Вступ
Відповідно до політики вилучення алгоритму безпечного хешування (SHA)-1, Windows Update припиняє свою кінцеву точку на базі SHA-1 наприкінці липня 2020 року. Це означає, що старі пристрої Windows, не оновлені до SHA-2, більше не отримуватимуть оновлення через Windows Update. Старіші пристрої Windows можуть і надалі використовувати Windows Update, вручну інсталюючи певні оновлення SHA-2.
Усі інші платформи Windows отримуватимуть оновлення через Windows Update, як завжди, оскільки підключаються до кінцевих точок служби SHA-2.
Чому ця зміна відбувається?
Припиняється застаріла кінцева точка служби Windows Update, яка використовується лише для попередніх платформ. Ця зміна відбувається через слабкі місця в алгоритмі хешування SHA-1 і відповідність галузевим стандартам.
Незважаючи на те, що кінцева точка SHA-1 припиняється, новіші пристрої Windows продовжуватимуть отримувати оновлення через Windows Update, оскільки ці пристрої використовують більш безпечний алгоритм SHA-2. Щоб дізнатися, чи впливають ваші пристрої, див. таблицю в розділі "Які пристрої Windows впливають".
Докладні відомості про цю зміну див. в статті Вимоги підтримки підписування коду SHA-2 2019 для Windows і WSUS.
На які пристрої Windows впливають?
На більшість користувачів ця зміна не вплине. Починаючи з Windows 8 робочого стола та Windows Server 2012, підключення до кінцевих точок служби Windows Update використовують більш сучасний алгоритм (SHA-256). Старіші версії Windows підключаються до кінцевих точок служби Windows Update за допомогою менш безпечного алгоритму SHA-1.
Для більшості версій Windows, на які впливає проблема, оновлення SHA-2 додасть підтримку, необхідну для подальшого отримання оновлень через Windows Update. У таблиці нижче показано вплив на різні версії Windows. Деякі платформи більше не підтримуються, тому їх не буде оновлено.
Робочий стіл Windows |
Стан підтримки |
Windows 2000 |
Пристрій не підтримується Windows Оновлення більше не підтримуватиметься. |
64-розрядна версія Windows XP |
|
Windows XP SP3 |
|
Windows Vista |
|
Windows Vista SP1 |
|
Windows Vista SP2 |
|
Windows 7 |
Windows Update буде порушено підтримку. |
Windows 7 із пакетом оновлень 1 (SP1) |
|
Windows 8 та пізніші версії |
Це не вплинуло |
Windows Server |
Стан підтримки |
Windows 2000 Server |
Пристрій не підтримується Windows Оновлення більше не підтримуватиметься. |
Windows Server 2003 |
|
Windows Server 2003 SP2 |
|
Windows Server 2008 |
Windows Update буде порушено підтримку. |
Windows Server 2008 SP2 |
|
Windows Server 2008 R2 |
|
Windows Server 2008 R2 з пакетом оновлень 1 (SP1) |
|
Windows 2012 і пізніші версії |
Це не вплинуло |
Що станеться з пристроями, які зазнали впливу?
Відповідно до попередньої таблиці ця зміна впливає лише на старі пристрої Windows, які не оновилися до SHA-2. Пристрої, яких це стосується, більше не зможуть отримувати оновлення через Windows Update, доки ви вручну не оновите їх до SHA-2. Щоб оновити пристрої Windows вручну, див. розділ "Оновлення пристроїв Windows до SHA-2".
Пристрій Windows, не оновлений до SHA-2, спробує перевірити наявність оновлень і поверне одну з таких помилок:
-
Код помилки 80072ee2: Пристрій не може підключитися до Windows Update.
-
Код помилки 8024402c: Пристрою не вдалося знайти Windows Update.
-
Код помилки 80244019: Пристрій не може підключитися до Windows Update.
Деякі сканування оновлень відбуваються без безпосередньої взаємодії користувача з інтерфейсом користувача, наприклад автоматичних оновлень, драйверів пристроїв, антивірусних сигнатур для Захисника, оновлень Microsoft Office тощо. Для цих "фонових" перевірок ці помилки не будуть очевидні. У такому разі можна перевірити файл журналу Windows Update (c:\windows\windowsupdate.log) на наявність кодів помилок: 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 або 80244019.
Оновлення пристроїв Windows до SHA-2
Щоб і надалі використовувати Windows Update для старіших пристроїв Windows, потрібно завантажити та інсталювати такі два конкретні оновлення:
Оновлення 1: підтримка
підписування коду SHA-2
Коли ви застосовуєте це оновлення, підтримка додається для перевірки підписів за допомогою більш безпечних алгоритмів гешування SHA-2. Застосуйте лише оновлення, яке підходить для вашого пристрою Windows.
-
KB4474419: оновлення
підтримки підписування коду SHA-2 Застосовується до: Windows 7 SP1, Windows Server 2008 R2 SP1 і Windows Server 2008 SP2 -
KB4484071: підтримка SHA2 для служби Windows Server Update Services
Застосовується до: служби Windows Server Update Services 3.0 SP1 і служби Windows Server Update Services 3.2
Нотатка Більшість користувачів мають інсталювати оновлення лише KB4474419. Адміністратори підприємства також можуть інсталювати оновлення KB4484071.
Оновлення 2: SHA-2 пов'язаний стек обслуговування Оновлення
Коли ви застосовуєте це оновлення, підтримка додається до стека обслуговування Windows Update, щоб перевірити сигнатури SHA-2, і спрямовує відповідні пристрої Windows для обміну даними з сучасними кінцевими точками служби НА основі SHA-2 в Windows Update. Застосуйте лише оновлення, яке підходить для вашого пристрою Windows.