Ringkasan

Untuk membantu melindungi keamanan sistem operasi Windows, pembaruan sebelumnya ditandatangani (menggunakan algoritma hash SHA-1 dan SHA-2). Tanda tangan digunakan untuk mengotentikasi bahwa pembaruan datang langsung dari Microsoft dan tidak dirusak saat pengiriman. Karena kelemahan dalam algoritma SHA-1 dan untuk meratakan standar industri, kami telah mengubah penandatanganan pembaruan Windows untuk menggunakan algoritme SHA-2 yang lebih aman secara eksklusif. Perubahan ini dilakukan secara bertahap mulai April 2019 hingga September 2019 untuk memungkinkan kelancaran migrasi (Lihat bagian "jadwal pembaruan produk" untuk detail selengkapnya tentang perubahan tersebut).

Pelanggan yang menjalankan versi Legacy OS (Windows 7 SP1, Windows Server 2008 R2 SP1 dan Windows Server 2008 SP2) harus memiliki dukungan penandatanganan kode SHA-2 yang terinstal di perangkat mereka untuk menginstal pembaruan yang dirilis pada atau setelah Juli 2019. Setiap perangkat tanpa dukungan SHA-2 tidak akan bisa menginstal pembaruan Windows pada atau setelah 2019 Juli. Untuk membantu mempersiapkan Anda untuk perubahan ini, kami merilis dukungan untuk penandatanganan SHA-2 dalam memulai March 2019 dan telah membuat penyempurnaan tambahan. Windows Server Update Services (WSUS) 3,0 SP2 akan menerima dukungan SHA-2 untuk mengirimkan pembaruan yang ditandatangani SHA-2 dengan aman. Silakan lihat bagian "jadwal pembaruan produk" untuk hanya SHA-2 migrasi garis waktu. 

Detail latar belakang

Secure Hash Algorithm 1 (SHA-1) dikembangkan sebagai fungsi hashing ireversibel dan secara luas digunakan sebagai bagian dari penandatanganan kode. Sayangnya, keamanan algoritma hash SHA-1 telah menjadi kurang aman seiring berjalannya waktu karena kelemahan yang ditemukan dalam algoritma, peningkatan kinerja prosesor, dan munculnya komputasi awan. Alternatif yang lebih kuat seperti Secure Hash Algorithm 2 (SHA-2) kini sangat disukai karena tidak mengalami masalah yang sama. Untuk informasi selengkapnya tentang penghentian SHA-1, lihat algoritma hash dan tanda tangan

Jadwal pembaruan produk

Mulai dari awal 2019, proses migrasi ke dukungan SHA-2 dimulai secara bertahap, dan dukungan akan dikirimkan dalam pembaruan mandiri. Microsoft menargetkan jadwal berikut ini untuk menawarkan dukungan SHA-2. Perhatikan bahwa garis waktu berikut ini dapat berubah. Kami akan terus memperbarui halaman ini sesuai keperluan.

Tanggal target

Pendamping

Berlaku untuk

12 Maret 2019

Pembaruan keamanan mandiriKB4474419 dan KB4490628 dirilis untuk memperkenalkan dukungan tanda kode Sha-2.

Windows 7 SP1 Windows Server 2008 R2 SP1

12 Maret 2019

Pembaruan berdiri sendiri , KB4484071 tersedia di Katalog pembaruan Windows untuk WSUS 3,0 SP2 yang mendukung pengiriman Sha-2 pembaruan yang ditandatangani. Bagi pelanggan yang menggunakan WSUS 3,0 SP2, pembaruan ini harus diinstal secara manual selambat-lambatnya 18 Juni 2019.

WSUS 3,0 SP2

9 April 2019

Pembaruan berdiri sendiri , KB4493730 yang memperkenalkan dukungan tanda kode Sha-2 untuk layanan stack (Ssu) dirilis sebagai pembaruan keamanan.

Windows Server 2008 SP2

14 Mei 2019

Pembaruan keamanan mandiriKB4474419 dirilis untuk memperkenalkan dukungan tanda kode Sha-2.

Windows Server 2008 SP2

11 Juni 2019

Pembaruan keamanan mandiriKB4474419dirilis ulang untuk menambahkan dukungan tanda tangan kode MSI Sha-2 yang hilang.

Windows Server 2008 SP2

18 Juni 2019

Tanda tangan pembaruan Windows 10 berubah dari dual Signed (SHA-1/SHA-2) ke SHA-2 saja. Tidak ada tindakan Pelanggan yang diperlukan.

Windows 10, versi 1709 Windows 10, versi 1803 Windows 10, versi 1809 Windows Server 2019

18 Juni 2019

Diharuskan Bagi pelanggan yang menggunakan WSUS 3,0 SP2, KB4484071 harus diinstal secara manual pada tanggal ini untuk mendukung pembaruan Sha-2.

WSUS 3,0 SP2

9 Juli 2019

Diharuskan Pembaruan untuk versi Windows warisan akan memerlukan dukungan penandatanganan kode SHA-2. Dukungan yang dirilis pada bulan April dan Mei (KB4493730 dan KB4474419) akan diperlukan untuk terus menerima pembaruan pada versi Windows ini.

Semua tanda tangan Windows warisan pembaruan diubah dari SHA1 dan dual Signed (SHA-1/SHA-2) hanya untuk SHA-2 pada saat ini.

Windows Server 2008 SP2

16 Juli 2019

Tanda tangan pembaruan Windows 10 berubah dari dual Signed (SHA-1/SHA-2) ke SHA-2 saja. Tidak ada tindakan Pelanggan yang diperlukan.

Windows 10, versi 1507 Windows 10, versi 1607 Windows Server 2016 Windows 10, versi 1703

13 Agustus 2019

Diharuskan Pembaruan untuk versi Windows warisan akan memerlukan dukungan penandatanganan kode SHA-2. Dukungan yang dirilis pada Maret (KB4474419 dan KB4490628) akan diperlukan untuk terus menerima pembaruan pada versi Windows ini. Jika Anda memiliki perangkat atau VM menggunakan boot EFI, silakan lihat bagian Tanya Jawab Umum untuk langkah-langkah tambahan untuk mencegah masalah di mana perangkat Anda mungkin tidak dimulai.

Semua tanda tangan Windows warisan pembaruan berubah dari SHA-1 dan dual Signed (SHA-1/SHA-2) hanya untuk SHA-2 pada saat ini.

Windows 7 SP1 Windows Server 2008 R2 SP1

10 September 2019

Tanda tangan Windows Update warisan berubah dari dual-Signed (SHA-1/SHA-2) ke SHA-2 saja. Tidak ada tindakan Pelanggan yang diperlukan.

Windows Server 2012 Windows 8,1 Windows Server 2012 R2

10 September 2019

Pembaruan keamanan mandiriKB4474419 dirilis kembali untuk menambahkan alat boot EFI yang hilang. Pastikan versi ini telah terinstal.

Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2

28 Januari 2020

Tanda tangan pada daftar kepercayaan sertifikat (CTLs) untuk program akar tepercaya Microsoft yang diubah dari dual-Signed (Sha-1/Sha-2) ke Sha-2 saja. Tidak ada tindakan Pelanggan yang diperlukan.

Semua platform Windows yang didukung

2020 Agustus

Titik akhir layanan berbasis Windows Update SHA-1 dihentikan. Ini hanya memengaruhi perangkat Windows yang lebih lama yang tidak diperbarui dengan pembaruan keamanan yang sesuai. Untuk informasi selengkapnya, lihat KB4569557.

Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1

3 Agustus 2020

Konten pensiunan Microsoft yang Windows-Signed untuk Secure Hash Algorithm 1 (SHA-1) dari Pusat Unduhan Microsoft. Untuk informasi selengkapnya, lihat konten Windows IT Pro blog Sha-1 Windows yang akan dihentikan pada 3 agustus 2020.

Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8,1 Windows Server 2012 R2 Windows 10 Server Windows 10

Status saat ini

Windows 7 SP1 dan Windows Server 2008 R2 SP1

Pembaruan diperlukan berikut ini harus diinstal, lalu perangkat dimulai ulang sebelum menginstal pembaruan apa pun yang dirilis 13 Agustus, 2019 atau yang lebih baru. Pembaruan yang diperlukan dapat diinstal dalam urutan apa pun dan tidak perlu diinstal ulang, kecuali ada versi baru pembaruan yang diperlukan.

  • Layanan tumpukan pembaruan (SSU) (KB4490628). Jika Anda menggunakan Windows Update, SSU diperlukan akan ditawarkan secara otomatis.

  • Pembaruan SHA-2 (KB4474419) dirilis 10 September 2019. Jika Anda menggunakan Windows Update, pembaruan SHA-2 yang diperlukan akan ditawarkan secara otomatis.

Penting Anda harus memulai ulang perangkat setelah menginstal semua pembaruan yang diperlukan, sebelum menginstal setiap Rollup bulanan, pembaruan keamanan saja, pratinjau Rollup bulanan, atau pembaruan mandiri.

Windows Server 2008 SP2

Pembaruan berikut harus diinstal lalu perangkat dimulai ulang sebelum menginstal Rollup yang dirilis 10 September 2019 atau yang lebih baru. Pembaruan yang diperlukan dapat diinstal dalam urutan apa pun dan tidak perlu diinstal ulang, kecuali ada versi baru pembaruan yang diperlukan.

  • Layanan tumpukan pembaruan (SSU) (KB4493730). Jika Anda menggunakan Windows Update, pembaruan SSU yang diperlukan akan ditawarkan secara otomatis.

  • Pembaruan SHA-2 terbaru (KB4474419) dirilis 10 September 2019. Jika Anda menggunakan Windows Update, pembaruan SHA-2 yang diperlukan akan ditawarkan secara otomatis.

Penting Anda harus memulai ulang perangkat setelah menginstal semua pembaruan yang diperlukan, sebelum menginstal setiap Rollup bulanan, pembaruan keamanan saja, pratinjau Rollup bulanan, atau pembaruan mandiri.

Tanya Jawab Umum

Informasi umum, perencanaan dan masalah pencegahan

Dukungan penandatanganan kode SHA-2 dikirim lebih awal untuk memastikan bahwa sebagian besar pelanggan akan mendapatkan dukungan dengan baik sebelum perubahan Microsoft dalam penandatanganan SHA-2 untuk pembaruan sistem ini. Pembaruan mandiri meliputi beberapa perbaikan tambahan dan sedang dibuat tersedia untuk memastikan bahwa semua pembaruan SHA-2 ada dalam pembaruan kecil yang mudah diidentifikasi. Microsoft menganjurkan agar pelanggan yang mempertahankan gambar sistem untuk OS ini untuk menerapkan pembaruan ini ke gambar.

Dimulai dengan WSUS 4,0 di Windows Server 2012, WSUS sudah mendukung pembaruan yang ditandatangani SHA-2, dan tidak ada tindakan Pelanggan yang diperlukan untuk versi ini.

Hanya WSUS 3,0 SP2 perlu KB4484071diinstal untuk mendukung SHA2 hanya pembaruan yang ditandatangani.

Asumsikan Anda menjalankan Windows Server 2008 SP2. Jika Anda dual-boot dengan Windows Server 2008 R2 SP1/Windows 7 SP1, manajer boot untuk tipe sistem ini berasal dari sistem Windows Server 2008 R2/Windows 7. Untuk berhasil memperbarui kedua sistem ini untuk menggunakan dukungan SHA-2, Anda harus terlebih dahulu memperbarui sistem Windows Server 2008 R2/Windows 7 sehingga manajer boot diperbarui ke versi yang mendukung SHA-2. Lalu, perbarui sistem Windows Server 2008 SP2 dengan dukungan SHA-2.

Mirip dengan skenario dual-boot, lingkungan Windows 7 PE harus diperbarui ke dukungan SHA-2. Lalu, sistem Windows Server 2008 SP2 harus diperbarui ke dukungan SHA-2.

  1. Jalankan penyetelan Windows untuk menyelesaikan dan boot ke Windows sebelum menginstal pembaruan 13 Agustus 2019 atau yang lebih baru

  2. Buka jendela prompt perintah administrator, jalankan bcdboot.exe. Ini akan menyalin file boot dari direktori Windows dan menyetel lingkungan boot. Lihat opsi Command-Line Bcdboot untuk detail selengkapnya.

  3. Sebelum menginstal pembaruan tambahan, instal rilis ulang 13 Agustus 2019 KB4474419 dan KB4490628 untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1.

  4. Mulai ulang sistem operasi. Mulai ulang ini diperlukan

  5. Instal pembaruan lainnya.

  1. Instal gambar pada disk dan boot ke Windows.

  2. Pada prompt perintah, jalankan bcdboot.exe. Ini akan menyalin file boot dari direktori Windows dan menyetel lingkungan boot. Lihat opsi Command-Line Bcdboot untuk detail selengkapnya.

  3. Sebelum menginstal pembaruan tambahan, instal rilis ulang 23 September 2019 KB4474419 dan KB4490628 untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1.

  4. Mulai ulang sistem operasi. Mulai ulang ini diperlukan

  5. Instal pembaruan lainnya.

Ya, Anda perlu menginstal pembaruan yang diperlukan sebelum melanjutkan: SSU (KB4490628) dan pembaruan Sha-2 (KB4474419).  Selain itu, Anda harus memulai ulang perangkat setelah menginstal pembaruan yang diperlukan sebelum menginstal pembaruan lainnya.

Windows 10, versi 1903 mendukung SHA-2 karena rilis dan semua pembaruan telah ditandatangani SHA-2 saja.  Tidak ada tindakan yang diperlukan untuk versi Windows ini.

Windows 7 SP1 dan Windows Server 2008 R2 SP1

  1. Boot ke Windows sebelum menginstal pembaruan 13 Agustus 2019 atau yang lebih baru.

  2. Sebelum menginstal pembaruan tambahan, instal rilis ulang 23 September 2019 KB4474419 dan KB4490628untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1.

  3. Mulai ulang sistem operasi. Mulai ulang ini diperlukan

  4. Instal pembaruan lainnya.

Windows Server 2008 SP2

  1. Boot ke Windows sebelum menginstal pembaruan 9, 2019 atau yang lebih baru dari Juli.

  2. Sebelum menginstal pembaruan tambahan, instal rilis ulang 23 September 2019 KB4474419 dan KB4493730 untuk Windows Server 2008 SP2.

  3. Mulai ulang sistem operasi. Mulai ulang ini diperlukan

  4. Instal pembaruan lainnya.

Masalah pemulihan

Jika Anda melihat kesalahan 0xc0000428 dengan pesan "Windows tidak dapat memverifikasi tanda tangan digital untuk file ini. Perubahan perangkat keras atau perangkat lunak terbaru mungkin telah menginstal file yang ditandatangani tidak benar atau rusak, atau yang mungkin merupakan perangkat lunak berbahaya dari sumber yang tidak diketahui. " Ikuti langkah-langkah ini untuk memulihkan.

  1. Mulai sistem operasi menggunakan media pemulihan.

  2. Sebelum menginstal pembaruan tambahan apa pun, instal pembaruan KB4474419 tertanggal 23 September 2019 atau tanggal yang lebih baru menggunakan layanan dan manajemen gambar penyebaran (DISM) untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1.

  3. Pada prompt perintah, jalankan bcdboot.exe. Ini akan menyalin file boot dari direktori Windows dan menyetel lingkungan boot. Lihat opsi Command-Line Bcdboot untuk detail selengkapnya.

  4. Mulai ulang sistem operasi.

  1. Hentikan penyebaran ke perangkat lain dan Jangan mulai ulang perangkat atau VM yang belum dimulai ulang.

  2. Mengidentifikasi perangkat dan VM dalam mulai ulang status tertunda dengan pembaruan yang dirilis pada 13 Agustus 2019 atau yang lebih baru dan membuka wantian perintah yang ditinggikan

  3. Temukan identitas paket untuk pembaruan yang ingin Anda hapus dengan menggunakan perintah berikut ini menggunakan nomor KB untuk pembaruan tersebut (ganti 4512506 dengan nomor KB yang Anda targetkan, jika bukan Rollup bulanan yang dirilis 13 Agustus 2019): DISM/online/Get-Packages | findstr 4512506

  4. Gunakan perintah berikut untuk menghapus pembaruan, mengganti identitas paket<> dengan apa yang ditemukan dalam perintah sebelumnya: Dism.exe/online/Remove-Package/packagename: <paket identitas>

  5.  Sekarang Anda akan perlu menginstal pembaruan yang diperlukan yang tercantum di bagian cara mendapatkan pembaruan pembaruan yang ingin Anda instal, atau pembaruan yang diperlukan yang tercantum di atas dalam bagian status saat ini di artikel ini.

Catatan Perangkat atau VM Anda saat ini menerima kesalahan 0xc0000428 atau yang mulai dalam lingkungan pemulihan, Anda harus mengikuti langkah-langkah dalam pertanyaan FAQ untuk kesalahan 0xc0000428.

Jika Anda mengalami kesalahan ini, Anda perlu menginstal pembaruan yang diperlukan yang tercantum di bagian cara mendapatkan pembaruan ini dari pembaruan yang ingin Anda instal, atau pembaruan yang diperlukan yang tercantum di atas dalam bagian status saat ini di artikel ini.

Jika Anda melihat kesalahan 0xc0000428 dengan pesan "Windows tidak dapat memverifikasi tanda tangan digital untuk file ini. Perubahan perangkat keras atau perangkat lunak terbaru mungkin telah menginstal file yang ditandatangani tidak benar atau rusak, atau yang mungkin merupakan perangkat lunak berbahaya dari sumber yang tidak diketahui. " Ikuti langkah-langkah ini untuk memulihkan.

  1. Mulai sistem operasi menggunakan media pemulihan.

  2. Instal pembaruan terbaru SHA-2 (KB4474419) yang dirilis pada atau setelah 13 agustus, 2019, menggunakan penyebaran gambar servis dan manajemen (DISM) untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1.

  3. Mulai ulang ke media pemulihan. Mulai ulang ini diperlukan

  4. Pada prompt perintah, jalankan bcdboot.exe. Ini akan menyalin file boot dari direktori Windows dan menyetel lingkungan boot. Lihat opsi Command-Line Bcdboot untuk detail selengkapnya.

  5. Mulai ulang sistem operasi.

Jika Anda mengalami masalah ini, Anda bisa mengurangi masalah ini dengan membuka jendela prompt perintah dan menjalankan perintah berikut ini untuk menginstal pembaruan (mengganti lokasi <MSU> tempat penampung dengan lokasi dan nama file pembaruan yang sebenarnya):

Lokasi wusa.exe <MSU>/Quiet

Masalah ini diatasi di KB4474419 yang dirilis 8 Oktober 2019. Pembaruan ini akan diinstal secara otomatis dari pembaruan Windows dan Windows Server Update Services (WSUS). Jika Anda perlu menginstal pembaruan ini secara manual, Anda perlu menggunakan solusi di atas. 

Catatan Jika sebelumnya Anda telah menginstal KB4474419 dirilis 23 September 2019, maka Anda sudah memiliki versi terbaru pembaruan ini dan tidak perlu menginstal ulang.

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.