Introduzione
In conformità con i criteri per la deprecazione di Microsoft Secure Hash Algorithm (SHA)-1, Windows Update non continua a usare gli endpoint basati sull'SHA-1 alla fine di luglio 2020. Ciò significa che i dispositivi Windows meno recenti che non sono stati aggiornati a SHA-2 non riceveranno più gli aggiornamenti tramite Windows Update. I dispositivi Windows meno recenti possono continuare a usare Windows Update installando manualmente specifici aggiornamenti di abilitazione SHA-2.
Tutte le altre piattaforme Windows continueranno a ricevere gli aggiornamenti tramite Windows Update, come hanno sempre fatto perché si connettono agli endpoint del servizio SHA-2.
Perché si verifica questo cambiamento?
Un endpoint di servizio Windows Update obsoleto usato solo per le piattaforme meno recenti viene interrotto. Questa modifica si verifica a causa di debolezze nell'algoritmo hash SHA-1 e per allineare gli standard di settore.
Anche se l'endpoint SHA-1 è stato sospeso, i dispositivi Windows più recenti continueranno a ricevere gli aggiornamenti tramite Windows Update, perché questi dispositivi usano l'algoritmo SHA-2 più sicuro. Vedere la tabella nella sezione "quali dispositivi Windows sono interessati" per determinare se i dispositivi sono interessati.
Per altre informazioni su questo cambiamento, vedere requisiti di supporto per la firma del codice di 2019 SHA-2 per Windows e WSUS.
Quali dispositivi Windows sono interessati?
La maggior parte degli utenti non avrà alcun effetto su questa modifica. A partire da desktop di Windows 8 e Windows Server 2012, le connessioni agli endpoint del servizio Windows Update usano un algoritmo più moderno (SHA-256). Le versioni precedenti di Windows si connettono agli endpoint del servizio Windows Update con l'algoritmo SHA-1 meno sicuro.
Per la maggior parte delle versioni di Windows interessate, un aggiornamento SHA-2 aggiungerà il supporto necessario per continuare a ricevere gli aggiornamenti tramite Windows Update. La tabella seguente illustra l'impatto sulle varie versioni di Windows. Alcuni Platform non sono più supportati, pertanto non verranno aggiornati.
|
Desktop Windows |
Stato supporto |
|
Windows 2000 |
Il dispositivo non è supportato Gli aggiornamenti di Windows non saranno più supportati. |
|
Windows XP 64-bit Edition |
|
|
Windows XP SP3 |
|
|
Windows Vista |
|
|
Windows Vista SP1 |
|
|
Windows Vista SP2 |
|
|
Windows 7 |
il supporto di Windows Update avrà effetto. |
|
Windows 7 SP1 |
|
|
Windows 8 e versioni successive |
non interessate |
|
Windows Server |
Stato supporto |
|
Server Windows 2000 |
Il dispositivo non è supportato Gli aggiornamenti di Windows non saranno più supportati. |
|
Windows Server 2003 |
|
|
Windows Server 2003 SP2 |
|
|
Windows Server 2008 |
il supporto di Windows Update avrà effetto. |
|
Windows Server 2008 SP2 |
|
|
Windows Server 2008 R2 |
|
|
Windows Server 2008 R2 SP1 |
|
|
Windows 2012 e versioni successive |
non interessate |
Cosa accadrà ai dispositivi interessati?
In base alla tabella precedente, solo i dispositivi Windows meno recenti che non sono stati aggiornati agli SHA-2 sono interessati dalla modifica. I dispositivi interessati non saranno più in grado di ricevere gli aggiornamenti tramite Windows Update finché non vengono aggiornati manualmente in SHA-2. Per aggiornare manualmente i dispositivi Windows, vedere la sezione "come aggiornare i dispositivi Windows in SHA-2".
Un dispositivo Windows che non viene aggiornato a SHA-2 tenterà di eseguire la ricerca di aggiornamenti e restituirà uno degli errori seguenti:
-
Codice di errore 80072ee2: Il dispositivo non riesce a connettersi a Windows Update.
-
Codice di errore 8024402C: Il dispositivo non è in grado di individuare Windows Update.
-
Codice di errore 80244019: Il dispositivo non riesce a connettersi a Windows Update.
Alcune scansioni di aggiornamento si verificano senza interazione diretta con l'interfaccia utente, ad esempio aggiornamenti automatici, driver di dispositivi, firme antivirus Defender, aggiornamenti di Microsoft Office e così via. Per queste analisi di "sfondo", questi errori non saranno ovvi. In questo caso, è possibile controllare il file di log di Windows Update (c:\Windows\WindowsUpdate.log) per i codici di errore: 0x8024402C, 8024402C, 0x80072EE2, 80072ee2, 0x80244019 o 80244019.
Come eseguire l'aggiornamento di dispositivi Windows a SHA-2
Per continuare a usare Windows Update per i dispositivi Windows meno recenti, è necessario scaricare e installare i due aggiornamenti specifici seguenti:
aggiornamento 1: Supporto per la firma del codice SHA-2
Dopo l'applicazione dell'aggiornamento, viene aggiunto il supporto per convalidare le firme con gli algoritmi di hash SHA-2 più sicuri. Applicare solo l'aggiornamento appropriato per il dispositivo Windows.
-
KB4474419: Aggiornamento del supporto per la firma del codice SHA-2
Si applica a: Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2 -
KB4484071: Supporto di SHA2 per Windows Server Update Services
Si applica a: Windows Server Update Services 3,0 SP1 e Windows Server Update Services 3,2
Nota La maggior parte degli utenti dovrebbe installare solo Update KB4474419. Gli amministratori dell'organizzazione possono anche installare Update KB4484071.
aggiornamento 2: Aggiornamenti dello stack di manutenzione correlati a SHA-2
Dopo l'applicazione dell'aggiornamento, il supporto viene aggiunto alla pila di manutenzione di Windows Update per convalidare le firme SHA-2 e indirizzare i dispositivi Windows interessati alle comunicazioni con i moderni endpoint dei servizi basati su SHA-2 in Windows Update. Applicare solo l'aggiornamento appropriato per il dispositivo Windows.
