Microsoft bringt SHA-2-Patch für Windows 7 und WSUS 3.0 SP2, Installation erforderlich

    Windows Update IconWie bereits vor einigen Wochen angekündigt, wird Micro­soft alle Updates künftig nur mehr mit dem SHA-2-Algo­rithmus sig­nieren. Ältere Betriebs­systeme wie Windows 7 und Server 2008 (R2) müssen erst dazu befähigt werden, solche Sig­naturen zu prüfen. Ohne die nötigen Patches erhalten sie sonst keine Updates mehr.

    Aktuell signiert Microsoft alle Updates sowohl mit SHA-1 und SHA-2, so dass auch die älteren OS damit zurecht­kommen. Ab Windows 8 und Server 2012 (inklusive WSUS 4.0) ist der Support für SHA-2 bereits enthalten, Handlungs­bedarf besteht nur bei allen Versionen davor.

    Microsoft bereits vor längerer Zeit SHA-2-Updates für Windows 7 und Server 2008 (R2) (KB3033929 und KB4039648) bereitgestellt. Nun reicht der Hersteller aktualisierte und fehler­bereinigte Standalone-Updates nach, die gezielt diesem Zweck dienen. Sie sind nach der Umstellung auf das Single-Signing mit SHA-2 erforderlich.

    Roadmap für SHA-2-Umstellung

    Ergänzt werden sie um einen Fahrplan, den Anwender einhalten sollten, wenn sie ihre Systeme mit Windows 7 und Server 2008 (R2) aktuell halten wollen:

    • Am 12. März erschienen KB4474419 (das eigentliche Update für SHA-2) und KB4490628 (zur Aktualisierung des Update-Dienstes). Hinzu kommt KB4484071 für WSUS 3.0 SP2, das den Server in die Lage versetzt, SHA-2-signierte Updates zu verteilen.
    • Am 9. April liefert Microsoft das SHA-2-Update für Windows Server 2008 SP2 als Sicherheits-Update aus.
    • Ab 18. Juni sind Updates für Windows 10 nur mehr mit SHA-2 signiert. Am Client sind dann keine Maßnahmen not­wendig, aber wenn Updates über WSUS 3.0 SP2 erfolgen, dann muss dort KB4484071 installiert sein.
    • Vom 16. Juli an müssen Server 2008 SP2 das SHA-2-Update installiert haben, um weiterhin Patches zu erhalten. Das Gleiche gilt für Windows 7 SP1 und Server 2008 R2 SP1 ab dem 13. August.
    • Ab 16. September sind alle Updates für alle Windows-Versionen nur mehr mit SHA-2 signiert.

    Hinweis auf das Support-Ende von Windows 7

    Von April 2019 an wird Microsoft auf allen Installationen von Windows 7 eine Nachricht einblenden, die Anwender an das Support-Ende für das Betriebs­system am 14. Januar 2020 erinnert. Durch Anhaken einer entsprechenden Option kann man eine weitere Anzeige in Zukunft unterbinden.

    Ab April warnt ein Dialog nach diesem Muster vor dem Support-Ende für Windows 7.

    Die Benachrichtigung dürfte sich somit an jener orientieren, die bereits unter XP aus dem gleichen Anlass eingeblendet wurde.

    Unternehmen haben die Möglichkeit, gegen eine jährlich steigende Gebühr den Support bis 2023 zu verlängern.

    2 Kommentare

    Bild von Patrick
    Patrick sagt:
    14. März 2019 - 13:06

    Ist bereits eine Möglichket bekannt, wie der Warnhinweis im Vorfeld unterbunden werden kann?

    Bild von Wolfgang Sommergut
    14. März 2019 - 13:57

    Die Frage habe ich mir natürlich auch gleich gestellt, aber aktuell scheint es dazu keine Info zu geben. Wahrscheinlich ein Registry-Schlüssel, den man wird setzen müssen.