Как включить sha 2 в Windows 7

Обновлено: 21.11.2024

За последние несколько лет поддержка SHA-2 улучшилась. Большинство браузеров, платформ, почтовых клиентов и мобильных устройств уже поддерживают SHA-2. Однако некоторые старые операционные системы, такие как Windows XP до SP3, не поддерживают шифрование SHA-2.

Многие организации смогут перейти на SHA-2, не сталкиваясь с проблемами взаимодействия с пользователем, и многие могут захотеть поощрить пользователей, использующих более старые и менее безопасные системы, к обновлению.

На этой странице указана минимальная версия, необходимая для SHA-2, а также некоторые исключения.

Поддержка браузера и сервера

1 Хотя AWS совместим с SHA-2, экземпляры AWS обычно являются виртуальными частными серверами. Поэтому совместимость AWS SHA-2 зависит от базовой серверной платформы. Другие приложения AWS (например, Elastic Load Balancing (ELB)) поддерживают сертификаты SHA-2.

Поддержка ОС

Операционная система Минимальная версия ОС сертификата SSL Минимальная версия ОС сертификата клиента
Android 2.3+ 2.3+
Apple iOS 3.0+ 3.0+
Blackberry 5.0+ 5.0+
ChromeOS
Mac OS X 10.5+ 10.5+
Windows XP SP3+ XP SP3+ (частично)
Windows Phone 7+ 7+
Windows Server 2003 SP2 + исправления (частичные) 2003 SP2 + исправления (частично)

Подробная совместимость с ОС

Операционная система SSL-сертификат (клиентская сторона) SSL-сертификат (серверная сторона) S/MIME Подписание кода
Mac OS X 10.5+
Н/Д

3 Чтобы включить ту же совместимость SHA-2 в Windows Server 2003, что и в Windows XP с пакетом обновления 3 (SP3), см. статью базы знаний 938397.

4 Чтобы устранить проблемы, возникающие при проверке подлинности с XP SP3 или Server 2003 на Server 2008 с использованием SHA-2, см. статью базы знаний 968730.

Сегодня было выпущено обновление, которое добавляет поддержку подписи кода SHA-2 в Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1). Если это обновление не установлено, эти операционные системы Windows больше не смогут получать обновления Windows, начиная с 16 июля 2019 г.

В настоящее время все обновления Windows имеют двойную подпись с сертификатами подписи кода SHA-1 и SHA-2. Поскольку в алгоритме SHA-1 есть недостатки, которые делают его менее безопасным, Microsoft заявила, что начиная с 16 июля 2019 года обновления Windows будут подписываться только с использованием алгоритма SHA-2.

"Для защиты вашей безопасности обновления операционной системы Windows имеют двойную подпись с использованием хеш-алгоритмов SHA-1 и SHA-2 для подтверждения того, что обновления поступают непосредственно от Microsoft и не были изменены во время доставки. Из-за недостатков в алгоритм SHA-1 и для соответствия отраслевым стандартам Microsoft будет подписывать обновления Windows исключительно с использованием более безопасного алгоритма SHA-2."

Поскольку и Windows 7 с пакетом обновления 1 (SP1), и Windows Server 2008 R2 с пакетом обновления 1 (SP1) не поддерживают сертификаты для подписи кода SHA-2, Microsoft заявила, что собирается выпустить обновление, которое добавит эту функцию в операционные системы.

В рамках обновлений вторника исправлений за март 2019 г. корпорация Майкрософт выпустила обновления KB4490628 и KB4474419, чтобы добавить поддержку SHA-2 как в Windows 7 с пакетом обновления 1 (SP1), так и в Windows Server 2008 R2 с пакетом обновления 1 (SP1). Эти обновления будут установлены автоматически, и их нельзя запрещать, так как это приведет к тому, что Центр обновления Windows перестанет работать в будущем.

«Клиенты, использующие устаревшие версии ОС (Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)) должны будут установить на свои устройства поддержку подписи кода SHA-2 к июлю 2019 года. Любые устройства без SHA-2 поддержка не будет предлагаться для обновлений Windows после июля 2019 г. Чтобы помочь вам подготовиться к этому изменению, мы выпустим поддержку подписи SHA-2 в 2019 г. Службы Windows Server Update Services (WSUS) 3.0 SP2 получат поддержку SHA-2 для правильной доставки SHA. -2 подписанных обновления. См. график переноса в разделе "Обновления продукта".

Microsoft также выпустила KB4484071 для тех, кто использует WSUS 3.0 SP2, который поддерживает доставку обновлений, подписанных SHA-2.

Пользователям, которые решат не устанавливать это обновление, Microsoft повторно доставит их в качестве обновлений безопасности 9 апреля 2019 г.

Microsoft начнет развертывание автономных обновлений SHA-2 для Windows 7 и Windows Server 2008 в марте в рамках подготовки к крайнему сроку реализации 16 июля.

Мэри Джо Фоули в течение 30 лет освещала технологическую отрасль для различных изданий, включая ZDNet, eWeek и Baseline. Она является автором Microsoft 2.

Windows 10

Пользователям Windows 7 и Windows Server 2008 необходимо установить подписывание кода SHA-2 до 16 июля 2019 г., чтобы продолжать получать обновления Windows после этой даты. Microsoft опубликовала это предупреждение 15 февраля в статье службы поддержки.

Обновления операционной системы Windows имеют двойную подпись с использованием хеш-алгоритмов SHA-1 и SHA-2 для подтверждения подлинности. Но забегая вперед, из-за «слабых мест» в SHA-1 официальные лица Microsoft ранее заявляли, что обновления Windows будут использовать исключительно более безопасный алгоритм SHA-2. Клиенты, использующие Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2), должны установить поддержку подписи кода SHA-2 к июлю 2019 года, заявили представители Microsoft.

Источник: Getty Images/iStockphoto

Microsoft опубликовала график перехода этих операционных систем на SHA-2 с поддержкой этого алгоритма в виде отдельных обновлений. 12 марта Microsoft планирует выпустить отдельное обновление с поддержкой кодового знака SHA-2 для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1). Он также предоставит WSUS 3.0 SP2 необходимую поддержку для доставки обновлений SHA-2.

Microsoft выпустит отдельное обновление с поддержкой кодового знака SHA-2 для Windows Server 2008 SP2 9 апреля 2019 г.

18 июня в обновлениях Windows 10 – 1709, 1803, 1809 и Server 2019 – будут изменены подписи с SHA-1/SHA-2 с двойной подписью на SHA-2 без каких-либо действий пользователя.< /p>

Обязательно к прочтению

SHA-1, или безопасный алгоритм хеширования 1, был представлен Агентством национальной безопасности в 2002 году. Он использовался в сертификатах SSL, зашифрованных сообщениях и системах контроля версий кода. SHA-2 использует алгоритм SHA-1, но использует разные размеры входных и выходных данных для гораздо большей безопасности. Microsoft начала блокировать сайты, подписанные сертификатами SHA-1, в браузерах Edge и IE еще в 2017 году.

Thinkstock/Майкрософт

Microsoft недавно объявила, что те, кто использует устаревшие платформы, должны установить определенные обновления, чтобы обеспечить поддержку хэш-значений SHA-2. Windows 7 и другие устаревшие платформы используют SHA-1 для сравнения хэш-значений кода. Когда обновление загружается из Microsoft, оно поставляется частями, которые перекомпилируются вместе на компьютере.

Если все фрагменты соответствуют ожидаемым хеш-значениям SHA-1, обновление одобрено для установки. Если хэш-значения SHA-1 неверны, то эти части обновления помечаются для повторной загрузки и повторной компиляции. Это процесс установки исправлений, выдержавший испытание временем и гарантирующий невозможность подделки исправлений.

Процесс хэширования SHA-1 оказался небезопасным и его можно подделать. Пришло время убедиться, что все механизмы обновления могут обрабатывать SHA-2. Если вы используете службы обновления программного обеспечения Windows (WSUS), установленные в Windows Server 2016 или Windows 2019, эти платформы в настоящее время поддерживают подписывание кода SHA-1 и SHA-2. Как указано в KB4472027, Microsoft поэтапно введет поддержку SHA-2, сначала переключившись на двойную подпись кода с 13 августа 2019 года, а затем, 16 сентября, она потребует наличия этих исправлений.

Вот сроки и действия, которые необходимо предпринять в устаревших системах.

Для тех, кто использует WSUS в Windows 2008 SP2, установите два обновления:

  1. Установите KB4484071 на WSUS 3.0 SP2. Его необходимо вручную загрузить и установить с сайта каталога Microsoft.
  2. Установите KB4493730 для Windows Server 2008 SP2. Это исправление стека обслуживания для этой платформы.

Для тех, кто использует WSUS в Windows 2008 R2, установите следующие три обновления:

  1. Установите KB4484071 на WSUS 3.0 SP2. Вручную загрузите и установите его с сайта каталога Microsoft.
  2. Установите KB4490628 для Server 2008 R2. Это исправление стека обслуживания для этой платформы. Это обновление необходимо устанавливать отдельно от всех других исправлений.
  3. Установите KB4474419 для Server 2008 R2. Это устанавливает поддержку подписи кода SHA-2 для самой платформы.

Тем, кто все еще использует рабочие станции Windows 7, потребуется установить следующие обновления, чтобы по-прежнему иметь возможность устанавливать обновления безопасности:

  1. Установите KB4490628 для Windows 7. Это исправление стека обслуживания для этой платформы, которое необходимо устанавливать отдельно от всех других исправлений.
  2. Установите KB4474419 для Windows 7. Это установит поддержку подписи кода SHA-2 для самой платформы.

Установите эти обновления до 18 июня 2019 г. В этот день сигнатуры обновлений для Windows 10 изменятся с двойной подписи (SHA-1/SHA-2) на только SHA-2. Если вы используете устаревшие WSUS, эти обновления должны быть на месте, чтобы продолжать управлять обновлениями безопасности Windows 10 из WSUS 3.0 SP2. Обратите внимание, что ни одно из этих обновлений не позволит WSUS 3.0 SP2 поддерживать обновления функций Windows 10. Скорее, они позволят WSUS 3.0 SP2 развертывать обновления безопасности Windows 10.

Обновление ключа для WSUS 3.0 с пакетом обновления 2 (KB4484071,) не будет автоматически установлено на этой платформе или предлагаться для компьютеров с установленным WSUS 3.0 с пакетом обновления 2. Вам нужно будет вручную установить его с сайта каталога. WSUS 3.0 SP2 можно было установить как на Server 2008 SP2, так и на Server 2008 R2, поэтому, если вы используете WSUS на любой из этих двух платформ, вам необходимо установить это обновление.

Для тех из вас, кто работает в сети, полностью состоящей из современных операционных систем и современных платформ исправлений на основе Windows Server 2016 или Windows Server 2019, реализация WSUS на этих платформах не требует никаких действий с вашей стороны. Переключение на SHA-2 будет происходить автоматически и незаметно для вас, так как эти платформы в настоящее время поддерживают подписывание кода SHA-1 и SHA-2.

Для тех, кто использует WSUS 4.0 в Windows Server 2012 или роль WSUS в Server 2012 R2, эти платформы также являются достаточно новыми для поддержки SHA-1 и SHA-2. На этих платформах также не требуется никаких действий для поддержки подписи кода SHA-2.

Оцените свои системы исправлений и устаревшие операционные системы и действуйте сейчас, чтобы сохранить возможность развертывания обновлений безопасности.

Читайте также: