[English]Kleine Information zum Wochenstart für Windows 7-Nutzer. Microsoft wird wohl im März 2019 ein kritisches Standalone-Sicherheitsupdate für Windows 7 und Windows Server 2008 / R2 veröffentlichen, welches diese Betriebssysteme für SHA-2 ertüchtigt. Hier ein paar Informationen, um was es geht und wann was genau passiert.
Anzeige
Worum geht es beim SHA-2-Thema genau?
Benutzer von Windows 7 SP1 (sowie der Server Pendants) und WSUS benötigen ab April 2019 ein spezielles Update, welches die Maschine für SHA2-Codesignaturen ertüchtigt. Ohne dieses Update können diese Maschinen keine Updates mehr verarbeiten.
Hintergrund des Ganzen ist der Umstand, dass das Signieren mit SHA-1-Hash-Werten seit einiger Zeit als nicht mehr sicher gilt. Microsoft wird daher ab Juli 2019 das Signieren von Update-Paketen mit SHA-1 und SHA-2 einstellen und nur noch mit SHA-2 signierte Updates bereitstellen. Während eine SHA-2-Unterstützung ab Windows 8.1 gegeben ist, fehlt diese in Windows 7 und Windows Server 2008 /R2.
Kunden, die Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 (und WSUS 30. SP2) verwenden, müssen bis April 2019 die SHA-2-Code-Signierungsunterstützung auf diesen Systemen installiert haben. Windows-Systemen ohne SHA-2-Unterstützung werden ab April 2019 keine Windows-Aktualisierungen mehr angeboten.
Auf diesen Sachverhalt hatte ich im November 2018 im Blog-Beitrag Windows 7: Ab April 2019 wird ein 'SHA-2-Update' benötigt hingewiesen. Allerdings ist Microsoft bisher einen genaueren Fahrplan bezüglich des Updates von Windows 7 schuldig geblieben.
Anzeige
Im März 2019 kommt ein Sicherheitsupdate
Da die Februar 2019 Updates nichts dergleichen enthielten, bleibt also nicht mehr viel Zeit. Benutzer @abbodi86 ist nun aufgefallen, dass Microsoft seinen KB-Artikel 2019 SHA-2 Code Signing Support requirement for Windows and WSUS von November 2018 am 16. Februar 2019 um konkrete Datumsangaben erweitert hat. Hier die Details:
| Target Date | Event | Applies To |
| March 12, 2019 | Stand Alone updates that introduce SHA-2 code sign support will be released as security updates. | Windows 7 SP1, Windows Server 2008 R2 SP1. |
| March 12, 2019 | Stand Alone update will be delivered to WSUS 3.0 SP2 that will support delivering SHA-2 signed updates. For those customers using WSUS 3.0 SP2, this update should be installed no later than June 18, 2019. | WSUS 3.0 SP2 |
| April 9, 2019 | Stand Alone updates that introduce SHA-2 code sign support will be released as security updates. | Windows Server 2008 SP2. |
| June 18, 2019 | Windows 10 updates signatures changed from dual signed (SHA1/SHA2) to SHA2 only. No customer action is expected for this milestone. | Windows 10 1709, Windows 10 1803, Windows 10 1809, Windows Server 2019 |
| June 18, 2019 | Required: For those customers using WSUS 3.0 SP2, the updates should installed by this date. | WSUS 3.0 SP2 |
| July 16, 2019 | Required: Updates for legacy Windows versions will require that SHA-2 code signing support be installed. The support released in March and April will be required in order to continue to receive updates on these versions of Windows. | Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2. |
| July 16, 2019 | Windows 10 updates signatures changed from dual signed (SHA1/SHA2) to SHA2 only. No customer action is expected for this milestone. | Windows 10 1507, Windows 10 1607, Windows 10 1703 |
| August 13, 2019 | Contents of updates for legacy Windows versions will be SHA2 signed (embed signed binaries and catalogs). No customer action is expected for this milestone. | Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2. |
| September 16, 2019 | Legacy Windows updates signatures changed from dual signed (SHA1/SHA2) to SHA2 only. No customer action is expected for this milestone. | Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 |
Kunden, die WSUS 3.0 SP2 verwenden, empfiehlt Microsoft, ihre Server bis zum 18. Juni 2019 mit den SHA2-Updates für WSUS 3.0 SP2 zu aktualisieren. Nur so lässt sich sicherstellen, dass SHA2-signierte Updates verteilt werden können.
Was passiert mit neu installierten Windows 7-Systemen
Ergänzung: Es wird hier im Blog sowie in meinem heise.de-Beitrag immer wieder die Befürchtung 'setze ich nach Juni 2019 ein neues System mit Windows 7 SP1 oder Server 2008/R2 auf, wird das keine Updates mehr bekommen' geäußert. Der Hintergrund ist, dass ab Juli 2019 keine SHA-1-signierten Pakete mehr für Windows 7 und die Server Pendants bereitgestellt werden.
Aber an dieser Stelle möchte ich Entwarnung geben. Die Sachlage ist doch so, dass alle Updates vor Juli 2019 noch eine digitale SHA1-Signatur aufweisen. Erst ab April 2019 werden erste (separate) Update-Pakete mit ausschließlich SHA-2-Signatur angeboten. Und die alten Updates, sofern nicht zurückgezogen oder ersetzt, werden ja weiter durch Microsoft auf den Update-Servern bereitgestellt. Das neu aufgesetzte System kann sich also alle Updates bis Juni 2019 ziehen (was hoffentlich klappt) und bekommt so auch den (aktuell noch nicht mit einer KB-Nummer versehenen) SHA-2-Patch. Dann können auch die Updates ab Juli 2019 bezogen werden. (via)
Falls bei einem neu aufgesetzten System keine Updates (oder erst nach langer Zeit) bei der Suche gefunden werden, hat dies andere Gründe. Ich hatte dies in zwei Blog-Beiträgen 2016 und 2018 thematisiert, siehe nachfolgende Linkliste.
Ähnliche Artikel:
Windows 7: Ab April 2019 wird ein 'SHA-2-Update' benötigt
Knipst der Wechsel zu SHA-2 "das Web" aus?
Windows 7: Updates werden nicht gefunden (März 2018)
Windows 7 SP1: Update-Suche zum Mai-Patchday dauert ewig
Anzeige
Guten Morgen zusammen,
im alten Blog-Beitrag wurde auch WPP angesprochen.
Hier die Mitteilung vom Entwickler:
Hi Sebastian, if you are using your own code signing certificate, you have to ensure it is from SHA-2 family. If you are using a self-signed certificate issued by WPP it is using the SHA-512 algorithm, so it is compatible with SHA-2.
WPP work well on Windows Server 2016, let me know if you encounter any issue.
But, it should be fine.
Cordialement, Kind regards,
David COURTEL
##
Somit sollte das zumindest auch laufen
Schöne WOche
Sebastian
Das ist sicher vor allem wichtig zu wissen, wenn man nach April nochmal ein Win 7 installieren will/muss. Den Rechner bekommt man dann ja garnicht mehr gepatcht, wenn man nicht wenigstens den SHA-2-Patch manuell installiert. Das finde ich etwas unglücklich.
nun ja, das ist aber (leider) schon länger "Stand der Technik"
hast du mal versucht ein Windows 7 RTM oder auch mit SP1 per Windows Update auf den aktuellen Stand zu bringen? Die erste Suche dauert u.U. Tage, wenn sie denn überhaupt funktioniert. Sie dazu http://wu.krelay.de/
Und wenn du einen WSUS hast, auf dem KB3159706 installiert ist, sträubt sich ein o.g. Windows 7 ebenfalls gegen die Suche von Updates. Siehe https://support.microsoft.com/en-us/help/3159706/update-enables-esd-decryption-provision-in-wsus-in-windows-server-2012
…und wenn dann jetzt noch eins dazu kommt… was solls :)
ind diesem Sinne…
Doch, man bekommt den Rechner gepatcht, denn alle Updates vor Juli 2019 haben ja noch eine digitale SHA1-Signatur. Siehe meinen Nachtrag, den ich wegen dieser und ähnlicher Fragen an andere Stelle oben angefügt habe. Wenn keine Updates kommen (siehe den Vorkommentar – und meine Ergänzung) hat dies andere Gründe.
Warum ergreift mich bei der Nachricht schon wieder die Panik?
Das bekommen die doch beim ersten Anlauf nicht hin, auch nicht beim zweiten oder dritten. Beispiele dafür hat MS in letzter Zeit schon genügend abgeliefert.
Warum reicht KB3033929 vom 10.März 2015 nicht aus?
"Verfügbarkeit der SHA-2-Codesignaturunterstützung für Windows 7"
https://support.microsoft.com/de-de/help/3033929/microsoft-security-advisory-availability-of-sha-2-code-signing-support
https://www.catalog.update.microsoft.com/Search.aspx?q=KB3033929
Nun ja, ich bin nun nicht der Herr Microsoft – kann also nur aus der Lameng antworten. SHA-2-Unterstützung gibt es an vielen Stellen in Windows. Das von dir zitierte Update KB3033929 bezieht sich auf den SHA-2-Support an sich, der in Browsern und Web-Anwendungen für https-Verbindungen genutzt werden kann – schätze ich mal.
Wir reden im obigen Artikel aber über die Fähigkeit des Windows Update Clients, SHA-2-Signaturen in Update-Paketen zu erkennen und zu verifizieren. Das wird nicht dadurch passieren, dass Microsoft irgendwo in der API die grundsätzliche Unterstützung für SHA-2 bereitstellt. Ich schätze, dass da in irgendwelchen DLLs hard-coded ist, wie die digitale Signatur von Updates-Paketen auszuwerten ist. Und dort muss das durch das kommende Update geändert werden. Aber das ist nur meine Interpretation.
Bei Windows XP hatte man Windows Update Agent Probleme damals relativ einfach gelöst. Es gab die "windowsupdateagent30-x86.exe" Dieses Update hat dazu geführt das der Updateagent Aktualisiert wurde. Danach hat Update suche eigentlich immer Funktioniert.
Wenn Microsoft Update Probleme unterbinden möchte sollten sie ein Stand alone Paket herausbringen das als einzige Voraussetzung ein Installiertes Windows 7 benötigt. Dieses sollte dann den Updateagent wie zu Windows XP Zeiten auf den aktuellen Zustand bringen.
Hallo,
soweit ich das verstehe, ist der SHA-2-Patch da: KB 4490628
[ https://support.microsoft.com/de-de/help/4490628/servicing-stack-update-for-windows-7-sp1-and-windows-server-2008-r2 ]
Und vielen vielen Dank für Ihre tolle Arbeit; ich schaue hier öfter 'rein und werde das auch in Zukunft tun :-)
Viele Grüße aus Berlin
R. Grunewald