Введение
В соответствии с политикой устаревания Microsoft Secure Hash Algorithm (SHA)-1 в конце июля 2020 г. клиентский компонент Центра обновления Windows прекращает работу с конечными точками на основе SHA-1. Это означает, что более старые устройства Windows, которые не были обновлены до SHA-2, больше не будут получать обновления через клиентский компонент Центра обновления Windows. Старые устройства Windows могут продолжать использовать клиентский компонент Центра обновления Windows, вручную установив определенные обновления SHA-2.
Все остальные платформы Windows будут по-прежнему получать обновления через клиентский компонент Центра обновления Windows, так как они подключаются к конечным точкам службы SHA-2.
Почему происходит это изменение?
Устаревшая конечная точка службы клиентский компонент Центра обновления Windows, используемая только для старых платформ, прекращена. Это изменение происходит из-за слабых мест в алгоритме хэширования SHA-1 и в соответствии с отраслевыми стандартами.
Несмотря на то, что конечная точка SHA-1 прекращена, более поздние устройства Windows будут продолжать получать обновления через клиентский компонент Центра обновления Windows так как эти устройства используют более безопасный алгоритм SHA-2. Сведения о том, затронуты ли ваши устройства, см. в таблице в разделе "Какие устройства Windows затронуты".
Дополнительные сведения об этом изменении см. в статье Требование поддержки подписывания кода SHA-2 для Windows и WSUS за 2019 год.
Какие устройства Windows затронуты?
Это изменение не повлияет на большинство пользователей. Начиная с Windows 8 desktop и Windows Server 2012 подключения к конечным точкам службы клиентский компонент Центра обновления Windows используют более современный алгоритм (SHA-256). Более старые версии Windows подключаются к конечным точкам службы клиентский компонент Центра обновления Windows с помощью менее безопасного алгоритма SHA-1.
Для большинства затронутых версий Windows обновление SHA-2 добавит поддержку, необходимую для продолжения получения обновлений через клиентский компонент Центра обновления Windows. В следующей таблице показано влияние на различные версии Windows. Некоторые платформы больше не поддерживаются, поэтому они не будут обновляться.
Рабочий стол Windows |
Состояние поддержки |
Windows 2000 |
Устройство не поддерживается Windows Обновления больше не будут поддерживаться. |
64-разрядная версия Windows XP |
|
Windows XP с пакетом обновления 3 (SP3) |
|
Windows Vista |
|
Windows Vista с пакетом обновления 1 (SP1) |
|
Windows Vista с пакетом обновления 2 (SP2) |
|
Windows 7 |
клиентский компонент Центра обновления Windows будет затронута поддержка. |
Windows 7 с пакетом обновления 1 (SP1) |
|
Windows 8 и более поздних версий |
Не затронуто |
Windows Server |
Состояние поддержки |
Windows 2000 Server |
Устройство не поддерживается Windows Обновления больше не будут поддерживаться. |
Windows Server 2003 |
|
Windows Server 2003 с пакетом обновления 2 (SP2) |
|
Windows Server 2008 |
клиентский компонент Центра обновления Windows будет затронута поддержка. |
Windows Server 2008 с пакетом обновления 2 (SP2) |
|
Windows Server 2008 R2 |
|
Windows Server 2008 R2 с пакетом обновления 1 (SP1) |
|
Windows 2012 и более поздних версий |
Не затронуто |
Что произойдет с затронутыми устройствами?
Согласно предыдущей таблице, это изменение влияет только на старые устройства Windows, которые не были обновлены до SHA-2. Затронутые устройства больше не смогут получать обновления через клиентский компонент Центра обновления Windows, пока вы не обновите их вручную до SHA-2. Сведения об обновлении устройств Windows вручную см. в разделе "Обновление устройств Windows до SHA-2".
Устройство Windows, которое не обновлено до SHA-2, попытается проверить наличие обновлений и вернет одну из следующих ошибок:
-
Код ошибки 80072ee2: Устройство не может подключиться к клиентский компонент Центра обновления Windows.
-
Код ошибки 8024402c: Устройству не удается найти клиентский компонент Центра обновления Windows.
-
Код ошибки 80244019: Устройство не может подключиться к клиентский компонент Центра обновления Windows.
Некоторые проверки обновлений выполняются без прямого взаимодействия пользователя с пользовательским интерфейсом, например автоматических обновлений, драйверов устройств, подписей антивирусной программы Defender, обновлений Microsoft Office и т. д. Для этих "фоновых" проверок эти сбои не будут очевидны. В этом случае можно проверка файл журнала клиентский компонент Центра обновления Windows (c:\windows\windowsupdate.log) для кодов сбоев: 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 или 80244019.
Обновление устройств Windows до SHA-2
Чтобы продолжить использовать клиентский компонент Центра обновления Windows для более старых устройств с Windows, необходимо скачать и установить следующие два конкретных обновления:
Обновление 1. Поддержка
подписывания кода SHA-2
При применении этого обновления добавляется поддержка проверки подписей с помощью более безопасных алгоритмов хэширования SHA-2. Применяйте только обновление, соответствующее вашему устройству с Windows.
-
KB4474419: обновление
поддержки подписывания кода SHA-2 Область применения: Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2) -
KB4484071: поддержка SHA2 для Windows Server Update Services
Область применения: Windows Server Update Services 3.0 с пакетом обновления 1 (SP1) и Windows Server Update Services 3.2
Примечание Большинство пользователей должны устанавливать только обновления KB4474419. Администраторы предприятия также могут устанавливать обновления KB4484071.
Обновление 2. Стек обслуживания, связанный с SHA-2, Обновления
При применении этого обновления в стек обслуживания клиентский компонент Центра обновления Windows добавляется поддержка для проверки подписей SHA-2 и направляет затронутые устройства Windows на обмен данными с современными конечными точками службы на основе SHA-2 в клиентский компонент Центра обновления Windows. Применяйте только обновление, соответствующее вашему устройству с Windows.