Úvod
V súlade s politikou zrušenia algoritmu Microsoft Secure Hash Algorithm (SHA)-1 Windows Update koncom júla 2020 ruší svoje koncové body založené na sha-1. To znamená, že staršie zariadenia s Windowsom, ktoré sa neaktualizovali na SHA-2, už nebudú dostávať aktualizácie prostredníctvom Windows Update. Staršie zariadenia s Windowsom môžu naďalej používať Windows Update manuálnou inštaláciou konkrétnych aktualizácií SHA-2.
Všetky ostatné platformy Systému Windows budú naďalej dostávať aktualizácie prostredníctvom Windows Update ako vždy, pretože sa pripájajú ku koncovým bodom služby SHA-2.
Prečo k tejto zmene dochádza?
Zastaraný koncový bod služby Windows Update, ktorý sa používa len pre staršie platformy, sa ukončuje. K tejto zmene dochádza z dôvodu nedostatkov algoritmu hashovania SHA-1 a zosúladenia s odvetvovými normami.
Napriek tomu, že koncový bod SHA-1 sa ukončuje, novšie zariadenia s Windowsom budú naďalej dostávať aktualizácie prostredníctvom Windows Update, pretože tieto zariadenia používajú bezpečnejší algoritmus SHA-2. Pozrite si tabuľku v časti Ktoré zariadenia s Windowsom sú ovplyvnené a zistite, či sú vaše zariadenia ovplyvnené.
Ďalšie informácie o tejto zmene nájdete v téme 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.
Ktoré zariadenia s Windowsom sú ovplyvnené?
Táto zmena nebude mať vplyv na väčšinu používateľov. Od verzie Windows 8 Desktop a Windows Server 2012 používajú pripojenia ku koncovým bodom služby Windows Update modernejší algoritmus (SHA-256). Staršie verzie Windowsu sa pripájajú ku koncovým bodom služby Windows Update pomocou menej zabezpečeného algoritmu SHA-1.
V prípade väčšiny ovplyvnených verzií Windowsu aktualizácia SHA-2 pridá podporu potrebnú na ďalšie prijímanie aktualizácií prostredníctvom Windows Update. Nasledujúca tabuľka zobrazuje vplyv na rôzne verzie Windowsu. Niektoré platformy už nie sú podporované, preto sa nebudú aktualizovať.
|
Počítačová verzia Windowsu |
Stav podpory |
|
Windows 2000 |
Zariadenie nie je podporované Windows Aktualizácie už nebude podporovaný. |
|
Windows XP 64-bitová verzia |
|
|
Windows XP SP3 |
|
|
Windows Vista |
|
|
Windows Vista SP1 |
|
|
Windows Vista SP2 |
|
|
Windows 7 |
Windows Update podpora bude ovplyvnená.Dá sa zmierniť manuálnou inštaláciou KBS. |
|
Windows 7 SP1 |
|
|
Windows 8 a novšie verzie |
Neovplyvní Nie je potrebné aktualizovať |
|
Windows Server |
Stav podpory |
|
Windows 2000 Server |
Zariadenie nie je podporované Windows Aktualizácie už nebude podporovaný. |
|
Windows Server 2003 |
|
|
Windows Server 2003 SP2 |
|
|
Windows Server 2008 |
Windows Update podpora bude ovplyvnená.Dá sa zmierniť manuálnou inštaláciou KBS. |
|
Windows Server 2008 SP2 |
|
|
Windows Server 2008 R2 |
|
|
Windows Server 2008 R2 SP1 |
|
|
Windows 2012 a novšie verzie |
Neovplyvní Nie je potrebné aktualizovať |
Čo sa stane s ovplyvnenými zariadeniami?
Podľa predchádzajúcej tabuľky sú touto zmenou ovplyvnené iba staršie zariadenia s Windowsom, ktoré sa neaktualizovali na SHA-2. Ovplyvnené zariadenia už nebudú môcť prijímať aktualizácie prostredníctvom Windows Update, kým ich manuálne neaktualizujete na SHA-2. Ak chcete manuálne aktualizovať svoje zariadenia s Windowsom, pozrite si časť Aktualizácia zariadení s Windowsom na SHA-2.
Zariadenie s Windowsom, ktoré nie je aktualizované na SHA-2, sa pokúsi vyhľadať aktualizácie a vráti jednu z nasledujúcich chýb:
-
Kód chyby 80072ee2: Zariadenie sa nemôže pripojiť k Windows Update.
-
Kód chyby 8024402c: Zariadenie nemôže nájsť Windows Update.
-
80244019 kódu chyby: Zariadenie sa nemôže pripojiť k Windows Update.
Niektoré kontroly aktualizácií sa vyskytujú bez priamej interakcie používateľa s používateľským rozhraním, ako sú napríklad automatické aktualizácie, ovládače zariadení, antivírusové podpisy Defendera, aktualizácie balíka Microsoft Office atď. Pre tieto "pozadie" skenovanie, tieto zlyhania nebudú zrejmé. V takom prípade môžete kódy zlyhania vyhľadať v súbore denníka Windows Update (c:\windows\windowsupdate.log): 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 alebo 80244019.
Ako aktualizovať zariadenia s Windowsom na SHA-2
Ak chcete pokračovať v používaní Windows Update pre staršie zariadenia s Windowsom, musíte si stiahnuť a nainštalovať tieto dve konkrétne aktualizácie:
Aktualizácia 1: Podpora podpisovania kódu SHA-2 Keď použijete túto aktualizáciu, pridá sa podpora na overenie podpisov pomocou bezpečnejších algoritmov hashovania SHA-2. Použite iba aktualizáciu, ktorá je vhodná pre vaše zariadenie s Windowsom.
-
KB4474419: Aktualizácia podpory podpisovania kódu SHA-2 Vzťahuje sa na: Windows 7 SP1, Windows Server 2008 R2 SP1 a Windows Server 2008 SP2
-
KB4484071: Podpora SHA2 pre služby Windows Server Update Services Vzťahuje sa na: Windows Server Update Services 3.0 SP1 a Windows Server Update Services 3.2
Poznámka Väčšina používateľov by mala inštalovať len KB4474419 aktualizácie. Podnikoví správcovia môžu tiež nainštalovať KB4484071 aktualizácií.
Aktualizácia 2: SHA-2 Súvisiace servisné stack Aktualizácie Keď použijete túto aktualizáciu, do zásobníka Windows Update údržby sa pridá podpora na overenie podpisov SHA-2 a nasmeruje ovplyvnené zariadenia s Windowsom na komunikáciu s modernými koncovými bodmi služby sha-2 v Windows Update. Použite iba aktualizáciu, ktorá je vhodná pre vaše zariadenie s Windowsom.
