клиентский компонент Центра обновления Windows конечные точки на основе SHA-1 прекращены для более старых устройств Windows

Введение

В соответствии с политикой устаревания Microsoft Secure Hash Algorithm (SHA)-1 в конце июля 2020 г. клиентский компонент Центра обновления Windows прекращает работу с конечными точками на основе SHA-1. Это означает, что более старые устройства Windows, которые не были обновлены до SHA-2, больше не будут получать обновления через клиентский компонент Центра обновления Windows. Старые устройства Windows могут продолжать использовать клиентский компонент Центра обновления Windows, вручную установив определенные обновления SHA-2.

Все остальные платформы Windows будут по-прежнему получать обновления через клиентский компонент Центра обновления Windows, так как они подключаются к конечным точкам службы SHA-2.

Почему происходит это изменение?

Устаревшая конечная точка службы клиентский компонент Центра обновления Windows, используемая только для старых платформ, прекращена. Это изменение происходит из-за слабых мест в алгоритме хэширования SHA-1 и в соответствии с отраслевыми стандартами.

Несмотря на то, что конечная точка SHA-1 прекращена, более поздние устройства Windows будут продолжать получать обновления через клиентский компонент Центра обновления Windows так как эти устройства используют более безопасный алгоритм SHA-2. Сведения о том, затронуты ли ваши устройства, см. в таблице в разделе "Какие устройства Windows затронуты".

Дополнительные сведения об этом изменении см. в статье Требование поддержки подписывания кода SHA-2 для Windows и WSUS за 2019 год.

Какие устройства Windows затронуты?

Это изменение не повлияет на большинство пользователей. Начиная с Windows 8 desktop и Windows Server 2012 подключения к конечным точкам службы клиентский компонент Центра обновления Windows используют более современный алгоритм (SHA-256). Более старые версии Windows подключаются к конечным точкам службы клиентский компонент Центра обновления Windows с помощью менее безопасного алгоритма SHA-1.

Для большинства затронутых версий Windows обновление SHA-2 добавит поддержку, необходимую для продолжения получения обновлений через клиентский компонент Центра обновления Windows. В следующей таблице показано влияние на различные версии Windows. Некоторые платформы больше не поддерживаются, поэтому они не будут обновляться.

Что произойдет с затронутыми устройствами?

Согласно предыдущей таблице, это изменение влияет только на старые устройства Windows, которые не были обновлены до SHA-2. Затронутые устройства больше не смогут получать обновления через клиентский компонент Центра обновления Windows, пока вы не обновите их вручную до SHA-2. Сведения об обновлении устройств Windows вручную см. в разделе "Обновление устройств Windows до SHA-2".

Устройство Windows, которое не обновлено до SHA-2, попытается проверить наличие обновлений и вернет одну из следующих ошибок:

• Код ошибки 80072ee2: Устройство не может подключиться к клиентский компонент Центра обновления Windows.
  
  

• Код ошибки 8024402c: Устройству не удается найти клиентский компонент Центра обновления Windows.
  
  

• Код ошибки 80244019: Устройство не может подключиться к клиентский компонент Центра обновления Windows.
  
  

Некоторые проверки обновлений выполняются без прямого взаимодействия пользователя с пользовательским интерфейсом, например автоматических обновлений, драйверов устройств, подписей антивирусной программы Defender, обновлений Microsoft Office и т. д. Для этих "фоновых" проверок эти сбои не будут очевидны. В этом случае можно проверка файл журнала клиентский компонент Центра обновления Windows (c:\windows\windowsupdate.log) для кодов сбоев: 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 или 80244019.

Обновление устройств Windows до SHA-2

Чтобы продолжить использовать клиентский компонент Центра обновления Windows для более старых устройств с Windows, необходимо скачать и установить следующие два конкретных обновления:

Обновление 1. Поддержка
подписывания кода SHA-2 При применении этого обновления добавляется поддержка проверки подписей с помощью более безопасных алгоритмов хэширования SHA-2. Применяйте только обновление, соответствующее вашему устройству с Windows.
 

• KB4474419: обновление
  поддержки подписывания кода SHA-2 Область применения: Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)
  

• KB4484071: поддержка SHA2 для Windows Server Update Services
  Область применения: Windows Server Update Services 3.0 с пакетом обновления 1 (SP1) и Windows Server Update Services 3.2
  

Примечание Большинство пользователей должны устанавливать только обновления KB4474419. Администраторы предприятия также могут устанавливать обновления KB4484071.

Обновление 2. Стек обслуживания, связанный с SHA-2, Обновления
При применении этого обновления в стек обслуживания клиентский компонент Центра обновления Windows добавляется поддержка для проверки подписей SHA-2 и направляет затронутые устройства Windows на обмен данными с современными конечными точками службы на основе SHA-2 в клиентский компонент Центра обновления Windows. Применяйте только обновление, соответствующее вашему устройству с Windows.

• KB4490628: обновление
  стека обслуживания Область применения: Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)
  

• KB4493730: Обновления
  стек служб WU Область применения: Windows Server 2008 с пакетом обновления 2 (SP2)