{"id":215612,"date":"2019-03-13T16:48:09","date_gmt":"2019-03-13T15:48:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=215612"},"modified":"2022-08-03T08:26:00","modified_gmt":"2022-08-03T06:26:00","slug":"windows-7-updates-rsten-sha-2-support-nach","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/03\/13\/windows-7-updates-rsten-sha-2-support-nach\/","title":{"rendered":"Windows 7: Updates rüsten SHA-2-Support nach"},"content":{"rendered":"

\"win7\"Zum 12. M\u00e4rz 2019 hat Microsoft den SHA-2 Support f\u00fcr Windows 7 SP1 und Windows Server 2008\/R2 sowie WSUS 3.0 SP2 nachger\u00fcstet. Hier einige Informationen zu diesem Thema sowie Hinweise auf erste Probleme.<\/p>\n

<\/p>\n

\"\"Der Blog-Beitrag ist ein Versuch, einige lose Enden aufzugreifen und zu einer geschlossenen Darstellung zusammen zu f\u00fchren. Ihr k\u00f6nnt fehlende Informationen ja ggf. in den Kommentaren nachtragen.<\/p>\n

Worum geht es beim SHA-2-Support?<\/h2>\n

Microsoft hatte 2018 angek\u00fcndigt, ab Mitte 2019 seine Windows-Updates nur noch mit SHA-2-Signaturen zu versehen \u2013 die Signierung mit SHA-1 entf\u00e4llt dann aus Sicherheitsgr\u00fcnden. Ich hatte im Artikel Windows 7: Ab April 2019 wird ein 'SHA-2-Update' ben\u00f6tigt<\/a> dar\u00fcber berichtet.<\/p>\n

Benutzer von Windows 7 SP1 (sowie der Server Pendants) und WSUS ben\u00f6tigen daher ab April 2019 ein spezielles Update, welches die Maschine f\u00fcr SHA2-Codesignaturen ert\u00fcchtigt. Ohne dieses Update k\u00f6nnen diese Maschinen zuk\u00fcnftig keine neuen Updates mehr verarbeiten. Im Blog-Beitrag SHA-2-Patch f\u00fcr Windows 7 kommt wohl im M\u00e4rz 2019<\/a> hatte ich ein Update f\u00fcr diesen Monat angek\u00fcndigt, musste aber Details schuldig bleiben. Mit dem 12. M\u00e4rz 2019 hat Microsoft im Rahmen des Patchdays nun die erforderlichen Updates bereitgestellt.<\/p>\n

Updates KB4474419 und KB4490628<\/h2>\n

Microsoft hat zum 12. M\u00e4rz 2019 den Support-Beitrag 4472027<\/a> (2019 SHA-2 Code Signing Support requirement for Windows and WSUS) dahingehend erweitert, als das die f\u00fcr Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1 und Windows Server 2008 Service Pack 2 erforderlichen SHA-2-Updates genannt werden.<\/p>\n

Sicherheits-Update KB4474419<\/h3>\n

Update KB4474419<\/a> (SHA-2 code signing support update for Windows Server 2008 R2 and Windows 7: March 12, 2019) r\u00fcstet die Unterst\u00fctzung f\u00fcr die SHA-2-Signaturauswertung f\u00fcr die genannten Betriebssysteme nach. Das Update wird automatisch \u00fcber Windows Update heruntergeladen und installiert. Weiterhin steht das Update \u00fcber Windows Server Update Services (WSUS) oder f\u00fcr den manuellen Download per Microsoft Update Catalog<\/a> bereit. Zudem wird das Update auf der Advisory-Seite ADV90009<\/a> auf den Microsoft Update Catalog verlinkt.<\/p>\n

Servicing Stack Update KB4490628<\/h3>\n

Zudem wurde f\u00fcr Windows 7 SP1 und Windows Server 2008 R2 SP1 das Servicing Stack Update (SSUs) KB4490628<\/a> ver\u00f6ffentlicht. Dieses Update korrigiert ein Problem beim Servicing Stack, wenn dort Updates installiert werden sollen, die nur mit dem SHA-2-Hash-Algorithmus signiert wurden. Ich hatte bereits im Blog-Beitrag Patchday: Updates f\u00fcr Windows 7\/8.1\/Server (12. M\u00e4rz 2019)<\/a> auf diesen Sachverhalt hingewiesen.<\/p>\n

Microsoft gibt an, dass dieses SSU vor der Installation der M\u00e4rz 2019-Updates installiert werden muss, um Folgefehler und Installationsprobleme zu vermeiden.<\/p>\n

Probleme bei diesen Updates<\/h2>\n

Bei der Nachr\u00fcstung der oben genannten Updates zur SHA-2-Ert\u00fcchtigung kann es zu diversen Fehlern und Problemen kommen.<\/p>\n

Update KB4490628 h\u00e4ngt beim Neustart<\/h3>\n

Der Pferdefu\u00df beim Update KB4490628 besteht darin, dass es bei dessen Installation zu einem bekannten Problem kommen kann, welches Microsoft hier auff\u00fchrt<\/a>. Nachdem Sie das SSU zusammen mit anderen Updates installiert haben, kann ein Neustart zum Abschlie\u00dfen der Installation erforderlich sein.<\/p>\n

\"Update(Update h\u00e4ngt, Quelle: Microsoft)<\/p>\n

W\u00e4hrend dieses Neustarts kann es sein, dass das System bei der Meldung \"Stufe 2 von 2\" oder \"Stufe 3 von 3\" h\u00e4ngen bleibt. Falls dieses Problem auftritt, dr\u00fccken Sie die Tastenkombination Strg+Alt+Entf, um sich an Windows anzumelden. Dieses Problem sollte nur einmal auftreten.<\/p>\n

Update KB4490628 wird nicht angeboten<\/h3>\n

In KB-Artikel 4490628<\/a> gibt Microsoft an, dass dieses Update automatisch per Windows Update angeboten wird. In diesem Kommentar<\/a> weist Blog-Leser Joe_Gerhard <\/cite>darauf hin, dass ihm das Update nicht angeboten werde (danke f\u00fcr den Hinweis). Ich habe es auf meiner Maschine kontrolliert \u2013 auch dort fehlt dieses Update bisher, w\u00e4hrend Update KB4474419 angeboten wird. M\u00f6gliche Spekulation meinerseits: Das SSU-Update wird nur auf Maschinen angeboten, wo das erforderlich ist. Bei Bedarf steht aber auch im Microsoft Update Catalog<\/a> zum Download bereit.<\/p>\n

Blog-Leser Markus B. schrieb mir gerade per E-Mail folgende Beobachtung, die ich einfach mal einstelle:<\/p>\n

Es ging bei mir, dass ich den Win7 kumulativen zuerst installieren lies \u00fcber den WSUS. Dann im Anschluss erst den Stackupdate. Bei MS steht ja, dass es dann teils Probleme g\u00e4be. Stack braucht dann keinen Restart.<\/p>\n

Umgekehrt w\u00fcrde es viel l\u00e4nger dauern, zuerst den Stack zu verteilen, dann den Kumulativen mit dem SHA2. Hier m\u00fcsste ich ein Wartungsfenster dazwischen abwarten. Nur falls Fragen kommen.<\/p><\/blockquote>\n

Auch hier mein Dank an Blog-Leser Markus, dessen Ausf\u00fchrung sich auf die Verteilung der Updates per WSUS in Unternehmensumgebungen beziehen.<\/p>\n

Neustart-Schleife unter 32-Bit-Windows 7 bei Update KB4474419<\/h3>\n

In diesem Kommentar<\/a> zum Blog-Beitrag schreibt Blog-Leser Gregor (danke daf\u00fcr), dass das Update zur SHA-2-Unterst\u00fctzung zu einer Neustart-Schleife auf drei 32-Bit-Windows 7-Rechnern f\u00fchrte. Gregor gibt nicht an, welches Update gemeint ist. Es m\u00fcsste aber Update KB4474419 sein. Hat noch je jemand \u00e4hnliche Erfahrungen gemacht?<\/p>\n

Update KB4484071 f\u00fcr WSUS 3.0 SP2<\/h2>\n

Zudem hat Microsoft in diesem Support-Beitrag<\/a> (siehe auch diesen Leserkommentar<\/a>) das Standalone Update KB4484071<\/a> f\u00fcr WSUS 3.0 SP2 (SHA-2 Support for Windows Server Update Services 3.0 SP2) bereitgestellt. Dieses r\u00fcstet den SHA-2-Support f\u00fcr WSUS 3.0 SP2 nach.<\/p>\n

Administratoren, die WSUS 3.0 SP2 verwenden, m\u00fcssen dieses Update bis zum 18. Juni 2019 (manuell) installieren. Nun dann ist sichergestellt, dass Updates f\u00fcr Windows 7 und Windows Server 2008\/R2 ab diesem Zeitpunkt per WSUS 3.0 SP2 weiter verteilt werden k\u00f6nnen. Voraussetzung zur manuellen Installation von Update KB4484071 ist aber, dass die folgenden Updates:<\/p>\n