Computer-Software

SHA-2 Unterstützung für Windows Updates: Migration und wichtige Hinweise

Posted on by Fischer Leon

Zum Schutz der Sicherheit des Windows-Betriebssystems wurden Updates bisher sowohl mit den SHA-1- als auch mit den SHA-2-Hash-Algorithmen signiert. Diese Signaturen dienen dazu, zu authentifizieren, dass die Updates direkt von Microsoft stammen und während der Bereitstellung nicht manipuliert wurden. Aufgrund von Schwächen im SHA-1-Algorithmus und zur Anpassung an Industriestandards hat Microsoft die Signierung von Windows-Updates dahingehend geändert, ausschließlich den sichereren SHA-2-Algorithmus zu verwenden. Diese Umstellung erfolgte phasenweise von April bis September 2019, um eine reibungslose Migration zu ermöglichen. Es ist entscheidend, dass alle Systeme, insbesondere solche, die noch ältere Windows-Versionen verwenden, auf diese Änderungen vorbereitet sind, um weiterhin Sicherheitsupdates zu erhalten und die Systemintegrität zu gewährleisten. Ein umfassendes Verständnis der Anforderungen ist unerlässlich, um Kompatibilitätsprobleme zu vermeiden und sicherzustellen, dass kritische Software, wie zum Beispiel [outlook express windows 10](https://shocknaue.com/outlook-express-windows-10/), stets aktuell und geschützt bleibt.

Kunden, die ältere Betriebssystemversionen (Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2) betreiben, müssen die SHA-2-Code-Signaturunterstützung auf ihren Geräten installiert haben, um Updates zu installieren, die ab Juli 2019 veröffentlicht wurden. Geräte ohne SHA-2-Unterstützung können ab Juli 2019 keine Windows-Updates mehr installieren. Zur Vorbereitung auf diese Änderung wurde ab März 2019 Unterstützung für die SHA-2-Signierung bereitgestellt und schrittweise verbessert. Windows Server Update Services (WSUS) 3.0 SP2 erhielt ebenfalls SHA-2-Unterstützung, um SHA-2-signierte Updates sicher bereitzustellen.

Hintergrundinformationen zur SHA-2-Migration

Der Secure Hash Algorithm 1 (SHA-1) wurde als eine irreversible Hash-Funktion entwickelt und ist weithin als Teil der Code-Signierung im Einsatz. Leider hat die Sicherheit des SHA-1-Hash-Algorithmus im Laufe der Zeit abgenommen. Dies ist auf entdeckte Schwachstellen im Algorithmus, die gestiegene Prozessorleistung und das Aufkommen von Cloud Computing zurückzuführen. Stärkere Alternativen wie der Secure Hash Algorithm 2 (SHA-2) werden heute dringend bevorzugt, da sie nicht die gleichen Probleme aufweisen. Microsoft hat sich daher entschieden, SHA-1 für Windows Updates einzustellen und vollständig auf SHA-2 umzusteigen, um die Sicherheit und Integrität der Systeme zu gewährleisten. Für weitere Informationen zur Einstellung von SHA-1 siehe Hash- und Signaturalgorithmen.

Zeitplan für Produktupdates

Anfang 2019 begann der Migrationsprozess zur SHA-2-Unterstützung in Etappen, und die Unterstützung wird in eigenständigen Updates bereitgestellt. Microsoft strebte den folgenden Zeitplan an, um die SHA-2-Unterstützung anzubieten. Bitte beachten Sie, dass der folgende Zeitplan Änderungen unterliegen kann. Diese Seite wird bei Bedarf weiterhin aktualisiert.

ZieldatumEreignisBetrifft
12. März 2019Eigenständige Sicherheitsupdates KB4474419 und KB4490628 zur Einführung der SHA-2-Code-Signaturunterstützung veröffentlicht.Windows 7 SP1, Windows Server 2008 R2 SP1
12. März 2019Eigenständiges Update KB4484071 im Windows Update Katalog für WSUS 3.0 SP2 verfügbar, das die Bereitstellung von SHA-2-signierten Updates unterstützt. Für Kunden, die WSUS 3.0 SP2 verwenden, sollte dieses Update spätestens am 18. Juni 2019 manuell installiert werden.WSUS 3.0 SP2
9. April 2019Eigenständiges Update KB4493730 zur Einführung der SHA-2-Code-Signaturunterstützung für den Servicing Stack (SSU) als Sicherheitsupdate veröffentlicht.Windows Server 2008 SP2
14. Mai 2019Eigenständiges Sicherheitsupdate KB4474419 zur Einführung der SHA-2-Code-Signaturunterstützung veröffentlicht.Windows Server 2008 SP2
11. Juni 2019Eigenständiges Sicherheitsupdate KB4474419 erneut veröffentlicht, um fehlende MSI SHA-2-Code-Signaturunterstützung hinzuzufügen.Windows Server 2008 SP2
18. Juni 2019Windows 10 Update-Signaturen von dual (SHA-1/SHA-2) auf nur SHA-2 geändert. Keine Kundenaktion erforderlich.Windows 10, Version 1709, Windows 10, Version 1803, Windows 10, Version 1809, Windows Server 2019
18. Juni 2019Erforderlich: Für Kunden, die WSUS 3.0 SP2 verwenden, muss KB4484071 bis zu diesem Datum manuell installiert werden, um SHA-2-Updates zu unterstützen.WSUS 3.0 SP2
9. Juli 2019Erforderlich: Updates für ältere Windows-Versionen erfordern die Installation der SHA-2-Code-Signaturunterstützung. Die im April und Mai veröffentlichte Unterstützung (KB4493730 und KB4474419) ist erforderlich, um weiterhin Updates für diese Windows-Versionen zu erhalten. Alle Signaturen älterer Windows-Updates wurden zu diesem Zeitpunkt von SHA-1 und dual (SHA-1/SHA-2) auf nur SHA-2 geändert.Windows Server 2008 SP2
16. Juli 2019Windows 10 Update-Signaturen von dual (SHA-1/SHA-2) auf nur SHA-2 geändert. Keine Kundenaktion erforderlich.Windows 10, Version 1507, Windows 10, Version 1607, Windows Server 2016, Windows 10, Version 1703
13. August 2019Erforderlich: Updates für ältere Windows-Versionen erfordern die Installation der SHA-2-Code-Signaturunterstützung. Die im März veröffentlichte Unterstützung (KB4474419 und KB4490628) ist erforderlich, um weiterhin Updates für diese Windows-Versionen zu erhalten. Wenn Sie ein Gerät oder eine VM mit EFI-Boot verwenden, beachten Sie bitte den FAQ-Bereich für zusätzliche Schritte, um ein Problem zu vermeiden, bei dem Ihr Gerät möglicherweise nicht startet. Alle Signaturen älterer Windows-Updates wurden zu diesem Zeitpunkt von SHA-1 und dual (SHA-1/SHA-2) auf nur SHA-2 geändert.Windows 7 SP1, Windows Server 2008 R2 SP1
10. September 2019Signaturen älterer Windows-Updates von dual (SHA-1/SHA-2) auf nur SHA-2 geändert. Keine Kundenaktion erforderlich.Windows Server 2012, Windows 8.1, Windows Server 2012 R2
10. September 2019Eigenständiges Sicherheitsupdate KB4474419 erneut veröffentlicht, um fehlende EFI-Bootmanager hinzuzufügen. Bitte stellen Sie sicher, dass diese Version installiert ist.Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2
28. Januar 2020Signaturen auf den Zertifikatsvertrauenslisten (CTLs) für das Microsoft Trusted Root Program von dual (SHA-1/SHA-2) auf nur SHA-2 geändert. Keine Kundenaktion erforderlich.Alle unterstützten Windows-Plattformen
August 2020Windows Update SHA-1-basierte Dienstendpunkte werden eingestellt. Dies betrifft nur ältere Windows-Geräte, die nicht mit entsprechenden Sicherheitsupdates aktualisiert wurden. Weitere Informationen finden Sie unter KB4569557.Windows 7, Windows 7 SP1, Windows Server 2008, Windows Server 2008 SP2, Windows Server 2008 R2, Windows Server 2008 R2 SP1
3. August 2020Microsoft hat Windows-signierten Inhalt für Secure Hash Algorithm 1 (SHA-1) aus dem Microsoft Download Center entfernt. Weitere Informationen finden Sie im Windows IT Pro Blog SHA-1 Windows Content wird am 3. August 2020 eingestellt.Windows Server 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows 10, Windows 10 Server
Weiterlesen >>  GIMP: Objekte präzise freistellen – Eine Schritt-für-Schritt-Anleitung

Beim Planen der Systemwartung und des Umstiegs auf neue Softwareversionen ist es wichtig, alle Aspekte zu berücksichtigen. Dies kann auch die Migration von Daten zwischen verschiedenen Anwendungen umfassen, beispielsweise ein [thunderbird to outlook transfer](https://shocknaue.com/thunderbird-to-outlook-transfer/) um eine konsistente Arbeitsumgebung sicherzustellen.

Aktueller Status und erforderliche Schritte

Windows 7 SP1 und Windows Server 2008 R2 SP1

Die folgenden erforderlichen Updates müssen installiert und das Gerät anschließend neu gestartet werden, bevor Updates vom 13. August 2019 oder später installiert werden. Die erforderlichen Updates können in beliebiger Reihenfolge installiert werden und müssen nicht neu installiert werden, es sei denn, es gibt eine neue Version des erforderlichen Updates.

Wichtig: Sie müssen Ihr Gerät nach der Installation aller erforderlichen Updates neu starten, bevor Sie ein monatliches Rollup, ein Nur-Sicherheitsupdate, eine Vorschau des monatlichen Rollups oder ein eigenständiges Update installieren.

Es ist ratsam, vor größeren Systemänderungen, wie dem Einspielen von Updates, eine umfassende Sicherung des Systems zu erstellen. Ein [mozilla backup windows 10](https://shocknaue.com/mozilla-backup-windows-10/) kann dabei helfen, Datenverluste zu vermeiden und einen schnellen Wiederherstellungspunkt zu schaffen.

Windows Server 2008 SP2

Die folgenden Updates müssen installiert und das Gerät anschließend neu gestartet werden, bevor Rollups vom 10. September 2019 oder später installiert werden. Die erforderlichen Updates können in beliebiger Reihenfolge installiert werden und müssen nicht neu installiert werden, es sei denn, es gibt eine neue Version des erforderlichen Updates.

Wichtig: Sie müssen Ihr Gerät nach der Installation aller erforderlichen Updates neu starten, bevor Sie ein monatliches Rollup, ein Nur-Sicherheitsupdate, eine Vorschau des monatlichen Rollups oder ein eigenständiges Update installieren.

Häufig gestellte Fragen (FAQ)

Allgemeine Informationen, Planung und Fehlervermeidung

Die SHA-2-Code-Signaturunterstützung wurde frühzeitig ausgeliefert, um sicherzustellen, dass die meisten Kunden die Unterstützung lange vor der Umstellung von Microsoft auf die SHA-2-Signierung für Updates auf diesen Systemen hatten. Die eigenständigen Updates enthalten einige zusätzliche Korrekturen und werden bereitgestellt, um sicherzustellen, dass alle SHA-2-Updates in einer kleinen Anzahl von leicht identifizierbaren Updates enthalten sind. Microsoft empfiehlt Kunden, die Systemimages für diese Betriebssysteme pflegen, diese Updates auf die Images anzuwenden.

Weiterlesen >>  SAP VF04: Erweiterte Funktionen für die Fakturierungsfälligkeitsliste

Ab WSUS 4.0 auf Windows Server 2012 unterstützt WSUS bereits SHA-2-signierte Updates, und für diese Versionen ist keine Kundenaktion erforderlich.

Nur WSUS 3.0 SP2 benötigt KB4484071, um ausschließlich SHA-2-signierte Updates zu unterstützen.

Angenommen, Sie verwenden Windows Server 2008 SP2. Wenn Sie Dual-Boot mit Windows Server 2008 R2 SP1/Windows 7 SP1 verwenden, stammt der Bootmanager für diesen Systemtyp vom Windows Server 2008 R2/Windows 7 System. Um beide Systeme erfolgreich auf SHA-2-Unterstützung zu aktualisieren, müssen Sie zuerst das Windows Server 2008 R2/Windows 7 System aktualisieren, damit der Bootmanager auf die Version aktualisiert wird, die SHA-2 unterstützt. Anschließend aktualisieren Sie das Windows Server 2008 SP2 System mit SHA-2-Unterstützung.

Ähnlich dem Dual-Boot-Szenario muss die Windows 7 PE-Umgebung auf SHA-2-Unterstützung aktualisiert werden. Anschließend muss das Windows Server 2008 SP2 System auf SHA-2-Unterstützung aktualisiert werden.

  1. Führen Sie die Windows-Installation vollständig durch und starten Sie Windows, bevor Sie Updates vom 13. August 2019 oder später installieren.

  2. Öffnen Sie ein als Administrator ausgeführtes Eingabeaufforderungsfenster und führen Sie bcdboot.exe aus. Dies kopiert die Startdateien aus dem Windows-Verzeichnis und richtet die Startumgebung ein. Weitere Details finden Sie unter BCDBoot Command-Line Options.

  3. Installieren Sie vor der Installation weiterer Updates die am 13. August 2019 erneut veröffentlichten Updates KB4474419 und KB4490628 für Windows 7 SP1 und Windows Server 2008 R2 SP1.

  4. Starten Sie das Betriebssystem neu. Dieser Neustart ist erforderlich.

  5. Installieren Sie alle verbleibenden Updates.

  6. Installieren Sie das Image auf der Festplatte und starten Sie Windows.

  7. Führen Sie an der Eingabeaufforderung bcdboot.exe aus. Dies kopiert die Startdateien aus dem Windows-Verzeichnis und richtet die Startumgebung ein. Weitere Details finden Sie unter BCDBoot Command-Line Options.

  8. Installieren Sie vor der Installation weiterer Updates die am 23. September 2019 erneut veröffentlichten Updates KB4474419 und KB4490628 für Windows 7 SP1 und Windows Server 2008 R2 SP1.

  9. Starten Sie das Betriebssystem neu. Dieser Neustart ist erforderlich.

  10. Installieren Sie alle verbleibenden Updates.

Weiterlesen >>  Firefox für Mac herunterladen und installieren: Eine Schritt-für-Schritt-Anleitung

Ja, Sie müssen die erforderlichen Updates installieren, bevor Sie fortfahren: SSU (KB4490628) und SHA-2-Update (KB4474419). Außerdem müssen Sie Ihr Gerät nach der Installation der erforderlichen Updates neu starten, bevor Sie weitere Updates installieren.

Windows 10, Version 1903, unterstützt SHA-2 seit seiner Veröffentlichung, und alle Updates sind bereits ausschließlich SHA-2-signiert. Für diese Windows-Version sind keine Maßnahmen erforderlich.

Für Administratoren ist es manchmal notwendig, das System in einem speziellen Zustand zu starten, um Wartungsaufgaben durchzuführen oder Fehler zu beheben. Dies kann auch bedeuten, dass Anwendungen wie [outlook offline starten](https://shocknaue.com/outlook-offline-starten/) müssen, um Netzwerkabhängigkeiten zu umgehen oder spezifische Konfigurationen zu testen.

Windows 7 SP1 und Windows Server 2008 R2 SP1

  1. Starten Sie Windows, bevor Sie Updates vom 13. August 2019 oder später installieren.
  2. Installieren Sie vor der Installation weiterer Updates die am 23. September 2019 erneut veröffentlichten Updates KB4474419 und KB4490628 für Windows 7 SP1 und Windows Server 2008 R2 SP1.
  3. Starten Sie das Betriebssystem neu. Dieser Neustart ist erforderlich.
  4. Installieren Sie alle verbleibenden Updates.

Windows Server 2008 SP2

  1. Starten Sie Windows, bevor Sie Updates vom 9. Juli 2019 oder später installieren.
  2. Installieren Sie vor der Installation weiterer Updates die am 23. September 2019 erneut veröffentlichten Updates KB4474419 und KB4493730 für Windows Server 2008 SP2.
  3. Starten Sie das Betriebssystem neu. Dieser Neustart ist erforderlich.
  4. Installieren Sie alle verbleibenden Updates.

Fehlerbehebung

Wenn Sie den Fehler 0xc0000428 mit der Meldung „Windows kann die digitale Signatur für diese Datei nicht überprüfen. Eine kürzlich vorgenommene Hardware- oder Softwareänderung hat möglicherweise eine falsch signierte oder beschädigte Datei installiert, oder es handelt sich möglicherweise um bösartige Software aus einer unbekannten Quelle.“ sehen, befolgen Sie bitte diese Schritte zur Wiederherstellung.

  1. Starten Sie das Betriebssystem mithilfe von Wiederherstellungsmedien.
  2. Installieren Sie vor der Installation weiterer Updates das Update KB4474419 vom 23. September 2019 oder einem späteren Datum mithilfe von Deployment Image Servicing and Management (DISM) für Windows 7 SP1