SHA-2-Patch für Windows 7 und Windows Server 2008/R2 kommt im März
Microsoft plant ein Update für Windows 7/Server 2008 (R2). Es soll das Betriebssystem für die Erkennung SHA-2 signierter Updates fit machen.
- Günter Born
Microsoft will zum nächsten Patchday am 12. März 2019 ein spezielles Sicherheitsupdate für Windows 7 und Windows Server 2008 R2 bereitzustellen. Dieser Patch soll die Hashfunktion SHA-2-Unterstützung im Windows-Update-Client nachrüsten. Ab Sommer 2019 sollen Updates nur noch mit SHA-2-Code-Signiatur bereitgestellt werden. Bisher wurden Updates sowohl mit SHA-1 als auch mit SHA-2 signiert, der Update-Client der genannten Betriebssysteme wertete aber nur die SHA-1-Signatur aus.
Ankündigung 2018, stufenweiser Umstieg 2019
Bereits im November 2018 hatte Microsoft angekündigt, die Signierung von Updates ab Februar 2019 aus Sicherheitsgründen für Windows 7, Windows Server 2008 und Windows Server 2008 R2 auf SHA-2 umzustellen; genaue Termine hat das Unternehmen aber nicht genannt. Nun hat Microsoft im KB-Artikel 4472027 2019 SHA-2 Code Signing Support requirement for Windows and WSUS Details bekannt gegeben.
Mit einem Standalone-Update zum 12. März 2019 sollen die Update-Clients von Windows 7 SP1 und Windows Server 2008 R2 SP1 sowie WSUS 3.0 SP2 für eine SHA-2-Unterstützung aufgerüstet werden. Für Windows Server 2008 SP2 ist dieses Update erst am 9. April 2019 geplant.
SHA-1 entfällt
Ab dem 18. Juni will Microsoft die Signierung neuer Updates für Windows 10 (ab Version 1709 und höher) sowie Windows Server 2019 komplett auf SHA-2 umstellen und die SHA-1-Signatur entfallen lassen. Bis dahin sollten WSUS-3.0-SP2-Umgebungen mit dem SHA-2-Vorbereitungsupdate versehen sein.
Ab dem 16. Juli 2019 sollen Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 nur noch neue Updates erhalten, wenn die Unterstützung für SHA-2-Signaturen installiert ist. Zu diesem Datum erhalten Windows 10 V1507, V1607 und V1703 ebenfalls nur noch SHA-2-signierte Updates. Hier sind aber keine Vorbereitungsupdates erforderlich, da in Windows 8.1, Windows 10 und deren Server-Pendants diese SHA-2-Unterstützung bereits im Betriebssystem eingebaut ist.
Ab dem 13. August 2019 sollen auch Updates für Embedded-Binaries und den Microsoft Update Catalog ausschließlich nur noch mit SHA-2–Signatur versehen werden. Ab dem 16. September 2019 sollten dann die Update-Signaturen für Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2, Windows Server 2012, Windows 8.1 und Windows Server 2012 R2 auf ausschließliche SHA-2-Signierung umgestellt werden.
Was ist mit Windows-Neuinstallationen?
Viele Benutzer von Windows 7 SP1 befürchten, dass ein neu installiertes Betriebssystem wegen der SHA-2-Signierung plötzlich keine Updates mehr erhält. Diese Sorge ist aber unbegründet. Es gibt zwar den Effekt, dass Windows-7-Neuinstallationen bei der Update-Suche ewig keine Updates finden, das hat aber nichts mit der SHA-2-Umstellung zu tun, sondern hängt mit der Architektur des Windows-Update-Clients zusammen. Für solche Fälle seien die Seite wu.krelay.de für Windows 7 SP1 sowie der Microsoft KB-Beitrag 3159706 für WSUS-Umgebungen unter Windows Server 2012/R2 als Anlaufstelle empfohlen.
Solange Microsoft die vor Juli 2019 freigegebenen und mit SHA-1/SHA-2 signierten Updates nicht zurückzieht und durch Pakete mit ausschließlicher SHA-2-Signatur ersetzt, lassen sich Windows-Neuinstallationen per Update aktualisieren. Sobald das SHA-2-Vorbereitungsupdate mit installiert wurde, akzeptieren Windows 7 sowie die Server-Pendants auch Updates ab dem Erscheinungsdatum Juli 2019. (anw)