Antes de instalar quaisquer atualizações adicionais, instale o relançamento de KB4474419 e KBB4493730 para o Windows Server 2008 SP2.
-
Reinicie o sistema operativo. Este recomeço é necessário
-
Instale quaisquer atualizações restantes.
Recuperação de problemas
Se estiver a ver erro 0xc0000428 com a mensagem "O Windows não pode verificar a assinatura digital deste ficheiro. Uma recente alteração de hardware ou software pode ter instalado um ficheiro que é assinado incorretamente ou danificado, ou que pode ser um software malicioso de uma fonte desconhecida." por favor, siga estes passos para se recuperar.
-
Inicie o sistema operativo utilizando meios de recuperação.
-
Antes de instalar quaisquer atualizações adicionais, instale a atualização KB44744419 datada de 23 de setembro de 2019 ou uma data posterior utilizando o Serviço de Assistência e Gestão de Imagem de Implementação(DISM)para o Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
Na origem do comando, corra bcdboot.exe. Isto copia os ficheiros de arranque do diretório do Windows e configura o ambiente de arranque. Consulte bcdBoot Command-Line Opções para mais detalhes.
-
Reinicie o sistema operativo.
-
Pare a implementação de outros dispositivos e não reinicie nenhum dispositivo ou VMs que ainda não tenha reiniciado.
-
Identifique dispositivos e VMs em reinício pendente com atualizações lançadas a 13 de agosto de 2019 ou posteriormente e abra uma solicitação de comando elevada
-
Encontre a identidade do pacote para a atualização que pretende remover utilizando o seguinte comando utilizando o seguinte comando utilizando o número KB para essa atualização (substitua 4512506 pelo número KB que está a ser alvo, se não for o rollup mensal lançado a 13 de agosto de 2019): dism /online /get-packages | encontrar o 4512506
-
Utilize o seguinte comando para remover a atualização, substituindo >>de identidade do pacote< pelo que foi encontrado no comando anterior:Dism.exe /online /remove-pacote /pacote/<identidade do pacote>
-
Terá agora de instalar as atualizações necessárias listadas na secção Como obter esta secção de atualização da atualização que está a tentar instalar, ou as atualizações necessárias listadas acima na secção estado atual deste artigo.
NotaQualquer dispositivo ou VM que esteja a receber um erro 0xc0000428 ou que esteja a começar no ambiente de recuperação, terá de seguir os passos na questão das FAQ por erro 0xc0000428.
Se encontrar estes erros, tem de instalar as atualizações necessárias listadas na secção Como obter esta secção de atualização da atualização que está a tentar instalar ou as atualizações necessárias listadas acima na secção estado atual deste artigo.
Se estiver a ver erro 0xc0000428 com a mensagem "O Windows não pode verificar a assinatura digital deste ficheiro. Uma recente alteração de hardware ou software pode ter instalado um ficheiro que é assinado incorretamente ou danificado, ou que pode ser um software malicioso de uma fonte desconhecida." por favor, siga estes passos para se recuperar.
-
Inicie o sistema operativo utilizando meios de recuperação.
-
Instale a mais recente atualização SHA-2 (KB4474419) lançada em ou depois de 13 de agosto de 2019, utilizando a Implementação de Serviços e Gestão de Imagem(DISM)para o Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
Reinicie nos meios de recuperação. Este recomeço é necessário
-
Na origem do comando, corra bcdboot.exe. Isto copia os ficheiros de arranque do diretório do Windows e configura o ambiente de arranque. Consulte bcdBoot Command-Line Opções para mais detalhes.
-
Reinicie o sistema operativo.
Se encontrar este problema, pode atenuar este problema abrindo uma janela de pedido de comando e executar o seguinte comando para instalar a atualização (substitua a localização <msu> espaço reservado com a localização real e o nome do ficheiro da atualização):
wusa.exe <localização msu> /quiet
Esta questão é resolvida no KB4474419 lançado a 8 de outubro de 2019. Esta atualização instala-se automaticamente a partir de Serviços de Atualização do Windows Update e Windows Server Update (WSUS). Se precisar de instalar esta atualização manualmente, terá de utilizar a solução-de-solução acima.
NotaSe já instalou o KB44744419 lançado a 23 de setembro de 2019, então já tem a versão mais recente desta atualização e não precisa de ser reinstalado.