Suvestinė
Siekiant apsaugoti "Windows" operacinės sistemos saugą, anksčiau buvo pasirašyti naujinimai (naudojant abu SHA-1 ir SHA-2 maišos algoritmus). Parašai naudojami norint autentifikuoti, kad naujinimai gaunami tiesiogiai iš "Microsoft" ir nebuvo pažeisti pristatymo metu. Dėl SHA-1 algoritmo trūkumų ir suderinti su pramonės standartais, mes pakeitėme "Windows" naujinimų pasirašymą, kad būtų galima naudoti saugesnį SHA-2 algoritmą. Šis pakeitimas buvo atliktas fazėse nuo balandžio 2019 iki rugsėjo 2019, kad būtų galima sklandžiai perkelti (žr. skyrių produkto atnaujinimo grafikas, jei norite daugiau informacijos apie pakeitimus).
Klientams, kurie naudoja senstelėjusias operacinės sistemos versijas ("Windows 7 SP1", "Windows Server" 2008 R2 SP1 ir "Windows Server 2008" SP2), turi būti "SHA-2" kodo pasirašymas, kuris įdiegtas jų įrenginiuose, kad būtų įdiegti naujinimai, išleisti liepos 2019 mėn. Visi įrenginiai be "SHA-2" palaikymo negalės įdiegti "Windows" naujinimų liepos arba po 2019. Norėdami padėti pasiruošti šiam pakeitimui, mes išleidome "SHA-2" prisijungimo prie "2019" kovo mėn. "Windows Server" naujinimo tarnybų (WSUS) 3,0 SP2 gaus SHA-2 palaikymą, kad galėtumėte saugiai pateikti "SHA-2" pasirašytiems naujinimams. "SHA-2" perkėlimo laiko planavimo juostos skyriuje "produkto naujinimo tvarkaraštis" peržiūrėkite.
Išsami informacija
Saugaus Maišos algoritmas 1 (SHA-1) buvo sukurtas kaip negrįžtantis maišymo funkcija ir plačiai naudojamas kaip kodo pasirašymas. Deja, "SHA-1 hash" algoritmo saugumas tapo mažiau saugus, nes yra trūkumų, rastų algoritme, padidėjo procesoriaus našumas ir atsirado debesų kompiuterija. Stipresnės alternatyvos, pvz., saugus Maišos algoritmas 2 (SHA-2), dabar griežtai naudojamos, nes jiems nepasireiškia tos pačios problemos. Jei norite gauti daugiau informacijos apie SHA-1 nuteistųjų, žiūrėkite maišos ir parašų algoritmai.
Produktų naujinimo tvarkaraštis
Pradėję nuo "2019" pradžios, perkėlimo procesas į SHA-2 palaikymą prasidėjo etapais, ir palaikymas bus pristatomas kaip atskiri naujinimai. "Microsoft" nukreipia į toliau pateiktą tvarkaraštį, kad būtų galima teikti SHA-2 palaikymą. Atkreipkite dėmesio, kad toliau pateikta laiko planavimo juosta gali būti keičiama. Mes ir toliau atnaujinsime šį puslapį, jei reikia.
Paskirties data |
Įvykio |
Taikoma |
2019 kovo 12 d. |
Savarankiškas saugos naujinimų KB4474419 ir KB4490628 išleistas įvesti Sha-2 kodo ženklo palaikymą. |
"Windows 7" SP1 "Windows Server" 2008 R2 SP1 |
2019 kovo 12 d. |
Savarankiškas naujinimas, KB4484071 yra "Windows" naujinimų katalogo WSUS 3,0 SP2, kuris palaiko Sha-2 pasirašytiems naujinimams teikti. Tiems klientams, naudojantiems WSUS 3,0 SP2, šį naujinimą reikia įdiegti rankiniu būdu ne vėlesnė nei birželio 18 d. 2019. |
WSUS 3,0 SP2 |
Balandžio 9, 2019 |
Savarankiškas naujinimas, KB4493730 , kuris įveda Sha-2 kodo ženklą palaikymas priežiūros rietuvėje (su), buvo išleistas kaip saugos naujinimas. |
„Windows Server 2008“ SP2 |
2019 gegužės 14 d. |
Savarankiškas saugos naujinimo KB4474419 išleistas siekiant įvesti Sha-2 kodo ženklo palaikymą. |
„Windows Server 2008“ SP2 |
2019 birželio 11 d. |
Savarankiškas saugos naujinimo KB4474419pakartotinai išleistas, kad ĮTRAUKTUMĖTE trūkstamą MSI Sha-2 kodo prisijungimo palaikymą. |
„Windows Server 2008“ SP2 |
2019 birželio 18 d. |
"Windows 10" atnaujina parašus, pakeitusius iš Dual pasirašė (SHA-1/SHA-2), tik SHA-2. Nereikia kliento veiksmo. |
"Windows 10", 1709 versija "Windows 10", 1803 versija "Windows 10", 1809 versija "Windows Server" 2019 |
2019 birželio 18 d. |
Būtina Tiems klientams, naudojantiems WSUS 3,0 SP2, " KB4484071 " turi būti rankiniu būdu įdiegti pagal šią datą, kad PALAIKYTŲ Sha-2 naujinimus. |
WSUS 3,0 SP2 |
2019 liepos 9 d. |
Būtina Senstelėjusių "Windows" versijų naujinimai reikalauja įdiegti SHA-2 kodo prisijungimo palaikymą. Balandį ir gegužę (KB4493730 ir KB4474419) išleistas palaikymas, kad būtų galima toliau gauti naujinimus šiose "Windows" versijose. Visi senstelėję langai atnaujina parašus, pakeitusius nuo SHA1 ir Dual pasirašė (SHA-1/SHA-2), tik tuo metu į SHA-2. |
„Windows Server 2008“ SP2 |
2019 liepos 16 d. |
"Windows 10" atnaujina parašus, pakeitusius iš Dual pasirašė (SHA-1/SHA-2), tik SHA-2. Nereikia kliento veiksmo. |
"Windows 10", 1507 versija "Windows 10", 1607 versija "Windows Server" 2016 "Windows 10", 1703 versija |
2019 rugpjūčio 13 d. |
Būtina Senstelėjusių "Windows" versijų naujinimai reikalauja įdiegti SHA-2 kodo prisijungimo palaikymą. "March" (KB4474419 ir KB4490628) išleistas palaikymas bus būtinas norint toliau gauti naujinimus šiose "Windows" versijose. Jei naudojate "EFI boot" įrenginį arba VM, peržiūrėkite DUK sekciją, kur rasite papildomų veiksmų, kad išvengtumėte problemų, dėl kurių jūsų įrenginys gali nepradėti. Visiems senstelėjusiam "Windows" naujinimams buvo pakeistas iš SHA-1 ir Dual pasirašė (SHA-1/SHA-2) tik į SHA-2. |
"Windows 7" SP1 "Windows Server" 2008 R2 SP1 |
Rugsėjo 10, 2019 |
Senstelėjusių "Windows Update" parašų pakeitimai iš Dual pasirašė (SHA-1/SHA-2) tik SHA-2. Nereikia kliento veiksmo. |
"Windows Server" 2012 "Windows 8,1 " "Windows Server 2012 R2" |
Rugsėjo 10, 2019 |
Atskiras saugos naujinimas KB4474419 buvo iš naujo išleistas, kad būtų įtraukti trūkstami EFI boot "mangers". Įsitikinkite, kad ši versija įdiegta. |
"Windows 7" SP1 "Windows Server" 2008 R2 SP1 "Windows Server" 2008 SP2 |
Sausio 28, 2020 |
Parašai, esantys " Microsoft" patikimos šaknies programos, pakeistos "Microsoft" patikimos šaknies programos (SHA-1/Sha-2), sertifikatų patikimumo sąrašuose (SHA-1/Sha-2), yra tik Sha-2. Nereikia kliento veiksmo. |
Visos palaikomos "Windows" platformos |
2020 rugpjūtis |
"Windows Update SHA-1" pagal aptarnavimo pabaigos taškus reikia nutraukti. Tai tik senesnių "Windows" įrenginių, kurie neatnaujinti su tinkamais saugos naujinimais, poveikis. Daugiau informacijos ieškokite KB4569557. |
"Windows 7 " "Windows 7" SP1 "Windows Server" 2008 "Windows Server" 2008 SP2 "Windows Server 2008 R2 " "Windows Server" 2008 R2 SP1 |
Rugpjūčio 3, 2020 |
"Microsoft" pasitraukė iš "Microsoft" atsisiuntimo centro ir "Microsoft" atsisiuntimo centro "Windows" – pasirašė saugaus maišos algoritmo 1 (SHA-1) turinį. Daugiau informacijos ieškokite "Windows IT Pro" interneto dienoraščio SHA-1 "Windows" turinyje, kuris bus pašalintas rugpjūčio 3, 2020. |
"Windows Server" 2000 "Windows XP " "Windows Server" 2003 "Windows Vista " "Windows Server" 2008 "Windows 7 " "Windows Server 2008 R2 " "Windows 8 " "Windows Server" 2012 "Windows 8,1 " "Windows Server 2012 R2 " "Windows 10 " "Windows 10" serveris |
Dabartinė būsena
"Windows 7 SP1" ir "Windows Server 2008 R2 SP1"
Turi būti įdiegti toliau nurodyti būtini naujinimai ir įrenginys paleidžiamas iš naujo prieš diegiant bet kurį naujinimą, išleistą rugpjūčio 13, 2019 arba vėliau. Būtinus naujinimus galima įdiegti bet kokia tvarka ir jų nereikia įdiegti iš naujo, nebent yra nauja būtino naujinimo versija.
-
Priežiūros rietuvės naujinimas (su) (KB4490628). Jei naudojate "Windows Update", jums bus pasiūlyta automatiškai pateikti reikiamus "s" su jumis.
-
SHA-2 atnaujinimas (KB4474419) išleistas rugsėjo 10, 2019. Jei naudojate "Windows" naujinimą, būtinas SHA-2 naujinimas bus pasiūlytas automatiškai.
Svarbu Įdiegę visus reikalingus naujinimus turite iš naujo paleisti įrenginį, prieš įdiegdami bet kurį mėnesinį naujinimų paketą, tik saugos naujinimą, mėnesio naujinimų peržiūra arba atskirą naujinimą.
„Windows Server 2008“ SP2
Šie naujinimai turi būti įdiegti, tada įrenginys paleidžiamas iš naujo prieš diegiant bet kurį naujinimų paketą, išleistą rugsėjo 10, 2019 arba vėliau. Būtinus naujinimus galima įdiegti bet kokia tvarka ir jų nereikia įdiegti iš naujo, nebent yra nauja būtino naujinimo versija.
-
Priežiūros rietuvės naujinimas (su) (KB4493730). Jei naudojate "Windows Update", jums bus pasiūlytas būtinas "s" s naujinimas.
-
Naujausias SHA-2 atnaujinimas (KB4474419) išleistas rugsėjo 10, 2019. Jei naudojate "Windows" naujinimą, būtinas SHA-2 naujinimas bus pasiūlytas automatiškai.
Svarbu Įdiegę visus reikalingus naujinimus turite iš naujo paleisti įrenginį, prieš įdiegdami bet kurį mėnesinį naujinimų paketą, tik saugos naujinimą, mėnesio naujinimų peržiūra arba atskirą naujinimą.
Dažnai užduodami klausimai
Bendros informacijos, planavimo ir problemos prevencija
"SHA-2" kodo pasirašymas buvo išsiųstas iš anksto, siekiant užtikrinti, kad dauguma klientų turėtų palaikymą gerokai iš anksto, kai "Microsoft" pakeis į SHA-2 pasirašymą, kad būtų galima atnaujinti šias sistemas. Atskiri naujinimai apima keletą papildomų pataisų ir yra prieinami siekiant užtikrinti, kad visi SHA-2 naujinimai būtų šiek tiek lengvai atpažįstamų naujinimų. "Microsoft" rekomenduoja klientams, kurie palaiko šių operacinių sistemų vaizdus, kad galėtų taikyti šiuos naujinimus vaizdams.
Pradedant WSUS 4,0 "Windows Server 2012", WSUS jau palaiko SHA-2-pasirašė naujinimus, o šioms versijoms nereikia kliento veiksmų.
Tik WSUS "3,0" SP2 reikia KB4484071, kad būtų galima palaikyti SHA2 tik pasirašytais naujinimais.
Tarkime, kad vykdote "Windows Server" 2008 SP2. Jei turite dvigubo paleidimo su "Windows Server" 2008 R2 SP1/"Windows 7" SP1, šio tipo sistemos įkrovos tvarkytuvas yra iš "Windows Server 2008 R2" arba "Windows 7" sistemos. Norint sėkmingai atnaujinti abi šias sistemas naudoti SHA-2 palaikymą, pirmiausia turite atnaujinti "Windows Server" 2008 R2/"Windows 7" sistemą, kad įkrovos tvarkytuvas būtų atnaujintas į versiją, palaikančią SHA-2. Tada atnaujinkite "Windows Server" 2008 SP2 sistemą su "SHA-2" palaikymu.
Panašiai kaip ir dvigubos įkrovos scenarijus, "Windows 7" PE aplinka turi būti atnaujinta į "SHA-2" palaikymą. Tada "Windows Server" 2008 SP2 sistema turi būti atnaujinta į "SHA-2" palaikymą.
-
Paleiskite "Windows" sąranką, kad užbaigtumėte ir įkrautumėte "Windows" prieš diegiant rugpjūčio 13, 2019 arba naujesnius naujinimus
-
Atidarykite administratoriaus komandų eilutės langą, paleiskite bcdboot.exe. Tai kopijuoja "Windows" katalogo įkrovos failus ir nustato įkrovos aplinką. Daugiau informacijos ieškokite bcdboot Command-Line parinkčių .
-
Prieš diegdami visus papildomus naujinimus, įdiekite rugpjūčio 13 d., 2019 iš naujo paleiskite " KB4474419 " ir " KB4490628 ", skirtą "Windows 7 SP1" ir "Windows Server 2008 R2 SP1".
-
Iš naujo paleiskite operacinę sistemą. Reikia paleisti iš naujo
-
Įdiekite likusius naujinimus.
-
Įdiekite atvaizdą diske ir paleiskite "Windows".
-
Komandinėje eilutėje paleiskite bcdboot.exe. Tai kopijuoja "Windows" katalogo įkrovos failus ir nustato įkrovos aplinką. Daugiau informacijos ieškokite bcdboot Command-Line parinkčių .
-
Prieš diegdami visus papildomus naujinimus, įdiekite rugsėjo 23 d., 2019 iš naujo paleiskite KB4474419 ir KB4490628 , skirtą "Windows 7 SP1" ir "Windows Server 2008 R2 SP1".
-
Iš naujo paleiskite operacinę sistemą. Reikia paleisti iš naujo
-
Įdiekite likusius naujinimus.
"Windows 10" versija 1903 palaiko SHA-2, nes tai yra leidimas ir visi naujinimai jau yra tik SHA-2. Šioje "Windows" versijoje nereikia atlikti jokių veiksmų.
"Windows 7 SP1" ir "Windows Server 2008 R2 SP1"
-
Paleiskite "Windows" prieš įdiegdami rugpjūčio 13, 2019 arba naujesnius naujinimus.
-
Prieš diegdami visus papildomus naujinimus, įdiekite rugsėjo 23 d., 2019 iš naujo paleiskite KB4474419 ir KB4490628, skirtą "Windows 7 SP1" ir "Windows Server 2008 R2 SP1".
-
Iš naujo paleiskite operacinę sistemą. Reikia paleisti iš naujo
-
Įdiekite likusius naujinimus.
„Windows Server 2008“ SP2
-
Paleiskite "Windows" prieš įdiegdami liepos 9, 2019 ar naujesnius naujinimus.
-
Prieš diegdami bet kokius papildomus naujinimus, įdiekite rugsėjo 23 d. "2019" KB4474419 ir KB4493730 , skirtos "Windows Server 2008 SP2", leidimą.
-
Iš naujo paleiskite operacinę sistemą. Reikia paleisti iš naujo
-
Įdiekite likusius naujinimus.
Problemų atkūrimas
Jei matote klaidą 0xc0000428 su pranešimu "Windows" negali patikrinti šio failo skaitmeninio parašo. Naujausi aparatūros arba programinės įrangos pakeitimai galėjo būti įdiegę netinkamai pasirašytą arba sugadintą failą arba kenkėjišką programą iš nežinomo šaltinio. " atlikite šiuos veiksmus, kad atkurtumėte.
-
Paleiskite operacinę sistemą naudodami atkūrimo laikmeną.
-
Prieš diegdami bet kokius papildomus naujinimus, įdiekite naujinimo KB4474419 , išleistą rugsėjo 23, 2019 arba vėlesne data, naudodami diegimo atvaizdo priežiūros ir valdymo (DISM) "Windows 7 SP1" ir "Windows Server 2008 R2 SP1".
-
Komandinėje eilutėje paleiskite bcdboot.exe. Tai kopijuoja "Windows" katalogo įkrovos failus ir nustato įkrovos aplinką. Daugiau informacijos ieškokite bcdboot Command-Line parinkčių .
-
Iš naujo paleiskite operacinę sistemą.
-
Sustabdyti diegimą į kitus įrenginius ir nepaleisti jokių įrenginių arba VM, kurios dar nėra iš naujo.
-
Nustatyti įrenginių ir VM iš naujo paleidus būseną su atnaujinimais, išleistais rugpjūčio 13, 2019 arba vėlesne, ir Atidarykite komandų eilutę
-
Raskite paketo tapatybę, skirtą naujinimui, kurį norite pašalinti, naudodami šią komandą, naudodami šio naujinio KB numerį (pakeiskite " 4512506 " su KB numeriu, kurį taikote, jei tai nėra mėnesinis paketas, išleistas rugpjūčio 13, 2019): DISM/Online/Get-Packages | findstr 4512506
-
Norėdami pašalinti naujinimą, naudokite šią komandą <paketo tapatybei> su tuo, kas buvo rasta ankstesnėje komandoje: Dism.exe/Online/Remove-Package/packagename: <paketo tapatybė>
-
Dabar turėsite įdiegti reikalingus naujinimus, pateiktus dalyje kaip gauti šį naujinimo sekciją, kurią bandote įdiegti, arba šiame straipsnyje esančioje sekcijoje Dabartinė būsena nurodytus būtinus naujinimus.
Pastaba. Bet koks įrenginys arba VM, šiuo metu gaunate klaidą 0xc0000428 arba kuris prasideda atkūrimo aplinkoje, jums reikės atlikti veiksmus, pateiktus DUK dėl klaidos 0xc0000428.
Jei susidūrėte su šiomis klaidomis, turite įdiegti reikiamus naujinimus, pateiktus dalyje kaip gauti šį naujinimą , kurį norite įdiegti, arba anksčiau nurodytų naujinimų sekcijoje Dabartinė būsena .
Jei matote klaidą 0xc0000428 su pranešimu "Windows" negali patikrinti šio failo skaitmeninio parašo. Naujausi aparatūros arba programinės įrangos pakeitimai galėjo būti įdiegę netinkamai pasirašytą arba sugadintą failą arba kenkėjišką programą iš nežinomo šaltinio. " atlikite šiuos veiksmus, kad atkurtumėte.
-
Paleiskite operacinę sistemą naudodami atkūrimo laikmeną.
-
Įdiekite naujausią "SHA-2" naujinimą (KB4474419),IŠLEISTĄ "Windows 7 SP1" ir "Windows Server 2008 R2 SP1", arba po rugpjūčio 13, 2019.
-
Iš naujo paleiskite atkūrimo laikmeną. Reikia paleisti iš naujo
-
Komandinėje eilutėje paleiskite bcdboot.exe. Tai kopijuoja "Windows" katalogo įkrovos failus ir nustato įkrovos aplinką. Daugiau informacijos ieškokite bcdboot Command-Line parinkčių .
-
Iš naujo paleiskite operacinę sistemą.
Jei susidūrėte su šia problema, galite sušvelninti šią problemą atidarydami komandinę eilutę ir vykdydami šią komandą, kad įdiegtumėte naujinimą (pakeisti "<msu" vietą> vietos rezervavimo ženklą su faktine naujinimo vieta ir failo vardu):
wusa.exe <msu vieta>/quiet
Ši problema išspręsta " KB4474419 " išleista spalio 8 d., 2019. Šis naujinimas bus automatiškai įdiegtas iš "Windows Update" ir "Windows Server" naujinimo tarnybų (WSUS). Jei reikia įdiegti šį naujinimą neautomatiškai, turite naudoti anksčiau pateiktą sprendimo būdą.
Pastaba. Jei anksčiau įdiegėte KB4474419 išleido rugsėjo 23 d., 2019, vadinasi, jau turite naujausią šio naujinimo versiją ir nereikia įdiegti iš naujo.