Einführung
In Übereinstimmung mit der Richtlinie zur Einstellung des Microsoft Secure Hash Algorithm (SHA)-1 stellt Windows Update seine SHA-1-basierten Endpunkte Ende Juli 2020 ein. Dies bedeutet, dass ältere Windows-Geräte, die nicht auf SHA-2 aktualisiert wurden, keine Updates mehr über Windows Update erhalten. Ihre älteren Windows-Geräte können weiterhin Windows Update verwenden, indem sie bestimmte SHA-2-Aktivierungsupdates manuell installieren.
Alle anderen Windows-Plattformen erhalten weiterhin Updates über Windows Update wie immer, da sie eine Verbindung mit SHA-2-Dienstendpunkten herstellen.
Warum tritt diese Änderung auf?
Ein veralteter Windows Update Dienstendpunkt, der nur für ältere Plattformen verwendet wird, wird eingestellt. Diese Änderung erfolgt aufgrund von Schwächen im SHA-1-Hashalgorithmus und aufgrund der Ausrichtung auf Branchenstandards.
Obwohl der SHA-1-Endpunkt eingestellt wird, erhalten neuere Windows-Geräte weiterhin Updates über Windows Update, da diese Geräte den sichereren SHA-2-Algorithmus verwenden. In der Tabelle im Abschnitt "Welche Windows-Geräte betroffen sind" können Sie ermitteln, ob Ihre Geräte betroffen sind.
Weitere Informationen zu dieser Änderung finden Sie unter Unterstützung von SHA-2-2-Codesignatur für Windows und WSUS für 2019.
Welche Windows-Geräte sind betroffen?
Die meisten Benutzer sind von dieser Änderung nicht betroffen. Ab Windows 8 Desktop und Windows Server 2012 verwenden Verbindungen mit Windows Update Dienstendpunkten einen moderneren Algorithmus (SHA-256). Ältere Versionen von Windows stellen mithilfe des weniger sicheren SHA-1-Algorithmus eine Verbindung mit Windows Update Dienstendpunkten her.
Für die meisten betroffenen Versionen von Windows fügt ein SHA-2-Update die unterstützung hinzu, die erforderlich ist, um weiterhin Updates über Windows Update zu erhalten. Die folgende Tabelle zeigt die Auswirkungen auf die verschiedenen Versionen von Windows. Einige Plattformen werden nicht mehr unterstützt, daher werden sie nicht aktualisiert.
|
Windows Desktop |
Supportstatus |
|
Windows 2000 |
Gerät wird nicht mehr unterstützt Windows Updates wird nicht mehr unterstützt. |
|
Windows XP 64-Bit Edition |
|
|
Windows XP SP3 |
|
|
Windows Vista |
|
|
Windows Vista SP1 |
|
|
Windows Vista SP2 |
|
|
Windows 7 |
Windows Update Unterstützung wird beeinträchtigt.Kann durch manuelle Installation von KBs entschärft werden. |
|
Windows 7 SP1 |
|
|
Windows 8 und höhere Versionen |
Nicht betroffen Keine Aktualisierung erforderlich |
|
Windows Server |
Supportstatus |
|
Windows 2000 Server |
Gerät wird nicht mehr unterstützt Windows Updates wird nicht mehr unterstützt. |
|
Windows Server 2003 |
|
|
Windows Server 2003 SP2 |
|
|
Windows Server 2008 |
Windows Update Unterstützung wird beeinträchtigt.Kann durch manuelle Installation von KBs entschärft werden. |
|
Windows Server 2008 SP2 |
|
|
Windows Server 2008 R2 |
|
|
Windows Server 2008 R2 SP1 |
|
|
Windows 2012 und höhere Versionen |
Nicht betroffen Keine Aktualisierung erforderlich |
Was geschieht mit betroffenen Geräten?
Gemäß der vorherigen Tabelle sind nur ältere Windows-Geräte, die nicht auf SHA-2 aktualisiert wurden, von dieser Änderung betroffen. Betroffene Geräte können keine Updates mehr über Windows Update empfangen, bis Sie sie manuell auf SHA-2 aktualisieren. Informationen zum manuellen Aktualisieren Ihrer Windows-Geräte finden Sie im Abschnitt "Aktualisieren von Windows-Geräten auf SHA-2".
Ein Windows-Gerät, das nicht auf SHA-2 aktualisiert wurde, versucht, nach Updates zu suchen, und gibt einen der folgenden Fehler zurück:
-
Fehlercode 80072ee2: Das Gerät kann keine Verbindung mit Windows Update herstellen.
-
Fehlercode 8024402c: Das Gerät kann Windows Update nicht finden.
-
Fehlercode 80244019: Das Gerät kann keine Verbindung mit Windows Update herstellen.
Einige Updateüberprüfungen erfolgen ohne direkte Benutzerinteraktion mit der Benutzeroberfläche, z. B. automatische Updates, Gerätetreiber, Defender Antivirus Signaturen, Microsoft Office-Updates usw. Bei diesen "Hintergrundscans" sind diese Fehler nicht offensichtlich. In diesem Fall können Sie die Windows Update Protokolldatei (c:\windows\windowsupdate.log) auf die Fehlercodes überprüfen: 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 oder 80244019.
Aktualisieren von Windows-Geräten auf SHA-2
Um weiterhin Windows Update für Ihre älteren Windows-Geräte verwenden zu können, müssen Sie die folgenden beiden spezifischen Updates herunterladen und installieren:
Update 1: Unterstützung für SHA-2-Codesignatur Wenn Sie dieses Update anwenden, wird unterstützung hinzugefügt, um Signaturen mithilfe der sichereren SHA-2-Hashingalgorithmen zu überprüfen. Wenden Sie nur das Update an, das für Ihr Windows-Gerät geeignet ist.
-
KB4474419: Unterstützungsupdate für SHA-2-Codesignatur Gilt für: Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2
-
KB4484071: SHA2-Unterstützung für Windows Server Update Services Gilt für: Windows Server Update Services 3.0 SP1 und Windows Server Update Services 3.2
Hinweis Die meisten Benutzer sollten nur Update-KB4474419 installieren. Unternehmensadministratoren können auch Update-KB4484071 installieren.
Update 2: SHA-2-bezogene Wartungsstapel Updates Wenn Sie dieses Update anwenden, wird dem Windows Update Wartungsstapel Unterstützung hinzugefügt, um SHA-2-Signaturen zu überprüfen, und die betroffenen Windows-Geräte werden zur Kommunikation mit den modernen, SHA-2-basierten Dienstendpunkten in Windows Update anweisen. Wenden Sie nur das Update an, das für Ihr Windows-Gerät geeignet ist.
