Tags: Windows 7, Windows Server 2008, Patch-Management
Wie bereits vor einigen Wochen angekündigt, wird Microsoft alle Updates künftig nur mehr mit dem SHA-2-Algorithmus signieren. Ältere Betriebssysteme wie Windows 7 und Server 2008 (R2) müssen erst dazu befähigt werden, solche Signaturen zu prüfen. Ohne die nötigen Patches erhalten sie sonst keine Updates mehr.
Aktuell signiert Microsoft alle Updates sowohl mit SHA-1 und SHA-2, so dass auch die älteren OS damit zurechtkommen. Ab Windows 8 und Server 2012 (inklusive WSUS 4.0) ist der Support für SHA-2 bereits enthalten, Handlungsbedarf besteht nur bei allen Versionen davor.
Microsoft bereits vor längerer Zeit SHA-2-Updates für Windows 7 und Server 2008 (R2) (KB3033929 und KB4039648) bereitgestellt. Nun reicht der Hersteller aktualisierte und fehlerbereinigte Standalone-Updates nach, die gezielt diesem Zweck dienen. Sie sind nach der Umstellung auf das Single-Signing mit SHA-2 erforderlich.
Roadmap für SHA-2-Umstellung
Ergänzt werden sie um einen Fahrplan, den Anwender einhalten sollten, wenn sie ihre Systeme mit Windows 7 und Server 2008 (R2) aktuell halten wollen:
- Am 12. März erschienen KB4474419 (das eigentliche Update für SHA-2) und KB4490628 (zur Aktualisierung des Update-Dienstes). Hinzu kommt KB4484071 für WSUS 3.0 SP2, das den Server in die Lage versetzt, SHA-2-signierte Updates zu verteilen.
- Am 9. April liefert Microsoft das SHA-2-Update für Windows Server 2008 SP2 als Sicherheits-Update aus.
- Ab 18. Juni sind Updates für Windows 10 nur mehr mit SHA-2 signiert. Am Client sind dann keine Maßnahmen notwendig, aber wenn Updates über WSUS 3.0 SP2 erfolgen, dann muss dort KB4484071 installiert sein.
- Vom 16. Juli an müssen Server 2008 SP2 das SHA-2-Update installiert haben, um weiterhin Patches zu erhalten. Das Gleiche gilt für Windows 7 SP1 und Server 2008 R2 SP1 ab dem 13. August.
- Ab 16. September sind alle Updates für alle Windows-Versionen nur mehr mit SHA-2 signiert.
Hinweis auf das Support-Ende von Windows 7
Von April 2019 an wird Microsoft auf allen Installationen von Windows 7 eine Nachricht einblenden, die Anwender an das Support-Ende für das Betriebssystem am 14. Januar 2020 erinnert. Durch Anhaken einer entsprechenden Option kann man eine weitere Anzeige in Zukunft unterbinden.
Die Benachrichtigung dürfte sich somit an jener orientieren, die bereits unter XP aus dem gleichen Anlass eingeblendet wurde.
Unternehmen haben die Möglichkeit, gegen eine jährlich steigende Gebühr den Support bis 2023 zu verlängern.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Systemupdate-Vorbereitungstool prüft Windows 7 für SP1
- Microsoft öffnet verlängerten Support für Windows 7 auch für kleinere Firmen
- Erweiterter Support für Windows 7 bis 2023: Kosten pro Gerät verdoppeln sich jährlich
- Verlängerter Support für Windows Server 2008 (R2) und SQL Server 2008 (R2) On-Prem oder auf Azure
- Windows Server 2008 SP2 erhält Updates ab September nur mehr als Rollups
Weitere Links
2 Kommentare
Ist bereits eine Möglichket bekannt, wie der Warnhinweis im Vorfeld unterbunden werden kann?
Die Frage habe ich mir natürlich auch gleich gestellt, aber aktuell scheint es dazu keine Info zu geben. Wahrscheinlich ein Registry-Schlüssel, den man wird setzen müssen.