Menü

SHA-2 Support für Windows 7 und Server 2008 R2 aktualisieren

Die Installation der SHA-2 Support-Updates für Windows 7, Windows Server 2008 R2 und WSUS 3.0 SP2 birgt Fallstricke. Diese Tipps bewahren Sie vorm Stolpern.

vorlesen Drucken Kommentare lesen 41 Beiträge
SHA-2 Support für Windows 7/Server 2008 R2 aktualisieren

(Bild: TheDigitalArtist )

Bereits im November 2018 hat Microsoft die Umstellung seiner Updates auf eine ausschließliche SHA-2-Signierung bis zum Sommer 2019 angekündigt. Nun hat das Unternehmen erste Aktualisierungen veröffentlicht, um diesen Plan in die Tat umzusetzen.

Bislang waren alle Update-Pakete sowohl mit SHA-1 als auch SHA-2 signiert; in Windows 7 SP1, Windows Server 2008 SP2 und Windows Server 2008 R2 SP1 wird jedoch nur die SHA-1-Signatur zur Integritätsprüfung benutzt. Die Signaturen ermöglichen den Update-Clients, zu prüfen, ob das Update-Paket von Microsoft stammt und nicht modifiziert wurde. Allerdings gilt SHA-1 inzwischen als nicht mehr sicher.

Im Gegensatz zu allen Betriebssystemversionen ab Windows 8.1 nebst Server-Pendants benötigen Windows 7 SP1, Windows Server 2008 und 2008 R2 spezielle Updates für die Umstellung. Auch die Windows Server Update Services (WSUS) in der Version 3.0 SP2 müssen (anders als die bereits SHA-2-fähigen WSUS 4.0) aufgerüstet werden.

Zum Patchday am 12. März veröffentlichte Microsoft die für die Umstellung notwendigen Aktualisierungen für Windows 7, Server 2008 R2 und WSUS 3.0 SP2. Für Windows Server 2008 wird das benötigte SHA-2-Update erst im April 2019 bereitgestellt. Ein detaillierter Update-Zeitplan sowie weitere Informationen zur Umstellung sind dem von 2018 stammenden, inzwischen aktualisierten KB-Beitrag 4472027 zu entnehmen.

Das zum Patchday veröffentlichte eigenständige Update KB4474419 rüstet die Unterstützung für die SHA-2-Signaturauswertung für Windows 7 SP1 und Windows Server 2008 R2 nach. Das Update wird automatisch über Windows Update heruntergeladen und installiert. Weiterhin steht das Update über den Windows Server Update Services (WSUS) oder zum manuellen Download per Microsoft Update Catalog bereit.

Zudem wurde für Windows 7 SP1 und Windows Server 2008 R2 SP1 das Servicing Stack Update (SSU) KB4490628 veröffentlicht. Es korrigiert ein Problem im Servicing Stack, das bislang verhinderte, dass ausschließlich mit dem SHA-2-Hash-Algorithmus signierte Update-Pakete installiert werden konnten.

Standardmäßig gibt Microsoft bei Updates vor, erst das aktuelle Servicing Stack Update (SSU) und dann das jeweilige monatliche Update für Windows 7 SP1 bzw. Windows Server 2008/R2 zu installieren.

Bei der automatischen Installation der Updates KB4474419 und KB4490628 über Windows Update lässt sich diese Reihenfolge jedoch nicht einhalten. Bei Tests durch den Autor dieses Artikels wurde das SSU KB4490628 erst angeboten, nachdem das Standalone-Update KB4474419 erfolgreich installiert wurde. Der SSU-Patch scheint das vorherige Update KB4474419 zwingend vorauszusetzen. Andere Nutzer berichteten von ähnlichen Erfahrungen.

Microsoft selbst hat sich zu diesem Problem bislang nicht geäußert und empfiehlt in seiner Beschreibung zu KB4490628 "dringend", das neueste SSU stets vor dem neuesten Sicherheitsupdate zu installieren".

Für das Servicing Stack Update (SSU) KB4490628 nennt Microsoft bereits ein bekanntes Problem. Wird es zusammen mit anderen Updates installiert, kann das System möglicherweise beim erforderlichen Neustart in einer bestimmten Phase mit der Fehlermeldung „Phase 2 von 2“ oder „Phase 3 von 3“ hängen bleiben. Dann ist eine Anmeldung durch Drücken der Tastenkombination STRG+ALT+ENTF zu erzwingen. Bei der automatischen Installation über Windows Update sollte dieses Problem aber vermieden werden, da das SSU erst nach einer erfolgreichen Installation anderer Updates separat angeboten wird.

In verschiedenen Foren berichteten Nutzer zudem, dass dass Update KB4474419 bei ca. 83 Prozent mit dem Fehler 0x80004005 (E_FAIL, unbekannter Fehler) fehl schlägt. Inzwischen hat sich in einem englischen Microsoft-Forenthread eine mögliche Ursache herauskristallisiert. Die Update-Installation scheitert, wenn ein fremder Bootlader (etwa Linux GRUB2, der auf eine Linux-Partition zeigt) vorhanden ist. Nach Entfernen des Bootladers oder ‘abklemmen’ des Linux-Laufwerks lässt sich das Update dann erfolgreich installieren.

WSUS 3.0 SP2 erhielt ein eigenes Update KB4484071, um die SHA-2-Unterstützung nachzurüsten. Dort ist wichtig, die im KB-Beitrag genannten Voraussetzungen zur Update-Installation zu beachten. Für Windows Server 2008 SP2 wird mindestens das installierte Rollup Update KB4489880 vorausgesetzt, unter Windows Server 2008 R2 SP1 mindestens KB4489878.

Weiterhin ist auf beiden Plattformen ein installiertes .NET Framework 3.5 Installationsvoraussetzung. Andernfalls dürfte es zu einem Installationsabbruch kommen. Microsoft empfiehlt in seinem KB-Artikel zudem, die WSUS 3.0 SP2 vor Installation der Updates zu sichern, um bei Problemen ein Backup einspielen zu können.

So wie es ausschaut, dürften für einige Nutzer die SHA-2-Updates noch bis April 2019 und darüber hinaus für Ärger sorgen. Spätestens ab Juli 2019 sind sie aber unter Windows 7 SP1, den Server-Pendants und WSUS 3.0 SP2 zwingende Voraussetzung, um neue Updates verteilen und installieren zu können. (ovw)