Úvod
V súlade s politikou zrušenia algoritmu Microsoft Secure Hash Algorithm (SHA)-1 Windows Update koncom júla 2020 ruší svoje koncové body založené na sha-1. To znamená, že staršie zariadenia s Windowsom, ktoré sa neaktualizovali na SHA-2, už nebudú dostávať aktualizácie prostredníctvom Windows Update. Staršie zariadenia s Windowsom môžu naďalej používať Windows Update manuálnou inštaláciou konkrétnych aktualizácií SHA-2.
Všetky ostatné platformy Systému Windows budú naďalej dostávať aktualizácie prostredníctvom Windows Update ako vždy, pretože sa pripájajú ku koncovým bodom služby SHA-2.
Prečo k tejto zmene dochádza?
Zastaraný koncový bod služby Windows Update, ktorý sa používa len pre staršie platformy, sa ukončuje. K tejto zmene dochádza z dôvodu nedostatkov algoritmu hashovania SHA-1 a zosúladenia s odvetvovými normami.
Napriek tomu, že koncový bod SHA-1 sa ukončuje, novšie zariadenia s Windowsom budú naďalej dostávať aktualizácie prostredníctvom Windows Update, pretože tieto zariadenia používajú bezpečnejší algoritmus SHA-2. Pozrite si tabuľku v časti Ktoré zariadenia s Windowsom sú ovplyvnené a zistite, či sú vaše zariadenia ovplyvnené.
Ďalšie informácie o tejto zmene nájdete v téme 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.
Ktoré zariadenia s Windowsom sú ovplyvnené?
Táto zmena nebude mať vplyv na väčšinu používateľov. Od verzie Windows 8 Desktop a Windows Server 2012 používajú pripojenia ku koncovým bodom služby Windows Update modernejší algoritmus (SHA-256). Staršie verzie Windowsu sa pripájajú ku koncovým bodom služby Windows Update pomocou menej zabezpečeného algoritmu SHA-1.
V prípade väčšiny ovplyvnených verzií Windowsu aktualizácia SHA-2 pridá podporu potrebnú na ďalšie prijímanie aktualizácií prostredníctvom Windows Update. Nasledujúca tabuľka zobrazuje vplyv na rôzne verzie Windowsu. Niektoré platformy už nie sú podporované, preto sa nebudú aktualizovať.
Počítačová verzia Windowsu |
Stav podpory |
Windows 2000 |
Zariadenie nie je podporované Windows Aktualizácie už nebude podporovaný. |
Windows XP 64-bitová verzia |
|
Windows XP SP3 |
|
Windows Vista |
|
Windows Vista SP1 |
|
Windows Vista SP2 |
|
Windows 7 |
Windows Update podpora bude ovplyvnená. Dá sa zmierniť manuálnou inštaláciou KBS. |
Windows 7 SP1 |
|
Windows 8 a novšie verzie |
Neovplyvní Nie je potrebné aktualizovať |
Windows Server |
Stav podpory |
Windows 2000 Server |
Zariadenie nie je podporované Windows Aktualizácie už nebude podporovaný. |
Windows Server 2003 |
|
Windows Server 2003 SP2 |
|
Windows Server 2008 |
Windows Update podpora bude ovplyvnená. Dá sa zmierniť manuálnou inštaláciou KBS. |
Windows Server 2008 SP2 |
|
Windows Server 2008 R2 |
|
Windows Server 2008 R2 SP1 |
|
Windows 2012 a novšie verzie |
Neovplyvní Nie je potrebné aktualizovať |
Čo sa stane s ovplyvnenými zariadeniami?
Podľa predchádzajúcej tabuľky sú touto zmenou ovplyvnené iba staršie zariadenia s Windowsom, ktoré sa neaktualizovali na SHA-2. Ovplyvnené zariadenia už nebudú môcť prijímať aktualizácie prostredníctvom Windows Update, kým ich manuálne neaktualizujete na SHA-2. Ak chcete manuálne aktualizovať svoje zariadenia s Windowsom, pozrite si časť Aktualizácia zariadení s Windowsom na SHA-2.
Zariadenie s Windowsom, ktoré nie je aktualizované na SHA-2, sa pokúsi vyhľadať aktualizácie a vráti jednu z nasledujúcich chýb:
-
Kód chyby 80072ee2: Zariadenie sa nemôže pripojiť k Windows Update.
-
Kód chyby 8024402c: Zariadenie nemôže nájsť Windows Update.
-
80244019 kódu chyby: Zariadenie sa nemôže pripojiť k Windows Update.
Niektoré kontroly aktualizácií sa vyskytujú bez priamej interakcie používateľa s používateľským rozhraním, ako sú napríklad automatické aktualizácie, ovládače zariadení, antivírusové podpisy Defendera, aktualizácie balíka Microsoft Office atď. Pre tieto "pozadie" skenovanie, tieto zlyhania nebudú zrejmé. V takom prípade môžete kódy zlyhania vyhľadať v súbore denníka Windows Update (c:\windows\windowsupdate.log): 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 alebo 80244019.
Ako aktualizovať zariadenia s Windowsom na SHA-2
Ak chcete pokračovať v používaní Windows Update pre staršie zariadenia s Windowsom, musíte si stiahnuť a nainštalovať tieto dve konkrétne aktualizácie:
Aktualizácia 1: Podpora
podpisovania kódu SHA-2 Keď použijete túto aktualizáciu, pridá sa podpora na overenie podpisov pomocou bezpečnejších algoritmov hashovania SHA-2. Použite iba aktualizáciu, ktorá je vhodná pre vaše zariadenie s Windowsom.-
KB4474419: Aktualizácia podpory podpisovania kódu SHA-2 Vzťahuje sa na: Windows 7 SP1, Windows Server 2008 R2 SP1 a Windows Server 2008 SP2
-
KB4484071: Podpora SHA2 pre služby Windows Server Update Services Vzťahuje sa na: Windows Server Update Services 3.0 SP1 a Windows Server Update Services 3.2
Poznámka Väčšina používateľov by mala inštalovať len KB4474419 aktualizácie. Podnikoví správcovia môžu tiež nainštalovať KB4484071 aktualizácií.
Aktualizácia 2: SHA-2 Súvisiace servisné stack Aktualizácie
Keď použijete túto aktualizáciu, do zásobníka Windows Update údržby sa pridá podpora na overenie podpisov SHA-2 a nasmeruje ovplyvnené zariadenia s Windowsom na komunikáciu s modernými koncovými bodmi služby sha-2 v Windows Update. Použite iba aktualizáciu, ktorá je vhodná pre vaše zariadenie s Windowsom.