Introduction
Conformément à la stratégie de dépréciation de l’algorithme de hachage sécurisé Microsoft (SHA)-1, Windows Update arrête ses points de terminaison basés sur SHA-1 à la fin du mois de juillet 2020. Cela signifie que les anciens appareils Windows qui n’ont pas été mis à jour vers SHA-2 ne recevront plus de mises à jour via Windows Update. Vos anciens appareils Windows peuvent continuer à utiliser Windows Update en installant manuellement des mises à jour SHA-2 spécifiques.
Toutes les autres plateformes Windows continueront de recevoir des mises à jour via Windows Update, car elles se connectent aux points de terminaison de service SHA-2.
Pourquoi ce changement se produit-il ?
Un point de terminaison de service Windows Update obsolète utilisé uniquement pour les plateformes plus anciennes est abandonné. Ce changement se produit en raison des faiblesses de l’algorithme de hachage SHA-1 et de l’alignement sur les normes du secteur.
Même si le point de terminaison SHA-1 est abandonné, les appareils Windows les plus récents continueront à recevoir des mises à jour via Windows Update, car ces appareils utilisent l’algorithme SHA-2 plus sécurisé. Consultez le tableau de la section « Quels appareils Windows sont affectés » pour déterminer si vos appareils sont affectés.
Pour plus d’informations sur cette modification, consultez Configuration requise pour la prise en charge de la signature de code SHA-2 2 pour Windows et WSUS.
Quels appareils Windows sont affectés ?
La plupart des utilisateurs ne seront pas affectés par cette modification. À compter de Windows 8 Desktop et Windows Server 2012, les connexions aux points de terminaison de service Windows Update utilisent un algorithme plus moderne (SHA-256). Les versions antérieures de Windows se connectent à Windows Update points de terminaison de service à l’aide de l’algorithme SHA-1 moins sécurisé.
Pour la plupart des versions impactées de Windows, une mise à jour SHA-2 ajoute la prise en charge nécessaire pour continuer à recevoir les mises à jour via Windows Update. Le tableau suivant montre l’impact sur les différentes versions de Windows. Certaines plateformes ne sont plus prises en charge et ne seront donc pas mises à jour.
|
Bureau Windows |
État de prise en charge |
|
Windows 2000 |
L’appareil n’est plus pris en charge Les Mises à jour Windows ne seront plus pris en charge. |
|
Windows XP Édition 64 bits |
|
|
Windows XP SP3 |
|
|
Windows Vista |
|
|
Windows Vista SP1 |
|
|
Windows Vista SP2 |
|
|
Windows 7 |
Windows Update prise en charge sera impactée.Peut être atténué en installant manuellement des bases de connaissances. |
|
Windows 7 SP1 |
|
|
Windows 8 et versions ultérieures |
Non affecté Il n’est pas nécessaire de mettre à jour |
|
Windows Server |
État de prise en charge |
|
Windows 2000 Server |
L’appareil n’est plus pris en charge Les Mises à jour Windows ne seront plus pris en charge. |
|
Windows Server 2003 |
|
|
Windows Server 2003 SP2 |
|
|
Windows Server 2008 |
Windows Update prise en charge sera impactée.Peut être atténué en installant manuellement des bases de connaissances. |
|
Windows Server 2008 SP2 |
|
|
Windows Server 2008 R2 |
|
|
Windows Server 2008 R2 SP1 |
|
|
Windows 2012 et versions ultérieures |
Non affecté Il n’est pas nécessaire de mettre à jour |
Que se passera-t-il pour les appareils affectés ?
Selon le tableau précédent, seuls les anciens appareils Windows qui n’ont pas été mis à jour vers SHA-2 sont affectés par cette modification. Les appareils concernés ne pourront plus recevoir de mises à jour via Windows Update tant que vous ne les mettez pas manuellement à jour vers SHA-2. Pour mettre à jour manuellement vos appareils Windows, consultez la section « Mise à jour des appareils Windows vers SHA-2 ».
Un appareil Windows qui n’est pas mis à jour vers SHA-2 tente de rechercher les mises à jour et retourne l’une des erreurs suivantes :
-
Code d’erreur 80072ee2 : L’appareil ne peut pas se connecter à Windows Update.
-
Code d’erreur 8024402c : L’appareil ne parvient pas à localiser Windows Update.
-
Code d’erreur 80244019 : L’appareil ne peut pas se connecter à Windows Update.
Certaines analyses de mise à jour se produisent sans interaction directe de l’utilisateur avec l’interface utilisateur, comme les mises à jour automatiques, les pilotes de périphérique, les signatures antivirus Defender, les mises à jour Microsoft Office, etc. Pour ces analyses « en arrière-plan », ces échecs ne sont pas évidents. Dans ce cas, vous pouvez case activée le fichier journal Windows Update (c :\windows\windowsupdate.log) pour les codes d’échec : 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 ou 80244019.
Comment mettre à jour des appareils Windows vers SHA-2
Pour continuer à utiliser Windows Update pour vos anciens appareils Windows, vous devez télécharger et installer les deux mises à jour spécifiques suivantes :
Mise à jour 1 : Prise en charge de la signature de code SHA-2 Lorsque vous appliquez cette mise à jour, la prise en charge est ajoutée pour valider les signatures à l’aide des algorithmes de hachage SHA-2 plus sécurisés. Appliquez uniquement la mise à jour appropriée pour votre appareil Windows.
-
KB4474419 : Mise à jour de la prise en charge de la signature du code SHA-2 S’applique à : Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2
-
KB4484071 : Prise en charge de SHA2 pour Windows Server Update Services S’applique à : Windows Server Update Services 3.0 SP1 et Windows Server Update Services 3.2
Remarque La plupart des utilisateurs doivent uniquement installer les KB4474419 de mise à jour. Les administrateurs d’entreprise peuvent également installer des KB4484071 de mise à jour.
Mise à jour 2 : Mises à jour de pile de maintenance associée à SHA-2 Lorsque vous appliquez cette mise à jour, la prise en charge est ajoutée à la pile de maintenance Windows Update pour valider les signatures SHA-2 et indique aux appareils Windows concernés de communiquer avec les points de terminaison de service modernes basés sur SHA-2 dans Windows Update. Appliquez uniquement la mise à jour appropriée pour votre appareil Windows.
