一些读者可能已经注意到，我们通过在知识库（KB）文章中提供SHA1和SHA2哈希值来改进公告的纵深防御实践。这在KB中最明显的是新增了“文件哈希信息”部分，但为了方便起见，也在每个公告的常见问题解答（FAQ）部分中进行了说明。

从PowerShell中，您可以轻松利用.Net加密服务来定义一个get-sha256函数，就像Mike Wilbur在这里所做的那样。尽管这应该不言而喻，但我还是要说——您不应该使用来自不可信来源的脚本或代码。

1
2

function get-sha256 {param($file);[system.bitconverter]::tostring([System.Security.Cryptography.sha256]::create().computehash([system.io.file]::openread((resolve-path $file)))) -replace “-”,""
}

让我们来验证MS12-071的哈希值：

下载msu文件后，我们可以简单地遍历目录列表，获取每个文件的SHA2哈希值。

如果您不想使用.Net加密服务，也可以使用KB 841290中提供的文件校验和完整性验证器实用程序来验证SHA1哈希值。

尽管大多数人不会觉得有必要采取这些措施，因为自动更新简化了提供安全分发更新方式的过程，但我们不断努力提高标准，作为我们持续评估纵深防御工作并提供改进的一部分。

谢谢， Dustin Childs 集团经理 Microsoft Trustworthy Computing