• IT-Karriere:
  • Services:

SHA-2-Signierung: Symantec blockiert Windows-7-Updates wenn SHA-1 fehlt

Mit der Umstellung von Dual-SHA-1/2-Signierung auf das modernere SHA-2 haben einzelne Windows-7-Rechner und der dazugehörige Server große Schwierigkeiten. Schuld hat Symantecs Virenschutzlösung, weswegen Microsoft solche Rechner blockiert.

Artikel veröffentlicht am ,
Symantec und Windows 7 vertragen sich gerade nicht so gut.
Symantec und Windows 7 vertragen sich gerade nicht so gut. (Bild: Paul J. Richards/AFP/Getty Images)

Mit dem 13. August 2019 verzichtet Microsoft auf die Dual-Signierung von Patches für Windows 7 SP1 und Windows Server 2008 R2 SP1, wie das Unternehmen per Roadmap lange angekündigt hat. Statt SHA-1/2-dual-Signierung werden Updates nur noch per SHA-2 signiert. Ein paar Rechner zeigen jetzt erste Probleme. Allerdings nur, wenn eine Schutzsoftware von Symantec installiert ist. Symantec Endpoint Protection schützt derzeit wohl eher unfreiwillig Rechner vor wichtigen Sicherheitsupdates, wie aus einem Symantec-Knowledge-Base-Artikel hervorgeht.

Stellenmarkt
  1. Pure11 Handelsgesellschaft mbH, Grünwald
  2. Wahl EMEA Services GmbH, Unterkirnach bei Villingen-Schwenningen (Home-Office möglich)

Die Probleme sind anscheinend schon länger bekannt, denn wie Symantec angibt, haben beide Unternehmen an Gegenmaßnahmen gearbeitet. Microsoft zeigt betroffenen Rechnern schlicht keine Updates an, wenn eine Version von Endpoint Protection damit potenziell nicht zurechtkommt. Welche Auswirkungen das haben könnte, wird bei Symantec nicht beschrieben.

Microsoft ist da offener, wie der Artikel KB4512486 zeigt. Zum einen trifft es nicht nur Endpoint Protection, sondern auch Norton Antivirus. Entdeckt das Schutzprogramm Windows-Updates ohne SHA-1-Signierung werden diese entweder blockiert oder sogar gelöscht. Das passiert sogar während des Windows-Update-Prozesses. Die Auswirkungen sind fatal. Der Rechner kann plötzlich stehenbleiben und startet danach schlimmstenfalls nicht.

Damit ist nachvollziehbar, warum Microsoft die Updates für bestimmte Systeme blockiert. Microsoft rät dringend davon ab, die Updates manuell einzuspielen. Symantec arbeitet bereits an einer Problemlösung.

Der 13. August war ein interessantes Datum. Nach monatelangen Vorbereitungen hat Microsoft einem recht alten Betriebssystem die alte Update-Verifizier-Methode entnommen. Das wiederum wurde durch die Dual-Signierung jahrelang vorbereitet. Die notwendigen Patches, damit Windows 7, aber auch der dazugehörige Server die neuen Patches verstehen, wurden bereits im März 2019 verteilt. Windows 7 kennt nämlich das SHA-2-Signierungsverfahren nicht.

Die Gesamtumstellung wird mit dem 10. September 2019 abgeschlossen sein. Dann wird auch die Signierung für Windows Server 2012, 2012 R2 und Windows 8.1 vom Dual-Modus auf SHA-2 umgestellt. Diese moderneren Betriebssysteme verstehen SHA-2 aber seit ihrer Veröffentlichung, weswegen Microsoft keine Patches veröffentlich hat und auch keine Probleme zu erwarten sind.

Nachtrag vom 26. August 2019, 11:50 Uhr

Symantec hat das Problem mittlerweile behoben, wie das Unternehmen angibt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 499,99€
  2. (u. a. Ryzen 5 5600X 358,03€)

qq1 26. Aug 2019

auf windows 10 wechseln? ich schäme mich wegen allen nicht-windows-10-nutzern.

bummelbär 26. Aug 2019

Naja es ist schon was anderes nicht auf ein aktuelles Betriebssystem zu wechseln, als...


Folgen Sie uns
       


Die Tesla-Baustelle von oben (Januar-November 2020)

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben (Januar-November 2020) Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /