บทนำ
เพื่อให้สอดคล้องกับนโยบายการเลิกใช้ Microsoft Secure Hash Algorithm (SHA)-1 Windows Update จะยกเลิกจุดสิ้นสุด SHA-1 ในปลายเดือนกรกฎาคม 2020 ซึ่งหมายความว่าอุปกรณ์ Windows รุ่นเก่าที่ไม่ได้อัปเดตเป็น SHA-2 จะไม่ได้รับการอัปเดตผ่าน Windows Update อีกต่อไป อุปกรณ์ Windows รุ่นเก่าของคุณสามารถใช้ Windows Update ต่อไปได้โดยการติดตั้งการอัปเดต SHA-2 ที่ระบุด้วยตนเอง
แพลตฟอร์ม Windows อื่นๆ ทั้งหมดจะยังคงได้รับการอัปเดตผ่าน Windows Update เหมือนเช่นเคย เนื่องจากเชื่อมต่อกับจุดสิ้นสุดบริการ SHA-2
เหตุใดจึงมีการเปลี่ยนแปลงเกิดขึ้น
จุดสิ้นสุดบริการ Windows Update ล้าสมัยที่ใช้สําหรับแพลตฟอร์มที่เก่ากว่าเท่านั้นที่จะถูกยกเลิก การเปลี่ยนแปลงนี้เกิดขึ้นเนื่องจากจุดอ่อนในอัลกอริทึมการแฮช SHA-1 และเพื่อให้สอดคล้องกับมาตรฐานอุตสาหกรรม
แม้ว่าจุดสิ้นสุด SHA-1 จะถูกยกเลิก แต่อุปกรณ์ Windows ล่าสุดจะยังคงได้รับการอัปเดตผ่าน Windows Update เนื่องจากอุปกรณ์เหล่านั้นใช้อัลกอริทึม SHA-2 ที่มีความปลอดภัยมากยิ่งขึ้น ดูตารางในส่วน "อุปกรณ์ Windows ใดที่ได้รับผลกระทบ" เพื่อตรวจสอบว่าอุปกรณ์ของคุณได้รับผลกระทบหรือไม่
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปลี่ยนแปลงนี้ โปรดดู ข้อกําหนดการสนับสนุนการเซ็นโค้ด 2019 SHA-2 สําหรับ Windows และ WSUS
อุปกรณ์ Windows ใดบ้างที่ได้รับผลกระทบ
ผู้ใช้ส่วนใหญ่จะไม่ได้รับผลกระทบจากการเปลี่ยนแปลงนี้ เริ่มต้นด้วย Windows 8 Desktop และ Windows Server 2012 การเชื่อมต่อไปยังจุดสิ้นสุดบริการ Windows Update ใช้อัลกอริทึมที่ทันสมัยมากขึ้น (SHA 256) Windows เวอร์ชันที่เก่ากว่าจะเชื่อมต่อกับจุดสิ้นสุดบริการ Windows Update โดยใช้อัลกอริทึม SHA-1 ที่ปลอดภัยน้อยกว่า
สําหรับ Windows เวอร์ชันที่ได้รับผลกระทบส่วนใหญ่ การอัปเดต SHA-2 จะเพิ่มการสนับสนุนที่จําเป็นในการรับการอัปเดตผ่าน Windows Update ตารางต่อไปนี้แสดงผลกระทบต่อ Windows รุ่นต่างๆ บางแพลตฟอร์มไม่ได้รับการสนับสนุนอีกต่อไป ดังนั้นจึงไม่ได้รับการอัปเดต
เดสก์ท็อป Windows |
สถานะการสนับสนุน |
Windows 2000 |
อุปกรณ์ไม่รองรับ Windows Updates จะไม่ได้รับการสนับสนุนอีกต่อไป |
Windows XP รุ่น 64 บิต |
|
Windows XP SP3 |
|
Windows Vista |
|
Windows Vista SP1 |
|
Windows Vista SP2 |
|
Windows 7 |
การสนับสนุน Windows Update จะได้รับผลกระทบ สามารถบรรเทาได้ด้วยการติดตั้งเคบีด้วยตนเอง |
Windows 7 SP1 |
|
Windows 8 และเวอร์ชันที่ใหม่กว่า |
ไม่ได้รับผลกระทบ ไม่จําเป็นต้องอัปเดต |
Windows Server |
สถานะการสนับสนุน |
Windows 2000 Server |
อุปกรณ์ไม่รองรับ Windows Updates จะไม่ได้รับการสนับสนุนอีกต่อไป |
Windows Server 2003 |
|
Windows Server 2003 SP2 |
|
Windows Server 2008 |
การสนับสนุน Windows Update จะได้รับผลกระทบ สามารถบรรเทาได้ด้วยการติดตั้งเคบีด้วยตนเอง |
Windows Server 2008 SP2 |
|
Windows Server 2008 R2 |
|
Windows Server 2008 R2 SP1 |
|
Windows 2012 และเวอร์ชันที่ใหม่กว่า |
ไม่ได้รับผลกระทบ ไม่จําเป็นต้องอัปเดต |
จะเกิดอะไรขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ
ตามตารางก่อนหน้า เฉพาะอุปกรณ์ Windows รุ่นเก่าที่ยังไม่ได้อัปเดตเป็น SHA-2 จะได้รับผลกระทบจากการเปลี่ยนแปลงนี้ อุปกรณ์ที่ได้รับผลกระทบจะไม่สามารถรับการอัปเดตผ่าน Windows Update จนกว่าคุณจะอัปเดตเป็น SHA-2 ด้วยตนเอง เมื่อต้องการอัปเดตอุปกรณ์ Windows ของคุณด้วยตนเอง ดูส่วน "วิธีอัปเดตอุปกรณ์ Windows เป็น SHA-2"
อุปกรณ์ Windows ที่ไม่ได้อัปเดตเป็น SHA-2 จะพยายามสแกนหาการอัปเดต และจะส่งกลับข้อผิดพลาดอย่างใดอย่างหนึ่งต่อไปนี้:
-
รหัสข้อผิดพลาด 80072ee2: อุปกรณ์ไม่สามารถเชื่อมต่อไปยัง Windows Update
-
รหัสข้อผิดพลาด 8024402c: อุปกรณ์ไม่สามารถค้นหาตําแหน่ง Windows Update
-
รหัสข้อผิดพลาด 80244019: อุปกรณ์ไม่สามารถเชื่อมต่อไปยัง Windows Update
การสแกนการอัปเดตบางอย่างจะเกิดขึ้นโดยไม่มีการโต้ตอบกับ UI โดยตรงกับผู้ใช้ เช่น การอัปเดตอัตโนมัติ โปรแกรมควบคุมอุปกรณ์ ลายเซ็นโปรแกรมป้องกันไวรัสของ Defender การอัปเดต Microsoft Office และอื่นๆ สําหรับการสแกน "พื้นหลัง" เหล่านี้ ความล้มเหลวเหล่านี้จะไม่ชัดเจน ในกรณีดังกล่าว คุณสามารถตรวจสอบไฟล์บันทึก Windows Update (c:\windows\windowsupdate.log) สําหรับรหัสความล้มเหลว: 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 หรือ 80244019
วิธีอัปเดตอุปกรณ์ Windows เป็น SHA-2
หากต้องการใช้ Windows Update ต่อสําหรับอุปกรณ์ Windows รุ่นเก่า คุณต้องดาวน์โหลดและติดตั้งการอัปเดตเฉพาะสองรายการต่อไปนี้:
อัปเดต 1: การสนับสนุน
การเซ็นโค้ด SHA-2 เมื่อคุณใช้การอัปเดตนี้ การสนับสนุนจะถูกเพิ่มเพื่อตรวจสอบความถูกต้องของลายเซ็นโดยใช้อัลกอริทึมการแฮช SHA-2 ที่มีความปลอดภัยมากขึ้น ใช้การอัปเดตที่เหมาะสมกับอุปกรณ์ Windows ของคุณเท่านั้น-
KB4474419: การอัปเดต การสนับสนุนการเซ็นโค้ด SHA-2 นําไปใช้กับ: Windows 7 SP1, Windows Server 2008 R2 SP1 และ Windows Server 2008 SP2
-
KB4484071: การสนับสนุน SHA2 สําหรับ Windows Server Update Services นําไปใช้กับ: Windows Server Update Services 3.0 SP1 และ Windows Server Update Services 3.2
หมายเหตุ ผู้ใช้ส่วนใหญ่ควรติดตั้งการอัปเดต KB4474419 เท่านั้น ผู้ดูแลระบบขององค์กรอาจติดตั้งการอัปเดต KB4484071
อัปเดต 2: Updates
สแตกการให้บริการ SHA-2 ที่เกี่ยวข้อง เมื่อคุณใช้การอัปเดตนี้ การสนับสนุนจะถูกเพิ่มลงในสแตกการบริการ Windows Update เพื่อตรวจสอบลายเซ็น SHA-2 และอุปกรณ์ Windows ที่ได้รับผลกระทบเพื่อสื่อสารกับจุดสิ้นสุดบริการ SHA-2 ที่ทันสมัยใน Windows Update ใช้การอัปเดตที่เหมาะสมกับอุปกรณ์ Windows ของคุณเท่านั้น