Özet
Windows işletim sisteminin güvenliğini korumaya yardımcı olmak için, güncelleştirmeler daha önce imzalanmıştır (hem SHA-1 hem de SHA-2 karma algoritmaları kullanılarak). İmzalar, güncelleştirmelerin doğrudan Microsoft'tan gelip teslim sırasında değiştirilmediğini doğrulamak için kullanılır. SHA-1 algoritmasının zayıf yönleri ve endüstri standartlarıyla uyumlu hale geldi. Windows güncelleştirmelerinin imzalarını, özel olarak daha güvenli SHA-2 algoritması kullanmak üzere değiştirdik. Bu değişiklik, sorunsuz geçişe izin vermek için Nisan 2019 ile Eylül 2019 arasında başlayan aşamalarda yapıldı (değişikliklerle ilgili daha fazla ayrıntı için "Ürün güncelleştirme zamanlaması" bölümüne bakın).
Eski işletim sistemi sürümlerini (Windows 7 SP1, Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2) çalıştıran müşterilerin, Temmuz 2019 veya sonrasında yayımlanan güncelleştirmeleri yüklemek için cihazlarında SHA-2 kod imzalama desteğinin yüklü olması gerekir. SHA-2 desteği olmayan cihazlar, Temmuz 2019 veya sonrasında Windows güncelleştirmelerini yükleyemeden. Bu değişiklik için hazırlanmanıza yardımcı olmak için Mart 2019'dan itibaren SHA-2 oturum açma desteğini ve artımlı geliştirmeler yaptık. Windows Server Update Services (WSUS) 3.0 SP2, SHA-2 imzalı güncelleştirmeleri güvenli bir şekilde sunmak için SHA-2 desteği alır. Lütfen SHA-2 yalnızca geçiş zaman çizelgesi için "Ürün güncelleştirme zamanlaması" bölümüne bakın.
Arka plan ayrıntıları
Güvenli Karma Algoritması 1 (SHA-1) geri alınamaz bir karma işlevi olarak geliştirilmiştir ve kod imzalamanın bir parçası olarak yaygın olarak kullanılır. Ne yazık ki, sha-1 karma algoritmasının güvenliği zamanla algoritmada bulunan zayıflamalar, işlemci performansının artması ve bulut bilgi işlem performansının ortaya atması nedeniyle daha az güvenli hale geldi. Güvenli Karma Algoritması 2 (SHA-2) gibi daha güçlü alternatifler artık önemle tercih edilir çünkü aynı sorunları yaşamazlar. SHA-1'in kullanımdan nasıl kullanımdan silinecekleri hakkında daha fazla bilgi için, Karma ve İmza Algoritmaları'ne bakın.
Ürün güncelleştirme zamanlaması
2019'un başlarından başlayarak, SHA-2 desteğine geçiş süreci aşamalı olarak başladı ve destek tek başına güncelleştirmelerde teslim edilecek. Microsoft, SHA-2 desteği sunmak için aşağıdaki zamanlamayı hedefle devam ediyor. Aşağıdaki zaman çizelgesinde değişiklik olduğunu lütfen unutmayın. Gerektiğinde bu sayfayı güncelleştirmeye devam edeceğiz.
Hedef Tarih |
Olay |
Geçerli Olduğu Yer |
12 Mart 2019 |
SHA-2 kod imzalama desteğinin tanıtımı için yayımlanan KB4474419 ve KB4490628 tek başına güvenlik güncelleştirmeleri. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
12 Mart 2019 |
Tek Başına güncelleştirmesi olan KB4484071, WSUS 3.0 SP2 için SHA-2 imzalı güncelleştirmelerin teslimi destekleyen Windows Update Kataloğu'nda kullanılabilir. WSUS 3.0 SP2 kullanan müşteriler için, bu güncelleştirmenin 18 Haziran 2019'dan sonra el ile yüklenmiş olması gerekir. |
WSUS 3.0 SP2 |
9 Nisan 2019 |
Tek Başına güncelleştirmesi olan KB4493730, hizmet yığını (SSU) için SHA-2 kod işareti desteği bir güvenlik güncelleştirmesi olarak yayınlandı. |
Windows Server 2008 SP2 |
14 Mayıs 2019 |
SHA-2 kod imzalama desteğinin tanıtımı için yayımlanan TEK Başına güvenlik güncelleştirmesi KB4474419. |
Windows Server 2008 SP2 |
11 Haziran 2019 |
Eksik MSI SHA-2 kod imzalama desteği eklemek için yeniden yayımlanan KB4474419tek başına güvenlik güncelleştirmesi. |
Windows Server 2008 SP2 |
18 Haziran 2019 |
Windows 10, imzaları yalnızca çift imzalı (SHA-1/SHA-2) olan SHA-2'ye değiştirdi. Müşteri eylemi gerekmez. |
Windows 10, sürüm 1709 Windows 10, sürüm 1803 Windows 10 sürüm 1809 Windows Server 2019 |
18 Haziran 2019 |
Gerekli: WSUS 3.0 SP2 kullanan müşteriler için, SHA-2 güncelleştirmelerini desteklemek için KB4484071'in bu tarihe kadar el ile yüklenmiş olması gerekir. |
WSUS 3.0 SP2 |
9 Temmuz 2019 |
Gerekli: Eski Windows sürümleri için güncelleştirmeler için SHA-2 kod imzalama desteğinin yüklü olması gerekir. Windows'un bu sürümlerinde güncelleştirmeleri almaya devam etmek için Nisan ve Mayıs(KB4493730 ve KB4474419)ile birlikte yayımlanan destek gereklidir. Tüm eski Windows güncelleştirmeleri imzaları ŞU anda SHA1 ve çift imzalı (SHA-1/SHA-2) ile SHA-2 arasında değişti. |
Windows Server 2008 SP2 |
16 Temmuz 2019 |
Windows 10, yalnızca çift imzalı (SHA-1/SHA-2) olan imzaları SHA-2'ye değiştirdi. Müşteri eylemi gerekmez. |
Windows 10, sürüm 1507 Windows 10, sürüm 1607 Windows Server 2016 Windows 10, sürüm 1703 |
13 Ağustos 2019 |
Gerekli: Eski Windows sürümleri için güncelleştirmeler için SHA-2 kod imzalama desteğinin yüklü olması gerekir. Mart ayında(KB4474419 ve KB4490628)yayımlanan destek, Windows'un bu sürümlerinde güncelleştirmeleri almaya devam etmek için gereklidir. EFI önyüklemesi kullanan bir cihazınız veya VM'niz varsa, cihazınızın başlatılamaymasıyla ilgili ek adımlar için SSS bölümüne bakın. Tüm eski Windows güncelleştirmeleri imzaları şu anda SHA-1 ve çift imzalı (SHA-1/SHA-2) ile SHA-2 arasında değişti. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
10 Eylül 2019 |
Eski Windows güncelleştirme imzaları, çift imzalıdan (SHA-1/SHA-2) yalnızca SHA-2'ye değiştirildi. Müşteri eylemi gerekmez. |
Windows Server 2012 Windows 8.1 Windows Server 2012 R2 |
10 Eylül 2019 |
Tek Başına güvenlik güncelleştirmesi KB4474419 eksik EFI önyükleme görevlileri eklemek için yeniden yayınlandı. Lütfen bu sürümün yüklü olduğundan emin olun. |
Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
28 Ocak 2020 |
Microsoft Güvenilen Kök Programı'nın Sertifika Güveni Listelerinde (CTL) yer alan imzalar, çift imzalıdan (SHA-1/SHA-2) yalnızca SHA-2'ye değiştirildi. Müşteri eylemi gerekmez. |
Desteklenen tüm Windows platformları |
Ağustos 2020 |
Windows Update SHA-1 tabanlı hizmet uç noktaları sona erdirildi. Bu yalnızca uygun güvenlik güncelleştirmeleriyle güncelleştirilmiş eski Windows cihazlarını etkiler. Daha fazla bilgi için bkz. KB4569557. |
Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1 |
3 Ağustos 2020 |
Microsoft, Güvenli Karma Algoritması 1 (SHA-1) için Windows tarafından imzalanan içeriği Microsoft İndirme Merkezi'nden kaldırdı. Daha fazla bilgi için 3 Ağustos 2020'de kaldır kaldıracak OLAN WINDOWS IT pro blogu SHA-1 Windows içeriğine bakın. |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Server |
Geçerli durum
Windows 7 SP1 ve Windows Server 2008 R2 SP1
13 Ağustos 2019 veya daha sonraki bir sürümde yayımlanan güncelleştirmeleri yüklemeden önce aşağıdaki gerekli güncelleştirmelerin yüklenmiş ve cihaz yeniden başlatılacaktır. Gerekli güncelleştirmeler herhangi bir sırada yüklen olabilir ve gerekli güncelleştirmenin yeni bir sürümü olmadığı sürece yeniden yüklenmesi gerekmez.
-
Hizmet yığını güncelleştirmesi (SSU) (KB4490628). Windows Update kullanıyorsanız, gerekli SSU size otomatik olarak sunulur.
-
10 Eylül 2019'da yayımlanan SHA-2 güncelleştirmesi(KB4474419). Windows Update kullanıyorsanız, gerekli SHA-2 güncelleştirmesi size otomatik olarak sunulur.
Önemli Herhangi bir Aylık Toplama, yalnızca Güvenlikle ilgili güncelleştirme, Aylık Toplama Önizlemesi veya tek başına güncelleştirmeleri yüklemeden önce gerekli tüm güncelleştirmeleri yükledikten sonra cihazınızı yeniden başlatmanız gerekir.
Windows Server 2008 SP2
10 Eylül 2019 veya daha sonraki bir sürümde yayımlanan toplamaları yüklemeden önce aşağıdaki güncelleştirmelerin yüklenmiş ve cihaz yeniden başlatmalısınız. Gerekli güncelleştirmeler herhangi bir sırada yüklen olabilir ve gerekli güncelleştirmenin yeni bir sürümü olmadığı sürece yeniden yüklenmesi gerekmez.
-
Hizmet yığını güncelleştirmesi (SSU) (KB4493730). Windows Update kullanıyorsanız, gerekli SSU güncelleştirmesi size otomatik olarak sunulur.
-
10 Eylül 2019'da yayımlanan en son SHA-2 güncelleştirmesi(KB4474419). Windows Update kullanıyorsanız, gerekli SHA-2 güncelleştirmesi size otomatik olarak sunulur.
Önemli Herhangi bir Aylık Toplama, yalnızca Güvenlikle ilgili güncelleştirme, Aylık Toplama Önizlemesi veya tek başına güncelleştirmeleri yüklemeden önce gerekli tüm güncelleştirmeleri yükledikten sonra cihazınızı yeniden başlatmanız gerekir.
Sık Sorulan Sorular
Genel bilgiler, planlama ve sorun önleme
Çoğu müşteri, Microsoft'un bu sistemlerde yapılan güncelleştirmeler için SHA-2 imzalamaya değiştirmeden önce de destek almak için SHA-2 kod imzalama desteği erken gönderildi. Tek başına güncelleştirmeler bazı ek düzeltmeler içerir ve SHA-2 güncelleştirmelerinin hepsinin az sayıda kolayca tanımlanabilen güncelleştirmede olduğundan emin olmak için sağ sunulmaktadır. Microsoft, bu güncelleştirmeleri resimlere uygulamak için bu işletim sistemleri için sistem görüntülerinin bakımını yapacak müşterilerin bu güncelleştirmeleri uygulamalarını önermektedir.
Windows Server 2012'de WSUS 4.0'dan başlayarak, WSUS zaten SHA-2 imzalı güncelleştirmeleri destekler ve bu sürümler için müşteri eylemi gerekmez.
SHA2 yalnızca imzalanmış güncelleştirmeleri desteklemek için yalnızca WSUS 3.0 SP2'nin KB4484071yüklü olması gerekir.
Windows Server 2008 SP2'yi çalıştırabilirsiniz. Windows Server 2008 R2 SP1/Windows 7 SP1 ile çift önyükleme yaptıysanız, bu tür bir sistemin önyükleme yöneticisi Windows Server 2008 R2/Windows 7 sistemindendir. Bu sistemlerin her ikisini de SHA-2 desteğini kullanmak üzere başarıyla güncelleştirmek için, önce Windows Server 2008 R2/Windows 7 sistemini güncelleştirmeniz gerekir; böylelikle önyükleme yöneticisi SHA-2'yi destekleyen sürüme güncelleştirilir. Ardından, Windows Server 2008 SP2 sistemini SHA-2 desteğiyle güncelleştirin.
Çift önyükleme senaryosuna benzer şekilde, Windows 7 PE ortamı da SHA-2 desteğine güncelleştirilmalıdır. Ardından, Windows Server 2008 SP2 sisteminin SHA-2 desteğine güncelleştirilmiş olması gerekir.
-
13 Ağustos 2019 veya sonraki güncelleştirmeleri yüklemeden önce Windows kurulumunu tamamlamaya ve Windows'a başlatmaya çalıştırma
-
Yönetici komut istemi penceresini açın, bcdboot.exe. Bu, önyükleme dosyalarını Windows dizininden kopyalar ve önyükleme ortamını ayarlar. Diğer ayrıntılar için BCDBoot Command-Line Seçenekleri'ne bakın.
-
Ek güncelleştirmeleri yüklemeden önce, Windows 7 SP1 ve Windows Server 2008 R2 SP1 için KB4474419 ve KB4490628'in 13 Ağustos 2019 yeniden yayımını yükleyin.
-
İşletim sistemini yeniden başlatın. Bu yeniden başlatma gereklidir
-
Kalan tüm güncelleştirmeleri yükleyin.
-
Resmi diske yükleyin ve Windows'a önyükleme.
-
Komut isteminde, bcdboot.exe. Bu, önyükleme dosyalarını Windows dizininden kopyalar ve önyükleme ortamını ayarlar. Diğer ayrıntılar için BCDBoot Command-Line Seçenekleri'ne bakın.
-
Ek güncelleştirmeleri yüklemeden önce, Windows 7 SP1 ve Windows Server 2008 R2 SP1 için KB4474419 ve KB4490628'in 23 Eylül 2019'da yeniden yayımını yükleyin.
-
İşletim sistemini yeniden başlatın. Bu yeniden başlatma gereklidir
-
Kalan tüm güncelleştirmeleri yükleyin.
Windows 10 sürüm 1903, piyasaya çıktı ve tüm güncelleştirmeler zaten SHA-2 tarafından imzalanmış olduğu için SHA-2'yi destekler. Windows'un bu sürümü için herhangi bir işlem gerekmez.
Windows 7 SP1 ve Windows Server 2008 R2 SP1
-
Herhangi bir 13 Ağustos 2019 veya sonraki güncelleştirmeleri yüklemeden önce Windows'a önyükleme.
-
Ek güncelleştirmeleri yüklemeden önce, Windows 7 SP1 ve Windows Server 2008 R2 SP1 için KB4474419 ve KB4490628'in23 Eylül 2019'da yeniden yayımını yükleyin.
-
İşletim sistemini yeniden başlatın. Bu yeniden başlatma gereklidir
-
Kalan tüm güncelleştirmeleri yükleyin.
Windows Server 2008 SP2
-
Herhangi bir 9 Temmuz 2019 veya sonraki güncelleştirmeleri yüklemeden önce Windows'a önyükleme.
-
Ek güncelleştirmeleri yüklemeden önce, 23 Eylül 2019 kb4474419 ve Windows Server 2008 SP2 için KB4493730'un yeniden yayımını yükleyin.
-
İşletim sistemini yeniden başlatın. Bu yeniden başlatma gereklidir
-
Kalan tüm güncelleştirmeleri yükleyin.
Sorun kurtarma
"Windows, bu 0xc0000428 dijital imzayı doğrulayamamıyor. Yakın zamanda yapılan bir donanım veya yazılım değişikliği, hatalı veya zarar görmüş ya da bilinmeyen bir kaynaktan gelen kötü amaçlı yazılımlardan biri olabilir." kurtarmak için lütfen bu adımları izleyin.
-
Kurtarma ortamını kullanarak işletim sistemini başlatma.
-
Ek güncelleştirmeleri yüklemeden önce, Windows 7 SP1 ve Windows Server 2008 R2 SP1 için Dağıtım Görüntüsü Bakım ve Yönetimi(DISM)kullanarak 23 Eylül 2019 veya sonraki bir tarihli KB4474419 güncelleştirmesini yükleyin.
-
Komut isteminde, bcdboot.exe. Bu, önyükleme dosyalarını Windows dizininden kopyalar ve önyükleme ortamını ayarlar. Diğer ayrıntılar için BCDBoot Command-Line Seçenekleri'ne bakın.
-
İşletim sistemini yeniden başlatın.
-
Dağıtımı diğer cihazlara durdurarak, henüz yeniden başlatmamış olan cihaz veya VM'leri yeniden başlatmayın.
-
13 Ağustos 2019 veya daha sonraki bir sürümde yayımlanan güncelleştirmelerle cihazları ve VM'leri yeniden başlatma beklemede durumunu belirleme ve yükseltilmiş komut istemini açma
-
Kaldırmak istediğiniz güncelleştirmenin paket kimliğini bulmak için, bu güncelleştirmenin KB numarasını kullanarak aşağıdaki komutu kullanın (4512506'nın yerine 4512506, 13 Ağustos 2019'da yayımlanan Aylık toplama ise): dism /online /get-packages | findstr 4512506
-
Güncelleştirmeyi kaldırmak için aşağıdaki komutu kullanın;<paket kimliği>önceki komutta bulunanlarla değiştirir: Dism.exe /online /remove-package /packagename:<package identity>
-
Artık, yüklemekte olduğunuz güncelleştirmenin bu güncelleştirme bölümünü nasıl edinebilirsiniz bölümünde listelenen gerekli güncelleştirmeleri veya bu makalenin Geçerli durum bölümünde yukarıda listelenen gerekli güncelleştirmeleri yüklemeniz gerekir.
NotŞu anda hata iletisi alan veya kurtarma ortamına 0xc0000428 cihaz ya da VM varsa, hata iletisi almak için SSS sorusunda yer alan adımları 0xc0000428.
Bu hatalarla karşılaşırsanız, yüklemekte olduğunuz güncelleştirmenin bu güncelleştirmenin nasıl alınacak bölümünde listelenen gerekli güncelleştirmeleri veya bu makalenin Geçerli durum bölümünde yukarıda listelenen gerekli güncelleştirmeleri yüklemeniz gerekir.
"Windows, bu 0xc0000428 dijital imzayı doğrulayamamıyor. Yakın zamanda yapılan bir donanım veya yazılım değişikliği, hatalı veya zarar görmüş ya da bilinmeyen bir kaynaktan gelen kötü amaçlı yazılımlardan biri olabilir." kurtarmak için lütfen bu adımları izleyin.
-
Kurtarma ortamını kullanarak işletim sistemini başlatma.
-
Windows 7 SP1 ve Windows Server 2008 R2 SP1 için Dağıtım Görüntüsü Bakım ve Yönetimi(DISM)kullanarak 13 Ağustos 2019'da veya sonrasında yayımlanan en son SHA-2 güncelleştirmesini(KB4474419)yükleyin.
-
Kurtarma ortamını yeniden başlatın. Bu yeniden başlatma gereklidir
-
Komut isteminde, bcdboot.exe. Bu, önyükleme dosyalarını Windows dizininden kopyalar ve önyükleme ortamını ayarlar. Diğer ayrıntılar için BCDBoot Command-Line Seçenekleri'ne bakın.
-
İşletim sistemini yeniden başlatın.
Bu sorunla karşılaşırsanız, bir komut istemi penceresi açarak ve güncelleştirmeyi yüklemek için aşağıdaki komutu çalıştırarak bu sorunu azaltmak için (<msu konumu yer tutucusunu> güncelleştirmenin gerçek konumu ve dosya adıyla değiştirin):
wusa.exe </quiet> msu konumu
Bu sorun 8 Ekim 2019'da yayımlanan KB4474419'da çözüldü. Bu güncelleştirme Windows Update ve Windows Server Update Services'tan (WSUS) otomatik olarak yüklenir. Bu güncelleştirmeyi el ile yüklemeniz gerekirse, yukarıdaki geçici çözümü kullanmalısınız.
Not23 Eylül 2019'da yayımlanan KB4474419'u daha önce yüklemişsinizdir, bu güncelleştirmenin en son sürümüne zaten sahipsinizdir ve yeniden yüklemeniz gerekmez.