{"id":219024,"date":"2019-06-11T12:38:13","date_gmt":"2019-06-11T10:38:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=219024"},"modified":"2021-01-27T19:39:15","modified_gmt":"2021-01-27T18:39:15","slug":"bekommen-windows-7-nutzer-ein-sha-2-update-problem","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/11\/bekommen-windows-7-nutzer-ein-sha-2-update-problem\/","title":{"rendered":"Bekommen Windows 7-Nutzer ein SHA-2-Update Problem?"},"content":{"rendered":"

\"win7\"Besitzer von 32-Bit-Windows 7-Systemen laufen m\u00f6glicherweise in das Problem, dass sie bald (d.h. vor Ablauf des Support-Zeitraums) keine Updates mehr bekommen. Hintergrund ist, dass das f\u00fcr SHA-2-signierte Updates erforderliche Paket KB4474419 nicht installiert werden kann.<\/p>\n

<\/p>\n

\"\"Wir haben heute Juni-Patchday, wo Microsoft Sicherheitsupdates verteilt. Daher m\u00f6chte ich das Problem thematisieren, um herauszufinden, ob eine gr\u00f6\u00dfere Anzahl an Nutzern von 32-Bit-Windows 7-Systemen betroffen ist.<\/p>\n

Hintergrund: Die Nachr\u00fcstung f\u00fcr SHA-2-Updates<\/h2>\n

Zuerst ein kurzer Ausblick auf den Hintergrund. Microsoft hatte 2018 angek\u00fcndigt, ab Mitte 2019 seine Windows-Updates nur noch mit SHA-2-Signaturen (statt mit SHA-1 und SHA-2) zu versehen \u2013 die Signierung mit SHA-1 entf\u00e4llt dann aus Sicherheitsgr\u00fcnden. Ich hatte im Artikel Windows 7: Ab April 2019 wird ein 'SHA-2-Update' ben\u00f6tigt<\/a> dar\u00fcber berichtet.<\/p>\n

Benutzer von Windows 7 SP1 (sowie der Server Pendants) und WSUS ben\u00f6tigen daher ab April 2019 ein spezielles Update, welches die Maschine f\u00fcr SHA2-Codesignaturen ert\u00fcchtigt. F\u00fcr eine \u00dcbergangszeit werden aber noch Updates mit beiden Signaturen ausgeliefert.<\/p>\n

Microsoft hat zum 12. M\u00e4rz 2019 den Support-Beitrag 4472027<\/a> (2019 SHA-2 Code Signing Support requirement for Windows and WSUS) dahingehend erweitert, als das die f\u00fcr Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1 und Windows Server 2008 Service Pack 2 erforderlichen SHA-2-Updates genannt werden.<\/p>\n

Update KB4474419<\/a> (SHA-2 code signing support update for Windows Server 2008 R2 and Windows 7: March 12, 2019) r\u00fcstet die Unterst\u00fctzung f\u00fcr die SHA-2-Signaturauswertung f\u00fcr die genannten Betriebssysteme nach. Ich hatte im Blog-Beitrag Windows 7: Updates r\u00fcsten SHA-2-Support nach<\/a> darauf hingewiesen.<\/p>\n

Am 18. Juni 2019 muss in Umgebungen mit WSUS 3.0 SP1 das Update KB4484071<\/a> installiert sein, um noch Updates zu erhalten. F\u00fcr Windows 7 SP1 und Windows Server 2008 SP2 ist der SHA-2-Support ab dem 13. August 2019 verpflichtend. Ab September 2019 gibt es keine Updates mehr, wenn die Vorbereitungsupdates f\u00fcr den SHA-2-Support fehlen (siehe diesen Microsoft-KB-Artikel<\/a>).<\/p>\n

Installationsprobleme mit Updates KB4474419<\/h2>\n

Ich hatte im Blog-Beitrag Windows 7: Updates r\u00fcsten SHA-2-Support nach<\/a> bereits auf Installationsprobleme mit diesem Update hingewiesen. Manche Nutzern haben bei Windows 7 in der 32-Bit-Version echte Probleme. Microsoft hat zwar am 12. M\u00e4rz 2019 das Update KB4474419<\/a> f\u00fcr die Unterst\u00fctzung der SHA-2-Codesignierung f\u00fcr Windows Server 2008 R2, Windows 7 und Windows Server 2008 herausgebracht. Dessen Installation endet aber bei manchen Nutzern in einer Neustart-Schleife, wie man in diesen Kommentaren<\/a> nachlesen kann.<\/p>\n

Bei Dr. Windows gibt es diesen Thread<\/a> zum Problem. Michael ILOFF hat es auch im englischsprachigen Blog-Beitrag in diesem Kommentar<\/a> auf den Punkt gebracht: Ohne Installation des SHA-2-Updates werden Betroffene nach August 2019 keine neueren Updates mehr verarbeiten k\u00f6nnen. In Microsofts KB-Artikeln wie hier<\/a> habe ich bisher keinen Hinweis auf diese Probleme gefunden.<\/p>\n

Fehlerursachen f\u00fcr die Neustartschleife<\/h2>\n

Die Ursache f\u00fcr das Installationsproblem mit der anschlie\u00dfenden Neustartschleife scheinen fremde Bootlader oder verbogene Partitionsstrukturen zu sein.<\/p>\n

Ein KB-Artikel KB3033929 aus 2015<\/h3>\n

Von Microsoft gibt es einen alten KB-Artikel KB3033929<\/a> (Microsoft-Sicherheitsempfehlung: Verf\u00fcgbarkeit der SHA-2-Codesignaturunterst\u00fctzung f\u00fcr Windows 7 und Windows Server 2008 R2<\/em>) vom 10. M\u00e4rz 2015. Dort geht es genau um eine Unterst\u00fctzung f\u00fcr die SHA-2-Codesignatur, die sich nicht installieren l\u00e4sst. Dort hei\u00dft es, dass das Update nicht installierbar sei, wenn folgende Bedingungen gelten:<\/p>\n

Einige Benutzer k\u00f6nnen dieses Sicherheitsupdate nicht installieren, wenn ihre Computer die folgenden Bedingungen erf\u00fcllen:<\/p>\n