Introduzione
In conformità ai criteri di deprecazione SHA-1 (Microsoft Secure Hash Algorithm), Windows Update interrompe i relativi endpoint basati su SHA-1 alla fine di luglio 2020. Ciò significa che i dispositivi Windows meno recenti che non hanno eseguito l'aggiornamento a SHA-2 non riceveranno più gli aggiornamenti tramite Windows Update. I dispositivi Windows meno recenti possono continuare a usare Windows Update installando manualmente specifici sha-2 che abilitano gli aggiornamenti.
Tutte le altre piattaforme Windows continueranno a ricevere gli aggiornamenti tramite Windows Update come sempre perché si connettono agli endpoint del servizio SHA-2.
Perché si verifica questo cambiamento?
Un endpoint del servizio Windows Update obsoleto usato solo per le piattaforme meno recenti viene interrotto. Questo cambiamento si sta verificando a causa di punti deboli nell'algoritmo di hash SHA-1 e per allinearsi agli standard di settore.
Anche se l'endpoint SHA-1 non è più disponibile, i dispositivi Windows più recenti continueranno a ricevere gli aggiornamenti tramite Windows Update perché questi dispositivi usano l'algoritmo SHA-2 più sicuro. Vedi la tabella nella sezione "Quali dispositivi Windows sono interessati" per determinare se i dispositivi sono interessati.
Per altre informazioni su questa modifica, vedi Requisito per il supporto per la firma del codice di SHA-2 2019 per Windows e WSUS.
Quali dispositivi Windows sono interessati?
La maggior parte degli utenti non sarà influenzata da questa modifica. A partire da Windows 8 Desktop e Windows Server 2012, le connessioni agli endpoint del servizio Windows Update usano un algoritmo più moderno (SHA-256). Le versioni precedenti di Windows si connettono agli endpoint del servizio Windows Update usando l'algoritmo SHA-1 meno sicuro.
Per la maggior parte delle versioni interessate di Windows, un aggiornamento SHA-2 aggiungerà il supporto necessario per continuare a ricevere gli aggiornamenti tramite Windows Update. La tabella seguente mostra l'impatto sulle varie versioni di Windows. Alcune piattaforme non sono più supportate, pertanto non verranno aggiornate.
Windows Desktop |
Stato del supporto |
Windows 2000 |
Il dispositivo non è supportato Windows Aggiornamenti non sarà più supportato. |
Windows XP edizione a 64 bit |
|
Windows XP SP3 |
|
Windows Vista |
|
Windows Vista SP1 |
|
Windows Vista SP2 |
|
Windows 7 |
Windows Update supporto sarà interessato. Può essere attenuato installando manualmente kb. |
Windows 7 SP1 |
|
Windows 8 e versioni successive |
Non interessato Non è necessario eseguire l'aggiornamento |
Windows Server |
Stato del supporto |
Windows 2000 Server |
Il dispositivo non è supportato Windows Aggiornamenti non sarà più supportato. |
Windows Server 2003 |
|
Windows Server 2003 SP2 |
|
Windows Server 2008 |
Windows Update supporto sarà interessato. Può essere attenuato installando manualmente kb. |
Windows Server 2008 SP2 |
|
Windows Server 2008 R2 |
|
Windows Server 2008 R2 SP1 |
|
Windows 2012 e versioni successive |
Non interessato Non è necessario eseguire l'aggiornamento |
Cosa accadrà ai dispositivi interessati?
Secondo la tabella precedente, solo i dispositivi Windows meno recenti che non hanno eseguito l'aggiornamento a SHA-2 sono interessati da questa modifica. I dispositivi interessati non saranno più in grado di ricevere aggiornamenti tramite Windows Update finché non li aggiorni manualmente a SHA-2. Per aggiornare manualmente i dispositivi Windows, vedi la sezione "Come aggiornare i dispositivi Windows a SHA-2".
Un dispositivo Windows che non viene aggiornato a SHA-2 tenterà di eseguire la ricerca di aggiornamenti e restituirà uno dei seguenti errori:
-
Codice di errore 80072ee2: Il dispositivo non riesce a connettersi a Windows Update.
-
Codice di errore 8024402c: Il dispositivo non è in grado di individuare Windows Update.
-
Codice di errore 80244019: Il dispositivo non riesce a connettersi a Windows Update.
Alcune analisi degli aggiornamenti vengono eseguite senza l'interazione diretta dell'utente con l'interfaccia utente, ad esempio aggiornamenti automatici, driver di dispositivo, firme antivirus defender, aggiornamenti di Microsoft Office e così via. Per queste analisi "in background", questi errori non saranno evidenti. In questo caso, è possibile cercare i codici errore nel file di log Windows Update (c:\windows\windowsupdate.log): 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 o 80244019.
Come aggiornare i dispositivi Windows a SHA-2
Per continuare a usare Windows Update per i dispositivi Windows meno recenti, è necessario scaricare e installare i due aggiornamenti specifici seguenti:
Aggiornamento 1: supporto per la firma del codice SHA-2
Quando si applica questo aggiornamento, viene aggiunto il supporto per convalidare le firme usando gli algoritmi di hash SHA-2 più sicuri. Applica solo l'aggiornamento appropriato per il tuo dispositivo Windows.-
KB4474419: aggiornamento del supporto per la firma del codice SHA-2 Si applica a: Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2
-
KB4484071: Supporto SHA2 per Windows Server Update Services Si applica a: Windows Server Update Services 3.0 SP1 e Windows Server Update Services 3.2
Nota La maggior parte degli utenti dovrebbe installare solo gli aggiornamenti KB4474419. Gli amministratori aziendali possono anche installare KB4484071 di aggiornamento.
Aggiornamento 2: stack di manutenzione correlati a SHA-2 Aggiornamenti
Quando si applica questo aggiornamento, il supporto viene aggiunto allo stack di manutenzione Windows Update per convalidare le firme SHA-2 e indica ai dispositivi Windows interessati di comunicare con gli endpoint del servizio moderni basati su SHA-2 in Windows Update. Applica solo l'aggiornamento appropriato per il tuo dispositivo Windows.