Support microsoft com help 4474419 sha 2 code signing support update

Update to add SHA-2 code signing support for Windows Server 2008 SP2

Summary

This update provides support for the Secure Hash Algorithm-2 (SHA-2) code signing and verification functionality in the 64-bit version of Windows Server 2008 Service Pack 2 (SP2) which includes the following:

Support for multiple signatures on Cabinet (CAB) files.

Support for multiple signatures for Windows PE files.

Support for viewing multiple digital signatures by upgrade the user interface (UI).

Support for verifying RFC3161 timestamps to the Code Integrity component that verifies signatures in the kernel.

Support for various application programming interfaces (APIs), which include CertIsStrongHashToSign, CryptCATAdminAcquireContext2 and CryptCATAdminCalcHashFromFileHandle2.

The Secure Hash Algorithm (SHA) was developed for use with the Digital Signature Algorithm (DSA) or the Digital Signature Standard (DSS). It would generate a 160-bit hash value. But the known weakness of SHA-1 exposes itself to collision attacks which allow for an attacker to generate additional certificates that have the same digital signature as an original. For more information about SHA-1, see Hash and Signature Algorithms.

How to get this update

Microsoft Update Catalog

To get the stand-alone package for this update, go to the Microsoft Update Catalog website.

Update Information

Prerequisites

To install this update, you must have Windows Server 2008 SP2 64-bit installed.

Registry information

To apply this update, you don’t have to make any changes to the registry.

Restart requirement

You must restart the computer after you apply this update.

Update replacement information

This update does not replace a previously released update.

More information

Your system will continue to support SHA-1 operations without changes to that support. The SHA-2 support is being made available in advance of Microsoft changing Windows updates to move away from SHA-1 signatures and move completely to SHA-2 signatures. The release of this SHA-2 support is the first step in that transition. At a later date, this support will become mandatory in order to facilitate the switch to SHA-2 signed updates for Windows Server 2008 SP2.

RFC3161 defines the Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) and describes the format of requests and responses to a Time Stamping Authority (TSA). The TSA can be used to prove that a digital signature was generated during the validity period of a public key certificate, see X.509 Public Key Infrastructure.

In public key cryptography, one of the keys, known as the private key, must be kept in secret. The other key, known as the public key, is intended to be shared with the world. However, there must be a way for the owner of the key to telling the world to whom the key belongs. Digital certificates give you a way to do this.

A digital certificate is an electronic credential used to certify the online identities of individuals, organizations, and computers. Digital certificates contain a public key packaged together with some basic information (who owns it, what it can be used for, when it expires, and so on). For more information, see Understanding Public Key Cryptography and Digital Certificates.

Digital certificates are primarily used to verify the identity of a person or device, authenticate a service, or encrypt files. Usually, you don’t have to think about certificates at all, other than the occasional message that states a certificate is expired or invalid. In these cases, one should follow the instructions that are provided in the message.

Status

Microsoft has confirmed that this is a problem in the Microsoft products that are listed in the «Applies to» section.

References

Learn about the terminology that Microsoft uses to describe software updates.

Windows Update SHA-1 based endpoints discontinued for older Windows devices

Introduction

In compliance with the Microsoft Secure Hash Algorithm (SHA)-1 deprecation policy, Windows Update is discontinuing its SHA-1 based endpoints in late July 2020. This means that older Windows devices that have not updated to SHA-2 will no longer receive updates through Windows Update. Your older Windows devices can continue to use Windows Update by manually installing specific SHA-2 enabling updates.

All other Windows platforms will continue to receive updates through Windows Update as they always have because they connect to SHA-2 service endpoints.

Why is this change occurring?

An outdated Windows Update service endpoint used only for older platforms is being discontinued. This change is occurring because of weaknesses in the SHA-1 hashing algorithm and to align to industry standards.

Even though the SHA-1 endpoint is being discontinued, more recent Windows devices will continue receiving updates through Windows Update because those devices use the more secure SHA-2 algorithm. See the table in the «Which Windows devices are impacted» section to determine whether your devices are impacted.

Which Windows devices are impacted?

Most users will not be impacted by this change. Starting with Windows 8 Desktop and Windows Server 2012, connections to Windows Update service endpoints use a more modern algorithm (SHA-256). Older versions of Windows connect to Windows Update service endpoints by using the less secure SHA-1 algorithm.

For most of the impacted versions of Windows, a SHA-2 update will add the support necessary to continue receiving updates through Windows Update. The following table shows the impact on the various versions of Windows. Some platforms are no longer supported, therefore they will not be updated.

Device is out of support

Windows Updates will no longer be supported.

2019 SHA-2 Code Signing Support requirement for Windows and WSUS

Summary

To help protect the security of the Windows operating system, updates were previously signed (using both the SHA-1 and SHA-2 hash algorithms). The signatures are used to authenticate that the updates come directly from Microsoft and were not tampered with during delivery. Because of weaknesses in the SHA-1 algorithm and to align to industry standards, we have changed the signing of Windows updates to use the more secure SHA-2 algorithm exclusively. This change was done in phases starting in April 2019 through September 2019 to allow for smooth migration (see the «Product update schedule» section for more details on the changes).

Customers who run legacy OS versions (Windows 7 SP1, Windows Server 2008 R2 SP1 and Windows Server 2008 SP2) are required to have SHA-2 code signing support installed on their devices to install updates released on or after July 2019. Any devices without SHA-2 support will not be able to install Windows updates on or after July 2019. To help prepare you for this change, we released support for SHA-2 signing in starting March 2019 and have made incremental improvements. Windows Server Update Services (WSUS) 3.0 SP2 will receive SHA-2 support to securely deliver SHA-2 signed updates. Please see the «Product update schedule» section for the SHA-2 only migration timeline.

Background details

The Secure Hash Algorithm 1 (SHA-1) was developed as an irreversible hashing function and is widely used as a part of code-signing. Unfortunately, the security of the SHA-1 hash algorithm has become less secure over time because of the weaknesses found in the algorithm, increased processor performance, and the advent of cloud computing. Stronger alternatives such as the Secure Hash Algorithm 2 (SHA-2) are now strongly preferred as they do not experience the same issues. For more information about of the deprecation of SHA-1, see Hash and Signature Algorithms.

Product update schedule

Starting in early 2019, the migration process to SHA-2 support began in stages, and support will be delivered in standalone updates. Microsoft is targeting the following schedule to offer SHA-2 support. Please note that the following timeline is subject to change. We will continue to update this page as needed.

Stand Alone security updates KB4474419 and KB4490628 released to introduce SHA-2 code sign support.

Windows 7 SP1
Windows Server 2008 R2 SP1

Stand Alone update, KB4484071 is available on Windows Update Catalog for WSUS 3.0 SP2 that supports delivering SHA-2 signed updates. For those customers using WSUS 3.0 SP2, this update should be manually installed no later than June 18, 2019.

Stand Alone update, KB4493730 that introduce SHA-2 code sign support for the servicing stack (SSU) was released as a security update.

Windows Server 2008 SP2

Stand Alone security update KB4474419 released to introduce SHA-2 code sign support.

Windows Server 2008 SP2

Stand Alone security update KB4474419re-released to add missing MSI SHA-2 code sign support.

Windows Server 2008 SP2

Windows 10 updates signatures changed from dual signed (SHA-1/SHA-2) to SHA-2 only. No customer action required.

Windows 10, version 1709
Windows 10, version 1803
Windows 10, version 1809
Windows Server 2019

Required: For those customers using WSUS 3.0 SP2, KB4484071 must be manually installed by this date to support SHA-2 updates.

Required: Updates for legacy Windows versions will require that SHA-2 code signing support be installed. The support released in April and May (KB4493730 and KB4474419) will be required in order to continue to receive updates on these versions of Windows.

All legacy Windows updates signatures changed from SHA1 and dual signed (SHA-1/SHA-2) to SHA-2 only at this time.

Windows Server 2008 SP2

Windows 10 updates signatures changed from dual signed (SHA-1/SHA-2) to SHA-2 only. No customer action required.

Windows 10, version 1507
Windows 10, version 1607
Windows Server 2016
Windows 10, version 1703

Required: Updates for legacy Windows versions will require that SHA-2 code signing support be installed. The support released in March (KB4474419 and KB4490628) will be required in order to continue to receive updates on these versions of Windows. If you have a device or VM using EFI boot, please see the FAQ section for additional steps to prevent an issue in which your device may not start.

All legacy Windows updates signatures changed from SHA-1 and dual signed (SHA-1/SHA-2) to SHA-2 only at this time.

Windows 7 SP1
Windows Server 2008 R2 SP1

September 10, 2019

Legacy Windows update signatures changed from dual-signed (SHA-1/SHA-2) to SHA-2 only. No customer action required.

Windows Server 2012
Windows 8.1
Windows Server 2012 R2

September 10, 2019

Stand Alone security update KB4474419 was re-released to add missing EFI boot mangers. Please make sure that this version is installed.

Windows 7 SP1
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

January 28, 2020

Signatures on the Certificate Trust Lists (CTLs) for the Microsoft Trusted Root Program changed from dual-signed (SHA-1/SHA-2) to SHA-2 only. No customer action required.

All supported Windows platforms

Windows Update SHA-1 based service endpoints are discontinued. This only impacts older Windows devices which have not updated with appropriate security updates. For more information, see KB4569557.

Windows 7
Windows 7 SP1
Windows Server 2008
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2008 R2 SP1

Microsoft retired content that is Windows-signed for Secure Hash Algorithm 1 (SHA-1) from the Microsoft Download Center. For more information, see the Windows IT pro blog SHA-1 Windows content to be retired August 3, 2020.

Windows Server 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Windows 8.1
Windows Server 2012 R2
Windows 10
Windows 10 Server

Current status

Windows 7 SP1 and Windows Server 2008 R2 SP1

The following required updates must be installed and then the device restarted before installing any update released August 13, 2019 or later. The required updates can be installed in any order and do not need to be reinstalled, unless there is a new version of the required update.

Servicing stack update (SSU) (KB4490628). If you use Windows Update, the required SSU will be offered to you automatically.

SHA-2 update (KB4474419) released September 10, 2019. If you use Windows Update, the required SHA-2 update will be offered to you automatically.

Important You must restart your device after installing all the required updates, before installing any Monthly Rollup, Security-only update, Preview of Monthly Rollup, or standalone update.

Windows Server 2008 SP2

The following updates must be installed and then the device restarted before installing any Rollup released September 10, 2019 or later. The required updates can be installed in any order and do not need to be reinstalled, unless there is a new version of the required update.

Servicing stack update (SSU) (KB4493730). If you use Windows Update, the required SSU update will be offered to you automatically.

The latest SHA-2 update (KB4474419) released September 10, 2019. If you use Windows Update, the required SHA-2 update will be offered to you automatically.

Important You must restart your device after installing all the required updates, before installing any Monthly Rollup, Security-only update, Preview of Monthly Rollup, or standalone update.

Frequently Ask Questions

General information, planning and issue prevention

The SHA-2 code-signing support was shipped early to ensure that most customers would have the support well in advance of Microsoft’s change to SHA-2 signing for updates to these systems. The stand-alone updates include some additional fixes and are being made available to ensure that all of the SHA-2 updates are in a small number of easily identifiable updates. Microsoft recommends that customers that maintain system images for these OSes to apply these updates to the images.

Starting with WSUS 4.0 on Windows Server 2012, WSUS already supports SHA-2-signed updates, and no customer action is needed for these versions.

Only WSUS 3.0 SP2 needs KB4484071installed to support SHA2 only signed updates.

Assume you run Windows Server 2008 SP2. If you dual-boot with Windows Server 2008 R2 SP1/Windows 7 SP1, the boot manager for this type of system is from the Windows Server 2008 R2/Windows 7 system. In order to successfully update both of these systems to use SHA-2 support, you must first update the Windows Server 2008 R2/Windows 7 system so that the boot manager is updated to the version that supports SHA-2. Then, update the Windows Server 2008 SP2 system with SHA-2 support.

Similar to the dual-boot scenario, the Windows 7 PE environment must be updated to SHA-2 support. Then, the Windows Server 2008 SP2 system must be updated to SHA-2 support.

Run Windows setup to completion and boot into Windows prior to installing August 13, 2019 or later updates

Open an administrator command prompt window, run bcdboot.exe. This copies the boot files from the Windows directory and sets up the boot environment. See BCDBoot Command-Line Options for more details.

Before installing any additional updates, install the August 13, 2019 re-release of KB4474419 and KB4490628 for Windows 7 SP1 and Windows Server 2008 R2 SP1.

Restart the operating system. This restart is required

Install any remaining updates.

Install the image on the disk and boot into Windows.

At the command prompt, run bcdboot.exe. This copies the boot files from the Windows directory and sets up the boot environment. See BCDBoot Command-Line Options for more details.

Before installing any additional updates, install the September 23, 2019 re-release of KB4474419 and KB4490628 for Windows 7 SP1 and Windows Server 2008 R2 SP1.

Restart the operating system. This restart is required

Install any remaining updates.

Yes, you will need to install the required updates before proceeding: SSU (KB4490628) and SHA-2 update (KB4474419). Also, you are required to restart your device after installing the required updates before installing any further updates.

Windows 10, version 1903 supports SHA-2 since it’s release and all updates are already SHA-2 only signed. There is no action needed for this version of Windows.

Windows 7 SP1 and Windows Server 2008 R2 SP1

Boot into Windows prior to installing any August 13, 2019 or later updates.

Before installing any additional updates, install the September 23, 2019 re-release of KB4474419 and KB4490628for Windows 7 SP1 and Windows Server 2008 R2 SP1.

Restart the operating system. This restart is required

Install any remaining updates.

Windows Server 2008 SP2

Boot into Windows prior to installing any July 9, 2019 or later updates.

Before installing any additional updates, install the September 23, 2019 re-release of KB4474419 and KB4493730 for Windows Server 2008 SP2.

Restart the operating system. This restart is required

Install any remaining updates.

Issue recovery

If you are seeing error 0xc0000428 with the message “Windows cannot verify the digital signature for this file. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.” please follow these steps to recover.

Start the operating system using recovery media.

Before installing any additional updates, install update KB4474419 that is dated September 23, 2019 or a later date using Deployment Image Servicing and Management (DISM) for Windows 7 SP1 and Windows Server 2008 R2 SP1.

At the command prompt, run bcdboot.exe. This copies the boot files from the Windows directory and sets up the boot environment. See BCDBoot Command-Line Options for more details.

Restart the operating system.

Halt deployment to other devices and do not restart any devices or VMs that have not already restarted.

Identify devices and VMs in restart pending state with updates released August 13, 2019 or later and open an elevated command prompt

Find the package identity for the update you want to remove by using the following command using the KB number for that update (replace 4512506 with the KB number you are targeting, if it is not the Monthly rollup released August 13, 2019): dism /online /get-packages | findstr 4512506

Use the following command to remove the update, replacing

with what was found in the previous command: Dism.exe /online /remove-package /packagename:

You will now need to install the required updates listed in the How to get this update section of the update you are trying to install, or the required updates listed above in the Current status section of this article.

Note Any device or VM you are currently receiving an error 0xc0000428 or that is starting into the recovery environment, you will need to follow the steps in the FAQ question for error 0xc0000428.

If you encounter these errors, you need to install the required updates listed in the How to get this update section of the update you are trying to install, or the required updates listed above in the Current status section of this article.

If you are seeing error 0xc0000428 with the message “Windows cannot verify the digital signature for this file. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.” please follow these steps to recover.

Start the operating system using recovery media.

Install the latest SHA-2 update (KB4474419) released on or after August 13, 2019, using Deployment Image Servicing and Management (DISM) for Windows 7 SP1 and Windows Server 2008 R2 SP1.

Reboot into the recovery media. This restart is required

At the command prompt, run bcdboot.exe. This copies the boot files from the Windows directory and sets up the boot environment. See BCDBoot Command-Line Options for more details.

Restart the operating system.

If you encounter this issue, you can mitigate this issue by opening a command prompt window and run the following command to install the update (replace the placeholder with the actual location and file name of the update):

This issue is resolved in KB4474419 released October 8, 2019. This update will install automatically from Windows Update and Windows Server Update Services (WSUS). If you need to install this update manually, you will need to use the workaround above.

Note If you previously installed KB4474419 released September 23, 2019, then you already have the latest version of this update and do not need to reinstall.

Procedure to continue receiving security updates after extended support ends on January 14, 2020

Introduction

The article applies to all customers who have purchased the Extended Security Update (ESU) for on-premises versions of the following:

Windows 7 Service Pack 1 (SP1)

Windows Server 2008 R2 with Service Pack 1 (SP1)

Windows Server 2008 Service Pack 2 (SP2)

All Azure Stack and VMWare on Azure Virtual Machines (VMs) running on these operating systems.

On January 14, 2020, extended support ends. Customers who have purchased Extended Security Update (ESU) can continue to receive updates.

Procedure

To continue receiving security updates after January 14, 2020, follow these steps:

You must have the following updates installed. If you use Windows Update, these updates will be offered automatically as needed.

You must have the SHA-2 update (KB4474419) that is dated September 23, 2019 or a later SHA-2 update installed and then restart your device before you apply this update. If you use Windows Update, the latest SHA-2 update will be offered to you automatically. For more information about SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

For Windows 7 SP1 and Windows Server 2008 R2 SP1, you must have the servicing stack update (SSU) (KB4490628) that is dated March 12, 2019. After installing KB4490628, you must install the January 14, 2020 SSU (KB4536952) or later. For more information about the latest SSU updates, see ADV990001 | Latest Servicing Stack Updates.

For Windows Server 2008 SP2, you must have the servicing stack update (SSU) (KB4493730) that is dated April 9, 2019 SSU update installed. After installing KB4493730, you must install the January 14, 2020 SSU (KB4536953) or later. For more information about the latest SSU updates, see ADV990001 | Latest Servicing Stack Updates.

Important You must restart your device after you install these required updates.

Download and install the Extended Security Updates (ESU) Licensing Preparation Package. For more information, see the following articles in the Microsoft Knowledge Base:

4538483 Extended Security Updates (ESU) Licensing Preparation Package for Windows 7 SP1 and Windows Server 2008 R2 SP1

4538484 Extended Security Updates (ESU) Licensing Preparation Package for Windows Server 2008 SP2

Download the ESU MAK add-on key from the VLSC portal and deploy and activate the ESU MAK add-on key. If you use the Volume Activation Management Tool (VAMT) to deploy and activate keys, follow the instructions here.

Note After you successfully complete this procedure, you can continue to download the monthly updates via the usual channels of Windows Update, WSUS and Microsoft Update Catalog. You can continue to deploy the updates using your preferred update management solution.

More information

You do not need an additional key for deployment of the following:

Windows 7 SP1 with Windows Virtual Desktop

Bring your own images on Azure for Windows 7 SP1, Windows Server 2008 R2 SP1, and Windows Server 2008 SP2

Procedure to continue receiving security updates after extended support ends on January 14, 2020

Introduction

The article applies to all customers who have purchased the Extended Security Update (ESU) for on-premises versions of the following:

Windows 7 Service Pack 1 (SP1)

Windows Server 2008 R2 with Service Pack 1 (SP1)

Windows Server 2008 Service Pack 2 (SP2)

All Azure Stack and VMWare on Azure Virtual Machines (VMs) running on these operating systems.

On January 14, 2020, extended support ends. Customers who have purchased Extended Security Update (ESU) can continue to receive updates.

Procedure

To continue receiving security updates after January 14, 2020, follow these steps:

You must have the following updates installed. If you use Windows Update, these updates will be offered automatically as needed.

You must have the SHA-2 update (KB4474419) that is dated September 23, 2019 or a later SHA-2 update installed and then restart your device before you apply this update. If you use Windows Update, the latest SHA-2 update will be offered to you automatically. For more information about SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

For Windows 7 SP1 and Windows Server 2008 R2 SP1, you must have the servicing stack update (SSU) (KB4490628) that is dated March 12, 2019. After installing KB4490628, you must install the January 14, 2020 SSU (KB4536952) or later. For more information about the latest SSU updates, see ADV990001 | Latest Servicing Stack Updates.

For Windows Server 2008 SP2, you must have the servicing stack update (SSU) (KB4493730) that is dated April 9, 2019 SSU update installed. After installing KB4493730, you must install the January 14, 2020 SSU (KB4536953) or later. For more information about the latest SSU updates, see ADV990001 | Latest Servicing Stack Updates.

Important You must restart your device after you install these required updates.

Download and install the Extended Security Updates (ESU) Licensing Preparation Package. For more information, see the following articles in the Microsoft Knowledge Base:

4538483 Extended Security Updates (ESU) Licensing Preparation Package for Windows 7 SP1 and Windows Server 2008 R2 SP1

4538484 Extended Security Updates (ESU) Licensing Preparation Package for Windows Server 2008 SP2

Download the ESU MAK add-on key from the VLSC portal and deploy and activate the ESU MAK add-on key. If you use the Volume Activation Management Tool (VAMT) to deploy and activate keys, follow the instructions here.

Note After you successfully complete this procedure, you can continue to download the monthly updates via the usual channels of Windows Update, WSUS and Microsoft Update Catalog. You can continue to deploy the updates using your preferred update management solution.

More information

You do not need an additional key for deployment of the following:

Windows 7 SP1 with Windows Virtual Desktop

Bring your own images on Azure for Windows 7 SP1, Windows Server 2008 R2 SP1, and Windows Server 2008 SP2

2019 SHA-2 Code Signing Support-kravet for Windows og WSUS

Sammendrag

For å beskytte sikkerheten til Windows-operativsystemet ble oppdateringer tidligere signert (ved bruk av hash-algoritmene SHA-1 og SHA-2). Signaturene brukes til å godkjenne at oppdateringene kommer direkte fra Microsoft og ikke ble endret under levering. På grunn av svakheter i SHA-1-algoritmen og for å justere til bransjestandarder, har vi endret signeringen av Windows-oppdateringer for å bruke den sikrere SHA-2-algoritmen utelukkende. Denne endringen ble utført i faser fra og med april 2019 til og med september 2019 for å tillate problemfri overføring (se avsnittet «Tidsplan for produktoppdatering» for mer informasjon om endringene).

Kunder som kjører eldre OS-versjoner (Windows 7 SP1, Windows Server 2008 R2 SP1 og Windows Server 2008 SP2) må ha sha-2-kodesigneringsstøtte installert på enhetene for å installere oppdateringer utgitt på eller etter juli 2019. Enheter uten SHA-2-støtte kan ikke installere Windows-oppdateringer på eller etter juli 2019. Vi har lansert støtte for SHA-2-pålogging fra og med mars 2019 og har gjort trinnvise forbedringer for å forberede deg til denne endringen. Windows Server Update Services (WSUS) 3.0 SP2 får SHA-2-støtte for sikker levering av SHA-2-signerte oppdateringer. Se avsnittet «Tidsplan for produktoppdatering» for bare SHA-2-overføringstidslinjen.

Bakgrunnsdetaljer

Sha-1 (Secure Hash Algorithm 1) ble utviklet som en irreversible hash-kodefunksjon og er mye brukt som en del av kodesignering. Sikkerheten til SHA-1 hash-algoritmen har dessverre blitt mindre sikkert over tid på grunn av svakhetene som finnes i algoritmen, økt prosessorytelse og bruk av databehandling i skyen. Sterkere alternativer, for eksempel sikker hash-algoritme 2 (SHA-2), foretrekkes på det sterkeste fordi de ikke opplever de samme problemene. Hvis du vil ha mer informasjon om avviklingen av SHA-1, kan du se Hash- og Signaturalgoritmer.

Tidsplan for produktoppdatering

Fra tidlig i 2019 startet overføringsprosessen til SHA-2-støtte i faser, og støtte vil bli levert i frittstående oppdateringer. Microsoft retter seg mot følgende tidsplan for å tilby sha-2-støtte. Vær oppmerksom på at følgende tidslinje kan endres. Vi fortsetter å oppdatere denne siden etter behov.

Frittstående sikkerhetsoppdateringer KB4474419 og KB4490628 er utgitt for å introdusere støtte for SHA-2-kodetegn.

Windows 7 SP1
Windows Server 2008 R2 SP1

Frittstående oppdatering, KB4484071 er tilgjengelig i Windows Update-katalogen for WSUS 3.0 SP2 som støtter levering av SHA-2-signerte oppdateringer. Denne oppdateringen bør installeres manuelt senest 18. juni 2019 for kunder som bruker WSUS 3.0 SP2.

Frittstående oppdatering, KB4493730 som innførte støtte for SHA-2-kodetegn for vedlikeholdsstakken (SSU), ble utgitt som en sikkerhetsoppdatering.

Windows Server 2008 SP2

Frittstående sikkerhetsoppdatering KB4474419 utgitt for å introdusere støtte for SHA-2-kodetegn.

Windows Server 2008 SP2

Frittstående sikkerhetsoppdatering KB4474419utgitt på nytt for å legge til manglende støtte for MSI SHA-2-kodetegn.

Windows Server 2008 SP2

Windows 10 oppdaterer signaturer endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves.

Windows 10, versjon 1709
Windows 10, versjon 1803
Windows 10, versjon 1809
Windows Server 2019

Obligatorisk: Kb4484071 må være manuelt installert på denne datoen for å støtte SHA-2-oppdateringer for at kundene skal kunne bruke WSUS 3.0 SP2.

Obligatorisk: Oppdateringer for eldre Versjoner av Windows krever at SHA-2-støtte for kodesignering installeres. Støtten utgitt i april og mai(KB4493730 og KB4474419)kreves for å fortsette å motta oppdateringer på disse versjonene av Windows.

Alle eldre Windows-oppdateringerssignaturer er endret fra SHA1 og to signerte (SHA-1/SHA-2) til SHA-2 bare på dette tidspunktet.

Windows Server 2008 SP2

Windows 10 oppdaterer signaturer endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves.

Windows 10, versjon 1507
Windows 10, versjon 1607
Windows Server 2016
Windows 10, versjon 1703

Obligatorisk: Oppdateringer for eldre Versjoner av Windows krever at SHA-2-støtte for kodesignering installeres. Støtten som ble utgitt i mars(KB4474419 og KB4490628)kreves for å fortsette å motta oppdateringer på disse versjonene av Windows. Hvis du har en enhet eller VM ved hjelp av en EFI-oppstart, kan du se delen Vanlige spørsmål for flere trinn for å forhindre et problem der enheten kanskje ikke starter.

Alle eldre Windows-oppdateringerssignaturer er endret fra SHA-1 og to signerte (SHA-1/SHA-2) til SHA-2 bare på dette tidspunktet.

Windows 7 SP1
Windows Server 2008 R2 SP1

10. september 2019

Eldre Windows-oppdateringssignaturer er endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves.

Windows Server 2012
Windows 8.1
Windows Server 2012 R2

10. september 2019

Frittstående sikkerhetsoppdatering KB4474419 ble utgitt på nytt for å legge til manglende EFI-oppstartsutgaver. Kontroller at denne versjonen er installert.

Windows 7 SP1
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Signaturer på sertifikatklareringslister (CTLer) for det klarerte rotprogrammet i Microsoft er endret fra to signerte (SHA-1/SHA-2) til bare SHA-2. Ingen kundehandling kreves.

Alle støttede Windows-plattformer

Windows Update SHA-1-baserte tjenesteendepunkter avvikles. Dette påvirker bare eldre Windows-enheter som ikke har oppdatert med aktuelle sikkerhetsoppdateringer. Hvis du vil ha mer informasjon, kan du se KB4569557.

Windows 7
Windows 7 SP1
Windows Server 2008
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2008 R2 SP1

Microsoft har fjernet innhold som er Windows-signert for Secure Hash Algorithm 1 (SHA-1) fra Microsoft Download Center. Hvis du vil ha mer informasjon, kan du se WINDOWS IT pro-bloggen SHA-1 Windows-innhold som skal avvikles 3. august 2020.

Windows Server 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2

Windows 8 Windows Server 2012
Windows 8.1
Windows Server 2012 R2
Windows 10
Windows 10 Server

Gjeldende status

Windows 7 SP1 og Windows Server 2008 R2 SP1

Følgende nødvendige oppdateringer må installeres, og deretter startes enheten på nytt før du installerer en oppdatering utgitt 13. august 2019 eller nyere. De nødvendige oppdateringene kan installeres i hvilken som helst rekkefølge og trenger ikke å installeres på nytt, med mindre det er en ny versjon av den nødvendige oppdateringen.

Oppdatering av vedlikeholdsstakken (SSU) (KB4490628). Hvis du bruker Windows Update, tilbys du automatisk den nødvendige SSU-en.

SHA-2-oppdatering(KB4474419)utgitt 10. september 2019. Hvis du bruker Windows Update, tilbys den nødvendige SHA-2-oppdateringen automatisk.

ViktigDu må starte enheten på nytt etter å ha installert alle nødvendige oppdateringer, før du installerer månedlig samleoppdatering, sikkerhetsoppdatering, forhåndsvisning av månedlig samleoppdatering eller frittstående oppdatering.

Windows Server 2008 SP2

Følgende oppdateringer må installeres, og deretter startes enheten på nytt før du installerer en fremhevet samleoppdatering 10. september 2019 eller nyere. De nødvendige oppdateringene kan installeres i hvilken som helst rekkefølge og trenger ikke å installeres på nytt, med mindre det er en ny versjon av den nødvendige oppdateringen.

Oppdatering av vedlikeholdsstakken (SSU) (KB4493730). Hvis du bruker Windows Update, tilbys den nødvendige SSU-oppdateringen automatisk.

Den nyeste SHA-2-oppdateringen(KB4474419)utgitt 10. september 2019. Hvis du bruker Windows Update, tilbys den nødvendige SHA-2-oppdateringen automatisk.

ViktigDu må starte enheten på nytt etter å ha installert alle nødvendige oppdateringer, før du installerer månedlig samleoppdatering, sikkerhetsoppdatering, forhåndsvisning av månedlig samleoppdatering eller frittstående oppdatering.

Vanlige spørsmål

Generell informasjon, planlegging og problem forebygging

SHA-2-støtte for kodesignering ble sendt tidlig for å sikre at de fleste kundene hadde støtte i god tid før Microsofts endring til SHA-2-signering for oppdateringer til disse systemene. De frittstående oppdateringene inkluderer noen flere løsninger og gjøres tilgjengelige for å sikre at alle SHA-2-oppdateringene er i et lite antall lett identifiserbare oppdateringer. Microsoft anbefaler at kunder som vedlikeholder systembilder for disse operativsystemene, kan bruke disse oppdateringene på bildene.

Fra og med WSUS 4.0 på Windows Server 2012 støtter WSUS allerede SHA-2-signerte oppdateringer, og ingen kundehandling er nødvendig for disse versjonene.

Bare WSUS 3.0 SP2 trenger KB4484071installert for å støtte SHA2 bare signerte oppdateringer.

Anta at du kjører Windows Server 2008 SP2. Hvis du starter opp med Windows Server 2008 R2 SP1/Windows 7 SP1, er oppstartsbehandlingen for denne typen system fra Windows Server 2008 R2/Windows 7-systemet. Hvis du vil oppdatere begge disse systemene til å bruke SHA-2-støtte, må du først oppdatere Windows Server 2008 R2/Windows 7-systemet slik at oppstartsbehandlingen oppdateres til versjonen som støtter SHA-2. Oppdater deretter Windows Server 2008 SP2-systemet med SHA-2-støtte.

Windows 7 PE-miljøet må oppdateres til SHA-2-støtte, på samme måte som scenarioet med to oppstarter. Deretter må Windows Server 2008 SP2-systemet oppdateres til SHA-2-støtte.

Kjør Installasjonsprogrammet for Windows for å fullføre og starte opp i Windows før du installerer oppdateringer 13. august 2019 eller nyere

Åpne ledetekstvinduet for en administrator, og kjør bcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.

Før du installerer flere oppdateringer, må du installere den nye versjonen av KB4474419 og KB4490628 for Windows 7 SP1 og Windows Server 2008 R2 SP1 for 13. august 2019.

Start operativsystemet på nytt. Denne omstarten er nødvendig

Installer eventuelle gjenværende oppdateringer.

Installer bildet på disken og start den opp i Windows.

Kjør installasjonsprogrammet i ledeteksten, ogbcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.

Før du installerer flere oppdateringer, må du installere den 23. september 2019-versjonen av KB4474419 og KB4490628 for Windows 7 SP1 og Windows Server 2008 R2 SP1.

Start operativsystemet på nytt. Denne omstarten er nødvendig

Installer eventuelle gjenværende oppdateringer.

Ja, du må installere de nødvendige oppdateringene før du fortsetter: SSU(KB4490628)og SHA-2-oppdateringen(KB4474419). Du må også starte enheten på nytt etter å ha installert de nødvendige oppdateringene før du installerer flere oppdateringer.

Windows 10, versjon 1903, støtter SHA-2 siden den lanseres, og alle oppdateringer er allerede SHA-2 bare signert. Denne versjonen av Windows trenger ikke å gjøre noe.

Windows 7 SP1 og Windows Server 2008 R2 SP1

Start i Windows før du installerer oppdateringer fra 13. august 2019 eller nyere.

Før du installerer flere oppdateringer, må du installere den 23. september 2019-versjonen av KB4474419 og KB4490628for Windows 7 SP1 og Windows Server 2008 R2 SP1.

Start operativsystemet på nytt. Denne omstarten er nødvendig

Installer eventuelle gjenværende oppdateringer.

Windows Server 2008 SP2

Start i Windows før du installerer oppdateringer 9. juli 2019 eller nyere.

Før du installerer flere oppdateringer, må du installere den nye versjonen av KB4474419 og KB4493730 for Windows Server 2008 SP2 på nytt 23. september 2019.

Start operativsystemet på nytt. Denne omstarten er nødvendig

Installer eventuelle gjenværende oppdateringer.

Problemgjenoppretting

Hvis du ser feil 0xc0000428 meldingen Windows kan ikke bekrefte den digitale signaturen for denne filen. En nylig endring av maskinvare eller programvare kan ha installert en fil som er signert feil eller skadet, eller som kan være skadelig programvare fra en ukjent kilde.» følg disse trinnene for å gjenopprette.

Start operativsystemet ved hjelp av gjenopprettingsmedier.

Før du installerer flere oppdateringer, må du installere oppdateringen KB4474419 som er datert 23. september 2019 eller en senere dato ved hjelp avDisM(Deployment Image Servicing and Management) for Windows 7 SP1 og Windows Server 2008 R2 SP1.

Kjør installasjonsprogrammet i ledeteksten, ogbcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.

Start operativsystemet på nytt.

Stopp distribusjonen til andre enheter, og start ingen enheter eller virtuelle maskiner som ikke allerede har startet på nytt.

Identifisere enheter og virtuelle maskiner i ventende tilstand for omstart med oppdateringer utgitt 13. august 2019 eller nyere, og åpne en hevet ledetekst

Finn pakkeidentiteten for oppdateringen du vil fjerne, ved hjelp av kommandoen nedenfor ved hjelp av KB-nummeret for denne oppdateringen (erstatt 4512506 med KB-nummeret du retter deg mot, hvis det ikke er den månedlige samleoppdateringen utgitt 13. august 2019): dism /online /get-packages | findstr 4512506

Bruk følgende kommando for å fjerne oppdateringen, som erstatter > med det som ble funnet i forrige kommando: Dism.exe /online /remove-package /packagename:

Nå må du installere de nødvendige oppdateringene som er oppført i delen Slik får du denne oppdateringen av oppdateringen du prøver å installere, eller de nødvendige oppdateringene som er oppført ovenfor i delen om gjeldende status i denne artikkelen.

Obs! Alle enheter eller VM som du for øyeblikket mottar en feil 0xc0000428 eller som starter i gjenopprettingsmiljøet, må du følge fremgangsmåten i vanlige spørsmål om feil 0xc0000428.

Hvis du støter på disse feilene, må du installere de nødvendige oppdateringene som er oppført i delen Slik får du denne oppdateringen av oppdateringen du prøver å installere, eller de nødvendige oppdateringene som er oppført ovenfor under Gjeldende status i denne artikkelen.

Hvis du ser feil 0xc0000428 meldingen Windows kan ikke bekrefte den digitale signaturen for denne filen. En nylig endring av maskinvare eller programvare kan ha installert en fil som er signert feil eller skadet, eller som kan være skadelig programvare fra en ukjent kilde.» følg disse trinnene for å gjenopprette.

Start operativsystemet ved hjelp av gjenopprettingsmedier.

Installer den nyeste SHA-2-oppdateringen(KB4474419)utgitt 13. august 2019, ved hjelp av Deployment Image Servicing and Management(DISM)for Windows 7 SP1 og Windows Server 2008 R2 SP1.

Start på nytt til gjenopprettingsmediet. Denne omstarten er nødvendig

Kjør installasjonsprogrammet i ledeteksten, ogbcdboot.exe. Dette kopierer oppstartsfilene fra Windows-katalogen og konfigurerer oppstartsmiljøet. Se BCDBoot Command-Line alternativer for mer informasjon.

Start operativsystemet på nytt.

Hvis du støter på dette problemet, kan du redusere dette problemet ved å åpne et ledetekstvindu og kjøre følgende kommando for å installere oppdateringen (erstatt plassholderen for med den faktiske plasseringen og filnavnet til oppdateringen):

Dette problemet er løst i KB4474419 som ble utgitt 8. oktober 2019. Denne oppdateringen installeres automatisk fra Windows Update og Windows Server Update Services (WSUS). Hvis du må installere denne oppdateringen manuelt, må du bruke løsningen ovenfor.

Obs! Hvis du tidligere har installert KB4474419 utgitt 23. september 2019, har du allerede den nyeste versjonen av denne oppdateringen og trenger ikke å installere på nytt.

Описание ошибки

При попытке установить некоторые обновления Windows (к примеру KB4519108, KB4516065, KB4535102), можно наткнутся на ошибку, со следующим текстом:

Код 80092004: Произошла неизвестная ошибка Windows Update.

Исправление ошибки 80092004

Установка обновлений Windows 7

Скачать KB4474419

Скачать KB4490628

После установки данных обновлений потребуется перезагрузка, после чего можно попробовать повторно установить проблемные обновления Windows, которые до этого выдавали ошибку 80092004.

Вирусное заражение

Была ли эта статья Вам полезна?

Комментарии к статье (78)

Всё чётко работает. Только качайте с торента там рабочие файлы. У меня не запустились файлы скаченные с центра обновления майкрософт

Я хочу скачать вот эти обновления (KB4474419, KB4490628, KB4484071). А если нет лицензионного ключа, то как быть?

Обновления Windows не требуют лицензионного ключа для установки.

храни автора господь!

отличный сайт! всё подробно расписано и ссылки все есть РАБОЧИЕ. спасибо огромное.

Большое вам спасибо! Очень помогли!

Рахмет, от души, есть же )

Спасибо за качественный совет и огромное уважение за компетентность автору. После загрузки и установки обновлений KB4474419 и KB4490628 удалось устранить эту ошибку, и как результат, все существующие обновления Windows 7 на текущий момент были благополучно загружены и установлены.

Попробуйте ссылку открыть в новой вкладке, тогда начнется скачивание. Ну и разрешите скачивание, если будет запрос.

Добрый день. У меня установлена Windows 7 Professional, x64. Пытаюсь установить обновление KB4534310. Появляется ошибка Code 8024200D. Перерыл весь интернет, перепробовал проверки целостности файлов sfc /scannow, ничего не помогает. Подскажите, пожалуйста, кто знает?

Доброго Всем! проверил установку KB4474419 в Windows 7×64,обновление было установлено. Вручную скачал и установил KB4490628. Успешно были установлены KB4535102 и KB4516065
Большое спасибо!

Спасибо большое, помогло. х64. 419 было, 628 не было

Действительно помогло, спасибо.
Кстати, сегодня в новостях сказали, что обнаружены какие-то проблемы в системной безопасности windows 7 и windows 10, и что лечится это обновлением, которое уже вышло.

нет возможности скачать файл обновления

В статье предоставлены ссылки 3 разных источника для скачивания, что вы подразумеваете, что нет возможности скачать файл обновления?

Спасибо большое! Очень помогли

KB4490628 не хочет устанавливаться на windows 7 Профессиональная X64. Кто сталкивался, помогите

Обновление KB4474419 установлено? Оно обязательно для установки KB4490628.

Супер! Мне помогло. И вирусы обнаружены были ДрВебом и установку сделал. Спасибо ресурсу.

Подсказка помогла. KB4474419 уже стоял, поверх устанавливаться отказался, сказав, что уже установлен. А вот KB4490628 установился и обновления пошли в штатном режиме. Ура.

Получилось. На Win server 2008 R2

WIN 7 x64 помогло KB4490628! Cпасибо!

80092004 КВ 4535102 КВ 4516065 не устанавливается

Данный код ошибки обозначает, что не установлено обновление KB4490628, о чем и написано в статье.

установил рекомендованные обновления, перезагрузил, все равно сложности с установкой и переустановкой С 2010, 2015. настройка была не завершена. код ошибки поменялся.
не может найти файл msvcr100.dll, при том, что он находится физически в библиотеке Win32.
при попытке его перерегистрировать или переустановить(заменить), командная строка и окно «выполнить» выводят результат(приблизтельно): не удалось установить файл, не найдена точка входа в библиотеку msvcr100.dll

Попробуйте воспользоваться проверкой и восстановлением файлов Windows (все команды выполнить в командной строке, запущенной от имени администратора):

Ребята спасибо за помощь. Код ошибки пропал. Успехов Вам и всего хорошего.

Для Винды 7 на 64 отлично помогло KB4490628, спасибо!

Добрый день. Спасибо, первое уже было установлено, установила второе, а затем KB4516655. Ваша помощь бесценна. Столько времени потратила.

Ничего не установилось. Устал ждать. До 92% дошло и всало все.

после установки пакета на windows 7 работает

windows 7 для обновлений помогло

w7x64
KB4490628 помогло

обновления уже были

Спасибо! Поставил KB4474419 или KB4490628 и всё пошло

Спасибо! Долго морочила мне винда голову, 19-е обновление стояло, поставил 28-е и всё заработало.

Спасибо! KB4490628 помог поверх KB4474419, тогда KB4516065 попер.

ни хрена не помогает

Спасибо вам
Помог (KB4490628) win7 64x

Помогло. Автору спасибо!

Спасибо большое, второе обновление помогло!

Аналогично мне помогло KB4490628, так как KB4474419 уже был установлен, благодарю за помощь!

Спасибо вам
Помог (KB4490628) win7 64x

Спасибо. Помогло KB4490628

Спасибо, помогло для win7x64

Помог KB4490628 в Win7 (KB4474419 был установлен). Благодарю!

Помог KB4490628 в Win7 (KB4474419 был установлен). Благодарю!

Да, спасибо! Не один день мучился

Спасибо! Да, это было KB4490628.

KB4490628 помогло! Спасибо.

спасибо большое помогло

Спасибо огромное! С помощью KB4490628 установила 3 обновления. Респект специалисту за дельный совет!

Помогло. Один из пакетов не установился, так-как есть уже, как оказалось, второй установился и отлично.

Помогло. Благодарю!
Прямо первый совет для Windows 7 установить обновления KB4474419 и KB4490628.
Кнопку «Да» внизу нажимал, но не сработала, выдаёт ошибку «Ошибка безопасности (значение nonce отличается)!».

Спасибо. Ваша рекомендация абсолютно рабочая, никаких ошибок в процессе обновления больше не было.

KB4490628 действительно помогло! Спасибо.

как понять какое обновление надо скачивать

Корзина появляется в случае использования Internet Explorer, если же воспользоваться иными браузерами, например Firefox, то всё скачивается без проблем. Автору статьи спасибо!

Спасибо за информацию, никогда не подумал бы проверить скачивание через IE.

KB4490628 действительно помогло! Спасибо.

KB4490628 помогло.
Почему-то в других источниках о нем не говорилось.
Спасибо большое!

Прохожу по ссылке, кидаю файл в корзину, оплачиваю и ничего! Как так?

Используйте браузер, отличный от Internet Explorer.

Спасибо, установился на WinServer2008R2, пакет обновлений kb4519108 который завершался с данной ошибкой.

Support microsoft com help 4474419 sha 2 code signing support update

Посмотрите статью и обсуждения ниже:

Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.

Пробовал все варианты.

К сожалению, не помогло ничего.

По моей статистике, эффект проявился на 3-х компьютерах из 30-ти.

На остальных установка прошла нормально.

Причины так и остались неизвестными.

vipnet local signature service могла поменять что-нибудь в криптопровайдере системы, такие конфликты нередки (напр. c Crypto Pro). На других успешно обновившихся компьютерах есть эта программа?

Здравствуйте! У Вас получилось справиться?

Абсолютно аналогичная проблема. Парк ПК около 300. Столкнулся с необходимостью KB4474419 при обновлении версии антивируса. Примерно на 10 ПК это обновление не устанавливается по вашему сценарию (30%, перезагрузки, откат в безопасном режиме). Никакой зависимости выявить не смог. Присутствуют и 32 и 64 битные версии ОС, корпоративные и домашние, часть машин обновлялась через wsus, часть руками, есть с криптопровайдером и без. Набор этих компонентов разный на ПК.

Устанавливал как с KB4490628 до так и после, и без него. 1) 2) 3) так же безрезультатно.

Переустановка ОС решает проблему, т.е. проблемы с железом мало-вероятны.

Адекватного решения тоже пока не нашел

Да, действительно, этим апдейтером обновил одну из машин, которую было не жалко), все прошло успешно. Машина стала загружать и последующие обновления.

По логам апдейтера он установил следующие обновления (Windows 7 Professional SP1 x86):

В установленных обновлениях ЦО появились записи в таком порядке:

КВ917607, KB2818604, KB3064209, KB3125574, KB4474419, KB4592510

Пробовал повторить уже вручную. Первый пункт без комментариев, kb17607 (не нашел). Остальные, при одиночной установке не дают возможности установить 4474419, происходит откат с 30% как и раньше. Полностью порядок установки еще не повторял, времени и так было уже потрачено очень много).

Может кому пригодится список обновлений.

Это список обновлений от пака на 32х разрядной 7ке, где есет встал без проблем и до этих кб.

Подтверждаю, с помощью данной утилиты всё устанавливается, но приготовьтесь к долгому процессу установок, особенно, если давно ничего не обновляли. (Займёт несколько часов реального времени, не зависимо от вашего железа на ваших ПК)

В процессе будет совершено много автоматических перезагрузок ПК, и некоторые на тех самых 30%, но не пугайтесь, продвинется дальше через некоторое время, или после перезагрузки.

Правда, в моменте установки, один раз, но это возможно личное, какое-то приложение не запустилось, или не выгрузилось, не успел даже заметить. (На пару секунд появлялось какое-то окно с ошибкой 0х00. что-то там, точно не запомнил, ибо окно так же быстро закрылось, как и открылось, и вообще, это было неожиданно, после какого-то там уже часа установок обновлений. И, на английском языке писалось в окне ошибки что-то там про не возможность запуска какого-то там приложения, или что-то типа того, что-ли. ) Позже всё буду проверять после огромной кучи обновлений, что запускается, а что перестало, но всё это индивидуально, главное утилита помогла с установкой обновления kb4474419-v3-x64

Да и другие установились, правда в журнале обновлений, в центре обновлений Windows 7 x64, почему-то они не отобразились(В установленных), но судя по занятому объёму свободного места на жёстком диске, всё установилось. Плюс, делаю выводы о наличие обновления kb4474419-v3-x64 в своей операционной системе по тому, что при проверки обновлений в центре обновлений Windows, данного обновления уже не находится, и не предлагается, ну и главное, наконец-то, снова появилась возможность устанавливать разные антивиирусы, и Anti-Malware, то, собственно из-за чего и искал возможности установки kb4474419-v3-x64, но без данной утилиты никак не получалось. Столько натерпелся, и BSOD-ы, и откаты к другим точкам восстановления, и чего только ещё.

Кстати, ещё одного не пугайтесь, сам боялся, но позже оказалось, так и должно быть, периодически будет только чёрный экран, и долго ничего не происходить, дождитесь, это нормально. Дальше всё продвинется, и заработает автоматически.

В самом завершении, программа автоматически удалит временные файлы, необходимые для обновлений из вашей системы, но потом всё перепроверяйте. Дальше, всё уже индивидуально.

Если у кого-то подобные проблемы с установкой разных там обновлений с припиской kb тоже будут возникать, в частности на разных версиях Windows 7, то это вам должно помочь.

Надеюсь, в будущем кому-то помогут мои подробные объяснения.

Support microsoft com help 4474419 sha 2 code signing support update

Программа Kaspersky Internet Security не может быть установлена на операционные системы Microsoft Windows 7 и Miсrosoft Windows Server 2008 R2, если не установлены следующие обновления операционной системы:

Ошибка установки появляется в связи с тем, что компания Microsoft обновила алгоритм подписания модулей и драйверов сторонних программ. Теперь модули и драйверы сторонних программ (в том числе «Лаборатории Касперского») подписываются с помощью алгоритма хеширования SHA256. Вам необходимо установить обновления KB4490628 и KB4474419, чтобы модули и драйверы Kaspersky Internet Security могли быть подписаны с помощью алгоритма хеширования SHA256.

Вы можете установить обновления следующими способами.

Установка обновления через Центр обновления Windows

Если на вашем компьютере отключена автоматическая установка обновлений, выполните следующие действия:

Все необходимые обновления будут автоматически скачаны и установлены на вашем компьютере.

Установка обновления Service Pack 1 вручную, если оно не установлено

Если ваш компьютер работает на базе операционной системы Windows 7 Service Pack 0 или Windows Server 2008 R2 Service Pack 0, сначала необходимо установить обновление Service Pack 1 (KB976932).

Чтобы установить обновление Service Pack 1, выполните следующие действия:

Установка обновления KB4490628 вручную

Чтобы установить обновление KB4490628 вручную, выполните следующие действия:

Установка обновления KB4474419 вручную

Чтобы установить обновление KB4474419 вручную, выполните следующие действия:

После установки обновлений перезагрузите компьютер и запустите установку программы Kaspersky Internet Security заново.

Процедура, позволяющая продолжить получать обновления для системы безопасности после окончания расширенной поддержки 14 января 2020 года

Введение

Статья распространяется на всех пользователей, которые приобрели расширенные обновления безопасности (ESU) для локальных версий следующих продуктов:

Windows 7 с пакетом обновления 1 (SP1)

Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Windows Server 2008 с пакетом обновления 2 (SP2)

Все виртуальные машины Azure Stack и VMware на Azure под управлением этих операционных систем.

14 января 2020 года заканчивается расширенная поддержка. Клиенты, которые приобрели расширенные обновления безопасности (ESU), могут продолжить получать обновления.

Процедура

Чтобы продолжить получать обновления системы безопасности после 14 января 2020 года, выполните следующие действия.

Должны быть установлены следующие обновления. Если вы используете Центр обновления Windows, эти обновления будут предложены вам автоматически.

Вам следует установить обновление SHA-2 (KB4474419) от 23 сентября 2019 года или более позднее обновление SHA-2, а затем перезапустить устройство, прежде чем применить это обновление. Если вы используете Центр обновления Windows, последнее обновление для SHA-2 будет предложено вам автоматически. Дополнительные сведения об обновлениях для SHA-2 см. в разделе Требования поддержки подписывания кода SHA-2 от 2019 г. для Windows и служб WSUS.

Для Windows 7 SP1 и Windows Server 2008 R2 SP1 необходимо обновление стека обслуживания (SSU) ( KB4490628) от 12 марта 2019 года. После установки KB4490628 вам следует установить обновление SSU от 14 января 2020 года (KB4536952) или более позднее. Дополнительные сведения о последних обновлениях SSU см. на странице ADV990001 | Последние обновления стека обслуживания.

Для Windows Server 2008 SP2 необходимо установить обновление стека обслуживания (SSU) (KB4493730) от 9 апреля 2019 года. После установки KB4493730 вам следует установить обновление SSU от 14 января 2020 года (KB4536953) или более позднее. Дополнительные сведения о последних обновлениях SSU см. на странице ADV990001 | Последние обновления стека обслуживания.

Важно! После установки этих обновлений необходимо перезапустить устройство.

Скачайте и установите пакет подготовки лицензирования расширенных обновлений безопасности (ESU). Дополнительные сведения см. в следующих статьях базы знаний Майкрософт:

4538483 Пакет подготовки лицензирования расширенных обновлений безопасности (ESU) для Windows 7 SP1 и Windows Server 2008 R2 SP1

4538484 Пакет подготовки лицензирования расширенных обновлений безопасности (ESU) для Windows Server 2008 SP2

Скачайте ключ дополнения ESU MAK на портале VLSC, разверните и активируйте его. При использовании средства управления активацией корпоративных лицензий (VAMT) для развертывания и активации ключей следуйте инструкциям, представленным здесь.

Примечание. После успешного завершения этой процедуры вы можете продолжать скачивать ежемесячные обновления по обычным каналам: Центр обновления Windows, WSUS и каталог Центра обновления Майкрософт. Вы можете продолжить развертывание обновлений с помощью предпочтительного решения для управления обновлениями.

Дополнительные сведения

Для развертывания следующих компонентов дополнительный ключ не требуется.

Все виртуальные машины Azure

Windows 7 с пакетом обновления 1 (SP1) и виртуальным рабочим столом Windows

Применение собственных образов в Azure для Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)

В данном материале мы постарались собрать ссылки на наиболее необходимые обновления Windows 7, с которыми нам приходилось сталкиваться. Каждое обновление из этого списка так же присутствует в специально созданой torrent-раздаче, чтобы можно было скачать нужное обновление не полагаясь на сторонние сервисы.

Скачать KB4516065

Основные изменения в этом обновлении:

Скачать KB4490628

Основные изменения в этом обновлении:

Скачать KB4474419

Скачать KB3179573

Скачать KB3172605

Основные изменения в этом обновлении:

Скачать KB3125574

Скачать KB3083324

Скачать KB3033929

Скачать KB3020369

Скачать KB2998527

Скачать KB2888049

Скачать KB2882822

Скачать KB2834140

Скачать KB2830477

Скачать KB2813347

Скачать KB2786081

Скачать KB2731771

Скачать KB2729094

Скачать KB2670838

Скачать KB2574819

Скачать KB958830

Скачать KB947821

Скачать KB917607

Была ли эта статья Вам полезна?

Комментарии к статье (25)

Большое спасибо, все заработало и завертелось

У меня на любое обновление выдаёт ошибку, «обновление не применимо к этому компьютору»
Система 7х32, старый ноутбук в стандарте на нем 7,делал полный сброс теперь не могу не чего обновить, не агента обновления и чего. Ноутбук Samsung rv410

Обычно это связано со следующими причинами:

Ребятки а нельзя ли сразу весь список запихнуть. Я насколько знаю так после сп1 было еще куча фиксов. Был бы очень признателен. Раньше как то делали конечно через центр, но теперь то семерку кинули окончательно. А у меня столько программ по дизайну в которых нужно работать, которые просто так же на 10ке не идут. мра*** мелкософт.

Вы были правы, но и обновление начало работать только после установки обновлений что у вас накачал, однако встрял с одним KB3185319 x64 Cистема безопастности для IE11 в Win7 пишет код ошибки 8024200F естественно справку я получить так и не смог.

Ручная установка обновления так же не помогает?

Возможно, стоит попробовать очистить содержимое директории с загруженными обновлениями. Для этого, нужно остановить службу «Центр обновлений Windows», перейти в директорию %WINDIR%\SoftwareDistribution\DataStore и очистить её содержимое.
После этого, можно запустить службу Центр обновлений Windows, и попробовать выполнить поиск и установку обновлений повторно.

Вот команды для Командной строки, с помощью которых это можно сделать буквально за минуту:

Такие сообщения обычно появляются тогда, когда устанавливаемое обновление не соответствует вашей версии Windows. Например, вы пытаетесь поставить обновление от 32-разрядной Windows 7 на 64-разрядную Windows 7.

Очень полезно, Спасибо!

Спасибо. Для W7 sp1 все обновления актуальны?

Конкретно в этом списке представлены обновления, которые на наш взгляд, наиболее полезные и востребованные. Актуальных же обновлений куда больше, и лучше их устанавливать по возможности, через Центр обновления Windows.

Да. Тоже сталкивался с проблемой. Не загружались некоторые элементы сайтов, или не работал веб-интерфейс страниц. После установки обновления KB4474419 всё исправилось. Видимо это связано с алгоритмом и протоколом SHA-2 и DTLS по которому работает веб-сайт. При чём всё исправилось фактически методом тыка. Я знал что проблема точно не в провайдере и браузере. Т.к ошибка была одна и та же не зависимо от браузера. А например на мобильном устройстве всё работало отлично. Сразу смекнул что дело в системе. Спасибо данному сайту, за то что размещает обновления и предоставляет возможность скачивания

Вопрос надо устанавливать все обновления или можно только выборочно? И кстати какое из этих обновлений отвечает за корректное открытие веб-сайтов?

меня и моих знакомых этот сайт выручает как спасательный круг утопающему.
Спасибо! Вам огромное что вы есть и за вашу помощь.

Накопительный KB3125574 а что туда входит из представленных других обновлений? Или идёт отдельно?

Большое спасибо парни! без 7 не могу.

спасибо за Ваш труд

Такого обновления в принципе нет, под этим номером существует только статья в базе знаний microsoft.

Вот обновления, которые необходимо установить в Windows 7, если вы хотите получать летние обновления.

С июля этого года Microsoft сделает использование SHA-2 обязательным чтобы обновить Windows 7, чтобы пользователи, не установившие последнюю версию обновления системы безопасности эксплуатации, которую мы увидим ниже, останутся без их получения. обновления за 6 месяцев до того, как Microsoft даже прекратит официальную поддержку.

Чтобы добавить Поддержка SHA-2 в Windows 7 и гарантируем, что с лета мы продолжим получать обновления через Центр обновления Windows, необходимо установить патчи KB4474419, KB4490628 et KB4484071.

Далее мы объясним, как их загрузить и как проверить, установлены ли они.

Как скачать обновления KB4474419, KB4490628 и KB4484071 для Windows 7

Обновление KB4474419 отвечает за добавление поддержки подписи кода SHA-2 в Windows 7 с пакетом обновления 1 (SP2008) и Windows Server 2 R1 с пакетом обновления XNUMX (SPXNUMX). Как и ожидалось, Microsoft допустила ошибку при реализации этого алгоритма в операционной системе, и она есть. что вмешивается KB4490628, Патч, предназначенный для исправления ошибки и обеспечения бесперебойной работы SHA-2 в Windows 7. Ни одно из обновлений не бесполезно без другого, поэтому, чтобы иметь SHA-2 в Windows 7 и этот алгоритм можно использовать в Центре обновления Windows, необходимо установить оба исправления.

Наконец, обновление KB4484071 отвечает за установку Windows Server Update Services 3.0 с пакетом обновления 2 (WSUS), также известного как WSUS 3.2, необходимого для получения подписанных обновлений в операционной системе. Начиная с WSUS 4.0, поддержка SHA-2 уже была включена в систему, и никаких дополнительных действий со стороны пользователя не требуется, но эта версия доступна только в Windows Server 2012.

Эти обновления теперь доступны всем пользователям Windows 7. Нам просто нужно открыть Центр обновления Windows в нашей операционной системе, проверить наличие новых исправлений и загрузить их в Windows. Когда все обновления будут загружены, наша система будет готова к приему новых обновлений, подписанных SHA-2.

При желании мы также можем загрузить и установить обновления Windows 7 вручную, имея возможность загрузить эти конкретные исправления по следующим ссылкам:

Как проверить, установлены ли в Windows 2 необходимые обновления для SHA-3.2 и WSUS 7

Здесь мы будем проверять наличие последних обновлений, чтобы увидеть, установлены ли у нас хотя бы два основных обновления Windows 7; KB4474419 и KB4490628.

Если у нас Windows Server 2008, просто убедитесь, что установлен KB4484071, и все.

С этими обновлениями с июля этого года мы продолжим получать обновления для Windows 7 бесплатно до января и, если мы будем платить, с января 2020 года для оплаты.

Support microsoft com help 4474419 sha 2 code signing support update

Вопрос

Windows 7 x64 Pro German UEFI machine with LSI RAID Controller was only booting into repair mode after Installation of some Windows updates.

The relevant Updates were

KB4474419 (SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: September 10, 2019)

and KB4516065 (September 10, 2019—KB4516065 (Monthly Rollup))

and some Office updates theat surely have nothing to do with the issue.

Start Repair could not fix the issue:
missingosloader

bcdedit: lists correct entries, winloader.efi file exists in c:\windows\system32

Analysis and collecting available information points to a SHA2 signature issue of the bootloader.

I must say: this is a very nice update

Prerequisites
There are no prerequisites for installing this update.

Обновление стека для Windows 7 SP1 и Windows Server 2008 R2 SP1: 12 марта 2019 г.

Аннотация

Это обновление позволяет улучшить качество компонента стеков обслуживания, который устанавливает обновления Windows. Основные изменения включают в себя:

Устраняет проблему в стеке обслуживания при установке обновления, подписанного с помощью только алгоритма хэша SHA-2.

Корпорация Майкрософт настоятельно рекомендует вам всегда устанавливать последнее обновление стеков обслуживания (SSU) для вашей операционной системы перед установкой последнего ежемесячного обновления безопасности. Установка обновлений стека обслуживания (SSU) гарантирует наличие надежного и надежного стека обслуживания, чтобы ваши устройства могли получать и устанавливать обновления Майкрософт.

Известные проблемы

Перезагрузка застрял на «Этап 2 из 2» или «Этап 3 из 3»

После установки обновления стеков обслуживания вместе с другими обновлениями может потребоваться перезагрузка для завершения установки. Во время этого перезапуска вы можете застрять на определенном этапе и увидеть сообщение «Этап 2 из 2» или «Этап 3 из 3».Если вы испытываете эту проблему, нажмите Ctrl-Alt-Delete, чтобы продолжить вход. Это должно произойти только один раз и не препятствует успешной установке обновлений. Примечание В управляемых средах, таких как с помощью служб обновления Windows Server (WSUS), вы можете избежать этой проблемы, развернув это обновление в качестве отдельного обновления.

Как получить это обновление

Метод 1: Обновление Windows

Это обновление доступно через Windows Update. При включении автоматического обновления это обновление будет загружено и установлено автоматически. Для получения дополнительной информации о том, как включить автоматическое обновление, см.

Метод 2: Каталог обновлений Майкрософт

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайткаталога обновлений Майкрософт.

Обновление информации о деталях

Предварительные условия

Вы должны установить последнее обновление SHA-2(KB4474419), выпущенное 23 сентября 2019 года, а затем перезапустить устройство, прежде чем применить это обновление. Если вы используете Windows Update, последнее обновление SHA-2 будет предложено вам автоматически. Для получения дополнительной информации об обновлениях SHA-2 см.

Информация о послеустановке

После установки этого обновления мы рекомендуем установить последнее обновление стека обслуживания (SSU). Последние SSU для вашей версии Windows можно найти в ADV990001 Последние Обновления Стек обслуживания..

Требование перезагрузки

Вам не нужно перезапускать компьютер после применения этого обновления.

Сведения о замене обновлений

Это обновление заменяет ранее выпущенное обновление 3177467.

Файл информацииАнглийская (Соединенные Штаты) версия этого обновления программного обеспечения устанавливает файлы, которые имеют атрибуты, которые перечислены в следующих таблицах. Даты и время для этих файлов перечислены в скоординированном универсальном времени (UTC). Даты и время для этих файлов на локальном компьютере отображаются в вашем местном времени вместе с текущим временем летнего времени (DST) смещения. Кроме того, даты и время могут меняться при выполнении определенных операций в файлах. Информация о файлах Windows 7 и Windows Server 2008 R2

Файлы MANIFEST (.manifest) и MUM-файлы (.mum), которые установлены, не перечислены.

Support microsoft com help 4474419 sha 2 code signing support update

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Asked by:

Question

Windows 7 x64 Pro German UEFI machine with LSI RAID Controller was only booting into repair mode after Installation of some Windows updates.

The relevant Updates were

KB4474419 (SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: September 10, 2019)

and KB4516065 (September 10, 2019—KB4516065 (Monthly Rollup))

and some Office updates theat surely have nothing to do with the issue.

Start Repair could not fix the issue:
missingosloader

bcdedit: lists correct entries, winloader.efi file exists in c:\windows\system32

Analysis and collecting available information points to a SHA2 signature issue of the bootloader.

I must say: this is a very nice update

Prerequisites
There are no prerequisites for installing this update.

Убедитесь, что ваша Windows 7 может получать расширенные обновления безопасности (ESU)

Microsoft имеет объявил Расширенные обновления безопасности для Windows 7 для тех, кто готов платить за компьютерную подписку. Поддержка Windows 7 заканчивается 14 января 2020 года, поэтому важно проверить, может ли ваша Windows 7 получать расширенные обновления безопасности (ESU). В этом посте мы расскажем, как вы можете проверить соответствие вашего Windows 7 система. Мы также включили детали для Windows Server 2008 R2 с пакетом обновления 1 (SP1).

Убедитесь, что Windows 7 может получать расширенные обновления безопасности

Вот список минимальных требований и процессов установки для проверки EUS. Если у вас есть виртуальная машина Windows 7, размещенная в Azure, вы будете получать бесплатные обновления ESU.

Если обновление KB завершилось неудачно, следуйте методам устранения неполадок.

1]Минимальные требования к ОС

Первым критерием для получения ESU является то, что вы должны обновить свою копию до Пакет обновления 1 (SP1) для Windows 7 и Server 2008 R2 SP1 или Windows Server 2008.

2]SHA-2, обновление стека обслуживания и ежемесячные накопительные пакеты

Далее вам нужно установить обновление поддержки подписи кода SHA-2, обновление стека обслуживания и ежемесячные накопительные пакеты. Вот подробности, предлагаемые Microsoft:

3]Активация с помощью ключа ESU

Получив их, вы можете установить и активировать Windows с помощью ключа ESU, который вы получили от поставщика облачных решений или в Центре администрирования Microsoft 365. Это ключи MAK, и они понадобятся вам для получения обновлений безопасности в течение всего года.

Выполните эти три шага, чтобы активировать и проверить статус вашего ключа ESU. Хотя Microsoft предлагает использовать System Center Configuration Manager для отправки сценариев на корпоративные устройства. Все это следует выполнять в командной строке с повышенными привилегиями. Мы будем использовать SLMGR для активации и проверки.

Найдите идентификатор активации ESU

Активируйте ключ продукта ESU

Проверить статус

Вам придется повторять этот процесс каждый год. Вы будете получать новый ключ MAK каждый год., который необходимо активировать, чтобы продолжать получать обновления ESU.

Поскольку ваша копия Windows уже активирована, вы можете задаться вопросом, перезаписывает ли ее вторая клавиша. Это не относится к делу. Ключ ESU MAK будет установлен рядом с другим ключом активации. Это не повлияет на другой ключ активации.

4]Установка обновлений KB для окончательной проверки

После успешной активации вам необходимо установить KB4528069 для Windows 7 SP1 и Windows Server 20008 R2 SP1. Если вы делаете это в Windows Server 2008, установите KB4528069. Вы можете получить это обновление из каталога Центра обновления Майкрософт или из служб Windows Server Update Services (WSUS).

Это обновление, не связанное с безопасностью, недоступно в Центре обновления Windows или Центре обновления Майкрософт. Это поможет вам проверить, хотите ли вы получать расширенные обновления безопасности (ESU).

Если компьютер не может подключиться к сети, вам нужно использовать другой метод:

Первый — скачать установить KB4519972 через USB или любым другим способом. Затем вам нужно использовать инструмент Volume Activation Management Tool для выполнения активации прокси.

Вам нужно будет загрузить и установить Volume Activation Management Tool, обновить файл конфигурации, настроить параметры клиентского брандмауэра для VAMT, а затем добавить ключ продукта ESU в VAMT.

Обновления ESU всегда будут искать ключи MAK, и если они отсутствуют, вы не получите обновления. Поскольку ключи MAK являются одноразовыми ключами, убедитесь, что у вас есть четкое обсуждение того, как вы будете управлять, если потребуется переустановка машины.

Устранение неполадок с расширенными обновлениями безопасности (ESU)

Microsoft также поддерживает версии Windows 7 и Windows 2008 Embedded, POS Ready, Enterprise, Standard, Datacenter, Web, Workgroup.

Вам следует подумать об обновлении Windows 7 до Windows 10, так как в противном случае будет сложно защитить Widows 7 после окончания поддержки. Использование Windows 7 после окончания срока службы сопряжено с определенными рисками!

SHA-2 поддержка Майкрософт для Windows Server 3.0 SP2

Аннотация

Чтобы соответствовать отраслевым стандартам, Корпорация Майкрософт отходит от использования подписей SHA-1 для будущих обновлений и переходит на подписи SHA-2 (подробнее см. KB4472027). Без применения этого обновления SHA-2, начиная с июля 2019 года, WSUS 3.0 SP2 (также называемый WSUS 3.2) не сможет выполнить необходимые задачи обновления WSUS. Начиная с WSUS 4.0 в Windows Server 2012, WSUS уже поддерживает обновления с подписью SHA-2 и не требуется никаких действий со стороны клиентов. Это обновление необходимо для тех клиентов, которые все еще используют WSUS 3.0 SP2. Мы рекомендуем обновление до последней версии WSUS, версия 10.0.

Добавление поддержки SHA-2 не добавляет поддержку обновлений функций Windows 10 на WSUS 3.0 SP2.

Предварительные условия

Ежемесячная свертка Windows выпущена 12 марта 2019 года или позже, например,

KB4489880 или более высокая свертка для Windows Server 2008 SP2 установлена.

KB4489878 или более высокая свертка для Windows Server 2008 R2 SP1 установлена.

.NET Framework 3.5

Мы рекомендуем вам совершить резервное копирование базы данных WSUS перед установкой

Синхронизация иерархии WSUS после успешной установки патча

Мы рекомендуем синхронизировать все серверы WSUS в вашей среде после применения этого обновления. Если у вас есть иерархия серверов WSUS, примените это обновление и синхронизируйте свои серверы с верхней частью иерархии.

Чтобы синхронизировать серверы таким образом, следуйте шагам ниже

Примените обновление к серверу WSUS, который синхронизируется с обновлением Microsoft.

Подождите успешного окончания синхронизации.

Повторите эти действия для каждого сервера WSUS, который синхронизируется с только что обновленным сервером.

Известные проблемы

Отмена установки данного через MSI обновления не поддерживается. Корпорация Майкрософт рекомендует проводить проверки в непроизводственной среде.

Удаленным администраторам Microsoft SQL Server следует загрузить и установить обновление, используя учетную запись с разрешениями администратора SQL Server. Установка WSUS3.0 SP2 с использованием удаленного сервера SQL всегда требует ручной установки этого обновления.

Вы можете столкнуться с сообщением об ошибке при тестировании локальной функции публикации. В журнале событий WSUS может появиться следующая запись об ошибке, “PublishPackage(): В ходе операции произошла ошибка: Не удалось подписать пакет; ошибка: 2147942527”.

Если вы обнаружите эту ошибку в журнале, то вы не установили применимые необходимые компоненты операционной системы Windows (KB4489878 или KB44898878). Пожалуйста, установите обновление необходимых компонентов, применимое к вашей версии Windows, и попробуйте снова провести тестирование.

После установки этого обновления загрузка содержимого может прерваться, если WSUS настроен на загрузку файлов экспресс-установки. Вы можете получить следующее обновление в SoftwareDistribution.log, «Информация WsusService.23 CabUtilities.CheckCertificateSignature Проверка сертификата файла не удалась для * \WsusContent\*\*.psf с 2148098064.”

Чтобы устранить эту проблему, установите перевыпущенную 9 сентября 2019 года версию (KB4484071) обновления для системы безопасности Чтобы убедиться, что у вас установлена последняя версия, перейдите на %windir%\system32\psfsip.dll и убедитесь, что это версия 7.6.7600.324.

Теперь файлы psf должны загружаться локально, когда загрузка файлов экспресс-установки настроена на сервере WSUS.

Получение обновления

Метод 1. Центр обновления Windows

Это обновление будет загружено и установлено автоматически.

Примечание. Это обновление также доступно через Windows Server Update Services (WSUS).

Способ 2. Каталог Центра обновления Майкрософт

Чтобы получить изолированный пакет для этого обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт.

Ссылки

Ознакомьтесь с терминологией, используемой для описания обновлений программных продуктов Майкрософт.

Notice

On June 8th, 2021, this update was released to replace a previous update to address a “revocation server was offline” error that may occur during installation. If you’ve already installed a previous release of this update, no action is required. Follow the instructions under How to obtain and install the update to get the updated version.

On April 13th, 2021, this update was released to replace a previous release of this update.

IMPORTANT Verify that you have installed the required updates listed in the How to get this update section before installing this update.

IMPORTANT Some customers who use Windows Server 2008 R2 SP1 and have activated their ESU multiple activation key (MAK) add-on before installing the January 14, 2020 updates might need to re-activate their key. Re-activation on the affected devices should only be required once. For information on activation, see this blog post.

IMPORTANT WSUS scan cab files will continue to be available for Windows 7 SP1 and Windows Server 2008 R2 SP1. If you have a subset of devices running these operating systems without ESU, they might show as non-compliant in your patch management and compliance toolsets.

IMPORTANT Customers who have purchased the Extended Security Update (ESU) for on-premises versions of these operating systems must follow the procedures in KB4522133 to continue receiving security updates after extended support ends on January 14, 2020. For more information on ESU and which editions are supported, see KB4497181.

IMPORTANT Starting on January 15, 2020, a full-screen notification will appear that describes the risk of continuing to use Windows 7 Service Pack 1 after it reaches end of support on January 14, 2020. The notification will remain on the screen until you interact with it. This notification will only appear on the following editions of Windows 7 Service Pack 1:

Note The notification will not appear on domain-joined machines or machines in kiosk mode.

Professional. If you have purchased the Extended Security Update (ESU), the notification will not appear. For more information, see How to get Extended Security Updates for eligible Windows devices and Lifecycle FAQ-Extended Security Updates.

Summary

Known issues in this update

This update does not install, and it returns either or both of the following error messages:

A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.

The revocation function was unable to check revocation because the revocation server was offline.

This issue was corrected by the latest release of this update. Follow the instructions under How to obtain and install the update to get the updated version.

If you’ve already installed a previous release of this update, no action is required.

Additional information about this update

The following articles contain additional information about this update as it relates to individual product versions.

How to obtain and install the update

Before installing this update

You must install the updates listed below and restart your device before installing the latest Rollup. Installing these updates improves the reliability of the update process and mitigates potential issues while installing the Rollup and applying Microsoft security fixes.

The March 12, 2019 servicing stack update (SSU) (KB4490628). To get the standalone package for this SSU, search for it in the Microsoft Update Catalog. This update is required to install updates that are only SHA-2 signed.

The latest SHA-2 update (KB4474419) released September 10, 2019. If you are using Windows Update, the latest SHA-2 update will be offered to you automatically. This update is required to install updates that are only SHA-2 signed. For more information on SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

The Extended Security Updates (ESU) Licensing Preparation Package (KB4538483) released February 11, 2020. The ESU licensing preparation package will be offered to you from WSUS. To get the standalone package for ESU licensing preparation package, search for it in the Microsoft Update Catalog.

Install this update

Microsoft Update Catalog

To get the standalone package for this update, go to the Microsoft Update Catalog website.

Windows Server Update Services (WSUS)

This update will automatically sync with WSUS if you configure Products and Classifications as follows:

Product: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1,Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7

Classification: Security Updates

Update deployment information

For deployment details for this security update, go to the following article in the Microsoft Knowledge Base:

20210209 Security update deployment information: February 9, 2021

Update removal information

Note We do not recommend that you remove any security update. To remove this update, use the Programs and Features item in Control Panel.

Update restart information

This update does not require a system restart after you apply it unless files that are being updated are locked or are being used.

Support microsoft com help 4474419 sha 2 code signing support update

Windows 7 x64 без Service Pack 1

В мае 2021 года запуск игры станет невозможен без поддержки цифровой подписи на основе хеш-алгоритма SHA-2. Если у вашей операционной системы не установлены все обновления в «Центре обновления Windows», то можно подключить поддержку SHA-2 вручную или обновить свою Windows 7 до Windows 8 или более поздней версии. Чтобы активировать поддержку SHA-2 следуйте инструкции.

Примечание: Если у вас не открывается ссылка, то попробуйте кликнуть по ней правой кнопкой мыши и выбрать вариант «Открыть в новой вкладке».

2. Нажмите на кнопку «Запустить», чтобы начать скачивание этого файла. Если у вас браузер отличный от Internet Explorer, то перейдите сразу к следующему пункту.

3. После того как вы скачаете Service Pack 1, появится следующее диалоговое окно, где необходимо нажать кнопку «Запустить».

4. Ознакомьтесь с подробностями перед установкой Service Pack 1 и нажмите «Далее». Обратите внимание, что компьютер может несколько раз перезагрузиться во время установки.

5. Сохраните все проекты и закройте программы, чтобы ничего не потерять, и установка прошла быстрее. Также рекомендуем нажать галочку «Автоматически перезагрузить компьютер». Установка Service Pack 1 начнется только после того, как вы нажмете на кнопку «Установить».

6. Когда установка будет завершена и ваш компьютер автоматически перезагрузится, Service Pack 1 будет полностью установлен. В некоторых случаях поддержка хеш-алгоритма цифровой подписи SHA-1 может автоматически не обновиться до SHA-2 — тогда при следующем запуске игры у вас появится инструкция, как его обновить вручную.

После установки Service Pack 1:

Примечание: Если у вас не открывается ссылка, то попробуйте кликнуть по ней правой кнопкой мыши и выбрать вариант «Открыть в новой вкладке».

2. Чтобы начать скачивание этого файла, нажмите на кнопку «Открыть». Если у вас браузер отличный от Internet Explorer, то перейдите сразу к следующему пункту.

3. После того как вы запустите установщик, выдайте доступ на открытие web-контента кнопкой «Разрешить».

4. Следующим шагом будет установка обновления. Выберите вариант «Да» и ожидайте полной установки.

5. После завершения обновления и перезагрузки компьютера хеш-алгоритм SHA-2 станет активным — теперь вы можете продолжить играть.

Support microsoft com help 4474419 sha 2 code signing support update

Important changes to how games work on Windows 7

In May 2021, the launch of the game will become impossible without the support of the digital signature based on the SHA-2 hash algorithm. If your operating system does not have all the updates installed in the «Windows Update Center», you can enable the SHA-2 support manually or upgrade your Windows 7 to Windows 8 or a more recent version. To activate the SHA-2 support, follow the instructions.

Windows 7 without service packs

1. Follow the link to download Service Pack 1.

2. Click on the «Run» button to start downloading this file. If you have a browser other than Internet Explorer, then go directly to the next item.

3. After you download Service Pack 1, there will appear the following dialog box where you must click the «Run» button.

4. Learn details before installing Service Pack 1 and click “Next”. Please note that your computer can reboot several times during the installation.

5. Save your work and close all open programs to avoid losing your data and to speed up the installation. We also recommend ticking the «Automatically restart the computer» checkbox. The installation of Service Pack 1 will start only after you click the «Install» button.

6. When the installation is complete and your computer restarts automatically, Service Pack 1 will be fully installed. In some cases, support for the SHA-1 digital signature hash algorithm may not be automatically updated to SHA-2. In this case, the next time you launch the game, you will be prompted to update it manually.

Windows 7 with service pack 1

1. Follow the link to download the digital signature hash algorithm update to upgrade it from SHA-1 to SHA-2.

2. To start downloading this file, click the «Open» button. If you have a browser other than Internet Explorer, then go directly to the next item.

3. After you run the installer, grant it access to open web content by clicking the «Allow» button.

4. The next step will be installing the update. Select the “Yes” option and wait for the installation to finish.

5. After the update is complete and the computer restarts, the SHA-2 hash algorithm will be activated and you can continue playing.

Support microsoft com help 4474419 sha 2 code signing support update

Этот форум закрыт. Спасибо за участие!

Спрашивающий

Вопрос

Переустановил на динозавра семёрку заново с форматированием дисков. Обновляется. После установки КВ4474419 (201903) при перезагрузке завис. Чёрный экран без каких либо пояснений.

Откатил. Посмотрел, что будет возвращать.

После этого загрузился нормально.

Посмотрел в журнале: код ошибки 800F0816

Пробую вручную обновить SSU до последней версии (КВ4523206) то же не получается.

Все ответы

Переустановил на динозавра семёрку заново с форматированием дисков. Обновляется. После установки КВ4474419 (201903) при перезагрузке завис. Чёрный экран без каких либо пояснений.

Если у Вас разметка MBR, проверьте, что раздел восстановления не 100 MB, а увеличьте его, скажем, до 250. Если он есть (создаётся по умолчанию, может отсутствовать, если Вы применяете кастомную разбивку)

KB4474419 должно быть версии 201909. У Вас автоматическое обновление или в ручном режиме?

Обновление полуавтоматическое (обновления загружаются, я выбираю, что установить). В принципе выбираю все, кроме КВ4474419.

В списке обновлений у меня присутствуют две версии КВ4474419: 201903 и 201909. Думал, раз 201903

Компьютер хоть и в организации находится (5 компьютеров), но из-за отсутствия сисадмина будем считать, что у индивидуального пользователя.

Сейчас ситуация такая: на компьютере 2 жёстких диска: С: (320 Гб); D: (120 Гб). ОС на С:, там же 100 МБ зарезервированные системой. На D: архивируется раз в неделю.

Как переразбить диск мне не очень понятно. Никогда не делал, боюсь сломать, потом опять ОС устанавливать.

Этот раздел можно было не делать перед началом установки ОС? Или сделать его побольше?

Леонид, не спешите сейчас колдовать с разделами пока не убили ОС.

Какую именно проблему вы сейчас решаете? Зависание в процессе установки KB?

Нелегкая Вам досталась доля. 5 компов с системой, которая снята с поддержки, да еще криво поставлена и отсутствие системщика, который сможет грамотно выстроить защиту вокруг этих динозавров. А если важные данные с них пропадут или утекут, что Вы будете делать? Бизнес то встанет.

Всё равно Вам придется изменять разделы. При изменени схемы разделов данные пропадут. Поэтому нужно вывести 1 комп из работы, а все данные со всех дисков сохранить куда-нибудь. Потом потренируйтесь на нерабочем компе.

Этот раздел можно было не делать перед началом установки ОС? Или сделать его побольше?

Да, зависание. Только после перезагрузки. То есть обновление загрузилось, установилось и предлагает перезагрузить компьютер. После перезагрузки чёрный экран без пояснений. После отката делал sfc /scannow. Проблем выявлено не было

Выше, когда отвечал RH6M6, есть снимок с экрана с важными обновлениями, которые или не устанавливаются или приводят к зависанию. Я уже точно знаю, что вешает компьютер KB4474419.

Поэтому нужно вывести 1 комп из работы, а все данные со всех дисков сохранить куда-нибудь. Потом потренируйтесь на нерабочем компе.

Там нелинейная зависимость. Если раздел меньше 500 MB, то должно оставаться 50 MB свободных. Если больше 500 MB, то данные сжимаются другим способом и требуется уже 320 MB свободных и может опять не хватить.

The minimum size of this combined partition is 350 MB.

This partition must allocate space for the Windows RE tools image (winre.wim, typically between 250-300MB, depending on base language and customizations added), plus enough free space so that the partition can be captured by backup utilities:

If the partition is less than 500 MB, it must have at least 50 MB of free space.
If the partition is 500 MB or larger, it must have at least 320 MB of free space.
If the partition is larger than 1 GB, we recommend that it should have at least 1 GB free.

У меня установочный диск сделаный из образа (Windows 7 rus pro sp1) скачанного из VLSC. Когда начались приключения с КВ4474419 я естественно начал искать ответы в интернете. Вычитал, что обновления можно интегрировать в существующий образ. Вопрос: если бы КВ4474419 было интегрировано, оно установилось бы при установке Windows? При наличии, конечно, всех необходимых для этого обновлений.

PS В VLSC образы не обновляются? Не интегрируют в них важные обновления?

Зачем бы было его устанавливать, если оно уже есть?

Не знаю, у меня нет подписки на VLSС

Сейчас пишу с другого компьютера, а на том, тренировочном: IE8, т.к. не может обновиться до IE11. А вообще на этом компьютере приходится пользоваться браузером k-meleon portable.

Отчитываюсь по поводу увеличения зарезервированного раздела. Средствами Windows сделать не получилось. Увеличил с помощью AOMEI.

Установил эти КВ4474419 и 201903, и 201909. Пишет установлены успешно перезагрузитесь.

Установил за ново. Зарезервированный раздел снова 100 Мб.

Сфотографируйте установочный диск.

Как и предполагалось, Вам достался клон, вероятно, сделанный предыдущим админом. Оригинальные диски есть?

Нет, только такой. Я его сам делал с помощью Майкрософтовской программы Windows 7 USB/DVD DownloadTool. Предыдущего админа тоже не было. Вообще никакого не было.

У нас их нет. Диски нашей организации почему то не прислали, только наклейки на системные блоки. Я то поначалу вообще думал, что наклеил наклейку и всё: легализованная Windows стала. Потом просветил кто-то, что это не так. 🙂

И что мы думали тоже уже не помню, но ограничились загрузкой образов из Центра поддержки корпоративных пользователей. Из этих образов я и наклепал установочных дисков. SHA-1 iso-файла проверял, совпадает с тем, что в Центре поддержки.

У нас их нет. Диски нашей организации почему то не прислали, только наклейки на системные блоки. Я то поначалу вообще думал, что наклеил наклейку и всё: легализованная Windows стала. Потом просветил кто-то, что это не так. 🙂

И что мы думали тоже уже не помню, но ограничились загрузкой образов из Центра поддержки корпоративных пользователей. Из этих образов я и наклепал установочных дисков. SHA-1 iso-файла проверял, совпадает с тем, что в Центре поддержки.

Ставьте её не «поверх», а с нуля. Иначе все баги прошлой системы воспроизводятся.

При установке удалял все разделы и создавал их заново. Форматировал диски. Это не с нуля? Скачаю образ по новой и запишу новый установочный диск или флешку.

IE11 установил. Алгоритм был такой: в компонентах Windows убрал галочку IE8 скачал IE11 и он установился. Сделал его браузером по умолчанию, хотя пользуюсь K-Meleonom. Хотел Edge попробовать не удалось. Процессор (AMD Athlon ™ XP 2500+ 1,84 GHz) не поддерживает SSE-2.

За прошедший период вычитал о так называемом «sp2» (KB3125574), может оно поможет? Сейчас в компьютере установлены 169 обновлений.

Как я понял, перед установкой КВ4474419 необходимо установить KB4490628. В автоматическом режиме мне его не предлагают. И ещё вопрос: обновление служебного стека нужно выполнять в хронологической последовательности или можно установить последний (KB4550735)?

После установки вручную КВ4490628 пропал список установленных до него обновлений в Программы и компоненты-Установленные обновления. Я так понимаю, что они никуда не делись? И ещё оно присутствует в списке важных обновлений, хотя оно уже установлено. Причём в Центре обновления Windows Просмотр журнала обновлений показывает, какие обновления установлены, а какие нет.

Я не могу этого подтвердить. Видно, Windows сильно разная. Давайте всё снова. Вот у Вас тестовый компьютер. Вы утверждаете, что делаете на нем чистую установку, но там, оказывается, затесался сторонний браузер. Есть возможность провести действительно чистую установку, чтобы не было никакого стороннего по до момента, когда все важные обновления будут установлены?

Есть возможность провести действительно чистую установку, чтобы не было никакого стороннего по до момента, когда все важные обновления будут установлены?

Сделал. Сейчас на компьютере только Windows и IE11. Загружает обновления. Режим полуавтоматический: что ставить решаю я (ставлю всё, кроме КВ4474419).

Обновил всё, что предлагалось в Центре обновления. Сейчас установлено 187 обновлений. КВ4490628 среди них нет. Пошёл назад по Каталогу Центра обновления. Пока установлено KB2533552, которое заменено обновлениями KB3020369-KB3177467-KB4490628. Мне их ждать или вручную установить KB4490628 от 11.03.2019?

Возник вопрос: какое обновление ставить сначала: 4474419 или 4490628? Если эти числа порядковые номера то вперёд надо ставить 4474419 (4474419

Ну, попробуйте изменить размер раздела. ОС придется ставить заново после переразбивки. Простой сдвиг границы раздела, особенно сторонними инструментами, не гарантирует корректного изменения. Данные могут пропасть или какая-нибудь кривизна вылезет через годик-другой, в производстве такое критично. Антивирусы до установки KB4474419 и других важных обновлений нежелательны как раз. Антивирусы и некоторые программы, бывают, лезут в Майкрософтовский криптопровайдер со своими зондами. А установщик уже не может клубок распутать

Обновил всё, что предлагалось в Центре обновления. Сейчас установлено 187 обновлений. КВ4490628 среди них нет. Пошёл назад по Каталогу Центра обновления. Пока установлено KB2533552, которое заменено обновлениями KB3020369-KB3177467-KB4490628. Мне их ждать или вручную установить KB4490628 от 11.03.2019?

Возник вопрос: какое обновление ставить сначала: 4474419 или 4490628? Если эти числа порядковые номера то вперёд надо ставить 4474419 (4474419 > Пока установлено KB2533552, которое заменено обновлениями KB3020369-KB3177467-KB449062

>> Пока установлено KB2533552, которое заменено обновлениями KB3020369-KB3177467-KB449062

4490628 удалось установить?

В доках написано (написанному верить, хм), что изменения в технологиях подписи SHA-2 будут применяться с июня 2019. То есть они не должны повлиять на установку 449068. С другой стороны, Майкрософт пишет, что «Устаревшие сигнатуры обновлений Windows были изменены с двух подписей (SHA-1/SHA-2) на одну SHA-2″ и » Подписи в Списках доверия Сертификатов (CTL) для программы Microsoft Trusted Root поменялись с двойной подписи (SHA-1/SHA-2) на только SHA-2. Выполнять какие-либо дополнительные действия не нужно». То есть корпорация перетряхнула всю базу обновлений и без SHA-2 ничего не установится. Возможно, в вашем дистрибутиве не хватает чего-то. Вы можете обратиться к администратору VLSC за разъяснениями, может быть нужен другой дистрибутив. Или попробовать выполнить цепочку KB3020369-KB3177467-KB4490628 строго последовательно. Потребуется полная переустановка, так как после установки SSU, его обратный откат невозможен.

В доках дословно прописан следующий порядок установки:

«Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Следующие обновления должны быть установлены и устройство должно быть перезапущено перед установкой любой свертки, выпущенной 13 августа 2019 или позже. Необходимые обновления могут быть установлены в любом порядке и не должны быть переустановлены, если нет новой версии необходимого обновления.
Обновление стека обслуживания (SSU) (KB4490628). Если используется Центр обновления Windows, вам автоматически будет предложено последнее обновление стека обслуживания.
Последнее обновление SHA-2 (KB4474419) выпущено 10 сентября 2019 года. Если вы используете Центр обновления Windows, вам автоматически будет предложено последнее обновление SHA-2. «

(24 марта 2020 г.)

Обновления, обеспечивающие поддержку SHA-256 для корректной работы Dr.Web на устаревших версиях Windows

Для корректной работы Dr.Web с Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2 на компьютере должны быть установлены обновления системы безопасности Microsoft, обеспечивающие поддержку SHA-256. Если при установке или обновлении Dr.Web появляется сообщение о том, что ваша операционная система не поддерживает алгоритм хеширования SHA-256, установите нужное обновление из списка ниже.

Как обновления, так и пакеты обновлений SP необходимо устанавливать в том случае, если они не были установлены ранее. Установить их можно как вручную (получив по приведенным ссылкам), так и с помощью Центра обновлений Windows.

Обновления для работы с SHA-256 могут также содержаться в других обновлениях Windows.

* Официального пакета обновлений для Windows Vista не предусмотрено, но вы можете установить пакет от Windows Server 2008.

Чтобы узнать, какая у вас установлена версия пакета обновлений (SP), воспользуйтесь инструкцией.

Чтобы узнать, какая у вас установлена версия обновлений (KB), воспользуйтесь инструкцией.

Отметим, что необходимость обновления связана с политикой компании Microsoft, которая более не позволяет сторонним центрам сертификации (DigiCert, COMODO и др.) выпускать сертификаты, которыми можно подписывать модули для работы в ядре ОС Windows. Только Microsoft может подписывать модули для ядра своим WHQL-сертификатом, который существует только в виде версии SHA256. Более подробная информация приведена в документации Microsoft.

Procedure to continue receiving security updates after extended support ends on January 14, 2020

Introduction

The article applies to all customers who have purchased the Extended Security Update (ESU) for on-premises versions of the following:

Windows 7 Service Pack 1 (SP1)

Windows Server 2008 R2 with Service Pack 1 (SP1)

Windows Server 2008 Service Pack 2 (SP2)

All Azure Stack and VMWare on Azure Virtual Machines (VMs) running on these operating systems.

On January 14, 2020, extended support ends. Customers who have purchased Extended Security Update (ESU) can continue to receive updates.

Procedure

To continue receiving security updates after January 14, 2020, follow these steps:

You must have the following updates installed. If you use Windows Update, these updates will be offered automatically as needed.

You must have the SHA-2 update (KB4474419) that is dated September 23, 2019 or a later SHA-2 update installed and then restart your device before you apply this update. If you use Windows Update, the latest SHA-2 update will be offered to you automatically. For more information about SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

For Windows 7 SP1 and Windows Server 2008 R2 SP1, you must have the servicing stack update (SSU) (KB4490628) that is dated March 12, 2019. After installing KB4490628, you must install the January 14, 2020 SSU (KB4536952) or later. For more information about the latest SSU updates, see ADV990001 | Latest Servicing Stack Updates.

For Windows Server 2008 SP2, you must have the servicing stack update (SSU) (KB4493730) that is dated April 9, 2019 SSU update installed. After installing KB4493730, you must install the January 14, 2020 SSU (KB4536953) or later. For more information about the latest SSU updates, see ADV990001 | Latest Servicing Stack Updates.

Important You must restart your device after you install these required updates.

Download and install the Extended Security Updates (ESU) Licensing Preparation Package. For more information, see the following articles in the Microsoft Knowledge Base:

4538483 Extended Security Updates (ESU) Licensing Preparation Package for Windows 7 SP1 and Windows Server 2008 R2 SP1

4538484 Extended Security Updates (ESU) Licensing Preparation Package for Windows Server 2008 SP2

Download the ESU MAK add-on key from the VLSC portal and deploy and activate the ESU MAK add-on key. If you use the Volume Activation Management Tool (VAMT) to deploy and activate keys, follow the instructions here.

Note After you successfully complete this procedure, you can continue to download the monthly updates via the usual channels of Windows Update, WSUS and Microsoft Update Catalog. You can continue to deploy the updates using your preferred update management solution.

More information

You do not need an additional key for deployment of the following:

Windows 7 SP1 with Windows Virtual Desktop

Bring your own images on Azure for Windows 7 SP1, Windows Server 2008 R2 SP1, and Windows Server 2008 SP2

Обновите, чтобы убедиться, что на устройствах с Windows 7 (SP1) и Server 2008 R2 SP1 могут возникать дополнительные обновления

Аннотация

Это необязательное обновление не предназначено для проверки наличия продленных обновлений для системы безопасности (Есус) для Windows 7 с пакетом обновления 1 (SP1) и Server 2008 R2 SP1 после окончания срока поддержки 14 января 2020 г.

Это обновление не имеет фактического содержимого для безопасности. Это обновление является тестовым пакетом, рекомендуемым для развертывания в тестовой среде. Установите это обновление на локальных устройствах, которые подходят для ЕСУ.

Это обновление можно установить на основе архитектуры x64 для Windows Server 2008 R2 SP1и выпусков Windows, упомянутых в разделе вопросы и ответы о жизненном цикле — продленные обновления для системы безопасности.

Это обновление можно установить на основе архитектуры x86 и x64 для Windows 7 с пакетом обновления 1 (SP1) и выпусков Windows, упомянутых в разделе вопросы и ответы о жизненном цикле — расширенные

Это обновление неприменимо к Windows 7 для виртуальных рабочих столов (ВВД) и Windows 7 Embedded OS.

Установка этого обновления не повлияет на установку обновлений для системы безопасности с 14 января 2020 г.

Для получения технической поддержки пользователи должны приобрести продленные обновления для системы безопасности и получить техническую поддержку о продукте, который был перенесен за пределы продленной даты поддержки. Обратитесь в службу поддержки по телефону 1-800-Майкрософт (642-7676).

Как получить это обновление

Установка этого обновления

Центра обновления Windows или центра обновления Майкрософт

Это обновление больше не доступно. Посмотрите заметку в верхней части статьи.

Каталог Центра обновления Майкрософт

Это обновление больше не доступно. Посмотрите заметку в верхней части статьи.

Службы Windows Server Update Services (WSUS)

Это обновление больше не доступно. Посмотрите заметку в верхней части статьи.

Инструкции по установке

Установите это обновление из одного из каналов выпуска (например, из каталога Центра обновления Майкрософт или из служб Windows Server Update Services).

Убедитесь в том, что успешно установлено это обновление, используя свой стандартный процесс, например журнал обновлений.

Предварительные условия

Перед установкой этого обновления на локальном устройстве должны быть установлены следующие устройства:

Установите следующее обновление поддержки подписывания кода SHA-2 и обновление стека (SSU) или более поздней версии SSU:

4474419 Обновление поддержки подписывания кода SHA-2 для Windows Server 2008 R2, Windows 7 и Windows Server 2008:23 сентября 2019 г.

4490628 Обновление стека обслуживания для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 SP1:12 марта 2019 г.

Установите следующее обновление стека обслуживания (SSU) и ежемесячное сведение.

4516655 Обновление стека обслуживания для Windows 7 с пакетом обновления 1 (SP1) и сервера 2008 R2 SP1:10 сентября 2019 г.

4519976 8 октября 2019 г. — KB4519976 (ежемесячная развертка)

Установка и активация ключа ЕСУ. Сведения об установке и активации ключа ЕСУ можно найти в разделе Получение расширенных обновлений для системы безопасности для подходящего блога на устройствах Windows на веб-сайте сообщества Майкрософт. Обратите вниманиена то, что после активации вы можете продолжать использовать текущую стратегию обновления и обслуживания для развертывания ЕСУ через центр обновления Windows, службы Windows Server Update Services (WSUS) или какое-либо удобное решение для управления обновлениями.

Необходимость перезагрузки

После установки этого обновления перезагружать устройство не требуется.

Сведения о замене обновлений

Это обновление не заменяет ранее выпущенные обновления.

Устранение неполадок

Если установка этого обновления завершилась сбоем, выполните следующие действия по устранению неполадок.

Убедитесь, что вы устанавливаете это обновление в ЕСУ подходящего выпуска и поддерживаемой архитектуре.

Если у вас возникли проблемы с одним из этих действий, позвоните в службу поддержки клиентов 1-800-Майкрософт (642-7676), чтобы получить техническую поддержку.

Ссылки

Notice

On February 2nd, 2022, guidance was added to this article regarding how to install security-only updates after some changes were made to the ESU program. See the Known Issues section of this article for details.

On June 8th, 2021, this update was released to replace a previous update to address a “revocation server was offline” error that may occur during installation. If you’ve already installed a previous release of this update, no action is required. Follow the instructions under How to obtain and install the update to get the updated version.

On April 13th, 2021, this update was released to replace a previous release of this update.

IMPORTANT Verify that you have installed the required updates listed in the How to get this update section before installing this update.

IMPORTANT Some customers who use Windows Server 2008 R2 SP1 and have activated their ESU multiple activation key (MAK) add-on before installing the January 14, 2020 updates might need to re-activate their key. Re-activation on the affected devices should only be required once. For information on activation, see this blog post.

IMPORTANT WSUS scan cab files will continue to be available for Windows 7 SP1 and Windows Server 2008 R2 SP1. If you have a subset of devices running these operating systems without ESU, they might show as non-compliant in your patch management and compliance toolsets.

IMPORTANT Customers who have purchased the Extended Security Update (ESU) for on-premises versions of these operating systems must follow the procedures in KB4522133 to continue receiving security updates after extended support ends on January 14, 2020. For more information on ESU and which editions are supported, see KB4497181.

IMPORTANT Starting on January 15, 2020, a full-screen notification will appear that describes the risk of continuing to use Windows 7 Service Pack 1 after it reaches end of support on January 14, 2020. The notification will remain on the screen until you interact with it. This notification will only appear on the following editions of Windows 7 Service Pack 1:

Note The notification will not appear on domain-joined machines or machines in kiosk mode.

Professional. If you have purchased the Extended Security Update (ESU), the notification will not appear. For more information, see How to get Extended Security Updates for eligible Windows devices and Lifecycle FAQ-Extended Security Updates.

Summary

ClickOnce will no longer download applications from untrusted servers which use NTLM authentication, but, instead, will fail with “Authentication failed”. Sites in the Local Intranet and Trusted sites zones will continue to authenticate as before.

Known issues in this update

This update does not install, and it returns either or both of the following error messages:

A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.

The revocation function was unable to check revocation because the revocation server was offline.

This issue was corrected by the latest release of this update. Follow the instructions under How to obtain and install the update to get the updated version.

If you’ve already installed a previous release of this update, no action is required.

“Fatal error during installation” with error code: 0x80070643 (or 0x643).

How to obtain and install the update

Before installing this update

You must install the updates listed below and restart your device before installing the latest Rollup. Installing these updates improves the reliability of the update process and mitigates potential issues while installing the Rollup and applying Microsoft security fixes.

The March 12, 2019 servicing stack update (SSU) (KB4490628). To get the standalone package for this SSU, search for it in the Microsoft Update Catalog. This update is required to install updates that are only SHA-2 signed.

The latest SHA-2 update (KB4474419) released September 10, 2019. If you are using Windows Update, the latest SHA-2 update will be offered to you automatically. This update is required to install updates that are only SHA-2 signed. For more information on SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

The Extended Security Updates (ESU) Licensing Preparation Package (KB4538483) released February 11, 2020. The ESU licensing preparation package will be offered to you from WSUS. To get the standalone package for ESU licensing preparation package, search for it in the Microsoft Update Catalog.

Install this update

Microsoft Update Catalog

To get the standalone package for this update, go to the Microsoft Update Catalog website.

Windows Server Update Services (WSUS)

This update will automatically sync with WSUS if you configure Products and Classifications as follows:

Product: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1,Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7

Classification: Security Updates

Restart requirement

Update deployment information

For deployment details for this security update, go to the following article in the Microsoft Knowledge Base:

20200908 Security update deployment information: September 8, 2020

Update removal information

Note We do not recommend that you remove any security update. To remove this update, use the Programs and Features item in Control Panel.

Update restart information

This update does not require a system restart after you apply it unless files that are being updated are locked or are being used.

File information

The English (United States) version of this software update installs files that have the attributes that are listed in the following tables.

Support microsoft com help 4474419 sha 2 code signing support update

Windows 7 x64 с Service Pack 1

В мае 2021 года запуск игры станет невозможен без поддержки цифровой подписи на основе хеш-алгоритма SHA-2. Если у вашей операционной системы не установлены все обновления в «Центре обновления Windows», то можно подключить поддержку SHA-2 вручную или обновить свою Windows 7 до Windows 8 или более поздней версии. Чтобы активировать поддержку SHA-2 следуйте инструкции.

Примечание: Если у вас не открывается ссылка, то попробуйте кликнуть по ней правой кнопкой мыши и выбрать вариант «Открыть в новой вкладке».

2. Чтобы начать скачивание этого файла, нажмите на кнопку «Открыть». Если у вас браузер отличный от Internet Explorer, то перейдите сразу к следующему пункту.

3. После того как вы запустите установщик, выдайте доступ на открытие web-контента кнопкой «Разрешить».

4. Следующим шагом будет установка обновления. Выберите вариант «Да» и ожидайте полной установки.

5. После завершения обновления и перезагрузки компьютера хеш-алгоритм SHA-2 станет активным — теперь вы можете продолжить играть.

Notice

On February 2nd, 2022, guidance was added to this article regarding how to install security-only updates after some changes were made to the ESU program. See the Known Issues section of this article for details.

On June 8th, 2021, this update was released to replace a previous update to address a “revocation server was offline” error that may occur during installation. If you’ve already installed a previous release of this update, no action is required. Follow the instructions under How to obtain and install the update to get the updated version.

On April 13th, 2021, this update was released to replace a previous release of this update.

IMPORTANT Verify that you have installed the required updates listed in the How to get this update section before installing this update.

IMPORTANT Some customers who use Windows Server 2008 R2 SP1 and have activated their ESU multiple activation key (MAK) add-on before installing the January 14, 2020 updates might need to re-activate their key. Re-activation on the affected devices should only be required once. For information on activation, see this blog post.

IMPORTANT WSUS scan cab files will continue to be available for Windows 7 SP1 and Windows Server 2008 R2 SP1. If you have a subset of devices running these operating systems without ESU, they might show as non-compliant in your patch management and compliance toolsets.

IMPORTANT Customers who have purchased the Extended Security Update (ESU) for on-premises versions of these operating systems must follow the procedures in KB4522133 to continue receiving security updates after extended support ends on January 14, 2020. For more information on ESU and which editions are supported, see KB4497181.

IMPORTANT Starting on January 15, 2020, a full-screen notification will appear that describes the risk of continuing to use Windows 7 Service Pack 1 after it reaches end of support on January 14, 2020. The notification will remain on the screen until you interact with it. This notification will only appear on the following editions of Windows 7 Service Pack 1:

Note The notification will not appear on domain-joined machines or machines in kiosk mode.

Professional. If you have purchased the Extended Security Update (ESU), the notification will not appear. For more information, see How to get Extended Security Updates for eligible Windows devices and Lifecycle FAQ-Extended Security Updates.

IMPORTANT If you install a language pack after you install this update, you must reinstall this update. Therefore, we recommend that you install any language packs that you need before you install this update. For more information, see Add language packs to Windows.

Summary

To learn more about the vulnerabilities, go to the following Common Vulnerabilities and Exposures (CVE).

Known issues in this update

This update does not install, and it returns either or both of the following error messages:

A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.

The revocation function was unable to check revocation because the revocation server was offline.

This issue was corrected by the latest release of this update. Follow the instructions under How to obtain and install the update to get the updated version.

If you’ve already installed a previous release of this update, no action is required.

“Fatal error during installation” with error code: 0x80070643 (or 0x643).

Additional information about this update

The following articles contain additional information about this update as it relates to individual product versions.

How to obtain and install the update

Before installing this update

You must install the updates listed below and restart your device before installing the latest Rollup. Installing these updates improves the reliability of the update process and mitigates potential issues while installing the Rollup and applying Microsoft security fixes.

The March 12, 2019 servicing stack update (SSU) (KB4490628). To get the standalone package for this SSU, search for it in the Microsoft Update Catalog. This update is required to install updates that are only SHA-2 signed.

The latest SHA-2 update (KB4474419) released September 10, 2019. If you are using Windows Update, the latest SHA-2 update will be offered to you automatically. This update is required to install updates that are only SHA-2 signed. For more information on SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

The Extended Security Updates (ESU) Licensing Preparation Package (KB4538483) released February 11, 2020. The ESU licensing preparation package will be offered to you from WSUS. To get the standalone package for ESU licensing preparation package, search for it in the Microsoft Update Catalog.

Install this update

Microsoft Update Catalog

To get the standalone package for this update, go to the Microsoft Update Catalog website.

Windows Server Update Services (WSUS)

This update will automatically sync with WSUS if you configure Products and Classifications as follows:

Product: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1,Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7

Classification: Security Updates

Restart requirement

Update deployment information

For deployment details for this security update, go to the following article in the Microsoft Knowledge Base:

20200811 Security update deployment information: August 11, 2020

Update removal information

Note We do not recommend that you remove any security update. To remove this update, use the Programs and Features item in Control Panel.

Update restart information

This update does not require a system restart after you apply it unless files that are being updated are locked or are being used.

File information

The English (United States) version of this software update installs files that have the attributes that are listed in the following tables.

Microsoft Security Advisory 3033929

Availability of SHA-2 Code Signing Support for Windows 7 and Windows Server 2008 R2

Published: March 10, 2015

Version: 1.0

General Information

Executive Summary

Microsoft is announcing the reissuance of an update for all supported editions of Windows 7 and Windows Server 2008 R2 to add support for SHA-2 signing and verification functionality. This update supersedes the 2949927 update that was rescinded on October 17, 2014 to address issues that some customers experienced after installation. As with the original release, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, and Windows RT 8.1 do not require this update because SHA-2 signing and verification functionality is already included in these operating systems. This update is not available for Windows Server 2003, Windows Vista, or Windows Server 2008.

Recommendation.В Customers who have automatic updating enabled and configured to check online for updates from Microsoft Update typically will not need to take any action because this security update will be downloaded and installed automatically. Customers who have not enabled automatic updating need to check for updates and install this update manually. For information about specific configuration options in automatic updating, see Microsoft Knowledge Base Article 294871.

For customers who install updates manually (including customers who have not enabled automatic updating), Microsoft recommends applying the update at the earliest opportunity using update management software, or by checking for updates using the Microsoft Update service. The updates are also available via the download links in the Affected Software table in this advisory.

Advisory Details

Issue References

For more information about this issue, see the following references:

ВНИМАНИЕ! Убедитесь, что вы установили необходимые обновления, перечисленные в разделе «Как получить это обновление», перед установкой этого обновления.

ВАЖНО!Некоторым клиентам, которые используют Windows Server 2008 R2 с sp1 и активировали надстройку ESU с ключом многократной активации (MAK) перед установкой обновлений от 14 января 2020 г., может потребоваться повторно активировать ключ. Повторная активация на затронутых устройствах потребуется только один раз. Сведения об активации см. в этой записи блога.

ВНИМАНИЕ! В Windows 7 с SP1 и Windows Server 2008 R2 с SP1 будут по-прежнему доступны файлы в Windows Server 2008 R2 WSUS. Если у вас есть подмножество устройств с этими операционными системами без ESU, они могут быть не соответствующими вашим средствам управления исправлениями и соответствия требованиям.

ВНИМАНИЕ! Клиенты, которые приобрели расширенное обновление системы безопасности (ESU) для локальной версии этих операционных систем, должны следовать процедуре KB4522133, чтобы продолжить получать обновления для системы безопасности после окончания расширенной поддержки 14 января 2020 г. Дополнительные сведения об ESU и поддерживаемых выпусках см. в KB4497181.

ВНИМАНИЕ! С 15 января 2020 г. появится полноэкранное уведомление, в нем будет описан риск дальнейшего использования Windows 7 Пакет обновления 1 после 14 января 2020 г. Уведомление будет оставаться на экране до тех пор, пока вы не начнете работать с ним. Это уведомление будет отображаться только в следующих выпусках Windows 7 Пакет обновления 1:

ПримечаниеУведомление не будет отображаться на компьютерах, которые соединены с доменом, или компьютерах в киоске.

Профессиональный. Если вы приобрели расширенное обновление системы безопасности (ESU), уведомление не появится. Дополнительные сведения см. в дополнительных сведениях о том, как получить расширенные обновления системы безопасности для соответствующих устройств с Windows и обновления FAQ-Extended жизненного цикла.

Аннотация

Чтобы узнать больше об уязвимостях, перейдите к следующим общим уязвимостям и уязвимостям (CVE).

Чтобы узнать больше об уязвимостях, перейдите к следующим общим уязвимостям и уязвимостям (CVE).

Улучшения качества и надежности

— Устранение проблемы с переиздацией в интерфейсе MMC В FS WinForms.

— Устранение проблемы с взаимодействием между пользовательским управлением WPF и размещением приложения WinForms при обработке ввода с клавиатуры.

— Устранение проблемы с доступностью, из-за которой текст в Windows Workflow Foundation Visual Basic «Редактор» использует неправильные цвета в темах с высокой контрастностью.

Адресирует редкие сбои, которые могут возникать, если GC Server включен и GC возникает при другой цепочке с кодом NGen’ed, который делает первоначальный вызов коду NGen’ed во втором модуле, где один или несколько типов параметров включают типы значений, определенные в третьем модуле.

— Происходит сбой адреса, который может происходить в определенных сценариях, связанных с использованием хорошо добавленных ЦП и (или) компьютеров с несколькими группами, где количество ЦП для группы не является согласованным для всех групп.

Адрес адресов редких сбоев или немербок, которые могут возникать, если GC возникает при другой цепочке с кодом NGen’ed, который делает первоначальный звонок в статический метод в том же модуле, где один или несколько типов параметров включают переадрит тип переназначаемого значения.

— В адресах возникают редкие сбои, которые могут происходить во время первого звонка, который исходный код делает в управляемой части DLL в смешанном режиме.

1 Common Language Runtime (CLR)

Известные проблемы в этом обновлении

Это обновление не устанавливается и возвращает следующие сообщения об ошибках:

Необходимый сертификат не может быть действительно в течение периода действительности при проверке на текущих системных часах или в подписывом файле.

Дополнительные сведения об этом обновлении

В следующих статьях содержатся дополнительные сведения об этом обновлении в связи с отдельными версиями продуктов.

Получение и установка обновления

Перед установкой этого обновления

Перед установкой последней версии обновления необходимо установить указанные ниже обновления и перезапустить устройство. Установка этих обновлений повышает надежность процесса обновления и устраняет возможные проблемы при установке обновлений и применении исправлений для системы безопасности Майкрософт.

Обновление стека обслуживания от 12 марта 2019 г.(SSU) (KB4490628). Чтобы получить автономный пакет для этого SSU, найщите его в каталоге Обновления Майкрософт. Это обновление требуется для установки обновлений, которые подписаны только на SHA-2.

Последнее обновление SHA-2(KB4474419)выпущено 10 сентября 2019 г. Если вы используете Обновление Windows, вам автоматически будет предложено последнее обновление SHA-2. Это обновление требуется для установки обновлений, которые подписаны только на SHA-2. Дополнительные сведения об обновлениях SHA-2 см. в требованиях к поддержке подписи кода SHA-2 для Windows и WSUS версии 2019.

Пакет подготовки к лицензированию расширенных обновлений системы безопасности (ESU)(KB4538483),выпущенный 11 февраля 2020 г. Вам будет предложен пакет подготовки лицензирования ESU из WSUS. Чтобы получить автономный пакет подготовки лицензий ESU, найщите его в каталоге обновлений Майкрософт.

Установите это обновление

Обновление Windows и Microsoft Update

Нет. Это обновление загружается и устанавливается автоматически из Windows Update, если вы клиент ESU.

Каталог Центра обновления Майкрософт

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.

cлужбы Windows Server Update Services (WSUS)

Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом:

Продукт:Windows 7 Пакет обновления 1, Windows Server 2008 R2 Пакет обновления 1, Windows Embedded Standard 7 Пакет обновления 1, Windows Embedded POSReady 7

Классификация:обновления для системы безопасности

Обновление сведений о развертывании

Сведения о развертывании этого обновления для системы безопасности можно найти в следующей статье базы знаний Майкрософт:

20200512 Сведения о развертывании обновлений для системы безопасности: 12 мая 2020 г.

Обновление сведений об удалении

Примечание. Мы не рекомендуем удалять обновления для системы безопасности. Чтобы удалить это обновление, используйте элемент «Программы и компонентов» на панели управления.

Обновление сведений о перезапуске

Это обновление не требует перезапуска системы после его применения, если только обновленные файлы не заблокированы или не используются.

Сведения о замене обновлений

Это обновление заменяет ранее выпущенные обновления 4533095 и 4535102.

Сведения о файлах

В версии этого обновления для английского языка (США) устанавливаются файлы с атрибутами, перечисленными в таблицах ниже.

Support microsoft com help 4474419 sha 2 code signing support update

A few weeks ago I discovered that my Win7Pro laptop had not been doing updates for several months, due to errors, which appeared to be due to a corrupted SoftwareDistribution folder.

Having researched online, I renamed the SoftwareDistribution folder, rebooted and re-ran Windows Update. This pulled in a lot of updates. However, updates later than around August were not installed, due to error 0x80092004.

Having researched that, I managed successfully to install KB4474419 and KB4490628, in order to enable SHA2 handling.

However, despite that, I still can’t do the pending updates, as they all continue to fail with 0x80092004, suggesting the SHA2 handling is still not working. Interestingly, earlier today it did successfully install two updates for Office 2010 and the Malicious Software Removal Tool for Feb 2020. But I still have three repeated failures for KB4516065, KB4524752 and KB4535102. Yesterday I also tried manually installing KB4516655 without success.

I have followed the instructions here exactly, following a fresh reboot, and have attached a CBS.zip. It also contains SFCfix.txt (showing no errors) and WindowsUpdate.log (trimmed to start after the initial reboot).

If anyone can tell me how I can fix the SHA2 handling, that would be wonderful. I’m not yet ready to upgrade to W10, so I would at least like to get W7 as fully updated as it can be.

Summary

To learn more about the vulnerabilities, go to the following Common Vulnerabilities and Exposures (CVE).

Additional information about this update

The following articles contain additional information about this update as it relates to individual product versions.

How to obtain and install the update

Method 1: Microsoft Update Catalog

To get the standalone package for this update, go to the Microsoft Update Catalog website.

Method 2: Windows Software Update Services (WSUS)

On your WSUS server, follow these steps:

Select Start, select Administrative Tools, and then select Microsoft Windows Server Update Services 3.0.

Expand ComputerName, and then select Action.

Select Import Updates.

WSUS opens a browser window in which you may be prompted to install an ActiveX control. You must install the ActiveX control to continue.

After the ActiveX control is installed, you see the Microsoft Update Catalog screen. Type 4534976 into the Search box, and then select Search.

After you select all the packages that you require, select View Basket.

To import the packages to your WSUS server, select Import.

After the packages are imported, select Close to return to WSUS.

The updates are now available for installation through WSUS.

Update deployment information

For deployment details for this security update, go to the following article in the Microsoft Knowledge Base:

20200114 Security update deployment information: January 14, 2020

Update removal information

Note We do not recommend that you remove any security update. To remove this update, use the Programs and Features item in Control Panel.

Update restart information

This update does not require a system restart after you apply it unless files that are being updated are locked or are being used.

File information

The English (United States) version of this software update installs files that have the attributes that are listed in the following tables.

KB4598347: управление развертыванием Kerberos S4U изменяется для CVE-2020–17049

Важно: Даты выпусков, ранее указанные в этой статье, изменились. Обратите внимание на новые даты выпуска, указанные в разделах «Принять меры» и «Время этих обновлений Windows».

Аннотация

Функция безопасности позволяет обойти уязвимости, так как Центр распространения ключевых данных (KDC) определяет, можно ли использовать билет в службу Kerberos для делегирования через делегирование с помощью ограниченного делегирования Kerberos. Чтобы использовать эту уязвимость, скомпрометированная служба, настроенная на использование KCD, может подделыть билет службы Kerberos, который не является допустимым для делегирования, чтобы принудительно принять его. В этих обновлениях для Windows эта уязвимость решается, изменяя степень проверки билетов в службу проверки Kerberos, используемых с KCD.

Подробнее об этой уязвимости см. в CVE-2020–17049.

Чтобы защитить свою среду и предотвратить с простои, выполните все указанные здесь действия.

Обновите все устройства с ролью контроллера домена Active Directory, установив по крайней мере одно обновление Windows между 8 декабря 2020 г. и 9 марта 2021 г. Следует помнить, что установка обновления Windows не устраняет полную уязвимость в системе безопасности. Необходимо также выполнить этапы 2 и 3.

Обновите все устройства с ролью контроллера домена Active Directory, установив обновление Windows от 13 апреля 2021 г.

Включить Режим принудительных мер на всех контроллерах доменов Active Directory.

Начиная с обновления на этапе обеспечения безопасности от 13 июля 2021 г., режим обеспечения соблюдения будет включен на всех контроллерах доменов Windows.

Время обновления Windows

Эти обновления Windows выпускаются в три этапа:

Начальный этап развертывания обновлений Windows, выпущенных 8 декабря 2020 г. или более новых.

Второй этап развертывания, который удаляет параметр PerformTicketSignature 0 и требует установки 1 или 2,13 апреля 2021 г. или после этого.

Этап обеспечения обеспечения безопасности для обновлений Windows, выпущенных 13 июля 2021 г. или после этого.

8 декабря 2020 г.: этап начального развертывания

Начальный этап развертывания начинается с обновления Windows, выпущенного 8 декабря 2020 г., и продолжается с последующим обновлением Windows для этапа применения. Эти и более поздние обновления Windows вносют изменения в Kerberos. Это обновление от 8 декабря 2020 г. содержит исправления всех известных проблем, которые впервые были введены в выпуске CVE-2020–17049 от 10 ноября 2020 г. Это обновление также поддерживает Windows Server 2008 с sp2 и Windows Server 2008 R2.

Адреса CVE-2020-17049 (по умолчанию — в режиме развертывания).

Добавляет поддержку значения PerformTicketSignature реестра, чтобы включить защиту на серверах контроллеров доменов Active Directory. По умолчанию это значение не существует.

13 апреля 2021 г.: второй этап развертывания

Второй этап развертывания начинается с обновления Windows, выпущенного 13 апреля 2021 г. Этот этап удаляет параметр PerformTicketSignature 0. Установка параметра PerformTicketSignature до 0 после установки обновления будет иметь такой же эффект, что и для параметра PerformTicketSignature 1. Компьютеры будут работать в режиме развертывания.

Этот этап не требуется, если в вашей среде не было задано 0. Этот этап помогает убедиться, что клиенты с параметром PerformTicketSignature 0 перемещаются в параметр 1 до этапа реализации.

После развертывания обновлений от 13 апреля 2021 г. задан параметр PerformTicketSignature 1 позволит возобновлять возможности для билетов в службу. Это изменение поведения в обновлениях Windows за апрель 2021 г. при установке параметра PerformTicketSignature на 1, из-за чего не были возобновляться билеты в службу.

В этом обновлении предполагается, что все контроллеры домена обновлены в обновлениях от 8 декабря 2020 г. или более поздних версий.

После установки этого обновления и вручную или программным путем установка контроллеров домена PerformTicketSignature 1 или более высокого уровня неподдержденные контроллеры доменов Windows Server больше не будут работать с поддерживаемыми контроллерами доменов. К ним относятся Windows Server 2008 и Windows Server 2008 R2 без расширенных обновлений системы безопасности (ESU) и Windows Server 2003.

13 июля 2021 г.: этап обеспечения соблюдения

Выпуск от 13 июля 2021 г. переходит к этапу реализации. На этапе применения изменения будут применяться к CVE-2020–17049. Контроллеры домена Active Directory теперь работают в режиме принудительных действий. Для режима обеспечения безопасности все контроллеры домена Active Directory должны иметь обновление от 8 декабря 2020 г. или более позднее обновление Windows. В настоящее время параметры ключа реестра PerformTicketSignature будут игнорироваться, а режим принудительных параметров нельзя переопрепретить.

Руководство по установке

Перед установкой этого обновления

Для применения этого обновления должны быть установлены следующие необходимые обновления: Если вы используете Обновление Windows, эти необходимые обновления будут предлагаться автоматически.

Необходимо установить обновление SHA-2(KB4474419)от 23 сентября 2019 г. или более позднее обновление SHA-2, а затем перезапустить устройство перед его применением. Дополнительные сведения об обновлениях SHA-2 см. в требованиях к поддержке подписи кода SHA-2 2 для Windows и WSUS.

Для Windows Server 2008 R2 с пакетом обновления 1 (SP1) необходимо установить обновление стеком обслуживания(KB4490628)от 12 марта 2019 г. После установки обновления KB4490628 рекомендуется установить последнее обновление SSU. Дополнительные сведения о последнем обновлении SSU см. в | Последние обновления стеком обслуживания.

Для Windows Server 2008 с пакетом обновления 2 (SP2) необходимо установить обновление стеком обслуживания(KB4493730)от 9 апреля 2019 г. После установки обновления KB4493730 рекомендуется установить последнее обновление SSU. Дополнительные сведения о последних обновлениях SSU см. в | Последние обновления стеком обслуживания.

Клиентам необходимо приобрести расширенное обновление для системы безопасности (ESU) для локальной версии Windows Server 2008 с sp2 или Windows Server 2008 R2 с sp1 после окончания расширенной поддержки 14 января 2020 г. Клиенты, которые приобрели ESU, должны следовать процедуре KB4522133, чтобы продолжать получать обновления для системы безопасности. Дополнительные сведения об ESU и поддерживаемых выпусках см. в KB4497181.

Важно!После установки этих необходимых обновлений необходимо перезапустить устройство.

Установка всех обновлений

Чтобы устранить уязвимость в системе безопасности, установите все обновления Windows и в режиме обеспечения безопасности:

Развернет по крайней мере одно обновление с 8 декабря 2020 г. по 9 марта 2021 г. на всех контроллерах доменов Active Directory в лесу.

Развернем обновление от 12 апреля 2021 г. по крайней мере через одну или несколько недель после шага 1.

После обновления всех контроллеров домена Active Directory подождите как минимум неделю, чтобы разрешить срок действия всех незавершенных билетов службы для пользователя на самосохранение (S4U2self) Kerberos, а затем включить полную защиту, развернив режим принудительных действий контроллера домена Active Directory.

Если вы изменили срок действия билета службы Kerberos в настройках по умолчанию (по умолчанию это 7 дней), необходимо подождать по крайней мере такое количество дней, как настроено в вашей среде.

В этих действиях предполагается, что для действия PerformTicketSignature в вашей среде не было установлено 0. Если параметр PerformTicketSignature имеет 0,перед переходом к параметру 2 (режимом обеспечения) необходимо перейти к параметру 1 и дождаться истечения срока действия всех непогашенных лицензий на службу для пользователей (S4U2self) Kerberos. Переходить непосредственно от 0 к параметру 2 (режимы обеспечения соблюдения) не следует.

Шаг 1. Установка обновлений Windows

Установите соответствующее обновление Windows от 8 декабря 2020 г. или более поздней версии на все устройства с ролью контроллера домена Active Directory в лесу, включая контроллеры доменов, доступные только для чтения.

Продукт Windows Server

Windows Server версии 20H2 (установка основных серверов)

Обновление для системы безопасности

Windows Server версии 2004 (установка core сервера)

Обновление для системы безопасности

Windows Server версии 1909 (установка core сервера)

Обновление для системы безопасности

Windows Server версии 1903 (установка core сервера)

Обновление для системы безопасности

Windows Server 2019 (установка основных серверов)

Обновление для системы безопасности

Windows Server 2019

Обновление для системы безопасности

Windows Server 2016 (установка основных серверов)

Обновление для системы безопасности

Windows Server 2016

Обновление для системы безопасности

Windows Server 2012 R2 (установка основных серверов)

Windows Server 2012 R2

Windows Server 2012 (установка основных серверов)

Windows Server 2012

Windows Server 2008 R2 Пакет обновления 1

Пакет обновления 2 (SP2) для Windows Server 2008

Шаг 2. Включить режим обеспечения соблюдения

После обновления всех устройств с ролью контроллера домена Active Directory подождите как минимум неделю, чтобы срок действия всех непогашенных билетов в службу S4U2self Kerberos истек. Затем можно включить полную защиту, разверняя режим обеспечения защиты. Для этого в режиме обеспечения соблюдения данной ситуации в реестре в включить режим обеспечения соблюдения данной темы.

Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок. Эти проблемы могут привести к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует, что эти проблемы удастся решить. При изменении реестра полагайтесь на свой опыт и знания.

Примечание. Это обновление включает поддержку следующего значения реестра, чтобы включить режим принудительных мер. Это значение реестра не создается при установке этого обновления. Это значение реестра необходимо добавить вручную.

1.Включает режим развертывания. Исправление включено на контроллере домена, но контроллер домена Active Directory не требует, чтобы для входа в службу Kerberos соответствовало исправление. Этот режим добавляет поддержку подписей билетов на обновленных контроллерах домена CVE-2020–17049, но контроллеры домена не требуют на них подписи. Это обеспечивает сочетание этапов начального развертывания (DCS, обновленных до обновления начального развертывания за декабрь) и обновленных контроллеров доменов для совместной работы. Когда все контроллеры домена будут обновлены и при установке 1,будут подписаны все новые билеты. В этом режиме новые билеты помечались как возобновляемые.

2.Включает режим обеспечения соблюдения. Это позволяет исправить ошибку в обязательном режиме, когда все домены необходимо обновить, а всем контроллерам доменов Active Directory требуются билеты в службу Kerberos с подписями. В этом параметре все билеты должны быть подписаны, чтобы считаться действительными. В этом режиме билеты снова помечались как возобновляемые.

0. Не рекомендуется. Отключает подписи для билетов в службу Kerberos, и ваши домены не защищены.

Важно! Параметр 0 несовместим с параметром 2. Периодические сбои проверки подлинности могут возникать, если режим обеспечения безопасности применяется на более поздней стадии, когда для домена установлено 0. Рекомендуем клиентам перейти к настройке 1 до этапа применения (по крайней мере за неделю до применения).

Что делать, если Windows 7 не может выполнить проверку цифровой подписи драйвера TP-Link?

Для повышения безопасности Windows в 2019 году компания Microsoft сделала переход с алгоритма SHA-1 на более безопасный алгоритм SHA-2, поэтому пользователям Windows 7 необходимо установить патчи Windows с поддержкой SHA-2, в противном случае при установке драйверов TP-Link будут появляться уведомления безопасности Windows.

1. Windows 7 видит у драйвера TP-Link цифровую подпись Authenticode и запрашивает установку драйвера:

2. Windows 7 не может проверить подлинность драйвера TP-Link и запрашивает установку драйвера:

А. Можно просто игнорировать эти уведомления, однако тогда они так и будут появляться при установке драйверов в будущем.

Б. Скачайте и установите патчи Microsoft с поддержкой кода SHA-2 — это позволит раз и навсегда избавиться от подобных уведомдений:

1. Скачайте патчи Windows KB4474419 и KB4490628 для своей версии Windows 7.

Для установки патчей KB4474419 и KB4490628 требуется Windows 7 с пакетом обновления 1 (SP1).

2. Убедитесь, что запущена служба обновления Windows: перейдите в Диспетчер устройств > Службы > выберите патч > измените Тип запуска на Вручную > нажмите Применить > нажмите Запустить и сохраните эти настройки.

Если служба обновления Windows отключена или остановлена, с установкой патчей возникнут проблемы.

3. Поочерёдно установите патчи Windows KB4474419 и KB4490628.

4. Перезагрузите компьютер.

5. Переустановите драйвер TP-Link — теперь проблем быть не должно.

Был ли этот FAQ полезен?

Ваш отзыв поможет нам улучшить работу сайта.

Что вам не понравилось в этой статье?

Как мы можем это улучшить?

Спасибо

Спасибо за обращение
Нажмите здесь, чтобы связаться с технической поддержкой TP-Link.

Подписаться на рассылку Мы с ответственностью относимся к вашим персональным данным. Полный текст политики конфиденциальности доступен здесь.

Установка пакета обновления Windows через KSC

Автор website9527633,
12 апреля, 2021 в Помощь по корпоративным продуктам

Рекомендуемые сообщения

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Похожий контент

Настраиваем KSC на работу в роли WSUS сервера. Возник вопрос по самим обновлениям. KSC выкачивает обновления и потом распространяет по станциям в сети как WSUS или предоставляет список обнов агентам, а те уже на станциях сами выкачивают из сети обновления?

Вопрос возник из-за статуса на скриншоте

Перед этим записано предупреждение:
Управление системными патчами: Недостаточно ресурсов памяти для завершения операции. #1181 (-2147024882) COM error 0x8007000E (wcode: 0) » Информация об ошибке: 1181/-2147024882 (COM error 0x8007000E (wcode: 0) »), c:\a\b\a_d55680f2\s\csadminkit\development2\nagent\vapm\wua_manager.cpp, 2305.

Но это происходит не на всех компьютерах, от общего числа 1-2%
Кто сталкивался с подобным? Как боротся?

Не ставится обновление KB4512506 пишет это

Виндоус 7 64 бита неделю назад установленная.

Подсказали способ решения этот http://forum.ru-board.com/topic.cgi?forum=62&topic=31059&start=840#11

В итоге, чтобы возникли проблемы из-за KB4512506, нужно чтобы KB4474419 не был установлен до перезагрузки если система запускается через EFI, а в других случаях проблем нет?
Ради эксперимента поставит 7 в виртуалке с EFI, поставил обновления по списку из шапки, за исключением того, что сначала KB4512506 и только потом KB4474419, но без перезагрузки между обновлениями. Проблем не возникло, всё работает нормально.

Notice

On June 8th, 2021, this update was released to replace a previous update to address a “revocation server was offline” error that may occur during installation. If you’ve already installed a previous release of this update, no action is required. Follow the instructions under How to obtain and install the update to get the updated version.

On April 13th, 2021, this update was released to replace a previous release of this update.

IMPORTANT Verify that you have installed the required updates listed in the How to get this update section before installing this update.

IMPORTANT Some customers who use Windows Server 2008 R2 SP1 and have activated their ESU multiple activation key (MAK) add-on before installing the January 14, 2020 updates might need to re-activate their key. Re-activation on the affected devices should only be required once. For information on activation, see this blog post.

IMPORTANT WSUS scan cab files will continue to be available for Windows 7 SP1 and Windows Server 2008 R2 SP1. If you have a subset of devices running these operating systems without ESU, they might show as non-compliant in your patch management and compliance toolsets.

IMPORTANT Customers who have purchased the Extended Security Update (ESU) for on-premises versions of these operating systems must follow the procedures in KB4522133 to continue receiving security updates after extended support ends on January 14, 2020. For more information on ESU and which editions are supported, see KB4497181.

IMPORTANT Starting on January 15, 2020, a full-screen notification will appear that describes the risk of continuing to use Windows 7 Service Pack 1 after it reaches end of support on January 14, 2020. The notification will remain on the screen until you interact with it. This notification will only appear on the following editions of Windows 7 Service Pack 1:

Note The notification will not appear on domain-joined machines or machines in kiosk mode.

Professional. If you have purchased the Extended Security Update (ESU), the notification will not appear. For more information, see How to get Extended Security Updates for eligible Windows devices and Lifecycle FAQ-Extended Security Updates.

IMPORTANT If you install a language pack after you install this update, you must reinstall this update. Therefore, we recommend that you install any language packs that you need before you install this update. For more information, see Add language packs to Windows.

Summary

Known issues in this update

This update does not install, and it returns either or both of the following error messages:

A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.

The revocation function was unable to check revocation because the revocation server was offline.

This issue was corrected by the latest release of this update. Follow the instructions under How to obtain and install the update to get the updated version.

If you’ve already installed a previous release of this update, no action is required.

Additional information about this update

The following articles contain additional information about this update as it relates to individual product versions.

How to obtain and install the update

Before installing this update

You must install the updates listed below and restart your device before installing the latest Rollup. Installing these updates improves the reliability of the update process and mitigates potential issues while installing the Rollup and applying Microsoft security fixes.

The March 12, 2019 servicing stack update (SSU) (KB4490628). To get the standalone package for this SSU, search for it in the Microsoft Update Catalog. This update is required to install updates that are only SHA-2 signed.

The latest SHA-2 update (KB4474419) released September 10, 2019. If you are using Windows Update, the latest SHA-2 update will be offered to you automatically. This update is required to install updates that are only SHA-2 signed. For more information on SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

The Extended Security Updates (ESU) Licensing Preparation Package (KB4538483) released February 11, 2020. The ESU licensing preparation package will be offered to you from WSUS. To get the standalone package for ESU licensing preparation package, search for it in the Microsoft Update Catalog.

Install this update

Microsoft Update Catalog

To get the standalone package for this update, go to the Microsoft Update Catalog website.

Windows Server Update Services (WSUS)

This update will automatically sync with WSUS if you configure Products and Classifications as follows:

Product: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1,Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7

Classification: Security Updates

Update deployment information

For deployment details for this security update, go to the following article in the Microsoft Knowledge Base:

20210209 Security update deployment information: February 9, 2021

Update removal information

Note We do not recommend that you remove any security update. To remove this update, use the Programs and Features item in Control Panel.

Update restart information

This update does not require a system restart after you apply it unless files that are being updated are locked or are being used.

Не Возможно Установить Valorant: Решение Проблемы!

Все советы, указанные в данной статье, мы рекомендуем применять только на лицензионных копиях OS Microsoft Windows. На нелицензионных копиях некоторые из команд могут привести к нестабильной работе системы.

ЕСЛИ В ПРОЦЕССЕ ЗАПУСКА/УСТАНОВКИ ИГРЫ ВЫ СТОЛКНУЛИСЬ С ОШИБКАМИ, ТО ЭТА СТАТЬЯ ДЛЯ ВАС:

Также если у вас Windows 7 или 8, то при возможности мы рекомендуем перейти на Windows 10 — это с максимальной вероятностью решит проблему.

Если возможности нет, попробуйте вот что:

ЕСЛИ У ВАС ВОЗНИКЛИ ПРОБЛЕМЫ НЕПОСРЕДСТВЕННО С УСТАНОВКОЙ САМОЙ ИГРЫ.

В этом случае мы рекомендуем попробовать установить её на другой жесткий диск (если у вас их несколько). Установщик нужно обязательно запускать от имени администратора.

Если способы, перечисленные нами выше, не помогут, переходите к следующему способу:

bcdedit.exe /set testsigning off
bcdedit.exe /set nointegritychecks off

Если проблема не будет устранена, то рекомендуем выполнить установку игры в безопасном режиме Windows:

Если после всех этих действий проблема всё ещё остается актуальной, то сделаем следующее:

Попробуем проверить, какая программа может мешать античиту VALORANT запускаться. По результатам проверки у нас будет представление о том, в чём может быть дело.
Для запуска этой команды вы должны сделать следующее:

Когда тест завершится, он предоставит вам список драйверов, которые необходимо обновить или удалить, чтобы VALORANT смог запуститься.

По нашим данным, игроки чаще всего могли вернуться в игру, обновив или отключив следующие программные пакеты:

Программа также сохраняет файл с собранными данными в папку C:\Users\Public\Documents или Этот компьютер > Локальный диск (С:) > Пользователи > Общие > Общие документы

В случае если после выполнения всех инструкция проблема всё же сохранится, то создайте новый запрос в поддержку. Прикрепите данный файл к запросу, и мы продолжим изучение проблемы.

Также нам понадобится общая информация о вашей системе:

Отправьте указанную информацию в запрос, и мы постараемся вам помочь.

ПРОЦЕСС УЖЕ ЗАПУЩЕН/НЕ УДАЛОСЬ ЗАПУСТИТЬ VALORANT

Если это не поможет, то снова открываем Проводник, ищем в проводнике вкладку «Вид», в ней находим параметр «Скрытые элементы». Ставим галочку напротив этого пункта, если она еще не стоит. Далее переходим в следующую директорию: C:\Users\название вашей учетки на ПК\AppData\Local\ и находим папку Riot Client и архивируем её.

Support microsoft com help 4474419 sha 2 code signing support update

Важные изменения работы игр на Windows 7

В мае 2021 года запуск игры станет невозможен без поддержки цифровой подписи на основе хеш-алгоритма SHA-2. Если у вашей операционной системы не установлены все обновления в «Центре обновления Windows», то можно подключить поддержку SHA-2 вручную или обновить свою Windows 7 до Windows 8 или более поздней версии. Чтобы активировать поддержку SHA-2 следуйте инструкции.

Ваша версия Windows 7 без установленного Service Pack 1:

Примечание: Если у вас не открывается ссылка, то попробуйте кликнуть по ней правой кнопкой мыши и выбрать вариант «Открыть в новой вкладке».

2. Нажмите на кнопку «Запустить», чтобы начать скачивание этого файла. Если у вас браузер отличный от Internet Explorer, то перейдите сразу к следующему пункту.

3. После того как вы скачаете Service Pack 1, появится следующее диалоговое окно, где необходимо нажать кнопку «Запустить».

4. Ознакомьтесь с подробностями перед установкой Service Pack 1 и нажмите «Далее». Обратите внимание, что компьютер может несколько раз перезагрузиться во время установки.

5. Сохраните все проекты и закройте программы, чтобы ничего не потерять, и установка прошла быстрее. Также рекомендуем нажать галочку «Автоматически перезагрузить компьютер». Установка Service Pack 1 начнется только после того, как вы нажмете на кнопку «Установить».

6. Когда установка будет завершена и ваш компьютер автоматически перезагрузится, Service Pack 1 будет полностью установлен. В некоторых случаях поддержка хеш-алгоритма цифровой подписи SHA-1 может автоматически не обновиться до SHA-2 — тогда при следующем запуске игры у вас появится инструкция, как его обновить вручную.

Ваша версия Windows 7 с установленным Service Pack 1:

1. Перейдите по ссылке, чтобы скачать обновление хеш-алгоритма цифровой подписи с SHA-1 до SHA-2.

Примечание: Если у вас не открывается ссылка, то попробуйте кликнуть по ней правой кнопкой мыши и выбрать вариант «Открыть в новой вкладке».

2. Чтобы начать скачивание этого файла, нажмите на кнопку «Открыть». Если у вас браузер отличный от Internet Explorer, то перейдите сразу к следующему пункту.

3. После того как вы запустите установщик, выдайте доступ на открытие web-контента кнопкой «Разрешить».

4. Следующим шагом будет установка обновления. Выберите вариант «Да» и ожидайте полной установки.

5. После завершения обновления и перезагрузки компьютера хеш-алгоритм SHA-2 станет активным — теперь вы можете продолжить играть.

Windows Update SHA-1 based endpoints discontinued for older Windows devices

Introduction

In compliance with the Microsoft Secure Hash Algorithm (SHA)-1 deprecation policy, Windows Update is discontinuing its SHA-1 based endpoints in late July 2020. This means that older Windows devices that have not updated to SHA-2 will no longer receive updates through Windows Update. Your older Windows devices can continue to use Windows Update by manually installing specific SHA-2 enabling updates.

All other Windows platforms will continue to receive updates through Windows Update as they always have because they connect to SHA-2 service endpoints.

Why is this change occurring?

An outdated Windows Update service endpoint used only for older platforms is being discontinued. This change is occurring because of weaknesses in the SHA-1 hashing algorithm and to align to industry standards.

Even though the SHA-1 endpoint is being discontinued, more recent Windows devices will continue receiving updates through Windows Update because those devices use the more secure SHA-2 algorithm. See the table in the «Which Windows devices are impacted» section to determine whether your devices are impacted.

Which Windows devices are impacted?

Most users will not be impacted by this change. Starting with Windows 8 Desktop and Windows Server 2012, connections to Windows Update service endpoints use a more modern algorithm (SHA-256). Older versions of Windows connect to Windows Update service endpoints by using the less secure SHA-1 algorithm.

For most of the impacted versions of Windows, a SHA-2 update will add the support necessary to continue receiving updates through Windows Update. The following table shows the impact on the various versions of Windows. Some platforms are no longer supported, therefore they will not be updated.

Device is out of support

Windows Updates will no longer be supported.

Windows 7 SP1 и Windows Server 2008 R2 SP1 получили поддержку SHA-2

С июля Windows 7 SP1 и Windows Server 2008 R2 SP1 без поддержки SHA-2 больше не смогут получать обновления.

На этой неделе компания Microsoft выпустила обновления, добавляющие в Windows 7 SP1 и Windows Server 2008 R2 SP1 поддержку криптографического алгоритма SHA-2. Пользователи, не установившие их на свои системы, начиная с 16 июля 2019 года, больше не смогут получать обновления.

В настоящее время все обновления для Windows подписываются сразу двумя цифровыми сертификатами – SHA-1 и SHA-2. Тем не менее, поскольку содержащиеся в SHA-1 уязвимости делают алгоритм менее безопасным, с 16 июля Microsoft будет выпускать обновления, подписанные только SHA-2. Так как ни в Windows 7 SP1, ни в Windows Server 2008 R2 SP1 поддержка SHA-2 не реализована, Microsoft еще раньше пообещала ее добавить.

Производитель сдержал слово и в рамках мартовского «вторника исправлений» выпустил бюллетени KB4490628 и KB4474419, добавляющие в Windows 7 SP1 и Windows Server 2008 R2 SP1 поддержку SHA-2. Обновления будут установлены автоматически, и пользователям настоятельно рекомендуется их не отключать, поскольку это приведет к тому, что ОС больше не сможет получать апдейты.

Microsoft также выпустила бюллетень KB4484071 для службы WSUS 3.0 SP2, поддерживающей доставку обновлений, подписанных SHA-2. Пользователи, не пожелавшие установить обновления, получат их снова 9 апреля 2019 года.

Quality and reliability improvements

Addresses an issue that affects thread contention that occurs in BinaryFormatter.GetTypeInformation by using ConcurrentDictionary to handle multi-thread access.

Addresses an issue that affects a WPF ComboBox (or any Selector) within a DataGrid cell that can try to change its selection properties ( SelectedIndex, SelectedItem, SelectedValue) when the cell’s data item is revirtualized or removed from the underlying collection. This can occur if the Selector’s ItemSource property is data bound through the cell’s DataContext setting. Depending on the virtualization mode and the bindings that are declared for the selection properties, the symptoms can include unexpected changes (to null) of the data item’s properties, and unexpected displays (as null) of other data items that re-use the UI that was previously attached to the revirtualized item.

Addresses an issue in which a WPF TextBox or RichTextBox element that has spell checking enabled crashes and returns an «ExecutionEngineException» error in some situations, including inserting text near a hyperlink.

Addresses an issue that might cause handle leaks to occur in scenarios that repeatedly load and unload Mscoree.dll.

Addresses rare cases that incorrectly cause process termination instead of delivering the expected NullReferenceException result.

1 Base Class Library (BCL)
2 Windows Presentation Foundation (WPF)
3 Common Language Runtime (CLR)

Additional information about this update

The following article contains additional information about this update as it relates to individual product versions.

How to obtain and install the update

Method 1: Windows Update

This update is available through Windows Update. When you turn on automatic updating, this update will be downloaded and installed automatically. For more information about how to get security updates, see Windows Update: FAQ.

Method 2: Microsoft Update Catalog

To get the standalone package for this update, go to the Microsoft Update Catalog website.

Method 3: Windows Software Update Services (WSUS)

On your WSUS server, follow these steps:

Select Start, select Administrative Tools, and then select Microsoft Windows Server Update Services 3.0.

Expand ComputerName, and then select Action.

Select Import Updates.

WSUS opens a browser window in which you may be prompted to install an ActiveX control. You must install the ActiveX control to continue.

After the ActiveX control is installed, you see the Microsoft Update Catalog screen. Enter 4516551 into the Search box, and then select Search.

After you select all the packages that you require, select View Basket.

To import the packages to your WSUS server, select Import.

After the packages are imported, select Close to return to WSUS.

The updates are now available for installation through WSUS.

Update replacement information

This update replaces previously released updates 4512193.

File information

The English (United States) version of this software update installs files that have the attributes that are listed in the following tables.

Notice

If you have already installed KB4565636 v1, no action is necessary.

To obtain KB4565636 v2, see the “How to obtain and install the update” section.

IMPORTANT Verify that you have installed the required updates listed in the How to get this update section before installing this update.

IMPORTANT Some customers who use Windows Server 2008 R2 SP1 and have activated their ESU multiple activation key (MAK) add-on before installing the January 14, 2020 updates might need to re-activate their key. Re-activation on the affected devices should only be required once. For information on activation, see this blog post.

IMPORTANT WSUS scan cab files will continue to be available for Windows 7 SP1 and Windows Server 2008 R2 SP1. If you have a subset of devices running these operating systems without ESU, they might show as non-compliant in your patch management and compliance toolsets.

IMPORTANT Customers who have purchased the Extended Security Update (ESU) for on-premises versions of these operating systems must follow the procedures in KB4522133 to continue receiving security updates after extended support ends on January 14, 2020. For more information on ESU and which editions are supported, see KB4497181.

IMPORTANT Starting on January 15, 2020, a full-screen notification will appear that describes the risk of continuing to use Windows 7 Service Pack 1 after it reaches end of support on January 14, 2020. The notification will remain on the screen until you interact with it. This notification will only appear on the following editions of Windows 7 Service Pack 1:

Note The notification will not appear on domain-joined machines or machines in kiosk mode.

Professional. If you have purchased the Extended Security Update (ESU), the notification will not appear. For more information, see How to get Extended Security Updates for eligible Windows devices and Lifecycle FAQ-Extended Security Updates.

Summary

To learn more about the vulnerabilities, go to the following Common Vulnerabilities and Exposures (CVE).

Known issues in this update

This update does not install, and it returns either or both of the following error messages:

A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.

Additional information about this update

The following articles contain additional information about this update as it relates to individual product versions.

How to obtain and install the update

Before installing this update

You must install the updates listed below and restart your device before installing the latest Rollup. Installing these updates improves the reliability of the update process and mitigates potential issues while installing the Rollup and applying Microsoft security fixes.

The March 12, 2019 servicing stack update (SSU) (KB4490628). To get the standalone package for this SSU, search for it in the Microsoft Update Catalog. This update is required to install updates that are only SHA-2 signed.

The latest SHA-2 update (KB4474419) released September 10, 2019. If you are using Windows Update, the latest SHA-2 update will be offered to you automatically. This update is required to install updates that are only SHA-2 signed. For more information on SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

The Extended Security Updates (ESU) Licensing Preparation Package (KB4538483) released February 11, 2020. The ESU licensing preparation package will be offered to you from WSUS. To get the standalone package for ESU licensing preparation package, search for it in the Microsoft Update Catalog.

Install this update

Windows Update and Microsoft Update

None. This update will be downloaded and installed automatically from Windows Update if you are an ESU customer.

Microsoft Update Catalog

To get the standalone package for this update, go to the Microsoft Update Catalog website.

Windows Server Update Services (WSUS)

This update will automatically sync with WSUS if you configure Products and Classifications as follows:

Product: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1,Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7

Classification: Security Updates

Update deployment information

For deployment details for this security update, go to the following article in the Microsoft Knowledge Base:

20200714 Security update deployment information: July 14, 2020

Update removal information

Note We do not recommend that you remove any security update. To remove this update, use the Programs and Features item in Control Panel.

Update restart information

This update does not require a system restart after you apply it unless files that are being updated are locked or are being used.

Update replacement information

This update replaces previously released updates 4535102 and 4556399.

File information

The English (United States) version of this software update installs files that have the attributes that are listed in the following tables.

June 8, 2021—KB5003694 (Security-only update)

Important: Windows 7 and Windows Server 2008 R2 have reached the end of mainstream support and are now in extended support. Starting in January 2020, there will no longer be optional, non-security releases (known as «C» releases) for this operating system. Operating systems in extended support have only cumulative monthly security updates (known as the «B» or Update Tuesday release).

Verify that you have installed the required updates listed in the How to get this update section before installing this update.

For information about the various types of Windows updates, such as critical, security, driver, service packs, and so on, please see the following article. To view other notes and messages, see the Windows 7 and Windows Server 2008 R2 update history home page.

Improvements and fixes

This security update includes quality improvements. Key changes include:

Addresses an issue in the Server Message Block (SMB) protocol which may cause frequent crashes with Stop error 0xA on devices that run Windows Server 2008 R2 Service Pack 1 (SP1).

Security updates to Windows App Platform and Frameworks, Windows Cloud Infrastructure, Windows Authentication, Windows Fundamentals, Windows Remote Desktop, and Windows Storage and Filesystems.

For more information about the resolved security vulnerabilities, please refer to the new Security Update Guide website.

Known issues in this update

After installing this or later updates, apps accessing event logs on remote devices might be unable to connect. This issue might occur if the local or remote has not yet installed updates released June 8, 2021 or later. Affected apps are using certain legacy Event Logging APIs. You might receive an error when attempting to connect, for example:

Error 5: access is denied

Error 1764: The requested operation is not supported.

Windows has not provided an error code.

Note Event Viewer and other apps using current non-legacy APIs to access event logs should not be affected.

This is expected due to security hardening changes relating to Event Tracing for Windows (ETW) for CVE-2021-31958. This issue is resolved if the local and remote devices both have installed updates released June 8, 2021 or later.

This is expected behavior due to a security hardening change in this update. To resolve this issue, you will need to update to a supported version of SQL Server.

After installing this update and restarting your device, you might receive the error, “Failure to configure Windows updates. Reverting Changes. Do not turn off your computer,” and the update might show as Failed in Update History.

This is expected in the following circumstances:

If you are installing this update on a device that is running an edition that is not supported for ESU. For a complete list of which editions are supported, see KB4497181.

If you do not have an ESU MAK add-on key installed and activated.

If you have purchased an ESU key and have encountered this issue, please verify you have applied all prerequisites and that your key is activated. For information on activation, please see this blog post. For information on the prerequisites, see the «How to get this update» section of this article.

Certain operations, such as rename, that you perform on files or folders that are on a Cluster Shared Volume (CSV) may fail with the error, “STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)”. This occurs when you perform the operation on a CSV owner node from a process that doesn’t have administrator privilege.

Do one of the following:

Perform the operation from a process that has administrator privilege.

Perform the operation from a node that doesn’t have CSV ownership.

Microsoft is working on a resolution and will provide an update in an upcoming release.

How to get this update

Before installing this update

IMPORTANT Customers who have purchased the Extended Security Update (ESU) for on-premises versions of these operating systems must follow the procedures in KB4522133 to continue receiving security updates after extended support ends. Extended support ends as follows:

For Windows 7 Service Pack 1 and Windows Server 2008 R2 Service Pack 1, extended support ends on January 14, 2020.

For Windows Embedded Standard 7, extended support ends on October 13, 2020.

For more information about ESU and which editions are supported, see KB4497181.

Note For Windows Embedded Standard 7, Windows Management Instrumentation (WMI) must be enabled to get updates from Windows Update or Windows Server Update Services.

You must install the updates listed below and restart your device before installing the latest Rollup. Installing these updates improves the reliability of the update process and mitigates potential issues while installing the Rollup and applying Microsoft security fixes.

The March 12, 2019 servicing stack update (SSU) (KB4490628). To get the standalone package for this SSU, search for it in the Microsoft Update Catalog. This update is required to install updates that are only SHA-2 signed.

The latest SHA-2 update (KB4474419) released September 10, 2019. If you are using Windows Update, the latest SHA-2 update will be offered to you automatically. This update is required to install updates that are only SHA-2 signed. For more information on SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

For Windows Thin PC, you must have the August 11, 2020 SSU (KB4570673) or a later SSU installed to make sure you continue to get the extended security updates starting with the October 13, 2020 updates.

To get this security update, you must reinstall the «Extended Security Updates (ESU) Licensing Preparation Package» (KB4538483) or the «Update for the Extended Security Updates (ESU) Licensing Preparation Package» (KB4575903) even if you previously installed the ESU key. The ESU licensing preparation package will be offered to you from WSUS. To get the standalone package for ESU licensing preparation package, search for it in the Microsoft Update Catalog.

After installing the items above, Microsoft strongly recommends that you install the latest SSU (KB4592510). If you are using Windows Update, the latest SSU will be offered to you automatically if you are an ESU customer. To get the standalone package for the latest SSU, search for it in the Microsoft Update Catalog. For general information about SSUs, see Servicing stack updates and Servicing Stack Updates (SSU): Frequently Asked Questions.

REMINDER If you are using Security-only updates, you will also need to install all previous Security-only updates and the latest cumulative update for Internet Explorer (KB5003636).

Summary

To learn more about the vulnerabilities, go to the following Common Vulnerabilities and Exposures (CVE).

If you install a language pack after you install this update, you must reinstall this update. Therefore, we recommend that you install any language packs that you need before you install this update. For more information, see Add language packs to Windows.

Additional information about this update

The following articles contain additional information about this update as it relates to individual product versions.

How to obtain and install the update

Method 1: Microsoft Update Catalog

To get the standalone package for this update, go to the Microsoft Update Catalog website.

Method 2: Windows Software Update Services (WSUS)

On your WSUS server, follow these steps:

Select Start, select Administrative Tools, and then select Microsoft Windows Server Update Services 3.0.

Expand ComputerName, and then select Action.

Select Import Updates.

WSUS opens a browser window in which you may be prompted to install an ActiveX control. You must install the ActiveX control to continue.

After the ActiveX control is installed, you see the Microsoft Update Catalog screen. Type 4534976 for Windows 7 SP1 and Windows Server 2008 R2 SP1 or type 4534979 for Windows Server 2008 SP2 into the Search box, and then select Search.

After you select all the packages that you require, select View Basket.

To import the packages to your WSUS server, select Import.

After the packages are imported, select Close to return to WSUS.

The updates are now available for installation through WSUS.

Update deployment information

For deployment details for this security update, go to the following article in the Microsoft Knowledge Base:

20200114 Security update deployment information: January 14, 2020

Update removal information

Note We do not recommend that you remove any security update. To remove this update, use the Programs and Features item in Control Panel.

Update restart information

This update does not require a system restart after you apply it unless files that are being updated are locked or are being used.

File information

The English (United States) version of this software update installs files that have the attributes that are listed in the following tables.

Summary

To learn more about the vulnerabilities, go to the following Common Vulnerabilities and Exposures (CVE).

If you install a language pack after you install this update, you must reinstall this update. Therefore, we recommend that you install any language packs that you need before you install this update. For more information, see Add language packs to Windows.

Additional information about this update

The following articles contain additional information about this update as it relates to individual product versions.

How to obtain and install the update

Method 1: Windows Update

This update is available through Windows Update. When you turn on automatic updating, this update will be downloaded and installed automatically. For more information about how to get security updates automatically, see Windows Update: FAQ.

Method 2: Microsoft Update Catalog

To get the standalone package for this update, go to the Microsoft Update Catalog website.

Method 3: Windows Software Update Services (WSUS)

On your WSUS server, follow these steps:

Select Start, select Administrative Tools, and then select Microsoft Windows Server Update Services 3.0.

Expand ComputerName, and then select Action.

Select Import Updates.

WSUS opens a browser window in which you may be prompted to install an ActiveX control. You must install the ActiveX control to continue.

After the ActiveX control is installed, you see the Microsoft Update Catalog screen. Type 4535102 for Windows 7 SP1 and Windows Server 2008 R2 SP1 or type 4535105 for Windows Server 2008 SP2 into the Search box, and then select Search.

After you select all the packages that you require, select View Basket.

To import the packages to your WSUS server, select Import.

After the packages are imported, select Close to return to WSUS.

The updates are now available for installation through WSUS.

Update deployment information

For deployment details for this security update, go to the following article in the Microsoft Knowledge Base:

20200114 Security update deployment information: January 14, 2020

Update removal information

Note We do not recommend that you remove any security update. To remove this update, use the Programs and Features item in Control Panel.

Update restart information

This update does not require a system restart after you apply it unless files that are being updated are locked or are being used.

Update replacement information

File information

The English (United States) version of this software update installs files that have the attributes that are listed in the following tables.

SHA-2 Support for Windows Server Update Services 3.0 SP2

Summary

To align with industry standards, Microsoft is moving away from using SHA-1 signatures for future updates and moving to SHA-2 signatures (see KB4472027 for more details). Without applying this SHA-2 update, beginning July 2019, WSUS 3.0 SP2 (also called WSUS 3.2) will not be able to perform the necessary WSUS update tasks. Starting with WSUS 4.0 on Windows Server 2012, WSUS already supports SHA-2-signed updates, and no customer action is needed for these versions. This update is necessary for those customers still using WSUS 3.0 SP2. We recommend upgrading to the latest version of WSUS, version 10.0.

Note: Adding SHA-2 support will not add support for Windows 10 feature updates on WSUS 3.0 SP2.

Prerequisites

Windows Monthly Rollup released March 12, 2019 or later, such as

KB4489880 or higher rollup for Windows Server 2008 SP2 installed.

KB4489878 or higher rollup for Windows Server 2008 R2 SP1 installed.

.NET Framework 3.5

Note: We recomend you backup your WSUS database before installation

Synchronizing WSUS hierarchy after successful patch installation

We recommend that you synchronize all WSUS servers in your environment after applying this update. If you have a hierarchy of WSUS servers, apply this update and synchronize your servers from the top of the hierarchy.

To synchronize your servers in this manner, follow the steps below

Apply update to the WSUS server that synchronizes with Microsoft Update.

Start the synchronization.

Wait for the synchronization to succeed.

Repeat these steps for each WSUS server that synchronizes to the server that you just updated.

Known issues

This update does not support uninstallation via MSI. Microsoft recommends that validations be performed in a non-production environment.

Remote Microsoft SQL Server administrators must download and install the update by using an account that has SQL Server Administrator permissions. WSUS3.0 SP2 installations using a remote SQL Server will always require manual installation of this update.

You may encounter an error message when testing the local publishing feature. In the WSUS log, search and locate the following error message, “PublishPackage(): Operation Failed with Error: Failed to sign package; error was: 2147942527”.

If you find this error in your log, then you have not installed the applicable Windows operating system prerequisite (KB4489880 or KB4489878). Please install the prerequisite update applicable to your version of Windows and try testing again.

After installing this update, content downloads may fail if WSUS is configured to download express installation files. You may receive the following update in the SoftwareDistribution.log, “ Info WsusService.23 CabUtilities.CheckCertificateSignature File cert verification failed for * \WsusContent\*\*.psf with 2148098064.”

To resolve this issue, install the latest version of this update (KB4484071) released September 9, 2019. To verify that you have the latest version installed, go to %windir%\system32\psfsip.dll and verify that it is version 7.6.7600.324.

Now psf files should get downloaded locally when download express installation files is configured on the WSUS server.

How to obtain the update

Method 1: Windows Update

This update will be downloaded and installed automatically.

Note: This update is also available through Windows Server Update Services (WSUS).

Method 2: Microsoft Update Catalog

To get the stand-alone package for this update, go to the Microsoft Update Catalog website.

References

Learn about the terminology that Microsoft uses to describe software updates.

Проблемы с запуском Valorant и 100% решение

В официальном русскоязычном твиттере Valorant опубликовали список известных ошибок, которые могут приводить к вылету игры. Представители Riot Games дали несколько советов, как устранить эти неполадки.

Возможные ошибки и советы по их исправлению:

По всем другим проблемам и ошибкам можно обращаться в службу поддержки Riot Games по ссылке — https://www.cybersport.ru/valorant/news/ot-draiverov-do-antivirusa-problemy-s-zapuskom-valorant-i-puti-ikh-resheniya

Внимание! Все советы, указанные в данной статье, мы рекомендуем применять только на лицензионных копиях OS Microsoft Windows. На нелицензионных копиях некоторые из команд могут привести к нестабильной работе системы.

Решение проблем от разработчиков

KB4474419 — https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update
KB4490628 — https://support.microsoft.com/ru-ru/help/4490628/servicing-stack-update-for-windows-7-sp1-and-windows-server-2008-r2

Также если у вас Windows 7 или 8, то при возможности мы рекомендуем перейти на Windows 10 — это с максимальной вероятностью решит проблему.

Если возможности нет, попробуйте вот что:

Проблемы с установкой VALORANT

В этом случае мы рекомендуем попробовать установить её на другой жесткий диск (если у вас их несколько). Установщик нужно обязательно запускать от имени администратора.

Если способы, перечисленные нами выше, не помогут, переходите к следующему способу:

bcdedit.exe /set testsigning off
bcdedit.exe /set nointegritychecks off

Если проблема не будет устранена, то рекомендуем выполнить установку игры в безопасном режиме Windows:

Если после всех этих действий проблема всё ещё остается актуальной, то сделаем следующее:

Попробуем проверить, какая программа может мешать античиту VALORANT запускаться. По результатам проверки у нас будет представление о том, в чём может быть дело.
Для запуска этой команды вы должны сделать следующее:

Когда тест завершится, он предоставит вам список драйверов, которые необходимо обновить или удалить, чтобы VALORANT смог запуститься.

По нашим данным, игроки чаще всего могли вернуться в игру, обновив или отключив следующие программные пакеты:

Программа также сохраняет файл с собранными данными в папку C:\Users\Public\Documents или Этот компьютер > Локальный диск (С:) > Пользователи > Общие > Общие документы

В случае если после выполнения всех инструкция проблема всё же сохранится, то создайте новый запрос в поддержку. Прикрепите данный файл к запросу, и мы продолжим изучение проблемы.

Также нам понадобится общая информация о вашей системе:

Отправьте указанную информацию в запрос, и мы постараемся вам помочь.

Процесс уже запущен/не удалось запустить VALORANT

Если это не поможет, то снова открываем Проводник, ищем в проводнике вкладку «Вид», в ней находим параметр «Скрытые элементы». Ставим галочку напротив этого пункта, если она еще не стоит. Далее переходим в следующую директорию: C:\Users\название вашей учетки на ПК\AppData\Local\ и находим папку Riot Client и архивируем её.

Коды ошибок

Ошибка 43 в Valorant: «Истекло время ожидания системы»

Это проблема со стороны разработчиков, которая уже решена. Если вы продолжаете получать сообщение об этой ошибке, то попробуйте перезапустить лаунчер игры или даже полностью компьютер. В крайнем случае — переустановите игру.

Ошибка 4 в Valorant: «Вы используете недопустимое имя»

Ваш ник по какой-то причине забраковала система. Придется сменить его здесь.

Ошибка 5 в Valorant: «Ваша учетная запись используется на другом устройстве»

Смените пароль и дезактивируйте все сеансы на других устройствах, кроме текущего. Это можно сделать через настройки лаунчера.

Ошибка 7 в Valorant: «Не удалось подключиться к сервису»

Вашу учетную запись заблокировали. Ищите в почтовом ящике, привязанном к аккаунту Riot Games, дополнительную информацию.

Ошибка 8—21 в Valorant: «Возникла проблема с клиентом Riot»

Нужно перезагрузить лаунчер Riot Games.

Ошибка 29

Время от времени при попытке запустить Valorant возникает «Код ошибки 29», а связана она, как правило, с тем, когда игра не может нормально взаимодействовать с брандмауэром Windows. Хотя нередко подобное может возникнуть в процессе кропотливой работы антивируса, который был призван защищать систему. В любом случае рабочее решение есть, но для начала нужно сделать кое-что крайне важное, а именно узнать, распознаёт ли брандмауэр саму игру и не препятствует ли её работе. И для этого, если не знаете, как это всё сделать, необходимо:

Ошибка 31 в Valorant: «Не удалось получить информацию об имени игрока»

Аналогично предыдущей ошибке.

Ошибка 33 в Valorant: «Работа клиента Riot была завершена»

Здесь тоже поможет лишь перезапуск клиента игры.

Ошибка 40 и 38

Эти ошибки объединяют два факта: первый – о них абсолютно ничего не сказано в официальном списке ошибок технической поддержки, второй – они всегда возникают только в том случае, если возникли проблемы на стороне сервера. Поэтому если вдруг у вас не получилось войти в игру, потому что появляется «Код 40» или «Код 38», тогда просто дождитесь, когда саппорт разберётся со своими проблемами.

Ошибка 43 в Valorant: «Истекло время ожидания системы»

Аналогично предыдущим трем ошибкам.

Ошибка 44 в Valorant: «Программа Vanguard не была запущена»

Требуется переустановка системы защиты от нечестных игроков Riot Vanguard. Удалите ее через утилиту «Установка и удаление программ», а затем запустите игру снова.

Ошибка 45 в Valorant: «Необходим перезапуск Vanguard»

Аналогично предыдущей ошибке.

Ошибка 46 в Valorant: «Ведется техническое обслуживание платформы»

Нужно просто подождать окончания сервисных работ на серверах.

Ошибка 49 в Valorant: «Внутриигровой чат не работает»

Поможет лишь перезапуск клиента Riot Games.

Ошибка 50 в Valorant: «Голосовой чат не работает»

Аналогично предыдущей ошибке.

Ошибка 51 в Valorant: «Не удается создать группу»

Аналогично предыдущим двум ошибкам.

Ошибка 52 в Valorant: «Не удалось получить информацию об уровне мастерства игроков»

Выйдите из матча и найдите новый. Либо перезапустите лаунчер игры.

Ошибка 53 в Valorant: «Возникла проблема с чатом клиента Riot»

Решение аналогично ошибке 49.

Ошибка 54 в Valorant: «Сбой в работе контент-сервиса»

Проверьте соединение с интернетом и перезагрузите компьютер.

Ошибка 57

«Код ошибки 57» появляется далеко не у каждого пользователя, хотя за последние несколько месяцев количество жалоб на неё довольно много. Ошибка всегда появляется в процессе загрузки Valorant и во всплывающем сообщении сказано, что это не ошибка 57, а некая ошибка «PlayerAffinityInitFailure». В любом случае техническая поддержка рекомендует перезагрузить клиент «Riot Games» и проверить статус серверов (возможно, ведутся технические работы), но помогает это далеко не каждому.

И всё же сделать то, что рекомендуют разработчики, необходимо, поскольку в процессе перезапуска клиента будет перезапущен и защитник «Vanguard», благодаря чему иногда устраняются некоторые сбои. В любом случае если это не помогло, тогда придётся воспользоваться более сложным способом устранения проблемы – нужно переустановить «Vanguard» (если ошибка появится снова, тогда нужно перезагрузить клиент с игрой ещё раз, используя для их закрытия «Диспетчер задач»).

И если вдруг вы не знаете, как переустановить «Vanguard», тогда рекомендуем воспользоваться инструкцией ниже, чтобы сделать всё правильно и не получить новые ошибки, связанные с клиентом:

Ошибка 59

Это абсолютно новая ошибка, которая появилась буквально сразу после релиза Valorant, поэтому она даже не числится в официальном списке ошибок разработчиков. И пока разработчики будут разрабатывать план по решению проблемы, мы предлагаем воспользоваться нашими несколькими советами, если вдруг не терпится поиграть, а ошибка препятствует этому:

Напоследок всегда следует учитывать то, что могут не работать сервера, особенно сейчас, когда идёт повышенная нагрузка на них, поэтому обязательно проверяйте официальный Twitter-аккаунт разработчиков и страничку технической поддержки, где они оперативно обо всём сообщают.

Valorant не устанавливается или не запускается

В первую очередь стоит отметить, что мы рекомендуем все нижеописанные советы и инструкции применять только на лицензионной копии операционной системы Microsoft Windows, поскольку на нелицензионных копиях всё перечисленное возможно приведёт к нестабильно работающей системе и другим шокирующим проблемам.

Общие советы и рекомендации

Если возникают проблемы в процессе установки Valorant:

Если возникают проблемы в процессе запуска Valorant:

Ошибка «Valorant не удалось запустить в текущем режиме совместимости»

Это новая проблема, на которую в Riot Games пока что не дали никакого ответа, а техническая поддержка молчит. Сама же ошибка появляется при попытке запустить Valorant, и если это сделать не получается, тогда появляется сообщение, где сказано, что «Valorant не удалось запустить в текущем режиме совместимости». И поскольку разработчики пока что не спешат разбираться с ошибкой и не дают никаких объяснений, предлагаем воспользоваться нашими советами:

Перезапустите игру

Причём это важно сделать не через ярлык на рабочем столе, а через родной exe-файл, то есть через исполнительный файл (он же VALORANT.exe). Найти его можно внутри папки с игрой. Это необходимо сделать, поскольку некоторые пользователи говорят, что именно ярлык является причиной появления ошибки.

Необходимо снять права администратора

Только учтите, что действовать нужно не как обычно. Если конкретней, то речь идёт о том, что нужно на этот раз перезагрузить игру вместе с клиентом без прав администратора, а не с ними, хотя обратное предлагают сделать ради того, чтобы повысить производительность в игре. В любом случае для реализации задуманного нужно сделать следующее:

Смените режим совместимости

Valorant вылетает в случайный момент или при запуске

Ниже приведено несколько простых способов решения проблемы, но нужно понимать, что вылеты могут быть связаны как с ошибками игры, так и с ошибками, связанными с чем-то определённым на компьютере. Поэтому некоторые случаи вылетов индивидуальны, а значит, если ни одно решение проблемы не помогло, следует написать об этом в комментариях и, возможно, мы поможем разобраться с проблемой.

Первым делом попробуйте наиболее простой вариант – перезапустите Valorant, но уже с правами администратора.

Support microsoft com help 4474419 sha 2 code signing support update

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Asked by:

Question

I’m using windows 7 Service pack 1

I want to install Rogers techXpert on my machine but it insists that SHA-2 be installed.

It is not on my machine.

How do I get it.

All replies

Google Is Your Friend.

Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread. ”

Make sure that your os is up to date. Go to Control Panel > System and Security > Windows Update > Check for update

If you are running Windows 7 you’ll need to install the Microsoft Security Advisory 3033929 to make your system support SHA-2 Code Signing.

Check the browser for update that adds the support for SHA-2.

To access and view your browser’s certificate component within Internet Explorer, open the browser, if it is closed, click “Tools” and “Internet Options,” then click the “Content” tab. Click “Certificates” under the Certificates heading. The Certificates dialog box will open.

Support microsoft com help 4474419 sha 2 code signing support update

Вопрос

Windows 7 x64 Pro German UEFI machine with LSI RAID Controller was only booting into repair mode after Installation of some Windows updates.

The relevant Updates were

KB4474419 (SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: September 10, 2019)

and KB4516065 (September 10, 2019—KB4516065 (Monthly Rollup))

and some Office updates theat surely have nothing to do with the issue.

Start Repair could not fix the issue:
missingosloader

bcdedit: lists correct entries, winloader.efi file exists in c:\windows\system32

Analysis and collecting available information points to a SHA2 signature issue of the bootloader.

I must say: this is a very nice update

Prerequisites
There are no prerequisites for installing this update.

Примечание.

8 июня 2021 г. было выпущено это обновление, чтобы заменить предыдущее обновление для устранения ошибки «сервер отзыва был не в сети», которая может возникать во время установки. Если вы уже установили предыдущий выпуск этого обновления, никаких действий не требуется. Следуйте инструкциям в статье Как получить и установить обновление, чтобы получить обновленную версию.

13 апреля 2021 г. это обновление было выпущено вместо предыдущего выпуска этого обновления.

ВНИМАНИЕ! Убедитесь, что вы установили необходимые обновления, перечисленные в разделе Как получить это обновление перед установкой этого обновления.

ВажноНекоторые клиенты, которые используют Windows Server 2008 R2 с SP1 и активировали надстройку ключа многократной активации ESU (MAK) перед установкой обновлений от 14 января 2020 г., может потребоваться повторно активировать ключ. Повторная активация на затронутых устройствах требуется только один раз. Сведения об активации см. в этой записи блога.

ВНИМАНИЕ! WSUS scan cab files will continue to be available for Windows 7 SP1 and Windows Server 2008 R2 SP1. Если у вас есть подмножество устройств, работающих с этими операционными системами без ESU, они могут быть несовместимы в средствах управления исправлениями и соответствия требованиям.

ВНИМАНИЕ! Клиенты, которые приобрели расширенное обновление системы безопасности (ESU) для локальной версии этих операционных систем, должны следовать процедурам, указанным в KB4522133, чтобы продолжать получать обновления для системы безопасности после окончания расширенной поддержки 14 января 2020 г. Дополнительные сведения о ESU и поддерживаемых выпусках см. в KB4497181.

ВНИМАНИЕ! Начиная с 15 января 2020 г., появится полноэкранное уведомление с описанием риска дальнейшего использования пакета обновления Windows 7 после окончания поддержки 14 января 2020 г. Уведомление останется на экране до тех пор, пока вы не начнете работать с ним. Это уведомление будет отображаться только в следующих выпусках Windows 7 с пакетом обновления 1:

ПримечаниеУведомление не будет отображаться на компьютерах, которые присоединились к домену, или компьютерах в режиме киоска.

Professional. Если вы приобрели расширенное обновление системы безопасности (ESU), уведомление не появится. Дополнительные сведения см. в дополнительных сведениях о том, как получить расширенные обновления для Windows и жизненного цикла FAQ-Extended безопасности.

Аннотация

Известные проблемы в этом обновлении

Это обновление не устанавливается и возвращает следующие сообщения об ошибках:

Необходимый сертификат не находится в течение срока действия при проверке на текущих системных часах или в подписывом файле.

Не удалось проверить отзыв, так как сервер отзыва был не в сети.

Эта проблема исправлена в последнем выпуске этого обновления. Следуйте инструкциям в статье Как получить и установить обновление, чтобы получить обновленную версию.

Если вы уже установили предыдущий выпуск этого обновления, никаких действий не требуется.

Дополнительные сведения об этом обновлении

В следующих статьях содержатся дополнительные сведения об этом обновлении в связи с отдельными версиями продуктов.

Получение и установка обновления

Перед установкой этого обновления

Перед установкой последней версии обновления необходимо установить указанные ниже обновления и перезапустить устройство. Установка этих обновлений повышает надежность процесса обновления и устраняет потенциальные проблемы при установке обновлений и применении исправлений для системы безопасности Майкрософт.

Обновление системы обслуживания от 12 марта 2019 г.(SSU) (KB4490628). Чтобы получить автономный пакет для этого SSU, найщите его в каталоге обновлений Майкрософт. Это обновление необходимо для установки обновлений, которые подписаны только на SHA-2.

Последнее обновление SHA-2(KB4474419),выпущенное 10 сентября 2019 г. Если вы используете Windows Обновления, вам автоматически будет предложено последнее обновление SHA-2. Это обновление необходимо для установки обновлений, которые подписаны только на SHA-2. Дополнительные сведения об обновлениях SHA-2 см. в требованиях к поддержке подписи кода SHA-2 версии 2019для Windows и WSUS.

Пакет подготовки к расширенным обновлениям системы безопасности (ESU)(KB4538483),выпущенный 11 февраля 2020 г. Вам будет предложен пакет подготовки лицензирования ESU из WSUS. Чтобы получить автономный пакет подготовки лицензии ESU, найщите его в каталоге обновлений Майкрософт.

Установите это обновление

Каталог Центра обновления Майкрософт

Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.

Windows Server Update Services (WSUS)

Это обновление будет автоматически синхронизироваться с WSUS, если вы настроите продукты и классификации следующим образом:

Классификация:обновления для системы безопасности

Обновление сведений о развертывании

Сведения о развертывании этого обновления для системы безопасности можно найти в следующей статье базы знаний Майкрософт:

20210209 Сведения о развертывании обновлений для системы безопасности: 9 февраля 2021 г.

Обновление сведений об удалении

Примечание. Не рекомендуется удалять обновления для системы безопасности. Чтобы удалить это обновление, используйте элемент Программы и функции на панели управления.

Обновление сведений о перезапуске

Это обновление не требует перезапуска системы после его применения, если только обновленные файлы не заблокированы или не используются.

Download Windows 7 KB4474419, KB4490628, and KB4484071

If you want to continue receiving security patches on your Windows 7 machines, you need to install KB4474419, KB4490628, and KB4484071 before you hit the Update button.

All of these updates support SHA-2 and they have been around since the March 2019 Patch Tuesday updates.

In this guide, we’ll give you a quick overview of these updates and show you how to properly install them.

What are KB4474419 prerequisites?

This update doesn’t have any prerequisites, and it can be installed independently of other updates.

As a result, you can install this update right away by following the instructions from this guide.

What should I know about KB4474419, KB4490628, and KB4484071?

The roll out is targeting the users of Windows Server 2008 R2 Service Pack 1 and Windows 7 Service Pack 1 and encourages them to install the three updates.

What does each of these updates do?

KB4474419

Those users who currently have Windows 7 SP1 and Windows Server 2008 R2 SP1 will receive SHA-2 code sign support by installing Windows security update KB4474419. This pack is also useful for users who encounter OpenVPN TAP driver error.

KB4490628

Secondly, you can resolve the hash algorithm issue by installing the KB4490628 servicing stack update. You will get SHA-2 signed Windows Updates on your system.

KB4484071

Finally, addresses the issues that are faced by the users with Windows Server Update Services 3.0 Service Pack 2 (WSUS).

Microsoft has made it clear that WSUS update tasks cant be performed by the WSUS 3.0 SP2 generally known as WSUS 3.2 without installing the SHA-2 update.

The updates are scheduled to be released in July 2019. If you are still using WSUS 3.0 SP2, this update is critical for you.

Microsoft recommends its users update to the latest version 10.0 of WSUS.

How to download these updates?

The easiest way to download KB4474419 is with Windows Update, so we encourage you to try it.

How do I manually install KB4474419?

As you can see, this is an easy way to download and install KB4474419 without having to use Windows Update.

Read more about this topic

How to uninstall KB4474419?

If you have any issues with KB4474419, then you can remove it easily by following the instructions above.

All of the Windows Server 2008 and Windows 7 machines have received all of these updates via Windows Update as a part of Patch Tuesday.

Don’t forget that Microsoft has retired Windows 7 back in January 2020, and those that still wanted to continue receiving updates needed to purchase an EOS package.

For more information on how to get this, check out our detailed article on how to get Windows 7 Extended Support.

If you are one of those users who has yet not decided to upgrade to Windows 10, grab these updates as soon as possible to secure your OS.

Restoro has been downloaded by 0 readers this month.

KB5001639: March 9, 2021 update causes Windows 7 SP1 and Server 2008 R2 SP1 to not print graphical content

Summary

This update resolves the following issue:

Addresses an issue that fails to print the graphical content in a document after installing the March 9, 2021 update.

Known issues in this update

We are currently not aware of any issues that affect this update.

How to get this update

Microsoft Update Catalog

To get the stand-alone package for this update, go to the Microsoft Update Catalog website.

Before installing this update

To install Windows 7 SP1 or Windows Server 2008 R2 SP1 updates released on or after July 2019, you must have the following required updates installed.

Install the SHA-2 code signing support updates:

You must have the SHA-2 update (KB4474419) that is dated September 23, 2019 or a later SHA-2 update installed and then restart your device before you apply this update. For more information about SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

You must have installed the servicing stack update (SSU) (KB4490628) that is dated March 12, 2019. After update KB4490628 is installed, we recommend that you install the latest SSU update. For more information about the latest SSU update for Windows 7 SP1 or Windows Server 2008 R2 SP1, see ADV990001 | Latest Servicing Stack Updates.

Install the Extended Security Update (ESU):

You must have installed the «Extended Security Updates (ESU) Licensing Preparation Package» (KB4538483) or the «Update for the Extended Security Updates (ESU) Licensing Preparation Package» (KB4575903). The ESU licensing preparation package will be offered to you from WSUS. To get the standalone package for ESU licensing preparation package, search for it in the Microsoft Update Catalog.

You must have purchased the Extended Security Update (ESU) for on-premises versions of these operating systems and follow the procedures in KB4522133 to continue receiving security updates after extended support ends. Extended support for Windows 7 SP1 and Windows Server 2008 R2 SP1 ended on January 14, 2020.

Important You must restart your device after you install these required updates.

File information

For a list of the files that are provided in this update, download the file information for update 5001639.

References

For information on SSUs, see the following articles:

For more information about ESU and which editions are supported, see KB4497181.

Learn about the terminology that Microsoft uses to describe software updates.

Support microsoft com help 4474419 sha 2 code signing support update

Вопрос

Windows 7 x64 Pro German UEFI machine with LSI RAID Controller was only booting into repair mode after Installation of some Windows updates.

The relevant Updates were

KB4474419 (SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: September 10, 2019)

and KB4516065 (September 10, 2019—KB4516065 (Monthly Rollup))

and some Office updates theat surely have nothing to do with the issue.

Start Repair could not fix the issue:
missingosloader

bcdedit: lists correct entries, winloader.efi file exists in c:\windows\system32

Analysis and collecting available information points to a SHA2 signature issue of the bootloader.

I must say: this is a very nice update

Prerequisites
There are no prerequisites for installing this update.

Как избавиться от ошибки обновления 80092004 на Windows?

Осенью 2019 года у многих пользователей во время обновления Windows стала возникать неизвестная ошибка с кодом 80092004.

Было замечено, что сбой выскакивает во время следующих апдейтов:

Причем проблема возникает независимо от того, устанавливаете ли вы обновления в автоматическом режиме, вручную или через ЦО.

Обсудим, в чем причина этой проблемы и как ее исправить.

В чем причина ошибки?

Если говорить коротко, то Центр Обновлений отклоняет загруженные для обновления пакеты. Это и приводит к ошибке 0x80092004. Как правило, причина заключается в том, что система не поддерживает нужные криптографические значения, либо они и вовсе отсутствуют.

И дело здесь не в самих пакетах обновлений, а в том, каким способом эти данные доставляются. В последнее время компания Майкрософт изменила способы доставки обновления. Раньше их подписывали двумя алгоритмами: SHA-1 и SHA-2. Сегодня же первая подпись на них отсутствует. Владельцы Windows 10 ничего и не заметили. А вот Windows 7 не поддерживает работу лишь одной подписи, что и приводит к сбоям.

Разработчики системы видимо посчитали, что пользователи устаревших версий не занимаются загрузкой последних апдейтов.

Как исправить ошибку 80092004?

Осенние обновления виндовс очень важны, так как в них на системном уровне решены почти 80 уязвимостей. При этом 17 из них являются критическими!

Чаще всего проблема с возникновением ошибки наблюдалась у владельцев «Семерки» и Windows Server 2008 R2. Сбой происходил при загрузке обновления KB4516065.

Уязвимости устранены достаточно серьезные. К примеру:

Что же нужно сделать, чтобы добиться обновления системы?

Проблема подробно обсуждается на официальной странице по адресу https://support.microsoft.com/ru-ru/help/4516065/windows-7-update-kb4516065

Здесь советуется предварительно установить следующие пакеты апдейтов:

После установки этих пакетов, все остальные апдейты должны устанавливаться беспрепятственно.

Внимание! Если на ПК установлены антивирусные приложения Norton или Symantec, то они могут блокировать апдейты. Во время обновлений лучше эти антивирусы отключать.

Что делать, если ничего не помогло?

Иногда даже после загрузки и установки предварительных пакетов для апдейта, поставить KB4516065 все же не получается. Иногда ЦО вообще наотрез отказывается работать.

Что в таком случае можно предпринять?

Выводы

Неизвестная ошибка 80092004 возникает при обновлении в устаревших операционных системах, которые не поддерживают по умолчанию загрузку пакетов без SHA-1. Конечно, перечисленные в статье методы помогут решить проблему. Но лучше уже все-таки задуматься над тем, чтобы приобрести последнюю версию ОС.

Windows Update SHA-1 based endpoints discontinued for older Windows devices

Introduction

In compliance with the Microsoft Secure Hash Algorithm (SHA)-1 deprecation policy, Windows Update is discontinuing its SHA-1 based endpoints in late July 2020. This means that older Windows devices that have not updated to SHA-2 will no longer receive updates through Windows Update. Your older Windows devices can continue to use Windows Update by manually installing specific SHA-2 enabling updates.

All other Windows platforms will continue to receive updates through Windows Update as they always have because they connect to SHA-2 service endpoints.

Why is this change occurring?

An outdated Windows Update service endpoint used only for older platforms is being discontinued. This change is occurring because of weaknesses in the SHA-1 hashing algorithm and to align to industry standards.

Even though the SHA-1 endpoint is being discontinued, more recent Windows devices will continue receiving updates through Windows Update because those devices use the more secure SHA-2 algorithm. See the table in the «Which Windows devices are impacted» section to determine whether your devices are impacted.

Which Windows devices are impacted?

Most users will not be impacted by this change. Starting with Windows 8 Desktop and Windows Server 2012, connections to Windows Update service endpoints use a more modern algorithm (SHA-256). Older versions of Windows connect to Windows Update service endpoints by using the less secure SHA-1 algorithm.

For most of the impacted versions of Windows, a SHA-2 update will add the support necessary to continue receiving updates through Windows Update. The following table shows the impact on the various versions of Windows. Some platforms are no longer supported, therefore they will not be updated.

Device is out of support

Windows Updates will no longer be supported.

Managing deployment of Printer RPC binding changes for CVE-2021-1678 (KB4599464)

Summary

A security bypass vulnerability exists in the way the Printer Remote Procedure Call (RPC) binding handles authentication for the remote Winspool interface. The Windows update addresses this vulnerability by increasing the RPC authentication level and introducing a new policy and registry key to allow customers to disable or enable Enforcement mode on the server-side to increase the authentication level.

To protect your environment and prevent outages, you must do the following:

Update all client and server devices by installing the January 12, 2021 Windows update or a later Windows update. Be aware that installing the Windows update does not fully mitigate the security vulnerability and might impact your current print setup. You must perform Step 2.

Enable Enforcement mode on the print server. Enforcement mode will be enabled on all Windows devices at some future date.

Timing of updates

These Windows updates will be released in two phases:

The initial deployment phase for Windows updates released on or after January 12, 2021.

The enforcement phase for Windows updates released at some future date.

January 12, 2021: Initial Deployment Phase

The initial deployment phase starts with the Windows update released on January 12, 2021 by providing the ability for server customers to enable this increased security level on their own based on their environment’s readiness.

Addresses CVE-2021-1678 (in Deployment mode set to Off by default).

Adds support for the RpcAuthnLevelPrivacyEnabled registry value to enable the increase of authorization level for printer IRemoteWinspool protection.

Mitigation consists of the installation of the Windows updates on all client and server-level devices.

September 14, 2021: Enforcement Phase

The release transitions into the enforcement phase on September 14, 2021. Enforcement phase enforces the changes to address CVE-2021-1678 by increasing the authorization level without having to set the registry value.

Installation guidance

Before installing this update

You must have the following required updates installed before you apply this update. If you use Windows Update, these required updates will be offered automatically as needed.

You must have the SHA-2 update (KB4474419) that is dated September 23, 2019 or a later SHA-2 update installed and then restart your device before you apply this update. For more information about SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

For Windows Server 2008 R2 SP1, you must have installed the servicing stack update (SSU) (KB4490628) that is dated March 12, 2019. After update KB4490628 is installed, we recommend that you install the latest SSU update. For more information about the latest SSU update, see ADV990001 | Latest Servicing Stack Updates.

For Windows Server 2008 SP2, you must have installed the servicing stack update (SSU) (KB4493730) that is dated April 9, 2019. After update KB4493730 is installed, we recommend that you install the latest SSU update. For more information about the latest SSU updates, see ADV990001 | Latest Servicing Stack Updates.

Customers are required to purchase the Extended Security Update (ESU) for on-premises versions of Windows Server 2008 SP2 or Windows Server 2008 R2 SP1 after extended support ended on January 14, 2020. Customers who have purchased the ESU must follow the procedures in KB4522133 to continue receiving security updates. For more information on ESU and which editions are supported, see KB4497181.

Important You must restart your device after you install these required updates.

Install the update

To resolve the security vulnerability, install the Windows updates and enable Enforcement mode by following these steps:

Deploy the January 12, 2021 update to all client and server devices.

After all client and server devices have been updated, full protection can be enabled by setting the registry value to 1.

Step 1: Install the Windows update

Install the January 12, 2021 Windows update or a later Windows update to all client and server devices.

Support microsoft com help 4474419 sha 2 code signing support update

Важные изменения работы игр на Windows 7

В мае 2021 года запуск игры станет невозможен без поддержки цифровой подписи на основе хеш-алгоритма SHA-2. Если у вашей операционной системы не установлены все обновления в «Центре обновления Windows», то можно подключить поддержку SHA-2 вручную или обновить свою Windows 7 до Windows 8 или более поздней версии. Чтобы активировать поддержку SHA-2 следуйте инструкции.

Ваша версия Windows 7 без установленного Service Pack 1:

Примечание: Если у вас не открывается ссылка, то попробуйте кликнуть по ней правой кнопкой мыши и выбрать вариант «Открыть в новой вкладке».

2. Нажмите на кнопку «Запустить», чтобы начать скачивание этого файла. Если у вас браузер отличный от Internet Explorer, то перейдите сразу к следующему пункту.

3. После того как вы скачаете Service Pack 1, появится следующее диалоговое окно, где необходимо нажать кнопку «Запустить».

4. Ознакомьтесь с подробностями перед установкой Service Pack 1 и нажмите «Далее». Обратите внимание, что компьютер может несколько раз перезагрузиться во время установки.

5. Сохраните все проекты и закройте программы, чтобы ничего не потерять, и установка прошла быстрее. Также рекомендуем нажать галочку «Автоматически перезагрузить компьютер». Установка Service Pack 1 начнется только после того, как вы нажмете на кнопку «Установить».

6. Когда установка будет завершена и ваш компьютер автоматически перезагрузится, Service Pack 1 будет полностью установлен. В некоторых случаях поддержка хеш-алгоритма цифровой подписи SHA-1 может автоматически не обновиться до SHA-2 — тогда при следующем запуске игры у вас появится инструкция, как его обновить вручную.

Ваша версия Windows 7 с установленным Service Pack 1:

1. Перейдите по ссылке, чтобы скачать обновление хеш-алгоритма цифровой подписи с SHA-1 до SHA-2.

Примечание: Если у вас не открывается ссылка, то попробуйте кликнуть по ней правой кнопкой мыши и выбрать вариант «Открыть в новой вкладке».

2. Чтобы начать скачивание этого файла, нажмите на кнопку «Открыть». Если у вас браузер отличный от Internet Explorer, то перейдите сразу к следующему пункту.

3. После того как вы запустите установщик, выдайте доступ на открытие web-контента кнопкой «Разрешить».

4. Следующим шагом будет установка обновления. Выберите вариант «Да» и ожидайте полной установки.

5. После завершения обновления и перезагрузки компьютера хеш-алгоритм SHA-2 станет активным — теперь вы можете продолжить играть.

Support microsoft com help 4474419 sha 2 code signing support update

Вопрос

Windows 7 x64 Pro German UEFI machine with LSI RAID Controller was only booting into repair mode after Installation of some Windows updates.

The relevant Updates were

KB4474419 (SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: September 10, 2019)

and KB4516065 (September 10, 2019—KB4516065 (Monthly Rollup))

and some Office updates theat surely have nothing to do with the issue.

Start Repair could not fix the issue:
missingosloader

bcdedit: lists correct entries, winloader.efi file exists in c:\windows\system32

Analysis and collecting available information points to a SHA2 signature issue of the bootloader.

I must say: this is a very nice update

Prerequisites
There are no prerequisites for installing this update.

Support microsoft com help 4474419 sha 2 code signing support update

Вопрос

Windows 7 x64 Pro German UEFI machine with LSI RAID Controller was only booting into repair mode after Installation of some Windows updates.

The relevant Updates were

KB4474419 (SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: September 10, 2019)

and KB4516065 (September 10, 2019—KB4516065 (Monthly Rollup))

and some Office updates theat surely have nothing to do with the issue.

Start Repair could not fix the issue:
missingosloader

bcdedit: lists correct entries, winloader.efi file exists in c:\windows\system32

Analysis and collecting available information points to a SHA2 signature issue of the bootloader.

I must say: this is a very nice update

Prerequisites
There are no prerequisites for installing this update.

Support microsoft com help 4474419 sha 2 code signing support update

Вопрос

Windows 7 x64 Pro German UEFI machine with LSI RAID Controller was only booting into repair mode after Installation of some Windows updates.

The relevant Updates were

KB4474419 (SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: September 10, 2019)

and KB4516065 (September 10, 2019—KB4516065 (Monthly Rollup))

and some Office updates theat surely have nothing to do with the issue.

Start Repair could not fix the issue:
missingosloader

bcdedit: lists correct entries, winloader.efi file exists in c:\windows\system32

Analysis and collecting available information points to a SHA2 signature issue of the bootloader.

I must say: this is a very nice update

Prerequisites
There are no prerequisites for installing this update.

Ошибка обновления код 80092004 в Windows 7 — как исправить

Многие пользователи ПК на Windows были недавно озадачены. Предлагаемые к установке обновления Виндовс не хотели устанавливаться. Отказ шел с комментарием «80092004 ошибка обновления windows 7», причем попытки повторной инсталляции заканчивались с таким же результатом. Компьютеры на серверной ОС проваливают апгрейды совершенно аналогично.

Причина отказа установки обновлений

Несмотря на то что у некоторых пользователей ошибка установки обновлений вызвала недоумение, ее нельзя назвать неожиданной. Корпорация «Майкрософт» ранее делала анонс изменений, касающихся подписи пакетов для Windows 7 и Windows Server 2008 R2. Коррекция подразумевала собой замену пары используемых криптографических алгоритмов SHA-1 и SHA-2 одним — SHA-2. В предыдущих версиях апдейтов поддержка единственного алгоритма не была реализована, что и привело к появлению ошибки.

Отметим, что эта возможность была заявлена к реализации при выпуске специального пакета. То есть необходимый апгрейд должен быть установлен заранее у тех, кто включил автообновление системы. По факту компьютеры некоторых пользователей проигнорировали этот апгрейд, другие сами решили обождать, пока не появится больше информации об этом. И в итоге получили ошибку при установке всех последующих пакетов.

Компанией «Майкрософт» было сделано еще одно заявление, касающееся этой темы. Оказывается, антивирусы от Symantec и Norton будут, вероятно, конфликтовать с патчами Виндовс. Для исключения этой проблемы упоминаемые апдейты станут недоступны пользователям, у которых установлены антивирусы от Symantec и Norton.

Что делать, если вы столкнулись с ошибкой установки обновлений 0X80092004

На сайте компании «Майкрософт» можно найти нужные патчи. Их опубликовано 2. Там же вы найдете подсказки, как исправить ошибку, о которой вас уведомляет Центр обновления Виндовс. Поддержка криптографического алгоритма SHA-2 реализуется через инсталляцию следующих апгрейдов:

Если один или оба пакета отсутствуют, то никакие последующие пакеты не будут устанавливаться. Если вы не уверены, установлены ли у вас данные апдейты, можете поискать их в Журнале обновлений, в Панели управления, вкладке «Система и безопасность».

На сайте поддержки «Майкрософта» также отмечается, что ставить KB4474419 не обязательно. Второй пакет KB4490628 очень рекомендуется, без него вы неизменно будете получать ошибку при установке новых заплат.

Патч KB4516065: каковы причины выпуска?

Были отмечены уязвимости, позволяющие манипулировать уровнем привилегий в Виндовс. В драйверах была найдена скрытая возможность получения прав администратора машины со всеми вытекающими последствиями. Таких «дыр» было найдено две.

Компания «Майкрософт» рекомендует до инсталляции этого критического патча выполнить установку следующих апдейтов: KB4474419 (поправки для службы безопасности) и KB4516655 (изменения служебного стека). Желательно загрузить и пакет KB3133977 для Windows 7.

Тем не менее по некоторым причинам этих манипуляций может быть недостаточно. Рассмотрим далее план действий отдельно.

Как устранить проблему при установке пакета обновления KB4516065

Причина ошибки в несоответствии криптографического алгоритма, который используется при подписи патчей. Подход к решению задачи похож на описанный выше в этом материале. Microsoft рекомендует установить апдейт служебного стека (KB4516655) и пакет с изменениями для системы безопасности ОС (KB4474419).

Апдейты обычно загружаются и устанавливаются автоматически (при наличии соответствующего разрешения в системе). В случае если они не загружены автоматически, можно использовать автономный установщик и установить принудительно. Но если вы попытаетесь изменять систему без установленных апгрейдов, касающихся криптографического алгоритма, то и автономный установщик вам откажет.

Операционная система Виндовс в течение 2019 года закрыла множество собственных уязвимостей, и это не могло не сказаться на ней в виде серьезных качественных изменений.

Дополнительные действия по устранению ошибок установки обновлений

Узнаем, что еще можно сделать, если описанное выше не помогло:

Заключение

Если при обновлении системных файлов Виндовс вы сталкиваетесь с проблемами, рекомендуется обращаться на сайты поддержки «Майкрософт». Иные ресурсы в интернете также могут быть полезны, однако все пути ведут на сайт Microsoft.

Не игнорируйте важные апгрейды — так вы подвергаете свой компьютер рискам. Злоумышленники всегда появляются неожиданно, вы можете потерять информацию, деньги, даже сама машина может быть безнадежно выведена из строя.

February 9, 2021—KB4601366 (Security-only update)

IMPORTANT Verify that you have installed the required updates listed in the How to get this update section before installing this update.

Customers who have purchased the Extended Security Update (ESU) for on-premises versions of this OS must follow the procedures in KB4522133 to continue receiving security updates after extended support ends on January 14, 2020. For more information about ESU and which editions are supported, see KB4497181.

Because ESU is available as a separate SKU for each of the years in which they are offered (2020, 2021, and 2022)—and because ESU can only be purchased in specific 12-month periods—you must purchase the second year of ESU coverage separately and activate a new key on each applicable device for your devices to continue receiving security updates in 2021.

If your organization did not purchase the first year of ESU coverage, you must purchase both Year 1 and Year 2 ESU for your applicable Windows 7 or Windows Server devices before you install and activate the Year 2 MAK keys to receive updates. The steps to install, activate, and deploy ESUs are the same for first and second year coverage. For more information, see Obtaining Extended Security Updates for eligible Windows devices for the Volume Licensing process and Purchasing Windows 7 ESUs as a Cloud Solution Provider for the CSP process. For embedded devices, contact your original equipment manufacturer (OEM).

For more information, see the ESU Year 2 blog.

IMPORTANT WSUS scan cab files will continue to be available for Windows Server 2008 SP2. If you have a subset of devices running this operating system without ESU, they might show as non-compliant in your patch management and compliance toolsets.

Improvements and fixes

This security update includes quality improvements. Key changes include:

Adds historical daylight saving time (DST) updates and corrections for the Palestinian Authority.

Addresses an issue with German translations of Central European Time.

Security updates to Windows App Platform and Frameworks, Windows Core Networking, and Windows Hybrid Cloud Networking.

For more information about the resolved security vulnerabilities, please refer to the new Security Update Guide website.

Known issues in this update

After installing this update and restarting your device, you might receive the error, “Failure to configure Windows updates. Reverting Changes. Do not turn off your computer”, and the update might show as Failed in Update History.

This is expected in the following circumstances:

If you are installing this update on a device that is running an edition that is not supported for ESU. For a complete list of which editions are supported, see KB4497181.

If you do not have an ESU MAK add-on key installed and activated.

If you have purchased an ESU key and have encountered this issue, please verify you have applied all prerequisites and that your key is activated. For information on activation, please see this blog post. For information on the prerequisites, see the «How to get this update» section of this article.

Certain operations, such as rename, that you perform on files or folders that are on a Cluster Shared Volume (CSV) may fail with the error, “STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)”. This occurs when you perform the operation on a CSV owner node from a process that doesn’t have administrator privilege.

Do one of the following:

Perform the operation from a process that has administrator privilege.

Perform the operation from a node that doesn’t have CSV ownership.

Microsoft is working on a resolution and will provide an update in an upcoming release.

How to get this update

Before installing this update

IMPORTANT Customers who have purchased the Extended Security Update (ESU) for on-premises versions of this OS must follow the procedures in KB4522133 to continue receiving security updates after extended support ends on January 14, 2020.

For more information on ESU and which editions are supported, see KB4497181.

Prerequisite

You must install the updates listed below and restart your device before installing the latest Rollup. Installing these updates improves the reliability of the update process and mitigates potential issues while installing the Rollup and applying Microsoft security fixes.

The April 9, 2019 servicing stack update (SSU) (KB4493730). To get the standalone package for this SSU, search for it in the Microsoft Update Catalog. This update is required to install updates that are only SHA-2 signed.

The latest SHA-2 update (KB4474419) released October 8, 2019. If you are using Windows Update, the latest SHA-2 update will be offered to you automatically. This update is required to install updates that are only SHA-2 signed. For more information on SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

The Extended Security Updates (ESU) Licensing Preparation Package (KB4538484) or the Update for the Extended Security Updates (ESU) Licensing Preparation Package (KB4575904). The ESU licensing preparation package will be offered to you from WSUS. To get the standalone package for ESU licensing preparation package, search for it in the Microsoft Update Catalog.

After installing the items above, we strongly recommend that you install the latest SSU (KB4580971). If you are using Windows Update, the latest SSU will be offered to you automatically if you are an ESU customer. To get the standalone package for the latest SSU, search for it in the Microsoft Update Catalog. For general information about SSUs, see Servicing stack updates and Servicing Stack Updates (SSU): Frequently Asked Questions.

REMINDER If you are using Security-only updates, you will also need to install all previous Security-only updates and the latest cumulative update for Internet Explorer (KB4586768).

Windows 7 SP1 и Windows Server 2008 R2 SP1 получили поддержку SHA-2

С июля Windows 7 SP1 и Windows Server 2008 R2 SP1 без поддержки SHA-2 больше не смогут получать обновления.

На этой неделе компания Microsoft выпустила обновления, добавляющие в Windows 7 SP1 и Windows Server 2008 R2 SP1 поддержку криптографического алгоритма SHA-2. Пользователи, не установившие их на свои системы, начиная с 16 июля 2019 года, больше не смогут получать обновления.

В настоящее время все обновления для Windows подписываются сразу двумя цифровыми сертификатами – SHA-1 и SHA-2. Тем не менее, поскольку содержащиеся в SHA-1 уязвимости делают алгоритм менее безопасным, с 16 июля Microsoft будет выпускать обновления, подписанные только SHA-2. Так как ни в Windows 7 SP1, ни в Windows Server 2008 R2 SP1 поддержка SHA-2 не реализована, Microsoft еще раньше пообещала ее добавить.

Производитель сдержал слово и в рамках мартовского «вторника исправлений» выпустил бюллетени KB4490628 и KB4474419, добавляющие в Windows 7 SP1 и Windows Server 2008 R2 SP1 поддержку SHA-2. Обновления будут установлены автоматически, и пользователям настоятельно рекомендуется их не отключать, поскольку это приведет к тому, что ОС больше не сможет получать апдейты.

Microsoft также выпустила бюллетень KB4484071 для службы WSUS 3.0 SP2, поддерживающей доставку обновлений, подписанных SHA-2. Пользователи, не пожелавшие установить обновления, получат их снова 9 апреля 2019 года.

Update to verify that eligible Windows 7 SP1 and Server 2008 R2 SP1 devices can get Extended Security Updates

Note This update is no longer available. Customers who have purchased the Extended Security Update (ESU) for on-premises versions of this OS must follow the procedures in KB4522133 to continue receiving security updates after extended support ends on January 14, 2020. For more information on ESU and which editions are supported, see KB4497181. To verify ESU eligibility, please use any Monthly Rollup or Security Only update released February 11, 2020 or later, such as KB4537820 or KB4537813.

Summary

This optional nonsecurity update will help you verify that your eligible Windows 7 Service Pack 1 (SP1) and Server 2008 R2 SP1 devices can continue to get Extended Security Updates (ESUs) after the end of support date of January 14, 2020.

This update has no actual security content. This update is a test package we recommend that you deploy in your test environment. Install this update on your on-premise devices that are eligible for ESU.

This update can be installed on x64-based architecture for Windows Server 2008 R2 SP1and the Windows editions mentioned in Lifecycle FAQ-Extended Security Updates.

This update can be installed on x86 and x64-based architecture for Windows 7 SP1 and the Windows editions mentioned in Lifecycle FAQ-Extended Security Updates.

This update is not applicable for Windows 7 Virtual Desktop (WVD) and Windows 7 Embedded OS.

Installing this update has no impact on getting security updates between now and January 14, 2020.

For technical support, customers must purchase Extended Security Updates and have an active support plan in place to get technical support on a product that has moved beyond the Extended Support date. Please call 1-800-Microsoft (642-7676) to receive support.

How to get this update

Install this update

Windows Update or Microsoft Update

This update is no longer available. See note at the top of the article.

Microsoft Update Catalog

This update is no longer available. See note at the top of the article.

Windows Server Update Services (WSUS)

This update is no longer available. See note at the top of the article.

Install this update from one of the Release Channels such as Microsoft Update Catalog or Windows Server Update Services.

Verify the successful installation of this update by using your regular process such as Update History.

Prerequisites

You must have the following installed on your on-premise device before you apply this update:

Install the following SHA-2 code signing support update and servicing stack update (SSU) or a later SSU update:

4474419 SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: September 23, 2019

4490628 Servicing stack update for Windows 7 SP1 and Windows Server 2008 R2 SP1: March 12, 2019

Install the following servicing stack update (SSU) and monthly rollup:

4516655 Servicing stack update for Windows 7 SP1 and Server 2008 R2 SP1: September 10, 2019

4519976 October 8, 2019—KB4519976 (Monthly Rollup)

Install and activate the ESU key. For information about how to install and activate the ESU key, see the How to get Extended Security Updates for eligible Windows devices blog on the Microsoft Tech Community website.

Note After activation, you can then continue to use your current update and servicing strategy to deploy ESU through Windows Update, Windows Server Update Services (WSUS), or whichever update management solution that you prefer.

Restart information

You do not have to restart your device after you apply this update.

Update replacement information

This update does not replace any previously released update.

Troubleshooting

If the installation of this update is unsuccessful, follow these troubleshooting steps:

Make sure that you are installing this update on the ESU eligible edition and supported architecture.

Verify that the ESU key is installed and activated successfully by using your script or the slmgr /dlv that you typically use. Reference the blog article to check the ESU key status.

If you experience issues with any of these steps, call the customer support number 1-800-Microsoft (642-7676) to receive support.

References

Learn about the terminology that Microsoft uses to describe software updates.

Удалить обновление kb4474419

Автор Саша Ильясевич,
18 августа, 2019 в Компьютерная помощь

Рекомендуемые сообщения

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Похожий контент

Добрый день! Как можно установить пакет обновления допустим KB4474419 на компах, так как антивирус просит его и не устанавливает KES, Делал инсталляционный пакет с помощью скрипта так: обновления.
wusa.exe 192.168.111.1\klshare\windows10.0-kb4056887-x64.msu /quiet /norestart
В расшаренной папке KSC закинул сам пакет, но после установки и перезагрузки нет эффекта все равно просит KES, это означает что не установилось, скрипт брал отсюда: Установка CAB и MSU файлов обновлений Windows в ручном режиме
Подскажите как правильно накатить на машины?
Сам KSC находится в изолированной от интернета сети, к сведению.

Кроме любой сети, к которой подключен ноутбук, в списке «текущее подключение» появляется «неопознанная сеть». Даже когда к интернету есть доступ с известной мне сети, подключение самого компьютера к нему отсутствует. Я включила ноутбук после долгого перерыва, но до этого такого не было.

Notice

On February 2nd, 2022, guidance was added to this article regarding how to install security-only updates after some changes were made to the ESU program. See the Known Issues section of this article for details.

On June 8th, 2021, this update was released to replace a previous update to address a “revocation server was offline” error that may occur during installation. If you’ve already installed a previous release of this update, no action is required. Follow the instructions under How to obtain and install the update to get the updated version.

On April 13th, 2021, this update was released to replace a previous release of this update.

IMPORTANT Verify that you have installed the required updates listed in the How to get this update section before installing this update.

IMPORTANT Some customers who use Windows Server 2008 R2 SP1 and have activated their ESU multiple activation key (MAK) add-on before installing the January 14, 2020 updates might need to re-activate their key. Re-activation on the affected devices should only be required once. For information on activation, see this blog post.

IMPORTANT WSUS scan cab files will continue to be available for Windows 7 SP1 and Windows Server 2008 R2 SP1. If you have a subset of devices running these operating systems without ESU, they might show as non-compliant in your patch management and compliance toolsets.

IMPORTANT Customers who have purchased the Extended Security Update (ESU) for on-premises versions of these operating systems must follow the procedures in KB4522133 to continue receiving security updates after extended support ends on January 14, 2020. For more information on ESU and which editions are supported, see KB4497181.

IMPORTANT Starting on January 15, 2020, a full-screen notification will appear that describes the risk of continuing to use Windows 7 Service Pack 1 after it reaches end of support on January 14, 2020. The notification will remain on the screen until you interact with it. This notification will only appear on the following editions of Windows 7 Service Pack 1:

Note The notification will not appear on domain-joined machines or machines in kiosk mode.

Professional. If you have purchased the Extended Security Update (ESU), the notification will not appear. For more information, see How to get Extended Security Updates for eligible Windows devices and Lifecycle FAQ-Extended Security Updates.

Summary

To learn more about the vulnerabilities, go to the following Common Vulnerabilities and Exposures (CVE).

Known issues in this update

This update does not install, and it returns either or both of the following error messages:

A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.

The revocation function was unable to check revocation because the revocation server was offline.

This issue was corrected by the latest release of this update. Follow the instructions under How to obtain and install the update to get the updated version.

If you’ve already installed a previous release of this update, no action is required.

“Fatal error during installation” with error code: 0x80070643 (or 0x643).

Additional information about this update

The following articles contain additional information about this update as it relates to individual product versions.

How to obtain and install the update

Before installing this update

You must install the updates listed below and restart your device before installing the latest Rollup. Installing these updates improves the reliability of the update process and mitigates potential issues while installing the Rollup and applying Microsoft security fixes.

The March 12, 2019 servicing stack update (SSU) (KB4490628). To get the standalone package for this SSU, search for it in the Microsoft Update Catalog. This update is required to install updates that are only SHA-2 signed.

The latest SHA-2 update (KB4474419) released September 10, 2019. If you are using Windows Update, the latest SHA-2 update will be offered to you automatically. This update is required to install updates that are only SHA-2 signed. For more information on SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

The Extended Security Updates (ESU) Licensing Preparation Package (KB4538483) released February 11, 2020. The ESU licensing preparation package will be offered to you from WSUS. To get the standalone package for ESU licensing preparation package, search for it in the Microsoft Update Catalog.

Install this update

Microsoft Update Catalog

To get the standalone package for this update, go to the Microsoft Update Catalog website.

Windows Server Update Services (WSUS)

This update will automatically sync with WSUS if you configure Products and Classifications as follows:

Product: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1,Windows Embedded Standard 7 Service Pack 1, Windows Embedded POSReady 7

Classification: Security Updates

Restart requirement

Update deployment information

For deployment details for this security update, go to the following article in the Microsoft Knowledge Base:

20200811 Security update deployment information: August 11, 2020

Update removal information

Note We do not recommend that you remove any security update. To remove this update, use the Programs and Features item in Control Panel.

Update restart information

This update does not require a system restart after you apply it unless files that are being updated are locked or are being used.

File information

The English (United States) version of this software update installs files that have the attributes that are listed in the following tables.

KB4598347: Managing deployment of Kerberos S4U changes for CVE-2020-17049

Important: The release dates previously indicated in this article have changed. Please note the new release dates in the «Take Action» and «Timing of these Windows updates» sections.

Summary

A security feature bypass vulnerability exists in the way the Key Distribution Center (KDC) determines whether a Kerberos service ticket can be used for delegation through Kerberos Constrained Delegation (KCD). To exploit the vulnerability, a compromised service that is configured to use KCD could tamper with a Kerberos service ticket that is not valid for delegation to force the KDC to accept it. These Windows updates address this vulnerability by changing how the KDC validates Kerberos service tickets used with KCD.

To learn more about this vulnerability, see CVE-2020-17049.

To protect your environment and prevent outages, you must follow all of these steps:

Update all devices that host the Active Directory domain controller role by installing at least one of the Windows updates between December 8, 2020 and March 9, 2021. Be aware that installing the Windows update does not fully mitigate the security vulnerability. You must also perform Step 2 and 3.

Update all devices that host the Active Directory domain controller role by installing the April 13, 2021 Windows update.

Enable Enforcement mode on all Active Directory domain controllers.

Starting with the July 13, 2021 Enforcement Phase update, Enforcement mode will be enabled on all Windows domain controllers.

Timing of these Windows updates

These Windows updates will be released in three phases:

The initial deployment phase for Windows updates released on or after December 8, 2020.

A second deployment phase that removes PerformTicketSignature setting 0 and requires either setting 1 or 2, on or after April 13, 2021.

The Enforcement phase for Windows updates released on or after July 13, 2021.

December 8, 2020: Initial Deployment Phase

The initial deployment phase starts with the Windows update released on December 8, 2020 and continues with a later Windows update for the Enforcement phase. These and later Windows updates make changes to Kerberos. This December 8, 2020 update includes fixes for all known issues originally introduced by the November 10, 2020 release of CVE-2020-17049. This update also adds support for Windows Server 2008 SP2 and Windows Server 2008 R2.

Addresses CVE-2020-17049 (in Deployment mode by default).

Adds support for the PerformTicketSignature registry value to enable protection on Active Directory domain controller servers. By default, this value does not exist.

Mitigation consists of the installation of the Windows updates on all devices that host the Active Directory domain controller role and read-only domain controllers (RODCs), and then enabling Enforcement mode.

April 13, 2021 : Second Deployment Phase

The second deployment phase starts with the Windows update released on April 13, 2021. This phase removes the PerformTicketSignature setting 0. Setting PerformTicketSignature to 0 after this update is installed will have the same effect as setting PerformTicketSignature to 1. The DCs will be in Deployment mode.

This phase is not necessary if PerformTicketSignature was never set to 0 in your environment. This phase helps to make sure that customers that set PerformTicketSignature to 0 are moved to setting 1 before the Enforcement phase.

With the deployment of the April 13, 2021 updates, setting PerformTicketSignature to 1 will enable service tickets to be renewable. This is a change in behavior from pre-April 2021 Windows Updates when setting PerformTicketSignature to 1 which caused service tickets not to be renewable.

This update assumes that all Domain Controllers are updated with the December 8, 2020 updates or later updates.

After installing this update, and manually or programmatically setting PerformTicketSignature to 1 or higher, unsupported Windows Server domain controllers will no longer work with supported domain controllers. This includes Windows Server 2008 and Windows Server 2008 R2 without Extended Security Updates (ESU), and Windows Server 2003.

July 13, 2021 : Enforcement Phase

The July 13, 2021 release transitions into the enforcement phase. Enforcement phase enforces the changes to address CVE-2020-17049. Active Directory domain controllers are now capable of Enforcement mode. Going to Enforcement mode requires that all Active Directory domain controllers have the December 8, 2020 update or a later Windows update installed. At this time, the PerformTicketSignature registry key settings will be ignored and Enforcement mode cannot be overridden.

Installation guidance

Before installing this update

You must have the following required updates installed before you apply this update. If you use Windows Update, these required updates will be offered automatically as needed.

You must have the SHA-2 update (KB4474419) that is dated September 23, 2019 or a later SHA-2 update installed and then restart your device before you apply this update. For more information about SHA-2 updates, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.

For Windows Server 2008 R2 SP1, you must have installed the servicing stack update (SSU) (KB4490628) that is dated March 12, 2019. After update KB4490628 is installed, we recommend that you install the latest SSU update. For more information about the latest SSU update, see ADV990001 | Latest Servicing Stack Updates.

For Windows Server 2008 SP2, you must have installed the servicing stack update (SSU) (KB4493730) that is dated April 9, 2019. After update KB4493730 is installed, we recommend that you install the latest SSU update. For more information about the latest SSU updates, see ADV990001 | Latest Servicing Stack Updates.

Customers are required to purchase the Extended Security Update (ESU) for on-premises versions of Windows Server 2008 SP2 or Windows Server 2008 R2 SP1 after extended support ended on January 14, 2020. Customers who have purchased the ESU must follow the procedures in KB4522133 to continue receiving security updates. For more information on ESU and which editions are supported, see KB4497181.

Important You must restart your device after you install these required updates.

Install all updates

To resolve the security vulnerability, install all Windows updates and enable Enforcement mode by following these steps:

Deploy at least one of the updates from between December 8, 2020 and March 9, 2021 to all Active Directory domain controllers in the forest.

Deploy the April 12, 2021 update at least one or more weeks after step 1.

After all Active Directory domain controllers have been updated, wait at least a full week to allow all outstanding Service for User to Self (S4U2self) Kerberos service tickets to expire and then full protection can be enabled by deploying Active Directory domain controller Enforcement mode.

If you have modified the Kerberos service ticket expiration times from the default settings (default is 7 days), then you must wait at least the number of days as configured in your environment.

These steps assume that PerformTicketSignature has never been set to 0 in your environment. If PerformTicketSignature was set to 0, you must move to setting 1 before moving to setting 2 (Enforcement mode) and wait at least a week to allow all outstanding Service for User to Self (S4U2self) Kerberos service tickets to expire. You should not move directly from setting 0 to setting 2 (Enforcement mode).

Step 1: Install Windows updates

Install the appropriate December 8, 2020 Windows update or a later Windows update to all devices that host the Active Directory domain controller role in the forest, including read-only domain controllers.

Windows Server product

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 Service Pack 1

Windows Server 2008 Service Pack 2

Step 2: Enable Enforcement mode

After all devices that host the Active Directory domain controller role have been updated, wait at least a full week to allow all outstanding S4U2self Kerberos service tickets to expire. Then, enable full protection by deploying Enforcement mode. To do this, enable the Enforcement mode registry key.

Warning Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by using another method. These problems might require that you reinstall the operating system. Microsoft cannot guarantee that these problems can be solved. Modify the registry at your own risk.

Note This update introduces support for the following registry value to enable Enforcement mode. This registry value is not created by installing this update. You must add this registry value manually.

1: Enables Deployment mode. The fix is enabled on the domain controller, but the Active Directory domain controller does not require that Kerberos service tickets conform to the fix. This mode adds support for ticket signatures on CVE-2020-17049 updated domain controllers but the domain controllers do not require tickets to be signed. This allows a mix of Initial Deployment Phase (DCs updated to the December initial Deployment update) and updated domain controllers to coexist. With all domain controllers updated and at setting 1, all new tickets will be signed. In this mode, new tickets will be marked as renewable.

2: Enables Enforcement mode This enables the fix in required mode where all domains must be updated and all Active Directory domain controllers require Kerberos service tickets with signatures. With this setting, all tickets must be signed in order to be considered valid. In this mode, tickets will again be marked as renewable.

0: Not recommended. Disables Kerberos service tickets signatures, and your domains are not protected.

Important: Setting 0 is not compatible with enforcement setting 2. Intermittent authentication failures might occur if Enforcement mode is applied later stage while domain are set to 0. We recommend customers to move to setting 1 before the enforcement stage (At least a week before applying enforcement).

Support microsoft com help 4474419 sha 2 code signing support update

Вопрос

Windows 7 x64 Pro German UEFI machine with LSI RAID Controller was only booting into repair mode after Installation of some Windows updates.

The relevant Updates were

KB4474419 (SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: September 10, 2019)

and KB4516065 (September 10, 2019—KB4516065 (Monthly Rollup))

and some Office updates theat surely have nothing to do with the issue.

Start Repair could not fix the issue:
missingosloader

bcdedit: lists correct entries, winloader.efi file exists in c:\windows\system32

Analysis and collecting available information points to a SHA2 signature issue of the bootloader.

I must say: this is a very nice update

Prerequisites
There are no prerequisites for installing this update.

Update to add SHA-2 code signing support for Windows Server 2008 SP2

Summary

This update provides support for the Secure Hash Algorithm-2 (SHA-2) code signing and verification functionality in the 64-bit version of Windows Server 2008 Service Pack 2 (SP2) which includes the following:

Support for multiple signatures on Cabinet (CAB) files.

Support for multiple signatures for Windows PE files.

Support for viewing multiple digital signatures by upgrade the user interface (UI).

Support for verifying RFC3161 timestamps to the Code Integrity component that verifies signatures in the kernel.

Support for various application programming interfaces (APIs), which include CertIsStrongHashToSign, CryptCATAdminAcquireContext2 and CryptCATAdminCalcHashFromFileHandle2.

The Secure Hash Algorithm (SHA) was developed for use with the Digital Signature Algorithm (DSA) or the Digital Signature Standard (DSS). It would generate a 160-bit hash value. But the known weakness of SHA-1 exposes itself to collision attacks which allow for an attacker to generate additional certificates that have the same digital signature as an original. For more information about SHA-1, see Hash and Signature Algorithms.

How to get this update

Microsoft Update Catalog

To get the stand-alone package for this update, go to the Microsoft Update Catalog website.

Update Information

Prerequisites

To install this update, you must have Windows Server 2008 SP2 64-bit installed.

Registry information

To apply this update, you don’t have to make any changes to the registry.

Restart requirement

You must restart the computer after you apply this update.

Update replacement information

This update does not replace a previously released update.

More information

Your system will continue to support SHA-1 operations without changes to that support. The SHA-2 support is being made available in advance of Microsoft changing Windows updates to move away from SHA-1 signatures and move completely to SHA-2 signatures. The release of this SHA-2 support is the first step in that transition. At a later date, this support will become mandatory in order to facilitate the switch to SHA-2 signed updates for Windows Server 2008 SP2.

RFC3161 defines the Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) and describes the format of requests and responses to a Time Stamping Authority (TSA). The TSA can be used to prove that a digital signature was generated during the validity period of a public key certificate, see X.509 Public Key Infrastructure.

In public key cryptography, one of the keys, known as the private key, must be kept in secret. The other key, known as the public key, is intended to be shared with the world. However, there must be a way for the owner of the key to telling the world to whom the key belongs. Digital certificates give you a way to do this.

A digital certificate is an electronic credential used to certify the online identities of individuals, organizations, and computers. Digital certificates contain a public key packaged together with some basic information (who owns it, what it can be used for, when it expires, and so on). For more information, see Understanding Public Key Cryptography and Digital Certificates.

Digital certificates are primarily used to verify the identity of a person or device, authenticate a service, or encrypt files. Usually, you don’t have to think about certificates at all, other than the occasional message that states a certificate is expired or invalid. In these cases, one should follow the instructions that are provided in the message.

Status

Microsoft has confirmed that this is a problem in the Microsoft products that are listed in the «Applies to» section.

References

Learn about the terminology that Microsoft uses to describe software updates.