Giới thiệu
Theo chính sách loại bỏ Thuật toán Băm Bảo mật của Microsoft (SHA)-1, Windows Update sẽ ngừng các điểm cuối dựa trên SHA-1 vào cuối tháng 7 năm 2020. Điều này có nghĩa là các thiết bị Windows cũ hơn chưa cập nhật lên SHA-2 sẽ không còn nhận được các bản cập nhật thông qua Windows Update. Các thiết bị Windows cũ hơn của bạn có thể tiếp tục sử dụng Windows Update bằng cách cài đặt thủ công các bản cập nhật cho phép SHA-2 cụ thể.
Tất cả các nền tảng Windows khác sẽ tiếp tục nhận được các bản cập nhật thông qua Windows Update như thông thường vì chúng kết nối với các điểm cuối dịch vụ SHA-2.
Tại sao thay đổi này xảy ra?
Điểm cuối dịch vụ Windows Update kỳ hạn chỉ được sử dụng cho các nền tảng cũ hơn sẽ ngừng hoạt động. Sự thay đổi này xảy ra do các điểm yếu trong thuật toán băm SHA-1 và phù hợp với các tiêu chuẩn ngành.
Ngay cả khi điểm cuối SHA-1 ngừng hoạt động, các thiết bị Windows gần đây hơn sẽ tiếp tục nhận được bản cập nhật thông qua Windows Update vì các thiết bị đó sử dụng thuật toán SHA-2 bảo mật hơn. Xem bảng trong mục "Những thiết bị Windows nào bị ảnh hưởng" để xác định xem liệu thiết bị của bạn có bị ảnh hưởng hay không.
Để biết thêm thông tin về thay đổi này, hãy xem Yêu cầu Hỗ trợ Ký Mã SHA-2 đối với Windows và WSUS năm 2019.
Thiết bị Windows nào bị ảnh hưởng?
Hầu hết người dùng sẽ không bị ảnh hưởng bởi thay đổi này. Bắt đầu từ Windows 8 Desktop và Windows Server 2012, các kết nối đến các điểm cuối dịch vụ Windows Update sẽ sử dụng thuật toán hiện đại hơn (SHA-256). Các phiên bản Cũ hơn của Windows kết nối Windows Update điểm cuối dịch vụ bằng cách sử dụng thuật toán SHA-1 ít bảo mật hơn.
Đối với hầu hết các phiên bản Bị ảnh hưởng của Windows, bản cập nhật SHA-2 sẽ bổ sung hỗ trợ cần thiết để tiếp tục nhận được bản cập nhật thông qua Windows Update. Bảng sau đây cho thấy ảnh hưởng đến các phiên bản khác nhau của Windows. Một số nền tảng không còn được hỗ trợ, do đó, chúng sẽ không được cập nhật.
Máy tính để bàn chạy Windows |
Trạng thái hỗ trợ |
Windows 2000 |
Thiết bị không được hỗ trợ Windows Cập nhật sẽ không còn được hỗ trợ. |
Windows XP Phiên bản 64 Bit |
|
Windows XP SP3 |
|
Windows Vista |
|
Windows Vista SP1 |
|
Windows Vista SP2 |
|
Windows 7 |
Windows Update hỗ trợ của bạn sẽ bị ảnh hưởng. |
Windows 7 SP1 |
|
Windows 8 phiên bản mới hơn |
Không bị ảnh hưởng |
Windows Server |
Trạng thái hỗ trợ |
Windows 2000 Server |
Thiết bị không được hỗ trợ Windows Cập nhật sẽ không còn được hỗ trợ. |
Windows Server 2003 |
|
Windows Server 2003 SP2 |
|
Windows Server 2008 |
Windows Update hỗ trợ của bạn sẽ bị ảnh hưởng. |
Windows Server 2008 SP2 |
|
Windows Server 2008 R2 |
|
Windows Server 2008 R2 SP1 |
|
Windows 2012 trở lên |
Không bị ảnh hưởng |
Điều gì sẽ xảy ra với các thiết bị bị ảnh hưởng?
Theo bảng trên, chỉ các thiết bị Windows cũ chưa cập nhật lên SHA-2 mới bị ảnh hưởng bởi thay đổi này. Các thiết bị bị ảnh hưởng sẽ không còn có thể nhận các bản cập nhật thông qua Windows Update cho đến khi bạn cập nhật chúng lên SHA-2 theo cách thủ công. Để cập nhật thủ công các thiết bị Windows của bạn, hãy xem phần "Cách cập nhật thiết bị Windows lên SHA-2".
Thiết bị Windows không được cập nhật lên SHA-2 sẽ tìm cách quét bản cập nhật và sẽ trả về một trong các lỗi sau:
-
Mã lỗi 80072ee2: Thiết bị không thể kết nối với Windows Update.
-
Mã lỗi 8024402c: Thiết bị không thể xác định vị trí Windows Update.
-
Mã lỗi 80244019: Thiết bị không thể kết nối với Windows Update.
Một số lần quét cập nhật xảy ra mà không có sự tương tác trực tiếp của người dùng với UI, chẳng hạn như cập nhật tự động, trình điều khiển thiết bị, chữ ký tính năng chống vi rút của Bộ bảo vệ, bản cập nhật Microsoft Office, v.v. Đối với những quét "nền", những thất bại này sẽ không rõ ràng. Trong trường hợp đó, bạn có thể kiểm tra tệp nhật ký Windows Update (c:\windows\windowsupdate.log) để biết mã lỗi: 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 hoặc 80244019.
Cách cập nhật thiết bị Windows lên SHA-2
Để tiếp tục sử dụng Windows Update cho các thiết bị Windows cũ hơn, bạn phải tải xuống và cài đặt hai bản cập nhật cụ thể sau:
Cập nhật 1: Hỗ trợ ký mã SHA-2
Khi bạn áp dụng bản cập nhật này, hỗ trợ sẽ được thêm vào để xác thực chữ ký bằng cách sử dụng thuật toán băm SHA-2 an toàn hơn. Chỉ áp dụng bản cập nhật phù hợp với thiết bị Windows của bạn.
-
KB4474419: Bản cập nhật hỗ trợ ký mã SHA-2
Áp dụng cho: Windows 7 SP1, Windows Server 2008 R2 SP1 và Windows Server 2008 SP2 -
KB4484071: SHA2 Hỗ trợ cho Dịch vụ Cập nhật Windows Server
Áp dụng cho: Dịch vụ Cập nhật Windows Server 3.0 SP1 và Dịch vụ Cập nhật Windows Server 3.2
Lưu ý Hầu hết người dùng chỉ nên cài đặt bản cập KB4474419. Người quản trị doanh nghiệp cũng có thể cài đặt bản cập KB4484071.
Bản cập nhật 2: Ngăn xếp cung cấp dịch vụ liên quan SHA-2 Cập nhật
Khi bạn áp dụng bản cập nhật này, hỗ trợ sẽ được thêm vào ngăn xếp cung cấp dịch vụ Windows Update để xác thực chữ ký SHA-2 và hướng các thiết bị Windows bị ảnh hưởng giao tiếp với các điểm cuối dịch vụ dựa trên SHA-2 hiện đại trong Windows Update. Chỉ áp dụng bản cập nhật phù hợp với thiết bị Windows của bạn.