Windows 7: Ab April 2019 wird ein ‘SHA-2-Update’ benötigt

win7[English]Benutzer von Windows 7 SP1 (sowie der Server Pendants) und WSUS benötigen ab April 2019 ein spezielles Update, welches die Maschine für SHA2-Codesignaturen ertüchtigt. Ohne dieses Update können diese Maschinen keine Updates mehr verarbeiten.


Anzeige

Der Hintergrund: Umstellung auf SHA-2

Um sicherzustellen, dass Update-Pakete nicht modifiziert wurden und von Microsoft stammen, versieht Microsoft diese mit einer Signatur. Bisher wurden Updates mit der kryptografischen Hash-Signatur nach den Standards SHA-1 und SHA-2 versehen.

Das Signieren mit SHA-1-Hash-Werten gilt aber seit einiger Zeit als nicht mehr sicher (2017 konnten Forscher zwei unterschiedliche PDF-Dokumente mit dem gleichen SHA-1-Wert signieren). Daher möchte Microsoft in naher Zukunft auf SHA-2 als Hash-Verfahren setzen.

SHA-2 ab 2019 gefordert (Windows, WSUS)

In einem Support-Beitrag 2019 SHA-2 Code Signing Support requirement for Windows and WSUS hat Microsoft nun Änderungen in der Code-Signierung für Windows Updates für 2019 angekündigt. Die Absicherungen von Windows-Updates mit zwei Hash-Werten (SHA-1 und SHA-2) wird in 2019 auslaufen. Aufgrund von Schwächen im SHA-1-Algorithmus und zur Anpassung an Industriestandards wird Microsoft Windows-Aktualisierungen nur mit dem sichereren SHA-2-Algorithmus signieren.

Kunden, die Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 (und WSUS 30. SP2) verwenden, müssen bis April 2019 die SHA-2-Code-Signierungsunterstützung auf diesen Systemen installiert haben. Windows-Systemen ohne SHA-2-Unterstützung werden ab April 2019 keine Windows-Aktualisierungen mehr angeboten.


Anzeige

Um die Maschinen auf diese Änderung vorzubereiten, wird Microsoft 2019 entsprechende Updates für die SHA-2-Unterstützung freigeben. Einige ältere Versionen von Windows Server Update Services (WSUS) erhalten ebenfalls eine SHA-2-Unterstützung, um SHA-2-signierte Updates ordnungsgemäß bereitzustellen.

Ab Anfang Februar 2019 wird die Unterstützung für SHA-2 in den monatlichen Updates verfügbar sein. Der Migrationsprozess zum exklusiven SHA-2-Support erfolgt schrittweise, und der Support wird in mehreren Update-Paketen angeboten. Es darf nur ein Update-Paket mit SHA-2-Unterstützung installiert werden, um den Support zu aktivieren. Microsoft strebt den folgenden Zeitplan an, um SHA-2-Unterstützung anzubieten.

  • Februar 2019: Die oben genannten Betriebssysteme erhalten die SHA-Unterstützung über ein Stand Alone-Update und über die Preview des monatlichen Rollup-Updates. Zudem wird in Update für SHA-2-Support für WSUS 3.0 SP2 bereitgestellt.
  • März 2019: Das monatliche Rollup- und Sicherheits-Update für März 2019 beinhaltet Unterstützung für die SHA-2-Codesignierung.
  • April 2019: Updates für die oben genannten Windows-Versionen erfordern die Installation der SHA-2-Code-Signierungsunterstützung. Die Installation eines der oben aufgeführten früheren Windows-Aktualisierungen bietet die notwendige Unterstützung, um Windows-Aktualisierungen auch nach April 2019 weiter zu erhalten.
  • Juli 2019: Ab Juli müssen Kunden, die WSUS 3.0 SP2 verwenden, SHA-2-Support installiert haben, und alle Windows-Service-Updates werden nur noch SHA-2-signiert sein.

Maschinen mit Windows 8.1 und Windows 10 sind von dieser Änderung nicht betroffen, dort ist der SHA-2-Support bereits integriert. (via)

Ähnliche Artikel
SHA-2-Patch für Windows 7 kommt wohl im März 2019
Knipst der Wechsel zu SHA-2 "das Web" aus?


Anzeige

Dieser Beitrag wurde unter Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Windows 7: Ab April 2019 wird ein ‘SHA-2-Update’ benötigt

  1. chriscrosser sagt:

    …und die, die es "verpennen", bekommen dann schon ein dreivierteljahr vor dem offiziellen supportende* keine updates mehr! geil! ick könnt mir beeumeln!
    ;-)))

    *(sofern das nicht noch mal verlängert wird wie bei win XP)

    • Matthias Gutowsky sagt:

      Wieso sollte man das verpassen?
      Wenn das als reguläres Update angeboten wird und man sich die Updatebeschreibungen durchliest (vor dem Ablehnen)?
      Und spätestens im nächsten Monat sollte man es doch merken und das fehlende SHA2-Update nachinstallieren.

  2. Enrico sagt:

    Wieso hab ich das Gefühl, dass bei der Aktion irgendetwas schief gehen wird…

  3. Robert sagt:

    Wird das auch für diejenigen angeboten die nur das Security only Update einspielen?

    • Matthias Gutowsky sagt:

      Steht doch im Text: "Februar 2019: Die oben genannten Betriebssysteme erhalten die SHA-Unterstützung über ein Stand Alone-Update …"

    • Ralf Lindemann sagt:

      „February 2019: The SHA-2 update is included in the Preview of Monthly Rollup updates and available as a standalone update as well.
      March 2019: The update is included [!] in Monthly Rollup and Security-only updates for the operating systems."
      Quelle: Das Microsoft-Dokument, dass Günter oben im Blog-Beitrag verlinkt hat. … Mit anderen Worten: Eilige können sich den Kram bereits im Februar 2019 auf ihr System holen. Flaneure lassen es langsam angehen und warten einfach den Patchday im März 2019 ab … ;-)

  4. Micha sagt:

    Da werde ich im Februar 2019 einfach das SHA 2 Update aus dem Updatecatalog mit herunterladen und installieren. Sehe dabei kein großes Problem.

  5. Stefan sagt:

    Hat das Einfluss auf den WSUS Package Publisher? Da muss man seine Updates auch mit einem Zertifikat versehen.

    • Anonymous sagt:

      Ja das hab ich auch schon bedacht, eventuell muss man da auf ein Programmupdate warten oder ein neues Zertifikat?

      • JohnRipper sagt:

        Habe ich auch überlegt. Aber rein von der Logik her:

        1.
        Man bringt W7 auf den Stand von Windows 10 was die Verifzierung angeht. Also ein mehr an Funktionen. Neben SHA-1 Update kann Winows jetzt auch SHA-2.

        2.
        WPP Updates funktionieren schon jeher auch für Windows 10.
        Damit macht WPP mE SHA-1. Die Pakete gelten sowohl für W10 wie auch W7.

        3.
        Solange die SHA-1 Funktion nicht raus genommen wird ist alles gut.
        Da MS aber die Pakete mit SHA-2 versieht würde es zu Problemen kommen, wenn W7 das Update nicht erhält.

        4.
        Wenn doch bräuchte man eine SHA-2 Funktionalität im WPP und müsste alte Pakete neu zertifizieren.

        Leider passiert bei der WPP Entwicklung ja derzeit wenig.

  6. StefanP sagt:

    Kann mir jemand sagen, wo ich bei unserem WSUS (auf Windows Server 2012 R1) den Versionsstand finde. In der Management Konsole finde ich lediglich 6.2.9200.22167. Wie korreliert das mit WSUS 3.0 SP2?

  7. Sebastian sagt:

    Hallo zusammen,

    hab mal dem Entwickler von WSUS Package Publisher geschrieben was er dazu sagt.
    Sobald ich eine Info habe, geb ich hier bescheid.

    Schöne Grüße

    Sebastian

    • Sebastian sagt:

      Anbei die Antwort.
      Wir in der Firma nutzen das Zertifikat von WPP

      ####

      Hi Sebastian, if you are using your own code signing certificate, you have to ensure it is from SHA-2 family. If you are using a self-signed certificate issued by WPP it is using the SHA-512 algorithm, so it is compatible with SHA-2.

      WPP work well on Windows Server 2016, let me know if you encounter any issue.

      But, it should be fine.

      Cordialement, Kind regards,

      David COURTEL

  8. Gregor sagt:

    Hat schon jemand geschafft das Update mit SHA-2 auf einem Windows 7 32-bit
    einzuspielen? Führt hier nur zu einer Neustartschleife :-( .
    Bei 3 von 3 "Windows 7 32 bit"Rechner.

    mfg
    Gregor

    • Anonymous sagt:

      Es geht um das Update KB4474419.

      Änderungen
      Auf 1 von 3 "Windows 7 32 bit"Rechner konnte ich das Update einspielen.
      (Pentium Dual Core CPU E6300 2,8GHz)

      Bei 2 von 3 "Windows 7 32 bit"Rechner kommt es zur Neustartschleife.
      Angeboten werden bei "Update gesucht" KB4474419 und KB4493472.
      Processoren sind Intel 3-4010U

      mfg
      Gregor

      • Anonymous sagt:

        Ergänzung:
        Habe über den Webcatalog von Mircrosoft
        KB4490628 einspielt.

        KB4474419 läßt sich trotzdem nicht einspielen.
        Werde mal wieder ein Monat abwarten.
        (KB4493472 habe ich erst gar nicht versucht)

        mfg
        Gregor

  9. Michael ILOFF sagt:

    Wie bei Gregor erleidet mein 32-bit Windows 7 Home Premium eine Neustart-Schleife: Beim Booten verläuft zunächst alles normal, bis das BIOS anzeigt, dass es den Boot-Code gefunden hat. Danach bleibt der Schirm ewiglich schwarz: "Starting Windows" findet nicht mehr statt, und die Maschine ist unbrauchbar.

    Microsoft weiß davon anscheinend nichts. Sie erklären https://support.microsoft.com/en-us/help/4474419/sha-2-code-signing-support-update und warnen https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus.

    Eine Reparatur nennen sie nicht. Wenn das nicht nachgeholt wird, gibt es ab August 2019 keine lesbaren Updates mehr.

    • Michael ILOFF sagt:

      Ich wollte nachtragen, dass es um den KB4474419 geht, wurde aber abgehackt.

      • Günter Born sagt:

        Die Kommentare steckten im Moderationsordner – wegen Erstkommentar oder wegen Links.

        Ich gehe das Thema nochmals an. Du hast kein Linux auf irgend einer Partition oder speziellere Software wie Protection-Zeugs, Bitlocker-Verschlüsselung etc.?

  10. Kevin Käßmann sagt:

    Habe gestern auf meinem Win7 32bit (Dual-Boot mit Win7 64bit, ASUS-Mainboard) stundenlang mit KB4474419 "experimentiert". Auch den Intel RST entfert, BCD entfernt, per Installations-DVD mit bootrec den MBR, Partitions-Startsektor und BCD neu geschrieben. Das Ergebnis ist immer dasselbe: der KB4474419 geht rein, der Reboot klappt auch, nach 0…3 Minuten ein Reboot ohne irgendwelche "Hinterlassenschaften", also nix Dump, BSOD, Ereignisanzeige.

    Daher würde mich interessieren, ob sich die oben beschriebenen Probleme mit KB4474419 und Win7 32bit lösen ließen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.