Súhrn
Na zabezpečenie zabezpečenia operačného systému Windows boli aktualizácie predtým podpísané (s použitím hash algoritmov SHA-1 a SHA-2). Podpisy sa používajú na overenie, či aktualizácie pochádzajú priamo od spoločnosti Microsoft a neboli počas doručovania sfalšované. Z dôvodu slabých stránok algoritmu SHA-1 a zarovnania sa s priemyselnými normami sme zmenili podpísanie aktualizácií Windowsu na používanie bezpečnejšieho algoritmu SHA-2 výhradne. Táto zmena sa uskutočnila vo fázach začínajúcich v apríli 2019 až september 2019, aby sa umožnila plynulá migrácia (Pozrite si časť plán aktualizácie produktov), kde nájdete ďalšie podrobnosti o zmenách.
Zákazníci, ktorí používajú staršie verzie operačného systému (Windows 7 SP1, Windows Server 2008 R2 SP1 a Windows Server 2008 SP2), musia mať v zariadeniach nainštalovanú podporu na podpisovanie kódov SHA-2 na inštaláciu aktualizácií, ktoré boli vydané v júli 2019. Všetky zariadenia bez podpory SHA-2 nebudú môcť nainštalovať aktualizácie systému Windows v júli 2019 alebo po ňom. Aby sme vám pomohli pripraviť sa na túto zmenu, vydali sme podporu pri prihlasovaní SHA-2 od marca 2019 a vykonali sa prírastkové zlepšenia. Služby Windows Server Update Services (WSUS) 3,0 SP2 budú dostávať podporu SHA-2, aby mohli bezpečne poskytovať podpísané aktualizácie SHA-2. Pozrite si časť plán aktualizácie produktu pre časovú os migrácie iba SHA-2.
Podrobnosti o pozadí
Zabezpečený algoritmus hash 1 (SHA-1) bol vyvinutý ako nevratná funkcia hash a bežne sa používa ako súčasť podpisu kódu. Bezpečnosť algoritmu hash SHA-1 sa však v priebehu času stáva menej bezpečným, pretože nedostatky nájdené v algoritme, zvýšená výkonnosť procesora a príchod cloud computingu. Silnejšie alternatívy, ako je napríklad Secure Hash Algorithm 2 (SHA-2), sú teraz veľmi preferované, pretože nemajú rovnaké problémy. Ďalšie informácie o odmietaní SHA-1 nájdete v téme algoritmy hash a podpisu.
Plán aktualizácie produktov
Počnúc začiatkom 2019 sa proces migrácie na podporu SHA-2 začal postupne a podpora sa bude poskytovať v samostatných aktualizáciách. Spoločnosť Microsoft zameria na tento plán, aby vám ponúkol podporu pre SHA-2. Upozorňujeme, že táto časová os sa môže zmeniť. Budeme pokračovať v aktualizácii tejto stránky podľa potreby.
Cieľový dátum |
Udalosti |
Vzťahuje sa na |
12. marec 2019 |
Samostatné aktualizácie zabezpečenia KB4474419 a KB4490628 vydané na zavedenie podpory pre označenie kódu SHA-2. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
12. marec 2019 |
Samostatná aktualizácia, KB4484071 je k dispozícii v katalógu služby Windows Update pre WSUS 3,0 SP2, ktorý podporuje poskytovanie podpísaných aktualizácií SHA-2. Pre zákazníkov, ktorí používajú služby WSUS 3,0 SP2, by sa mala táto aktualizácia nainštalovať manuálne najneskôr do 18. júna 2019. |
WSUS 3,0 SP2 |
9. apríl 2019 |
Samostatná aktualizácia, KB4493730 , ktorá zavádza podporu kódu SHA-2 pre servisný stack (SSU), bol vydaný ako aktualizácia zabezpečenia. |
Windows Server 2008 SP2 |
14. mája 2019 |
Samostatná KB4474419 aktualizácia zabezpečenia vydaná na zavedenie podpory pre označenie kódu SHA-2. |
Windows Server 2008 SP2 |
11. jún 2019 |
Samostatná aktualizácia zabezpečenia KB4474419opätovne vydaná na pridanie chýbajúcich kódov podpory MSI SHA-2. |
Windows Server 2008 SP2 |
18. jún 2019 |
Windows 10 aktualizuje podpisy z dvoch podpísaných (SHA-1/SHA-2) iba na SHA-2. Nie je potrebná žiadna akcia zákazníka. |
Windows 10, verzia 1709 Windows 10, verzia 1803 Windows 10, verzia 1809 Windows Server 2019 |
18. jún 2019 |
Povinné Pre zákazníkov používajúcich služby WSUS 3,0 SP2 musí byť KB4484071 manuálne nainštalovaný v tomto dátume na podporu aktualizácií SHA-2. |
WSUS 3,0 SP2 |
9. júl 2019 |
Povinné Aktualizácie starších verzií Windowsu si budú vyžadovať inštaláciu podpory na podpis kódu SHA-2. Na pokračovanie v prijímaní aktualizácií v týchto verziách Windowsu sa bude vyžadovať podpora vydaná v apríli a máji (KB4493730 a KB4474419). Všetky staršie verzie aktualizácií Windowsu sa zmenili z SHA1 a dvoch podpisov (SHA-1/SHA-2) na SHA-2 len v súčasnosti. |
Windows Server 2008 SP2 |
16. júl 2019 |
Windows 10 aktualizuje podpisy z dvoch podpísaných (SHA-1/SHA-2) iba na SHA-2. Nie je potrebná žiadna akcia zákazníka. |
Windows 10, verzia 1507 Windows 10, verzia 1607 Windows Server 2016 Windows 10, verzia 1703 |
13. august 2019 |
Povinné Aktualizácie starších verzií Windowsu si budú vyžadovať inštaláciu podpory na podpis kódu SHA-2. Podpora vydaná v marci (KB4474419 a KB4490628) bude potrebná na to, aby sa naďalej prijímali aktualizácie v týchto verziách Windowsu. Ak máte zariadenie alebo VM s použitím systému EFI boot, prečítajte si časť najčastejšie otázky, kde nájdete ďalšie kroky na zabránenie problému, v ktorom sa vaše zariadenie nemusí spustiť. Všetky staršie verzie aktualizácií Windowsu sa zmenili z SHA-1 a dvoch podpísaných (SHA-1/SHA-2) na SHA-2 len v súčasnosti. |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
10. september 2019 |
Staršie podpisy aktualizácií Windowsu sa zmenili z dvoch podpisov (SHA-1/SHA-2) iba na SHA-2. Nie je potrebná žiadna akcia zákazníka. |
Windows Server 2012 Windows 8,1 Windows Server 2012 R2 |
10. september 2019 |
Samostatné aktualizácie zabezpečenia KB4474419 bol opätovne vydaný na pridanie chýbajúcich manažérov spúšťania systému EFI. Skontrolujte, či je táto verzia nainštalovaná. |
Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
28. januára 2020 |
Podpisy v zoznamoch dôveryhodných certifikátov (CTL) pre Microsoft Trusted Root program sa zmenili z dvoch podpisov (SHA-1/SHA-2) iba na SHA-2. Nie je potrebná žiadna akcia zákazníka. |
Všetky podporované platformy Windows |
August 2020 |
Koncové body služby Windows Update SHA-1 sú zrušené. Ovplyvní to iba staršie zariadenia s Windowsom, ktoré sa neaktualizovali s príslušnými aktualizáciami zabezpečenia. Ďalšie informácie nájdete v téme KB4569557. |
Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1 |
3. augusta 2020 |
Microsoft vyradený obsah, ktorý je Windowsom podpísaný pre Secure hash algoritmus 1 (SHA-1) z centra sťahovania softvéru. Ďalšie informácie nájdete v téme Windows IT Pro blog SHA-1 Windows obsahu na vyradenie do dôchodku 3. augusta 2020. |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8,1 Windows Server 2012 R2 Windows 10 Server Windows 10 |
Aktuálny stav
Windows 7 SP1 a Windows Server 2008 R2 SP1
Je potrebné nainštalovať nasledujúce povinné aktualizácie a potom zariadenie reštartovať pred inštaláciou akejkoľvek aktualizácie vydanej v auguste 13, 2019 alebo novšej. Povinné aktualizácie je možné nainštalovať v ľubovoľnom poradí a nemusíte ich preinštalovať, pokiaľ nemáte nainštalovanú novú verziu požadovanej aktualizácie.
-
Aktualizácia zásobníkov (SSU) (KB4490628). Ak používate Windows Update, bude sa vám automaticky ponúkať požadovaná SSU.
-
Aktualizácia SHA-2 (KB4474419) vydaná v septembri 10, 2019. Ak používate Windows Update, požadovaná aktualizácia SHA-2 sa vám ponúkne automaticky.
Dôležité upozorneniePo inštalácii všetkých požadovaných aktualizácií musíte reštartovať zariadenie pred inštaláciou akejkoľvek mesačnej kumulatívnej aktualizácie, aktualizácie iba na zabezpečenie, ukážky mesačnej kumulatívnej alebo samostatnej aktualizácie.
Windows Server 2008 SP2
Je potrebné nainštalovať tieto aktualizácie a potom zariadenie reštartovať pred inštaláciou akéhokoľvek súhrnu vydaného v septembri 10, 2019 alebo novšej. Povinné aktualizácie je možné nainštalovať v ľubovoľnom poradí a nemusíte ich preinštalovať, pokiaľ nemáte nainštalovanú novú verziu požadovanej aktualizácie.
-
Aktualizácia zásobníkov (SSU) (KB4493730). Ak používate Windows Update, požadovaná aktualizácia SSU sa vám ponúkne automaticky.
-
Najnovšia aktualizácia SHA-2 (KB4474419) vydaná v septembri 10, 2019. Ak používate Windows Update, požadovaná aktualizácia SHA-2 sa vám ponúkne automaticky.
Dôležité upozorneniePo inštalácii všetkých požadovaných aktualizácií musíte reštartovať zariadenie pred inštaláciou akejkoľvek mesačnej kumulatívnej aktualizácie, aktualizácie iba na zabezpečenie, ukážky mesačnej kumulatívnej alebo samostatnej aktualizácie.
Najčastejšie otázky
Všeobecné informácie, plánovanie a predchádzanie problémom
Podpora podpisu kódu SHA-2 bola odoslaná na začiatok, aby sa zabezpečilo, že väčšina zákazníkov bude mať podporu v dostatočnom predstihu pred zmenou spoločnosti Microsoft na podpisovanie aktualizácií v týchto systémoch. Samostatné aktualizácie obsahujú ďalšie opravy a sú k dispozícii na zabezpečenie toho, aby všetky aktualizácie SHA-2 boli v malom množstve ľahko identifikovateľných aktualizácií. Spoločnosť Microsoft odporúča, aby zákazníci, ktorí udržujú systémové obrázky pre tieto operačné systémy, použili tieto aktualizácie na obrázky.
Počnúc službou WSUS 4,0 na Windows serveri 2012, služba WSUS už podporuje aktualizácie služby SHA-2 a pre tieto verzie nie je potrebná žiadna akcia zákazníka.
Iba WSUS 3,0 SP2 potrebuje KB4484071nainštalovaný na podporu SHA2 len podpísaných aktualizácií.
Predpokladajme, že spustíte Windows Server 2008 SP2. Ak máte dual-boot s Windows Server 2008 R2 SP1/Windows 7 SP1, Boot Manager pre tento typ systému je zo systému Windows Server 2008 R2/Windows 7. Ak chcete úspešne aktualizovať obidva tieto systémy na používanie podpory pre SHA-2, musíte najprv aktualizovať systém Windows Server 2008 R2 alebo Windows 7, aby bol zavádzací manažér aktualizovaný na verziu, ktorá podporuje SHA-2. Potom aktualizujte systém Windows Server 2008 SP2 s podporou SHA-2.
Podobne ako v prípade dvojitého spustenia, prostredie Windows 7 PE sa musí aktualizovať na podporu SHA-2. Potom musí byť systém Windows Server 2008 SP2 aktualizovaný na podporu SHA-2.
-
Spustenie inštalácie Windowsu na dokončenie a spustenie systému Windows pred inštaláciou aktualizácií z augusta 13, 2019 alebo novšej
-
Otvorte okno príkazového riadka správcu, spustite bcdboot.exe. Týmto sa skopírujú zavádzacie súbory z adresára Windows a nastavia sa boot Environment. Ďalšie informácie nájdete v téme BCDBoot Command-Line možnosti .
-
Pred inštaláciou ďalších aktualizácií nainštalujte august 13, 2019 opätovné vydanie balíka KB4474419 a KB4490628 pre Windows 7 SP1 a Windows Server 2008 R2 SP1.
-
Reštartujte operačný systém. Vyžaduje sa tento reštart
-
Nainštalujte všetky zostávajúce aktualizácie.
-
Nainštalujte si obrázok na disk a spustite systém Windows.
-
V príkazovom riadku spustite bcdboot.exe. Týmto sa skopírujú zavádzacie súbory z adresára Windows a nastavia sa boot Environment. Ďalšie informácie nájdete v téme BCDBoot Command-Line možnosti .
-
Pred inštaláciou ďalších aktualizácií nainštalujte 23. septembra 2019 opätovné vydanie balíka KB4474419 a KB4490628 pre Windows 7 SP1 a Windows Server 2008 R2 SP1.
-
Reštartujte operačný systém. Vyžaduje sa tento reštart
-
Nainštalujte všetky zostávajúce aktualizácie.
Windows 10, verzia 1903 podporuje SHA-2 od jeho vydania a všetky aktualizácie sú už iba v podpise SHA-2. Pre túto verziu Windowsu nie je potrebná žiadna akcia.
Windows 7 SP1 a Windows Server 2008 R2 SP1
-
Spustite systém Windows pred inštaláciou ľubovoľného augusta 13, 2019 alebo novšej aktualizácie.
-
Pred inštaláciou ďalších aktualizácií nainštalujte 23. septembra 2019 opätovné vydanie balíka KB4474419 a KB4490628pre Windows 7 SP1 a Windows Server 2008 R2 SP1.
-
Reštartujte operačný systém. Vyžaduje sa tento reštart
-
Nainštalujte všetky zostávajúce aktualizácie.
Windows Server 2008 SP2
-
Spustite systém Windows pred inštaláciou všetkých aktualizácií z júla 9, 2019 alebo novšej.
-
Pred inštaláciou ďalších aktualizácií nainštalujte 23. septembra 2019 opätovné vydanie balíka KB4474419 a KB4493730 pre Windows Server 2008 SP2.
-
Reštartujte operačný systém. Vyžaduje sa tento reštart
-
Nainštalujte všetky zostávajúce aktualizácie.
Obnovenie problému
Ak sa zobrazí chybové hlásenie 0xc0000428 so správou systém Windows nedokáže overiť digitálny podpis pre tento súbor. Nedávna zmena hardvéru alebo softvéru môže mať nainštalovaný súbor, ktorý je podpísaný nesprávne alebo poškodené, alebo môže byť škodlivým softvérom z neznámeho zdroja. Ak chcete obnoviť, postupujte podľa týchto krokov.
-
Spustite operačný systém pomocou média na obnovenie.
-
Pred inštaláciou ďalších aktualizácií nainštalujte aktualizáciu KB4474419 , ktorá je datovaná 23. septembra, 2019 alebo neskorší dátum s použitím nasadenia a spravovania obrázkov (DISM) pre Windows 7 SP1 a Windows Server 2008 R2 SP1.
-
V príkazovom riadku spustite bcdboot.exe. Týmto sa skopírujú zavádzacie súbory z adresára Windows a nastavia sa boot Environment. Ďalšie informácie nájdete v téme BCDBoot Command-Line možnosti .
-
Reštartujte operačný systém.
-
Zastaviť nasadenie na iné zariadenia a Nereštartovať žiadne zariadenia ani VM, ktoré sa ešte nereštartovali.
-
Identifikácia zariadení a VMs v reštarte čakajúceho stavu s aktualizáciami vydanými v auguste 13, 2019 alebo novším a otvorenie príkazového riadka s právami správcu
-
Vyhľadajte identitu balíka pre aktualizáciu, ktorú chcete odstrániť, pomocou nasledujúceho príkazu pomocou čísla KB pre danú aktualizáciu (nahraďte 4512506 číslom vedomostnej databázy, ktoré ste zacielené, ak nie je mesačný súhrn vydaný v auguste 13, 2019): DISM/online/get-packages | findstr 4512506
-
Na odstránenie aktualizácie použite nasledujúci príkaz, ktorý nahradí <>identity balíka s tým, čo sa našlo v predchádzajúcom príkaze: Dism.exe/online/remove-package/packagename: <identita balíka>
-
Teraz budete musieť nainštalovať požadované aktualizácie uvedené v časti ako získať túto aktualizáciu aktualizácie, ktorú sa pokúšate nainštalovať, alebo požadovaných aktualizácií uvedených vyššie v časti aktuálny stav tohto článku.
Poznámka: Akékoľvek zariadenie alebo VM, v súčasnosti sa zobrazuje chyba 0xc0000428 alebo sa začína v prostredí obnovenia, budete musieť postupovať podľa krokov v téme Najčastejšie otázky týkajúce sa chyby 0xc0000428.
Ak sa vyskytnú tieto chyby, je potrebné nainštalovať požadované aktualizácie uvedené v časti získanie tejto aktualizácie aktualizácie, ktorú sa pokúšate nainštalovať, alebo požadovaných aktualizácií uvedených vyššie v časti aktuálny stav tohto článku.
Ak sa zobrazí chybové hlásenie 0xc0000428 so správou systém Windows nedokáže overiť digitálny podpis pre tento súbor. Nedávna zmena hardvéru alebo softvéru môže mať nainštalovaný súbor, ktorý je podpísaný nesprávne alebo poškodené, alebo môže byť škodlivým softvérom z neznámeho zdroja. Ak chcete obnoviť, postupujte podľa týchto krokov.
-
Spustite operačný systém pomocou média na obnovenie.
-
Nainštalujte najnovšiu aktualizáciu SHA-2 (KB4474419), ktorú ste vydali v auguste 13, 2019, pomocou funkcie nasadenie obrázkov a riadenia (DISM) pre Windows 7 SP1 a Windows Server 2008 R2 SP1.
-
Reštartovanie do média obnovenia. Vyžaduje sa tento reštart
-
V príkazovom riadku spustite bcdboot.exe. Týmto sa skopírujú zavádzacie súbory z adresára Windows a nastavia sa boot Environment. Ďalšie informácie nájdete v téme BCDBoot Command-Line možnosti .
-
Reštartujte operačný systém.
Ak sa vyskytne tento problém, môžete tento problém zmierniť otvorením okna príkazového riadka a spustením nasledujúceho príkazu na inštaláciu aktualizácie (nahradenie <msu umiestnenie> zástupný symbol so skutočným umiestnením a názvom súboru aktualizácie):
wusa.exe <msu umiestnenie> Quiet
Tento problém je vyriešený v KB4474419 vydaného 8. októbra 2019. Táto aktualizácia sa automaticky nainštaluje zo služby Windows Update a Windows Server Update Services (WSUS). Ak potrebujete nainštalovať túto aktualizáciu manuálne, budete musieť použiť alternatívne riešenie.
Poznámka: Ak ste v minulosti nainštalovali KB4474419 vydané v septembri 23, 2019, potom už máte najnovšiu verziu tejto aktualizácie a nemusíte ju preinštalovať.