Benutzer von Windows 7 SP1 (sowie der Server Pendants) und WSUS benötigen ab April 2019 ein spezielles Update, welches die Maschine für SHA2-Codesignaturen ertüchtigt. Ohne dieses Update können diese Maschinen keine Updates mehr verarbeiten.

Der Hintergrund: Umstellung auf SHA-2

Um sicherzustellen, dass Update-Pakete nicht modifiziert wurden und von Microsoft stammen, versieht Microsoft diese mit einer Signatur. Bisher wurden Updates mit der kryptografischen Hash-Signatur nach den Standards SHA-1 und SHA-2 versehen.
Das Signieren mit SHA-1-Hash-Werten gilt aber seit einiger Zeit als nicht mehr sicher (2017 konnten Forscher zwei unterschiedliche PDF-Dokumente mit dem gleichen SHA-1-Wert signieren). Daher möchte Microsoft in naher Zukunft auf SHA-2 als Hash-Verfahren setzen.

SHA-2 ab 2019 gefordert (Windows, WSUS)
In einem Support-Beitrag 2019 SHA-2 Code Signing Support requirement for Windows and WSUS hat Microsoft nun Änderungen in der Code-Signierung für Windows Updates für 2019 angekündigt. Die Absicherungen von Windows-Updates mit zwei Hash-Werten (SHA-1 und SHA-2) wird in 2019 auslaufen. Aufgrund von Schwächen im SHA-1-Algorithmus und zur Anpassung an Industriestandards wird Microsoft Windows-Aktualisierungen nur mit dem sichereren SHA-2-Algorithmus signieren.

Kunden, die Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 (und WSUS) verwenden, müssen bis April 2019 die SHA-2-Code-Signierungsunterstützung auf diesen Systemen installiert haben. Windows-Systemen ohne SHA-2-Unterstützung werden ab April 2019 keine Windows-Aktualisierungen mehr angeboten.

Um die Maschinen auf diese Änderung vorzubereiten, wird Microsoft 2019 entsprechende Updates für die SHA-2-Unterstützung freigeben. Einige ältere Versionen von Windows Server Update Services (WSUS) erhalten ebenfalls eine SHA-2-Unterstützung, um SHA-2-signierte Updates ordnungsgemäß bereitzustellen.

Ab Anfang 2019 wird die Unterstützung für SHA-2 in den monatlichen Updates verfügbar sein. Der Migrationsprozess zum exklusiven SHA-2-Support erfolgt schrittweise, und der Support wird in mehreren Update-Paketen angeboten. Es darf nur ein Update-Paket mit SHA-2-Unterstützung installiert werden, um den Support zu aktivieren. Microsoft strebt den folgenden Zeitplan an, um SHA-2-Unterstützung anzubieten.

  • Februar 2019: Die oben genannten Betriebssysteme erhalten die SHA-Unterstützung über ein Stand Alone-Update und über die Preview des monatlichen Rollup-Updates. Zudem wird in Update für SHA-2-Support für WSUS 3.0 SP2 bereitgestellt.
  • März 2019: Das monatliche Rollup- und Sicherheits-Update für März 2019 beinhaltet Unterstützung für die SHA-2-Codesignierung.
  • April 2019: Updates für die oben genannten Windows-Versionen erfordern die Installation der SHA-2-Code-Signierungsunterstützung. Die Installation eines der oben aufgeführten früheren Windows-Aktualisierungen bietet die notwendige Unterstützung, um Windows-Aktualisierungen auch nach April 2019 weiter zu erhalten
  • Juli 2019: Ab Juli müssen Kunden, die WSUS 3.0 SP2 verwenden, SHA-2-Support installiert haben, und alle Windows-Service-Updates werden nur noch SHA-2-signiert sein.


Maschinen mit Windows 8.1 und Windows 10 sind von dieser Änderung nicht betroffen, dort ist der SHA-2-Support bereits integriert.

Diese Info schrieb BornCity