Les points de terminaison basés sur SHA-1 Windows Update ne sont plus disponibles pour les appareils Windows plus anciens

S’applique à : Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

Introduction


En conformité avec la stratégie de désapprobation de l’algorithme de hachage sécurisé Microsoft (SHA-1), Windows Update interrompt ses points de terminaison basés sur SHA-1 fin juillet 2020. Cela signifie que les anciens appareils Windows qui n’ont pas mis à jour vers SHA-2 ne recevront plus les mises à jour par le biais de Windows Update. Vos anciens appareils Windows peuvent continuer à utiliser Windows Update en installant manuellement les mises à jour de l’activation SHA-2 spécifiques.

Toutes les autres plateformes Windows continueront à recevoir des mises à jour par le biais de Windows Update, car elles se connectent à des points de terminaison de service SHA-2.

Pourquoi cette modification se produit-elle ?


Un point de terminaison du service Windows Update obsolète utilisé uniquement pour les anciennes plateformes est suspendu. Cette modification se produit en raison de faiblesses dans l’algorithme de hachage SHA-1 et pour s’aligner sur les normes industrielles.

Bien que le point de terminaison SHA-1 ne soit plus disponible, les appareils Windows plus récents continueront de recevoir des mises à jour via Windows Update, car ces appareils utilisent l’algorithme SHA-2 plus sécurisé. Consultez le tableau de la section « quels appareils Windows sont concernés » pour déterminer si vos appareils sont concernés.

Pour plus d’informations sur cette modification, voir la Configuration requise pour la prise en charge de la signature du Code 2019 SHA-2 pour Windows et WSUS.

Quels appareils Windows sont concernés ?


La plupart des utilisateurs ne seront pas affectés par cette modification. À partir de la version de bureau de Windows 8 et de Windows Server 2012, les connexions aux points de terminaison de service Windows Update utilisent un algorithme plus moderne (SHA-256). Les versions antérieures de Windows se connectent aux points de terminaison du service Windows Update à l’aide de l’algorithme SHA-1 moins sécurisée.

Pour la plupart des versions affectées de Windows, une mise à jour SHA-2 ajoute la prise en charge nécessaire pour continuer à recevoir des mises à jour via Windows Update. Le tableau suivant indique l’impact sur les différentes versions de Windows. Certaines plateformes ne sont plus prises en charge. par conséquent, elles ne sont pas mises à jour.

Ordinateur de bureau Windows

État du support technique

Windows 2000

L’appareil n’est pas pris en charge

Les mises à jour Windows ne seront plus prises en charge.

Windows XP Édition 64-bits

Windows XP SP3

Windows Vista

Windows Vista SP1

Windows Vista SP2

Windows 7

support Windows Update sera affecté.
Peut être atténué en installant manuellement les Ko.

Windows 7 SP1

Windows 8 et versions ultérieures

non affectées
Vous n’avez pas besoin de mettre à jour

Windows Server

État du support technique

Serveur Windows 2000

L’appareil n’est pas pris en charge

Les mises à jour Windows ne seront plus prises en charge.

Windows Server 2003

Windows Server 2003 SP2

Windows Server 2008

support Windows Update sera affecté.
Peut être atténué en installant manuellement les Ko.

Windows Server 2008 SP2

Windows Server 2008 R2

Windows Server 2008 R2 SP1

Windows 2012 et versions ultérieures

non affectées
Vous n’avez pas besoin de mettre à jour

Qu’advient-il des appareils impactés ?


Selon la table précédente, seuls les appareils Windows plus anciens qui n’ont pas mis à jour vers SHA-2 sont concernés par ce changement. Les appareils impactés ne pourront plus recevoir de mises à jour via Windows Update tant que vous ne les aurez pas mis à jour manuellement sur SHA-2. Pour mettre à jour manuellement vos appareils Windows, reportez-vous à la section « mettre à jour les appareils Windows pour SHA-2 ».

Un appareil Windows qui n’a pas été mis à jour pour SHA-2 essaiera de rechercher les mises à jour et renverra l’une des erreurs suivantes :

  • Code d’erreur 80072ee2 : L’appareil ne peut pas se connecter à Windows Update.

    Error code 80072ee2

  • Code d’erreur 8024402C : L’appareil ne parvient pas à localiser Windows Update.

    Error code 8024402c

  • Code d’erreur 80244019 : L’appareil ne peut pas se connecter à Windows Update.

    Error code 80244019

Certaines analyses de mise à jour ont lieu sans interaction directe de l’utilisateur avec l’interface utilisateur, telles que les mises à jour automatiques, les pilotes de périphériques, les signatures antivirus de Defender, les mises à jour de Microsoft Office, etc. Pour ces analyses « d’arrière-plan », ces échecs ne sont pas évidents. Dans ce cas, vous pouvez consulter le fichier journal Windows Update (c:\Windows\WindowsUpdate.log) pour les codes d’erreur : 0x8024402C, 8024402C, 0x80072ee2, 80072ee2, 0x80244019 ou 80244019.

Procédure de mise à jour des appareils Windows vers SHA-2


Pour continuer à utiliser Windows Update pour vos anciens appareils Windows, vous devez télécharger et installer les deux mises à jour spécifiques suivantes :

mise à jour 1 : Prise en charge de la signature du code SHA-2
Lorsque vous appliquez cette mise à jour, la prise en charge est ajoutée pour valider les signatures à l’aide des algorithmes de hachage SHA-2 plus sécurisés. Appliquez uniquement la mise à jour appropriée pour votre appareil Windows.
 

  • KB4474419: Mise à jour de la signature du code SHA-2
    S’applique à : Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2

     
  • KB4484071: SHA2 support pour Windows Server Update Services
    S’applique à : Windows Server Update Services 3,0 SP1 et Windows Server Update Services 3,2

     

Remarque La plupart des utilisateurs ne doivent installer que la mise à jour KB4474419. Les administrateurs d’entreprise peuvent également installer la mise à jour KB4484071.

mise à jour 2 : Mises à jour de la pile de maintenance associées à SHA-2
Lorsque vous appliquez cette mise à jour, la prise en charge est ajoutée à la pile de maintenance Windows Update pour valider les signatures SHA-2 et indique aux appareils Windows concernés de communiquer avec les points de terminaison de service modernes basés sur SHA-2 dans Windows Update. Appliquez uniquement la mise à jour appropriée pour votre appareil Windows.

  • KB4490628: Mise à jour de la pile de maintenance
    S’applique à :

    Windows 7 SP1 et Windows Server 2008 R2 SP1  
  • KB4493730: Mises à jour de la pile de service WU
    S’applique à :
    Windows Server 2008 SP2