概要
Microsoft Secure Hash Algorithm (SHA)-1 非推奨ポリシーに準拠して、Windows Updateは 2020 年 7 月下旬に SHA-1 ベースのエンドポイントを廃止します。 つまり、SHA-2 に更新されていない古い Windows デバイスは、Windows Updateを介して更新プログラムを受信しなくなります。 古い Windows デバイスでは、特定の SHA-2 を有効にする更新プログラムを手動でインストールすることで、引き続きWindows Updateを使用できます。
他のすべての Windows プラットフォームは、SHA-2 サービス エンドポイントに接続するため、常にWindows Updateを介して更新プログラムを受け取り続けます。
この変更が発生するのはなぜですか?
古いプラットフォームでのみ使用される古いWindows Update サービス エンドポイントは廃止されています。 この変更は、SHA-1 ハッシュ アルゴリズムの弱点と業界標準に合わせて行われるために発生しています。
SHA-1 エンドポイントが廃止されても、最新の Windows デバイスは、より安全な SHA-2 アルゴリズムを使用するため、Windows Updateを介して更新プログラムを受け取り続けます。 デバイスが影響を受けるかどうかを判断するには、「影響を受ける Windows デバイス」セクションの表を参照してください。
この変更の詳細については、「 Windows と WSUS の 2019 SHA-2 Code Signing Support 要件」を参照してください。
影響を受ける Windows デバイス
ほとんどのユーザーは、この変更の影響を受けなくなります。 Windows 8 Desktop と Windows Server 2012 以降、Windows Update サービス エンドポイントへの接続では、より最新のアルゴリズム (SHA-256) が使用されます。 以前のバージョンの Windows は、安全性の低い SHA-1 アルゴリズムを使用して、Windows Update サービス エンドポイントに接続します。
影響を受けるほとんどのバージョンの Windows では、SHA-2 更新プログラムによって、Windows Updateを通じて更新プログラムを引き続き受け取るために必要なサポートが追加されます。 次の表は、さまざまなバージョンの Windows への影響を示しています。 一部のプラットフォームはサポートされなくなったため、更新されません。
|
Windows デスクトップ |
サポート状態 |
|
Windows 2000 |
デバイスがサポート対象外です Windows Updatesはサポートされなくなりました。 |
|
Windows XP 64 ビット エディション |
|
|
Windows XP SP3 |
|
|
Windows Vista |
|
|
Windows Vista SP1 |
|
|
Windows Vista SP2 |
|
|
Windows 7 |
Windows Updateサポートが影響を受けます。 |
|
Windows 7 SP1 |
|
|
Windows 8 以降 |
影響を受けない |
|
Windows Server |
サポート状態 |
|
Windows 2000 Server |
デバイスがサポート対象外です Windows Updatesはサポートされなくなりました。 |
|
Windows Server 2003 |
|
|
Windows Server 2003 SP2 |
|
|
Windows Server 2008 |
Windows Updateサポートが影響を受けます。 |
|
Windows Server 2008 SP2 |
|
|
Windows Server 2008 R2 |
|
|
Windows Server 2008 R2 SP1 |
|
|
Windows 2012 以降のバージョン |
影響を受けない |
影響を受けるデバイスに何が発生しますか?
前の表によると、SHA-2 に更新されていない古い Windows デバイスのみが、この変更の影響を受けます。 影響を受けるデバイスは、手動で SHA-2 に更新するまで、Windows Updateを介して更新プログラムを受信できなくなります。 Windows デバイスを手動で更新するには、「Windows デバイスを SHA-2 に更新する方法」セクションを参照してください。
SHA-2 に更新されていない Windows デバイスは、更新プログラムのスキャンを試み、次のいずれかのエラーを返します。
-
エラー コード 80072ee2: デバイスはWindows Updateに接続できません。
-
エラー コード 8024402c: デバイスがWindows Updateを見つけることができません。
-
エラー コード 80244019: デバイスはWindows Updateに接続できません。
一部の更新スキャンは、自動更新、デバイス ドライバー、Defender ウイルス対策署名、Microsoft Office の更新プログラムなど、UI との直接のユーザー操作なしで行われます。 これらの "バックグラウンド" スキャンでは、これらのエラーは明らかではありません。 その場合は、エラー コード (0x8024402c、8024402c、0x80072ee2、80072ee2、0x80244019、または 80244019) のWindows Update ログ ファイル (c:\windows\windowsupdate.log) をチェックできます。
Windows デバイスを SHA-2 に更新する方法
古い Windows デバイスでWindows Updateを引き続き使用するには、次の 2 つの特定の更新プログラムをダウンロードしてインストールする必要があります。
更新プログラム 1: SHA-2 コード署名のサポート
この更新プログラムを適用すると、より安全な SHA-2 ハッシュ アルゴリズムを使用して署名を検証するためのサポートが追加されます。 Windows デバイスに適した更新プログラムのみを適用します。
-
KB4474419: SHA-2 コード署名サポート更新プログラム
適用対象: Windows 7 SP1、Windows Server 2008 R2 SP1、および Windows Server 2008 SP2 -
KB4484071: SHA2 Windows Server Update Services
のサポート 適用対象: Windows Server Update Services 3.0 SP1 および Windows Server Update Services 3.2
注 ほとんどのユーザーは、更新プログラムのKB4474419のみをインストールする必要があります。 エンタープライズ管理者は、更新プログラム のKB4484071をインストールすることもできます。
更新プログラム 2: SHA-2 関連サービス スタック Updates
この更新プログラムを適用すると、SHA-2 署名を検証し、影響を受ける Windows デバイスがWindows Updateの最新の SHA-2 ベースのサービス エンドポイントと通信するように指示するために、Windows Update サービス スタックにサポートが追加されます。 Windows デバイスに適した更新プログラムのみを適用します。
