Операционная система не поддерживает алгоритм подписи sha 2 касперского
Обновлено: 03.07.2024
Microsoft начнет развертывание автономных обновлений SHA-2 для Windows 7 и Windows Server 2008 в марте в рамках подготовки к крайнему сроку реализации 16 июля.
Мэри Джо Фоули в течение 30 лет освещала технологическую отрасль для различных изданий, включая ZDNet, eWeek и Baseline. Она является автором Microsoft 2.
Windows 10
Пользователям Windows 7 и Windows Server 2008 необходимо установить подпись кода SHA-2 до 16 июля 2019 г., чтобы продолжать получать обновления Windows после этой даты. Microsoft опубликовала это предупреждение 15 февраля в статье службы поддержки.
Обновления операционной системы Windows имеют двойную подпись с использованием хеш-алгоритмов SHA-1 и SHA-2 для подтверждения подлинности. Но забегая вперед, из-за «слабых мест» в SHA-1 официальные лица Microsoft ранее заявляли, что обновления Windows будут использовать исключительно более безопасный алгоритм SHA-2. Клиенты, использующие Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2), должны установить поддержку подписи кода SHA-2 к июлю 2019 года, заявили представители Microsoft.
Источник: Getty Images/iStockphoto
Microsoft опубликовала график перехода этих операционных систем на SHA-2 с поддержкой этого алгоритма в виде отдельных обновлений. 12 марта Microsoft планирует выпустить отдельное обновление с поддержкой кодового знака SHA-2 для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1). Он также предоставит WSUS 3.0 SP2 необходимую поддержку для доставки обновлений SHA-2.
Microsoft выпустит отдельное обновление с поддержкой кодового знака SHA-2 для Windows Server 2008 SP2 9 апреля 2019 г.
18 июня в обновлениях Windows 10 – 1709, 1803, 1809 и Server 2019 – будут изменены подписи с SHA-1/SHA-2 с двойной подписью на SHA-2 без каких-либо действий пользователя.< /p>
Обязательно к прочтению
SHA-1, или безопасный алгоритм хеширования 1, был представлен Агентством национальной безопасности в 2002 году. Он использовался в сертификатах SSL, зашифрованных сообщениях и системах контроля версий кода. SHA-2 использует алгоритм SHA-1, но использует разные размеры входных и выходных данных для гораздо большей безопасности. Microsoft начала блокировать сайты, подписанные сертификатами SHA-1, в браузерах Edge и IE еще в 2017 году.
Kaspersky Total Security не может быть установлен на Microsoft Windows 7 и Microsoft Windows Server 2008 R2, если не установлены следующие обновления:
- KB4490628 (обновление от 12 марта 2019 г.);
- KB4474419 (обновление от 23 сентября 2019 г.).
Ошибка установки возникает из-за того, что Microsoft обновила алгоритм подписи модулей и драйверов сторонних приложений. Теперь модули и драйверы сторонних приложений (в том числе «Лаборатории Касперского») подписываются алгоритмом хеширования SHA256. Вам необходимо установить обновления для KB4490628 и KB4474419, чтобы модули и драйверы Kaspersky Total Security могли быть подписаны с использованием алгоритма хеширования SHA256.
Для установки обновлений используйте один из следующих способов.
Обновить установку с помощью Центра обновления Windows
Если на вашем компьютере отключена автоматическая установка обновлений:
-
В меню «Пуск» выберите «Панель управления» → «Система и безопасность» → «Центр обновления Windows».
Откроется окно Центра обновления Windows.
Все необходимые обновления будут автоматически загружены и установлены на ваш компьютер.
Ручная установка пакета обновлений 1, если он не установлен
Если на вашем компьютере установлена ОС Windows 7 с пакетом обновления 0 или Windows Server 2008 R2 с пакетом обновления 0, сначала необходимо установить пакет обновления 1 (KB976932).
Чтобы установить пакет обновления 1:
- Перейдите в каталог Центра обновления Майкрософт.
- Выберите версию ОС вашего компьютера и нажмите кнопку "Загрузить".
- Загрузите обновление на свой компьютер, нажав на ссылку в открывшемся окне.
- Установите обновление.
Ручная установка KB4490628
Чтобы установить KB4490628 вручную:
- Перейдите в каталог Центра обновления Майкрософт.
- Выберите версию ОС вашего компьютера и нажмите кнопку "Загрузить".
- Загрузите обновление на свой компьютер, нажав на ссылку в открывшемся окне.
- Установите обновление.
Ручная установка KB4474419
Чтобы установить KB4474419 вручную:
- Перейдите в каталог Центра обновления Майкрософт.
- Выберите версию ОС вашего компьютера и нажмите кнопку "Загрузить".
- Загрузите обновление на свой компьютер, нажав на ссылку в открывшемся окне.
- Установите обновление.
После установки обновлений перезагрузите компьютер и снова установите Kaspersky Total Security.
Windows 7 с пакетом обновления 1 Windows Server 2008 R2 с пакетом обновления 1 Windows Server 2008 с пакетом обновления 2 Windows 10, версия 1607, все выпуски Windows 10, версия 1703, все выпуски Windows 10, версия 1709, все выпуски Windows 10, версия 1803 , все выпуски Windows 10, версия 1809, все выпуски Windows 10 Windows Server 2012 Standard Windows Server 2012 R2 Windows 8.1 Windows Server 2019, все выпуски Windows Server Update Services 3.0 Service Pack 2 Еще. Меньше
Обзор
Чтобы защитить безопасность операционной системы Windows, обновления ранее были подписаны (используя алгоритмы хеширования SHA-1 и SHA-2). Подписи используются для подтверждения того, что обновления поступают непосредственно от Microsoft и не были изменены во время доставки. Из-за недостатков алгоритма SHA-1 и для соответствия отраслевым стандартам мы изменили подписывание обновлений Windows, чтобы использовать исключительно более безопасный алгоритм SHA-2. Это изменение было внесено поэтапно, начиная с апреля 2019 г. по сентябрь 2019 г., чтобы обеспечить плавный переход (дополнительную информацию об изменениях см. в разделе "График обновления продукта").
Клиенты, которые работают с устаревшими версиями ОС (Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)), должны установить на свои устройства поддержку подписи кода SHA-2 для установки обновлений, выпущенных в июле 2019 г. или позже. Любые устройства без поддержки SHA-2 не смогут устанавливать обновления Windows в июле 2019 г. или позже. Чтобы помочь вам подготовиться к этому изменению, мы выпустили поддержку подписи SHA-2 в марте 2019 г. и внесли дополнительные улучшения. Службы Windows Server Update Services (WSUS) 3.0 SP2 получат поддержку SHA-2 для безопасной доставки обновлений, подписанных SHA-2. В разделе "График обновления продукта" указан график миграции только с SHA-2.
Общие сведения
Алгоритм безопасного хеширования 1 (SHA-1) был разработан как функция необратимого хеширования и широко используется как часть подписи кода. К сожалению, безопасность алгоритма хеширования SHA-1 со временем стала менее надежной из-за обнаруженных в алгоритме слабых мест, повышения производительности процессора и появления облачных вычислений. Более надежные альтернативы, такие как алгоритм безопасного хеширования 2 (SHA-2), теперь настоятельно рекомендуются, поскольку они не вызывают тех же проблем. Дополнительные сведения об устаревании SHA-1 см. в разделе Алгоритмы хеширования и подписи.
Расписание обновлений продукта
С начала 2019 года процесс перехода на поддержку SHA-2 начался поэтапно, и поддержка будет предоставляться в виде отдельных обновлений. Microsoft ориентируется на следующий график, чтобы предложить поддержку SHA-2. Обратите внимание, что следующий график может быть изменен. Мы продолжим обновлять эту страницу по мере необходимости.
Целевая дата
12 марта 2019 г.
Выпущены автономные обновления безопасности KB4474419 и KB4490628, в которых реализована поддержка кодового знака SHA-2.
Windows 7 с пакетом обновления 1
Windows Server 2008 R2 с пакетом обновления 1
12 марта 2019 г.
Отдельное обновление KB4484071 доступно в каталоге Центра обновления Windows для WSUS 3.0 с пакетом обновления 2 (SP2), которое поддерживает доставку обновлений, подписанных SHA-2. Для клиентов, использующих WSUS 3.0 SP2, это обновление необходимо установить вручную не позднее 18 июня 2019 г.
9 апреля 2019 г.
Отдельное обновление KB4493730, которое вводит поддержку знака кода SHA-2 для стека обслуживания (SSU), было выпущено в качестве обновления безопасности.
Windows Server 2008 SP2
14 мая 2019 г.
Выпущено автономное обновление для системы безопасности KB4474419, в котором реализована поддержка кодового знака SHA-2.
Windows Server 2008 SP2
11 июня 2019 г.
Выпущено повторное обновление для системы безопасности KB4474419 для добавления отсутствующей поддержки кодового знака MSI SHA-2.
Windows Server 2008 SP2
18 июня 2019 г.
Подписи обновлений Windows 10 изменены с двойной подписи (SHA-1/SHA-2) на только SHA-2. Никаких действий со стороны клиента не требуется.
Windows 10, версия 1709
Windows 10, версия 1803
Windows 10, версия 1809
Windows Server 2019
18 июня 2019 г.
Обязательно: для клиентов, использующих WSUS 3.0 SP2, к этой дате необходимо вручную установить KB4484071 для поддержки обновлений SHA-2.
9 июля 2019 г.
Обязательно: для обновлений устаревших версий Windows потребуется установить поддержку подписи кода SHA-2. Поддержка, выпущенная в апреле и мае (KB4493730 и KB4474419), потребуется, чтобы продолжать получать обновления для этих версий Windows.
В настоящее время сигнатуры всех устаревших обновлений Windows изменены с SHA1 и двойной подписи (SHA-1/SHA-2) на SHA-2.
Windows Server 2008 SP2
16 июля 2019 г.
Подписи обновлений Windows 10 изменены с двойной подписи (SHA-1/SHA-2) на только SHA-2. Никаких действий со стороны клиента не требуется.
Windows 10, версия 1507
Windows 10, версия 1607
Windows Server 2016
Windows 10, версия 1703
13 августа 2019 г.
Обязательно: для обновлений устаревших версий Windows потребуется установить поддержку подписи кода SHA-2. Поддержка, выпущенная в марте (KB4474419 и KB4490628), потребуется, чтобы продолжать получать обновления для этих версий Windows. Если у вас есть устройство или виртуальная машина, использующая загрузку EFI, ознакомьтесь с разделом часто задаваемых вопросов, чтобы узнать о дополнительных действиях по предотвращению проблемы, из-за которой ваше устройство может не запускаться.
Сигнатуры всех устаревших обновлений Windows изменены с SHA-1 и двойной подписи (SHA-1/SHA-2) на SHA-2 только в настоящее время.
Windows 7 с пакетом обновления 1
Windows Server 2008 R2 с пакетом обновления 1
10 сентября 2019 г.
Устаревшие подписи обновлений Windows изменены с двойной подписи (SHA-1/SHA-2) на только SHA-2. Никаких действий со стороны клиента не требуется.
Windows Server 2012
Windows 8.1
Windows Server 2012 R2
10 сентября 2019 г.
Выпущено повторное автономное обновление безопасности KB4474419, в которое добавлены отсутствующие диспетчеры загрузки EFI. Убедитесь, что эта версия установлена.
Windows 7 SP1
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
28 января 2020 г.
Подписи в списках доверия сертификатов (CTL) для программы Microsoft Trusted Root изменены с двойной подписи (SHA-1/SHA-2) на только SHA-2. Никаких действий со стороны клиента не требуется.
Все поддерживаемые платформы Windows
Август 2020 г.
Конечные точки службы Центра обновления Windows на основе SHA-1 больше не поддерживаются. Это влияет только на старые устройства Windows, на которые не были установлены соответствующие обновления безопасности. Дополнительные сведения см. в статье KB4569557.
Windows 7
Windows 7 SP1
Windows Server 2008
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2008 R2 SP1
3 августа 2020 г.
Майкрософт удалил из Центра загрузки Майкрософт контент, подписанный Windows для алгоритма безопасного хеширования 1 (SHA-1). Дополнительные сведения см. в блоге ИТ-специалистов по Windows SHA-1. Содержимое Windows будет удалено 3 августа 2020 года.
Windows Server 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Windows 8.1
Windows Server 2012 R2
Windows 10
Windows 10 Server
Текущий статус
Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Перед установкой любого обновления, выпущенного 13 августа 2019 года или более поздней версии, необходимо установить следующие обязательные обновления, а затем перезапустить устройство. Требуемые обновления можно устанавливать в любом порядке, и их не нужно переустанавливать, если только нет новой версии требуемого обновления.
Обновление стека обслуживания (SSU) (KB4490628). Если вы используете Центр обновления Windows, требуемый SSU будет предложен вам автоматически.
Обновление SHA-2 (KB4474419), выпущенное 10 сентября 2019 г. Если вы используете Центр обновления Windows, необходимое обновление SHA-2 будет предложено вам автоматически.
Важно! Необходимо перезагрузить устройство после установки всех необходимых обновлений, перед установкой ежемесячного накопительного пакета, обновления только для системы безопасности, предварительной версии ежемесячного накопительного пакета или отдельного обновления.
Windows Server 2008 SP2
Перед установкой любого накопительного пакета, выпущенного 10 сентября 2019 г. или более поздней версии, необходимо установить следующие обновления, а затем перезапустить устройство. Требуемые обновления можно устанавливать в любом порядке, и их не нужно переустанавливать, если только нет новой версии требуемого обновления.
Обновление стека обслуживания (SSU) (KB4493730). Если вы используете Центр обновления Windows, необходимое обновление SSU будет предложено вам автоматически.
Последнее обновление SHA-2 (KB4474419), выпущенное 10 сентября 2019 г. Если вы используете Центр обновления Windows, необходимое обновление SHA-2 будет предложено вам автоматически.
Важно! Необходимо перезагрузить устройство после установки всех необходимых обновлений, перед установкой ежемесячного накопительного пакета, обновления только для системы безопасности, предварительной версии ежемесячного накопительного пакета или отдельного обновления.
Часто задаваемые вопросы
Общая информация, планирование и предотвращение проблем
<р>1. Чем обновления для KB3033929 и KB4039648 отличаются от отдельных обновлений, выпущенных в марте и апреле?Поддержка подписи кода SHA-2 была предоставлена заранее, чтобы гарантировать, что большинство клиентов получат поддержку задолго до того, как корпорация Майкрософт перейдет на подписывание SHA-2 для обновлений этих систем. Автономные обновления включают в себя некоторые дополнительные исправления и доступны, чтобы гарантировать, что все обновления SHA-2 находятся в небольшом количестве легко идентифицируемых обновлений. Корпорация Майкрософт рекомендует клиентам, поддерживающим образы систем для этих ОС, применять эти обновления к образам.
Начиная с WSUS 4.0 в Windows Server 2012, WSUS уже поддерживает обновления, подписанные SHA-2, и для этих версий не требуется никаких действий со стороны клиента.
Только для WSUS 3.0 SP2 требуется установка KB4484071 для поддержки обновлений, подписанных только SHA2.
<р>3. У меня есть система Windows Server 2008 SP2, которая выполняет двойную загрузку с Windows Server 2008 R2 (или Windows 7).Как обновить поддержку SHA-2?Предположим, вы используете Windows Server 2008 SP2. Если вы используете двойную загрузку с Windows Server 2008 R2 SP1/Windows 7 SP1, диспетчер загрузки для этого типа системы будет из системы Windows Server 2008 R2/Windows 7. Чтобы успешно обновить обе эти системы для использования поддержки SHA-2, необходимо сначала обновить систему Windows Server 2008 R2/Windows 7, чтобы диспетчер загрузки был обновлен до версии, поддерживающей SHA-2. Затем обновите систему Windows Server 2008 SP2 с поддержкой SHA-2.
<р>4. У меня есть система с двумя разделами, один с Windows Server 2008 SP2, а второй с загрузочной средой Windows 7 PE (WinPE). Как перейти на поддержку SHA-2?Как и в случае с двойной загрузкой, среда Windows 7 PE должна быть обновлена до поддержки SHA-2. Затем необходимо обновить систему Windows Server 2008 SP2 до поддержки SHA-2.
<р>5. Я использую программу установки для чистой установки Windows 7 с пакетом обновления 1 (SP1) или Windows Server 2008 R2 с пакетом обновления 1 (SP1). Я использую образ, настроенный с помощью обновлений (например, с помощью dism.exe). Как перейти на поддержку SHA-2?Выполните установку Windows до конца и загрузитесь в Windows перед установкой обновлений от 13 августа 2019 г. или более поздних версий
Откройте окно командной строки администратора, запустите bcdboot.exe. Это копирует загрузочные файлы из каталога Windows и настраивает загрузочную среду. Дополнительные сведения см. в разделе Параметры командной строки BCDBoot.
Перед установкой каких-либо дополнительных обновлений установите перевыпуск KB4474419 и KB4490628 от 13 августа 2019 г. для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1).
Перезагрузите операционную систему. Требуется перезагрузка
Установите все оставшиеся обновления.
<р>6. Я устанавливаю образ Windows 7 с пакетом обновления 1 (SP1) или Windows Server 2008 R2 с пакетом обновления 1 (SP1) непосредственно на диск без запуска программы установки. Как заставить этот сценарий работать?Установите образ на диск и загрузитесь в Windows.
В командной строке запустите bcdboot.exe. Это копирует загрузочные файлы из каталога Windows и настраивает загрузочную среду. Дополнительные сведения см. в разделе Параметры командной строки BCDBoot.
Перед установкой каких-либо дополнительных обновлений установите перевыпуск KB4474419 и KB4490628 от 23 сентября 2019 г. для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1).
Перезагрузите операционную систему. Требуется перезагрузка
Установите все оставшиеся обновления.
<р>7. Поддерживается ли мое устройство x64 или виртуальная машина, использующая загрузку EFI, этим обновлением SHA-2 для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)?Да, перед продолжением необходимо установить необходимые обновления: обновление SSU (KB4490628) и SHA-2 (KB4474419). Кроме того, вам необходимо перезагрузить устройство после установки необходимых обновлений, прежде чем устанавливать какие-либо дальнейшие обновления.
<р>8. Windows 10 версии 1903 не указана в таблице выше, поддерживает ли она обновления SHA-2? Требуются ли какие-либо действия?Windows 10 версии 1903 поддерживает SHA-2 с момента ее выпуска, и все обновления уже подписаны только SHA-2. Для этой версии Windows не требуется никаких действий.
<р>9. Я устанавливаю обновления в онлайновую (работающую) систему, используя dism.exe /online. Как заставить этот сценарий работать?Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Загрузитесь в Windows перед установкой любых обновлений от 13 августа 2019 г. или более поздних версий.
Перед установкой любых дополнительных обновлений установите перевыпуск KB4474419 и KB4490628 от 23 сентября 2019 г. для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1).
Перезагрузите операционную систему. Требуется перезагрузка
Установите все оставшиеся обновления.
Windows Server 2008 SP2
Загрузитесь в Windows перед установкой любых обновлений от 9 июля 2019 г. или более поздних версий.
Перед установкой каких-либо дополнительных обновлений установите перевыпуск KB4474419 и KB4493730 для Windows Server 2008 SP2 от 23 сентября 2019 года.
Перезагрузите операционную систему. Требуется перезагрузка
Установите все оставшиеся обновления.
Устранение неполадок
<р>1. Мое устройство x86 или x64 или виртуальная машина (ВМ) не запускается, и я получаю сообщение об ошибке 0xc0000428 (STATUS_INVALID_IMAGE_HASH), или мое устройство запускается в среду восстановления при перезапуске после установки обновлений, выпущенных 13 августа 2019 г. или позже. Я установил KB4474419 и KB4490628, чтобы включить поддержку SHA-2. Как восстановить установку?Если вы видите ошибку 0xc0000428 с сообщением «Windows не может проверить цифровую подпись для этого файла. Недавнее изменение оборудования или программного обеспечения могло привести к установке файла с неправильной подписью или повреждения, либо это могло быть вредоносное ПО из неизвестного источника». выполните следующие действия для восстановления.
Запустите операционную систему с помощью носителя для восстановления.
Перед установкой каких-либо дополнительных обновлений установите обновление KB4474419 от 23 сентября 2019 г. или более поздней даты с помощью системы обслуживания образов развертывания и управления ими (DISM) для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1).
В командной строке запустите bcdboot.exe. Это копирует загрузочные файлы из каталога Windows и настраивает загрузочную среду. Дополнительные сведения см. в разделе Параметры командной строки BCDBoot.
Перезагрузите операционную систему.
<р>2. Я развернул накопительное обновление для всех устройств или виртуальных машин (ВМ) в своей среде, и после перезапуска я получаю сообщение об ошибке 0xc0000428 (STATUS_INVALID_IMAGE_HASH) или мое устройство запускается в среду восстановления. Что мне делать с оставшимися устройствами или ВМ, которые еще не были перезапущены?Остановите развертывание на других устройствах и не перезапускайте устройства или виртуальные машины, которые еще не были перезапущены.
Определите устройства и ВМ в состоянии ожидания перезапуска с обновлениями, выпущенными 13 августа 2019 г. или позже, и откройте командную строку с повышенными привилегиями
Найдите идентификатор пакета для обновления, которое вы хотите удалить, с помощью следующей команды, используя номер базы знаний для этого обновления (замените 4512506 номером базы знаний, на который вы ориентируетесь, если это не Ежемесячный накопительный пакет, выпущенный 13 августа 2019 г.) : dism/online/get-packages | найти 4512506
Используйте следующую команду, чтобы удалить обновление, заменив его тем, что было найдено в предыдущей команде: Dism.exe /online /remove-package /packagename:
Теперь вам нужно установить необходимые обновления, перечисленные в разделе Как получить это обновление обновления, которое вы пытаетесь установить, или необходимые обновления, перечисленные выше в разделе Текущее состояние этой статьи.
Примечание. Любое устройство или виртуальная машина, на которых вы в настоящее время получаете сообщение об ошибке 0xc0000428 или запускаете среду восстановления, вам необходимо выполнить действия, описанные в разделе часто задаваемых вопросов об ошибке 0xc0000428.
<р>3. Что делать, если я получаю код ошибки 80096010 или код ошибки 80092004 (CRYPT_E_NOT_FOUND), «Центр обновления Windows обнаружил неизвестную ошибку» при попытке установить обновление для Windows 7 с пакетом обновления 1, Windows Server 2008 R2 с пакетом обновления 1 или Windows Server 2008 с пакетом обновления 2?< /p>Если вы столкнулись с этими ошибками, вам необходимо установить необходимые обновления, перечисленные в разделе Как получить это обновление обновления, которое вы пытаетесь установить, или необходимые обновления, перечисленные выше в разделе Текущее состояние этой статьи.< /p> <р>4. Мое устройство Intel Itanium IA64 не запускается, и я получаю сообщение об ошибке 0xc0000428 (STATUS_INVALID_IMAGE_HASH), но я установил KB4474419 и KB4490628. Как восстановить установку?
Если вы видите ошибку 0xc0000428 с сообщением «Windows не может проверить цифровую подпись для этого файла. Недавнее изменение оборудования или программного обеспечения могло привести к установке файла с неправильной подписью или повреждения, либо это могло быть вредоносное ПО из неизвестного источника». выполните следующие действия для восстановления.
Запустите операционную систему с помощью носителя для восстановления.
Установите последнее обновление SHA-2 (KB4474419), выпущенное 13 августа 2019 года или позже, с помощью системы обслуживания образов развертывания и управления ими (DISM) для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1).
Перезагрузитесь с носителя для восстановления. Требуется перезагрузка
В командной строке запустите bcdboot.exe. Это копирует загрузочные файлы из каталога Windows и настраивает загрузочную среду. Дополнительные сведения см. в разделе Параметры командной строки BCDBoot.
Перезагрузите операционную систему.
<р>5. После установки обновления SHA-2 (KB4474419), выпущенного 10 сентября 2019 г. для Windows Server 2008 SP2, я не могу вручную установить обновления, дважды щелкнув файл .msu, и получаю сообщение об ошибке «Установщик обнаружил ошибку: 0x80073afc . Загрузчику ресурсов не удалось найти файл MUI."Если вы столкнулись с этой проблемой, вы можете решить эту проблему, открыв окно командной строки и выполнив следующую команду для установки обновления (замените заполнитель на фактическое местоположение и имя файла обновления):
Эта проблема устранена в KB4474419, выпущенном 8 октября 2019 г. Это обновление будет установлено автоматически из Центра обновления Windows и служб обновления Windows Server (WSUS). Если вам нужно установить это обновление вручную, вам нужно будет использовать обходной путь, описанный выше.
Примечание. Если вы ранее установили обновление KB4474419, выпущенное 23 сентября 2019 года, значит, у вас уже установлена последняя версия этого обновления, и вам не нужно переустанавливать его.
За последние несколько лет поддержка SHA-2 улучшилась. Большинство браузеров, платформ, почтовых клиентов и мобильных устройств уже поддерживают SHA-2. Однако некоторые старые операционные системы, такие как Windows XP до SP3, не поддерживают шифрование SHA-2.
Многие организации смогут перейти на SHA-2, не сталкиваясь с проблемами взаимодействия с пользователем, и многие могут захотеть поощрить пользователей, использующих более старые и менее безопасные системы, к обновлению.
На этой странице указана минимальная версия, необходимая для SHA-2, а также некоторые исключения.
Поддержка браузера и сервера
1 Хотя AWS совместим с SHA-2, экземпляры AWS обычно являются виртуальными частными серверами. Поэтому совместимость AWS SHA-2 зависит от базовой серверной платформы.Другие приложения AWS (например, Elastic Load Balancing (ELB)) поддерживают сертификаты SHA-2.
Поддержка ОС
| Операционная система | Минимальная версия ОС сертификата SSL | Минимальная версия ОС сертификата клиента |
| Android | 2.3+ | 2.3+ |
| Apple iOS | 3.0+ | 3.0+ |
| Blackberry | 5.0+ | 5.0+ |
| ChromeOS | ||
| Mac OS X | 10.5+ | 10.5+ |
| Windows | XP SP3+ | XP SP3+ (частично) |
| Windows Phone | 7+ | 7+ |
| Windows Server | 2003 SP2 + исправления (частичные) | 2003 SP2 + исправления (частично) |
Подробная совместимость с ОС
| Операционная система | Сертификат SSL (сторона клиента) | Сертификат SSL (сторона сервера) | S/MIME | Подписание кода |
| Mac OS X 10.5+ |  | Н/Д | | |
| Windows 8 | | Н/Д | | |
| Windows 7 | | N/ А | Частично | |
| Windows Vista | | Н/Д | | Частично |
| Windows XP SP3 4 |  | Н/Д | Частично | Частично |
| Windows Server 2012 и 2012 R2 |  | | < /td> | |
| | | Частично | Windows Server 2003 с KB 938397 3, 4 |  | | Частично | Частично |
| Windows Phone 8 | | Н/Д | | Н/Д |
| Windows Phone 7 | | Н/Д | | Н/Д |
3 Чтобы включить ту же совместимость SHA-2 в Windows Server 2003, что и в Windows XP с пакетом обновления 3 (SP3), см. статью базы знаний 938397.
4 Чтобы устранить проблемы, возникающие при проверке подлинности с XP SP3 или Server 2003 на Server 2008 с использованием SHA-2, см. статью базы знаний 968730.
Сегодня было выпущено обновление, которое добавляет поддержку подписи кода SHA-2 в Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1). Если это обновление не установлено, эти операционные системы Windows больше не смогут получать обновления Windows, начиная с 16 июля 2019 г.
В настоящее время все обновления Windows имеют двойную подпись с сертификатами подписи кода SHA-1 и SHA-2. Поскольку в алгоритме SHA-1 есть недостатки, которые делают его менее безопасным, Microsoft заявила, что начиная с 16 июля 2019 года обновления Windows будут подписываться только с использованием алгоритма SHA-2.
"Для защиты вашей безопасности обновления операционной системы Windows имеют двойную подпись с использованием хеш-алгоритмов SHA-1 и SHA-2 для подтверждения того, что обновления поступают непосредственно от Microsoft и не были изменены во время доставки. Из-за недостатков в алгоритм SHA-1 и для соответствия отраслевым стандартам Microsoft будет подписывать обновления Windows исключительно с использованием более безопасного алгоритма SHA-2."
Поскольку и Windows 7 с пакетом обновления 1 (SP1), и Windows Server 2008 R2 с пакетом обновления 1 (SP1) не поддерживают сертификаты для подписи кода SHA-2, Microsoft заявила, что собирается выпустить обновление, которое добавит эту функцию в операционные системы.
В рамках обновлений вторника исправлений за март 2019 г. корпорация Майкрософт выпустила обновления KB4490628 и KB4474419, чтобы добавить поддержку SHA-2 как в Windows 7 с пакетом обновления 1 (SP1), так и в Windows Server 2008 R2 с пакетом обновления 1 (SP1). Эти обновления будут установлены автоматически, и их нельзя запрещать, так как это приведет к тому, что Центр обновления Windows перестанет работать в будущем.
«Клиенты, использующие устаревшие версии ОС (Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)) должны будут установить на свои устройства поддержку подписи кода SHA-2 к июлю 2019 года. Любые устройства без SHA-2 поддержка не будет предлагаться для обновлений Windows после июля 2019 г. Чтобы помочь вам подготовиться к этому изменению, мы выпустим поддержку подписи SHA-2 в 2019 г. Службы Windows Server Update Services (WSUS) 3.0 SP2 получат поддержку SHA-2 для правильной доставки SHA. -2 подписанных обновления. См. график переноса в разделе "Обновления продукта".
Microsoft также выпустила KB4484071 для тех, кто использует WSUS 3.0 SP2, который поддерживает доставку обновлений, подписанных SHA-2.
Пользователям, которые решат не устанавливать это обновление, Microsoft повторно доставит их в качестве обновлений безопасности 9 апреля 2019 г.
Читайте также: