Applies ToWindows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2008 Service Pack 2 Windows 10, version 1607, all editions Windows 10, version 1703, all editions Windows 10, version 1709, all editions Windows 10, version 1803, all editions Windows 10, version 1809, all editions Windows 10 Windows Server 2012 Standard Windows Server 2012 R2 Windows 8.1 Windows Server 2019, all editions Windows Server Update Services 3.0 Service Pack 2

Tóm tắt

Để giúp bảo vệ độ bảo mật của hệ điều hành Windows, các bản Cập Nhật đã được ký trước đó (sử dụng các thuật toán Hash-1 và SHA-2). Chữ ký được dùng để xác thực rằng các Cập Nhật có trực tiếp từ Microsoft và không bị quấy nhiễu trong khi chuyển phát. Vì các điểm yếu trong thuật toán SHA-1 và căn chỉnh theo tiêu chuẩn của ngành, chúng tôi đã thay đổi việc ký các bản cập nhật Windows để dùng thuật toán SHA-2 bảo mật hơn. Thay đổi này đã được thực hiện trong giai đoạn bắt đầu từ tháng tư 2019 đến tháng chín 2019 để cho phép di chuyển trơn tru (xem phần "lịch trình cập nhật sản phẩm" để biết thêm chi tiết về các thay đổi).

Khách hàng chạy phiên bản hệ điều hành kế thừa (Windows 7 SP1, Windows Server 2008 R2 SP1 và Windows Server 2008 SP2) được yêu cầu phải có hỗ trợ ký mã SHA-2 được cài đặt trên thiết bị của họ để cài đặt các bản Cập Nhật được phát hành vào hoặc sau tháng bảy 2019. Mọi thiết bị không hỗ trợ SHA-2 sẽ không thể cài đặt các bản cập nhật Windows vào hoặc sau ngày 2019 tháng bảy. Để giúp bạn chuẩn bị cho thay đổi này, chúng tôi đã phát hành hỗ trợ cho việc đăng nhập SHA-2 bắt đầu từ tháng ba 2019 và đã thực hiện các cải tiến gia tăng. Dịch vụ Cập nhật Windows Server (WSUS) 3,0 SP2 sẽ nhận được hỗ trợ SHA-2 để phân phối an toàn SHA-2 đã ký Cập Nhật. Vui lòng xem mục "lịch trình cập nhật sản phẩm" cho đường thời gian di chuyển chỉ SHA-2. 

Chi tiết nền

Thuật toán Hash an toàn 1 (SHA-1) đã được phát triển như một hàm hashing không thể thay đổi và được sử dụng rộng rãi như một phần của việc ký mã. Rất tiếc, sự bảo mật của thuật toán băm SHA-1 đã trở nên không an toàn hơn theo thời gian vì các điểm yếu được tìm thấy trong thuật toán, hiệu suất bộ xử lý tăng và sự ra đời của điện toán đám mây. Các lựa chọn thay thế mạnh hơn, chẳng hạn như giải thuật Hash an toàn 2 (SHA-2) hiện đã được ưu tiên mạnh mẽ như họ không gặp phải sự cố tương tự. Để biết thêm thông tin về việc của việc phản đối của Sha-1, hãy xem thuật toán Hash và chữ ký

Lịch bản cập nhật sản phẩm

Bắt đầu từ đầu 2019, quá trình di chuyển đến hỗ trợ SHA-2 đã bắt đầu trong các giai đoạn và hỗ trợ sẽ được chuyển phát trong các bản Cập Nhật độc lập. Microsoft đang nhắm vào lịch biểu sau đây để cung cấp hỗ trợ SHA-2. Xin lưu ý rằng đường thời gian sau đây có thể thay đổi. Chúng tôi sẽ tiếp tục Cập Nhật Trang này khi cần thiết.

Ngày đích

Hợp

Áp dụng cho

Ngày 12 tháng 3, 2019

Độc lập bản Cập Nhật bảo mật KB4474419KB4490628 được phát hành để giới thiệu về hỗ trợ đăng nhập Sha-2.

Windows 7 SP1 Windows Server 2008 R2 SP1

Ngày 12 tháng 3, 2019

Bản Cập Nhật độc lập, KB4484071 có sẵn trên Windows Update danh mục cho WSUS 3,0 SP2 hỗ trợ việc cung cấp các bản Cập Nhật đã ký Sha-2. Đối với những khách hàng bằng cách sử dụng WSUS 3,0 SP2, bản cập nhật này sẽ được cài đặt theo cách thủ công không muộn hơn 18 tháng sáu, 2019.

WSUS 3,0 SP2

Ngày 9 tháng 4, 2019

Bản Cập Nhật độc lập, KB4493730 giới thiệu hỗ trợ đăng ký mã Sha-2 cho việc xếp CHỒNG phục vụ (ssu) được phát hành dưới dạng bản Cập Nhật bảo mật.

Windows Server 2008 SP2

Ngày 14 tháng 5, 2019

Độc lập bản Cập Nhật bảo mật KB4474419 được phát hành để giới thiệu về hỗ trợ đăng nhập Sha-2.

Windows Server 2008 SP2

Ngày 11 tháng 6, 2019

Độc lập bản Cập Nhật bảo mật KB4474419đã phát hành lại để thêm tài khoản hỗ trợ đăng nhập MSI Sha-2.

Windows Server 2008 SP2

18 tháng sáu, 2019

Chữ ký của Windows 10 Cập Nhật được thay đổi từ chữ ký kép (SHA-1/SHA-2) thành SHA-2. Không yêu cầu hành động khách hàng.

Windows 10, phiên bản 1709 Windows 10, phiên bản 1803 Windows 10, phiên bản 1809 Windows Server 2019

18 tháng sáu, 2019

Nhập Đối với những khách hàng bằng cách sử dụng WSUS 3,0 SP2, KB4484071 phải được cài đặt theo cách thủ công vào ngày này để hỗ trợ các bản Cập Nhật Sha-2.

WSUS 3,0 SP2

Ngày 9 tháng 7, 2019

Nhập Các bản Cập Nhật cho các phiên bản Windows kế thừa sẽ yêu cầu bạn đã cài đặt bộ hỗ trợ mã SHA-2. Sự hỗ trợ được phát hành vào tháng tư và tháng (KB4493730KB4474419) sẽ được yêu cầu để tiếp tục nhận được các bản Cập Nhật trên các phiên bản Windows này.

Tất cả các bản cập nhật Windows có chữ ký được thay đổi từ SHA1 và chữ ký kép (SHA-1/SHA-2) thành SHA-2.

Windows Server 2008 SP2

16 tháng 7, 2019

Chữ ký của Windows 10 Cập Nhật được thay đổi từ chữ ký kép (SHA-1/SHA-2) thành SHA-2. Không yêu cầu hành động khách hàng.

Windows 10, phiên bản 1507 Windows 10, phiên bản 1607 Windows Server 2016 Windows 10, phiên bản 1703

13 tháng tám, 2019

Nhập Các bản Cập Nhật cho các phiên bản Windows kế thừa sẽ yêu cầu bạn đã cài đặt bộ hỗ trợ mã SHA-2. Sự hỗ trợ được phát hành trong tháng ba (KB4474419KB4490628) sẽ được yêu cầu để tiếp tục nhận được các bản Cập Nhật trên các phiên bản Windows này. Nếu bạn có một thiết bị hoặc VM bằng cách dùng khởi động EFI, vui lòng xem phần câu hỏi thường gặp về các bước bổ sung để ngăn chặn sự cố trong đó thiết bị của bạn có thể không bắt đầu.

Tất cả các bản cập nhật Windows được các chữ ký được thay đổi từ SHA-1 và chữ ký kép (SHA-1/SHA-2) thành SHA-2, tại thời điểm này.

Windows 7 SP1 Windows Server 2008 R2 SP1

10 tháng chín, 2019

Các chữ ký Windows Update kế thừa đã thay đổi từ dấu kép (SHA-1/SHA-2) thành SHA-2. Không yêu cầu hành động khách hàng.

Windows Server 2012 Windows 8,1 Windows Server 2012 R2

10 tháng chín, 2019

Có bản Cập Nhật bảo mật độc lập KB4474419 đã được phát hành lại để thêm tính năng khởi động EFI bị thiếu. Hãy đảm bảo rằng phiên bản này đã được cài đặt.

Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2

28 tháng 1, 2020

Chữ ký trên danh sách tin cậy chứng chỉ (CTLs) đối với chương trình gốc của Microsoft Trusted đã thay đổi từ dấu kép (SHA-1/SHA-2) thành Sha-2. Không yêu cầu hành động khách hàng.

Tất cả các nền tảng Windows được hỗ trợ

2020 tháng tám

Các điểm cuối dịch vụ trên Windows Update SHA-1 đã bị ngừng. Thao tác này chỉ có các thiết bị Windows cũ chưa Cập Nhật với các bản Cập Nhật bảo mật thích hợp. Để biết thêm thông tin, hãy xem KB4569557.

Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1

Ngày 3 tháng 8, 2020

Nội dung Microsoft đã ngừng hoạt động được ký Windows cho giải thuật băm an toàn 1 (SHA-1) từ Trung tâm tải xuống của Microsoft. Để biết thêm thông tin, hãy xem nội dung Windows IT Pro blog Sha-1 Windows sẽ được ngừng hoạt động từ 3 tháng 8, 2020.

Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8,1 Windows Server 2012 R2 Windows 10 Máy chủ Windows 10

Trạng thái hiện tại

Windows 7 SP1 và Windows Server 2008 R2 SP1

Những Cập Nhật bắt buộc sau đây phải được cài đặt và sau đó thiết bị khởi động lại trước khi cài đặt bản Cập Nhật nào đã phát hành vào ngày 13 tháng 8, 2019 hoặc mới hơn. Có thể cài đặt các Cập Nhật bắt buộc theo bất kỳ thứ tự nào và không cần cài đặt lại, trừ khi có một phiên bản mới của bản Cập Nhật bắt buộc.

  • Bản Cập Nhật phục vụ stack (SSU) (KB4490628). Nếu bạn sử dụng Windows Update, các SSU bắt buộc sẽ được cung cấp cho bạn.

  • SHA-2 Update (KB4474419) được phát hành vào 10/09/2017, 2019. Nếu bạn sử dụng Windows Update, bản Cập Nhật SHA-2 được yêu cầu sẽ được cung cấp cho bạn.

Quan trọng Bạn phải khởi động lại thiết bị của bạn sau khi cài đặt tất cả các bản Cập Nhật bắt buộc, trước khi cài đặt bất kỳ Rollup hàng tháng nào, bản Cập Nhật chỉ bảo mật, bản xem trước của Rollup hàng tháng hoặc bản Cập Nhật độc lập.

Windows Server 2008 SP2

Các bản Cập Nhật sau phải được cài đặt và sau đó thiết bị khởi động lại trước khi cài đặt bất kỳ Rollup nào phát hành vào ngày 10 tháng 9, 2019 hoặc mới hơn. Có thể cài đặt các Cập Nhật bắt buộc theo bất kỳ thứ tự nào và không cần cài đặt lại, trừ khi có một phiên bản mới của bản Cập Nhật bắt buộc.

  • Bản Cập Nhật phục vụ stack (SSU) (KB4493730). Nếu bạn sử dụng Windows Update, bản Cập Nhật SSU bắt buộc sẽ được cung cấp cho bạn.

  • Bản cập nhật mới nhất của SHA-2 (KB4474419) đã phát hành vào ngày 10 tháng 9, 2019. Nếu bạn sử dụng Windows Update, bản Cập Nhật SHA-2 được yêu cầu sẽ được cung cấp cho bạn.

Quan trọng Bạn phải khởi động lại thiết bị của bạn sau khi cài đặt tất cả các bản Cập Nhật bắt buộc, trước khi cài đặt bất kỳ Rollup hàng tháng nào, bản Cập Nhật chỉ bảo mật, bản xem trước của Rollup hàng tháng hoặc bản Cập Nhật độc lập.

Câu hỏi thường gặp

Thông tin chung, lập kế hoạch và sự cố ngăn chặn

Ký hiệu SHA-2-bộ phận hỗ trợ đã được vận chuyển sớm để đảm bảo rằng hầu hết khách hàng sẽ có hỗ trợ tốt trước thay đổi của Microsoft-2 để đăng nhập vào các bản Cập Nhật cho các hệ thống này. Các bản Cập Nhật độc lập bao gồm một số bản sửa lỗi bổ sung và đang được tạo sẵn để đảm bảo rằng tất cả các bản Cập Nhật SHA-2 đều có số lượng nhỏ các bản Cập Nhật có định danh dễ dàng. Microsoft khuyến cáo rằng khách hàng duy trì hình ảnh hệ thống cho các OSes này để áp dụng các bản cập nhật này cho hình ảnh.

Bắt đầu với WSUS 4,0 trên Windows Server 2012, WSUS đã hỗ trợ những Cập Nhật đã ký và không có hành động khách hàng nào cần thiết cho những phiên bản này.

Chỉ có WSUS 3,0 SP2 nhu cầu KB4484071được cài đặt để hỗ trợ SHA2 chỉ có các bản Cập Nhật đã ký.

Giả sử bạn chạy Windows Server 2008 SP2. Nếu bạn khởi động kép với Windows Server 2008 R2 SP1/Windows 7 SP1, trình quản lý khởi động cho kiểu hệ thống này là từ hệ thống Windows Server 2008 R2/Windows 7. Để cập nhật thành công cả hai hệ thống này để sử dụng hỗ trợ SHA-2, trước tiên bạn phải cập nhật hệ thống Windows Server 2008 R2/Windows 7 để trình quản lý khởi động được cập nhật lên phiên bản hỗ trợ SHA-2. Sau đó, hãy cập nhật hệ thống Windows Server 2008 SP2 với hỗ trợ SHA-2.

Tương tự như kịch bản khởi động kép, môi trường trên Windows 7 PE phải được cập nhật lên hỗ trợ SHA-2. Sau đó, Hệ thống Windows Server 2008 SP2 phải được cập nhật lên hỗ trợ SHA-2.

  1. Chạy thiết lập Windows để hoàn thành và khởi động vào Windows trước khi cài đặt 13 tháng tám, 2019 hoặc các bản cập nhật mới hơn

  2. Mở cửa sổ dấu nhắc lệnh người quản trị, chạy bcdboot.exe. Tính năng này sao chép các tệp khởi động từ thư mục Windows và thiết lập môi trường khởi động. Xem các tùy chọn Command-Line Bcdboot để biết thêm chi tiết.

  3. Trước khi cài đặt bất kỳ bản Cập Nhật bổ sung nào, hãy cài 2019 đặt lại phiên bản KB4474419KB4490628 cho Windows 7 SP1 và Windows Server 2008 R2 SP1.

  4. Khởi động lại hệ điều hành. Điều này bắt buộc phải khởi động lại

  5. Cài đặt bất kỳ Cập Nhật nào còn lại.

  1. Cài đặt hình ảnh trên đĩa và khởi động vào Windows.

  2. Tại dấu nhắc lệnh, hãy chạy bcdboot.exe. Tính năng này sao chép các tệp khởi động từ thư mục Windows và thiết lập môi trường khởi động. Xem các tùy chọn Command-Line Bcdboot để biết thêm chi tiết.

  3. Trước khi cài đặt bất kỳ bản Cập Nhật bổ sung nào, hãy cài đặt bản phát hành ngày 23 tháng 9, 2019 KB4474419KB4490628 cho Windows 7 SP1 và Windows Server 2008 R2 SP1.

  4. Khởi động lại hệ điều hành. Điều này bắt buộc phải khởi động lại

  5. Cài đặt bất kỳ Cập Nhật nào còn lại.

Có, bạn sẽ cần phải cài đặt các bản Cập Nhật bắt buộc trước khi tiến hành: SSU (KB4490628) và Sha-2 Update (KB4474419).  Ngoài ra, bạn cần phải khởi động lại thiết bị sau khi cài đặt các bản Cập Nhật bắt buộc trước khi cài đặt bất kỳ bản Cập Nhật nào khác.

Windows 10, phiên bản 1903 hỗ trợ SHA-2 vì bản phát hành đó và tất cả các bản Cập Nhật đã được chỉ ra SHA-2.  Không có hành động nào cần thiết cho phiên bản Windows này.

Windows 7 SP1 và Windows Server 2008 R2 SP1

  1. Khởi động vào Windows trước khi cài đặt bất kỳ bản Cập Nhật nào trên 13 tháng tám, 2019 hoặc mới hơn.

  2. Trước khi cài đặt bất kỳ bản Cập Nhật bổ sung nào, hãy cài đặt bản phát hành ngày 23 tháng 9, 2019 KB4474419KB4490628cho Windows 7 SP1 và Windows Server 2008 R2 SP1.

  3. Khởi động lại hệ điều hành. Điều này bắt buộc phải khởi động lại

  4. Cài đặt bất kỳ Cập Nhật nào còn lại.

Windows Server 2008 SP2

  1. Khởi động vào Windows trước khi cài đặt bất kỳ bản cập nhật 09 tháng 7, 2019 hoặc phiên bản mới hơn.

  2. Trước khi cài đặt bất kỳ bản Cập Nhật bổ sung nào, hãy cài đặt bản phát hành ngày 23 tháng 9, 2019 KB4474419KB4493730 cho Windows Server 2008 SP2.

  3. Khởi động lại hệ điều hành. Điều này bắt buộc phải khởi động lại

  4. Cài đặt bất kỳ Cập Nhật nào còn lại.

Khôi phục sự cố

Nếu bạn thấy lỗi 0xc0000428 bằng thông báo "Windows không thể xác nhận chữ ký điện tử cho tệp này. Thay đổi phần cứng hoặc phần mềm gần đây có thể đã cài đặt tệp được ký không đúng hoặc bị hư hỏng hoặc có thể là phần mềm độc hại từ một nguồn không xác định. " vui lòng làm theo các bước sau để phục hồi.

  1. Khởi động hệ điều hành bằng phương tiện phục hồi.

  2. Trước khi cài đặt bất kỳ Cập Nhật bổ sung nào, hãy cài đặt bản Cập Nhật KB4474419 là ngày 23 tháng 9, 2019 hoặc ngày sau này bằng cách sử dụng dịch vụ triển khai và quản lý ảnh (DISM) cho Windows 7 SP1 và Windows Server 2008 R2 SP1.

  3. Tại dấu nhắc lệnh, hãy chạy bcdboot.exe. Tính năng này sao chép các tệp khởi động từ thư mục Windows và thiết lập môi trường khởi động. Xem các tùy chọn Command-Line Bcdboot để biết thêm chi tiết.

  4. Khởi động lại hệ điều hành.

  1. Ngừng triển khai cho các thiết bị khác và không khởi động lại mọi thiết bị hoặc VMs chưa khởi động lại.

  2. Xác định các thiết bị và VMs trong trạng thái đang chờ khởi động lại với các bản Cập Nhật được phát hành 13 tháng 8, 2019 trở lên và mở dấu nhắc lệnh nâng cao

  3. Tìm định danh gói cho bản cập nhật mà bạn muốn loại bỏ bằng cách sử dụng lệnh sau bằng cách dùng số KB cho bản Cập Nhật đó (thay thế 4512506 với số kB bạn đang truy nhập, nếu nó không phải là Rollup hàng tháng được phát hành ngày 13 tháng 8, 2019): dism/Online/Get-packages | FINDSTR 4512506

  4. Sử dụng lệnh sau đây để loại bỏ bản Cập Nhật, thay thế <định danh gói> với nội dung được tìm thấy trong lệnh trước đó: Dism.exe/Online/Remove-Package/packagename: <định danh gói>

  5.  Bây giờ, bạn sẽ cần phải cài đặt các Cập Nhật bắt buộc được liệt kê trong phần cách tải bản cập nhật này của bản cập nhật mà bạn đang cố gắng cài đặt hoặc các bản Cập Nhật được yêu cầu được liệt kê ở trên trong phần trạng thái hiện tại của bài viết này.

Lưu ý Bất kỳ thiết bị nào hoặc VM mà bạn hiện đang nhận được lỗi 0xc0000428 hoặc bắt đầu vào môi trường phục hồi, bạn sẽ cần thực hiện theo các bước trong câu hỏi thường gặp về lỗi 0xc0000428.

Nếu bạn gặp phải các lỗi này, bạn cần phải cài đặt các Cập Nhật bắt buộc được liệt kê trong phần cách tải bản cập nhật này của bản cập nhật mà bạn đang cố gắng cài đặt hoặc các bản Cập Nhật bắt buộc được liệt kê ở trên trong phần trạng thái hiện tại của bài viết này.

Nếu bạn thấy lỗi 0xc0000428 bằng thông báo "Windows không thể xác nhận chữ ký điện tử cho tệp này. Thay đổi phần cứng hoặc phần mềm gần đây có thể đã cài đặt tệp được ký không đúng hoặc bị hư hỏng hoặc có thể là phần mềm độc hại từ một nguồn không xác định. " vui lòng làm theo các bước sau để phục hồi.

  1. Khởi động hệ điều hành bằng phương tiện phục hồi.

  2. Cài đặt bản cập nhật mới nhất của SHA-2 (KB4474419) được phát hành vào hoặc sau ngày 13 tháng 8, 2019, sử dụng dịch vụ và quản lý ảnh triển khai (DISM) cho Windows 7 SP1 và Windows Server 2008 R2 SP1.

  3. Khởi động lại vào phương tiện phục hồi. Điều này bắt buộc phải khởi động lại

  4. Tại dấu nhắc lệnh, hãy chạy bcdboot.exe. Tính năng này sao chép các tệp khởi động từ thư mục Windows và thiết lập môi trường khởi động. Xem các tùy chọn Command-Line Bcdboot để biết thêm chi tiết.

  5. Khởi động lại hệ điều hành.

Nếu bạn gặp phải sự cố này, bạn có thể giảm thiểu sự cố này bằng cách mở cửa sổ nhắc lệnh và chạy lệnh sau đây để cài đặt bản Cập Nhật (thay thế vị trí <MSU> chỗ dành sẵn với vị trí thực và tên tệp của bản Cập Nhật):

wusa.exe <vị trí MSU>/Quiet

Sự cố này được giải quyết trong KB4474419 đã phát hành vào ngày 8 tháng mười 2019. Bản cập nhật này sẽ tự động cài đặt từ Windows Update và Windows Server Update Services (WSUS). Nếu bạn cần cài đặt bản Cập Nhật theo cách thủ công, bạn sẽ cần sử dụng giải pháp thay thế ở trên. 

Lưu ý Nếu trước đó bạn đã cài đặt KB4474419 đã phát hành 23 tháng chín, 2019, thì bạn đã có phiên bản mới nhất của bản cập nhật này và không cần phải cài đặt lại.

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.