Introduction
En conformité avec la stratégie de désapprobation de l’algorithme de hachage sécurisé Microsoft (SHA-1), Windows Update interrompt ses points de terminaison basés sur SHA-1 fin juillet 2020. Cela signifie que les anciens appareils Windows qui n’ont pas mis à jour vers SHA-2 ne recevront plus les mises à jour par le biais de Windows Update. Vos anciens appareils Windows peuvent continuer à utiliser Windows Update en installant manuellement les mises à jour de l’activation SHA-2 spécifiques.
Toutes les autres plateformes Windows continueront à recevoir des mises à jour par le biais de Windows Update, car elles se connectent à des points de terminaison de service SHA-2.
Pourquoi cette modification se produit-elle ?
Un point de terminaison du service Windows Update obsolète utilisé uniquement pour les anciennes plateformes est suspendu. Cette modification se produit en raison de faiblesses dans l’algorithme de hachage SHA-1 et pour s’aligner sur les normes industrielles.
Bien que le point de terminaison SHA-1 ne soit plus disponible, les appareils Windows plus récents continueront de recevoir des mises à jour via Windows Update, car ces appareils utilisent l’algorithme SHA-2 plus sécurisé. Consultez le tableau de la section « quels appareils Windows sont concernés » pour déterminer si vos appareils sont concernés.
Pour plus d’informations sur cette modification, voir la Configuration requise pour la prise en charge de la signature du Code 2019 SHA-2 pour Windows et WSUS.
Quels appareils Windows sont concernés ?
La plupart des utilisateurs ne seront pas affectés par cette modification. À partir de la version de bureau de Windows 8 et de Windows Server 2012, les connexions aux points de terminaison de service Windows Update utilisent un algorithme plus moderne (SHA-256). Les versions antérieures de Windows se connectent aux points de terminaison du service Windows Update à l’aide de l’algorithme SHA-1 moins sécurisée.
Pour la plupart des versions affectées de Windows, une mise à jour SHA-2 ajoute la prise en charge nécessaire pour continuer à recevoir des mises à jour via Windows Update. Le tableau suivant indique l’impact sur les différentes versions de Windows. Certaines plateformes ne sont plus prises en charge. par conséquent, elles ne sont pas mises à jour.
| Ordinateur de bureau Windows | État du support technique |
| Windows 2000 | L’appareil n’est pas pris en charge Les mises à jour Windows ne seront plus prises en charge. |
| Windows XP Édition 64-bits | |
| Windows XP SP3 | |
| Windows Vista | |
| Windows Vista SP1 | |
| Windows Vista SP2 | |
| Windows 7 | support Windows Update sera affecté. |
| Windows 7 SP1 | |
| Windows 8 et versions ultérieures | non affectées |
| Windows Server | État du support technique |
| Serveur Windows 2000 | L’appareil n’est pas pris en charge Les mises à jour Windows ne seront plus prises en charge. |
| Windows Server 2003 | |
| Windows Server 2003 SP2 | |
| Windows Server 2008 | support Windows Update sera affecté. |
| Windows Server 2008 SP2 | |
| Windows Server 2008 R2 | |
| Windows Server 2008 R2 SP1 | |
| Windows 2012 et versions ultérieures | non affectées |
Qu’advient-il des appareils impactés ?
Selon la table précédente, seuls les appareils Windows plus anciens qui n’ont pas mis à jour vers SHA-2 sont concernés par ce changement. Les appareils impactés ne pourront plus recevoir de mises à jour via Windows Update tant que vous ne les aurez pas mis à jour manuellement sur SHA-2. Pour mettre à jour manuellement vos appareils Windows, reportez-vous à la section « mettre à jour les appareils Windows pour SHA-2 ».
Un appareil Windows qui n’a pas été mis à jour pour SHA-2 essaiera de rechercher les mises à jour et renverra l’une des erreurs suivantes :
-
Code d’erreur 80072ee2 : L’appareil ne peut pas se connecter à Windows Update.
-
Code d’erreur 8024402C : L’appareil ne parvient pas à localiser Windows Update.
-
Code d’erreur 80244019 : L’appareil ne peut pas se connecter à Windows Update.
Certaines analyses de mise à jour ont lieu sans interaction directe de l’utilisateur avec l’interface utilisateur, telles que les mises à jour automatiques, les pilotes de périphériques, les signatures antivirus de Defender, les mises à jour de Microsoft Office, etc. Pour ces analyses « d’arrière-plan », ces échecs ne sont pas évidents. Dans ce cas, vous pouvez consulter le fichier journal Windows Update (c:\Windows\WindowsUpdate.log) pour les codes d’erreur : 0x8024402C, 8024402C, 0x80072ee2, 80072ee2, 0x80244019 ou 80244019.
Procédure de mise à jour des appareils Windows vers SHA-2
Pour continuer à utiliser Windows Update pour vos anciens appareils Windows, vous devez télécharger et installer les deux mises à jour spécifiques suivantes :
mise à jour 1 : Prise en charge de la signature du code SHA-2
Lorsque vous appliquez cette mise à jour, la prise en charge est ajoutée pour valider les signatures à l’aide des algorithmes de hachage SHA-2 plus sécurisés. Appliquez uniquement la mise à jour appropriée pour votre appareil Windows.
- KB4474419: Mise à jour de la signature du code SHA-2
S’applique à : Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2
- KB4484071: SHA2 support pour Windows Server Update Services
S’applique à : Windows Server Update Services 3,0 SP1 et Windows Server Update Services 3,2
Remarque La plupart des utilisateurs ne doivent installer que la mise à jour KB4474419. Les administrateurs d’entreprise peuvent également installer la mise à jour KB4484071.
mise à jour 2 : Mises à jour de la pile de maintenance associées à SHA-2
Lorsque vous appliquez cette mise à jour, la prise en charge est ajoutée à la pile de maintenance Windows Update pour valider les signatures SHA-2 et indique aux appareils Windows concernés de communiquer avec les points de terminaison de service modernes basés sur SHA-2 dans Windows Update. Appliquez uniquement la mise à jour appropriée pour votre appareil Windows.