简介
根据 Microsoft 安全哈希算法 (SHA) -1 弃用策略,Windows 更新将于 2020 年 7 月下旬停止其基于 SHA-1 的终结点。 这意味着尚未更新到 SHA-2 的旧版 Windows 设备将不再通过Windows 更新接收更新。 旧版 Windows 设备可以通过手动安装启用更新的特定 SHA-2 来继续使用Windows 更新。
所有其他 Windows 平台将继续通过Windows 更新接收更新,因为它们连接到 SHA-2 服务终结点。
为什么会发生此更改?
将停止用于较旧平台的过时Windows 更新服务终结点。 发生此更改的原因是 SHA-1 哈希算法存在缺陷,并且符合行业标准。
即使 SHA-1 终结点即将停用,但较新的 Windows 设备将继续通过Windows 更新接收更新,因为这些设备使用更安全的 SHA-2 算法。 请参阅“哪些 Windows 设备受到影响”部分中的表,以确定你的设备是否受到影响。
有关此更改的详细信息,请参阅 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求。
哪些 Windows 设备受到影响?
大多数用户不会受到此更改的影响。 从 Windows 8 Desktop 和 Windows Server 2012 开始,Windows 更新服务终结点的连接使用更现代的算法 (SHA-256) 。 旧版 Windows 使用安全性较低的 SHA-1 算法连接到Windows 更新服务终结点。
对于大多数受影响的 Windows 版本,SHA-2 更新将添加通过Windows 更新继续接收更新所需的支持。 下表显示了对各种 Windows 版本的影响。 某些平台不再受支持,因此它们不会更新。
Windows 桌面 |
支持状态 |
Windows 2000 |
设备不受支持 将不再支持 Windows 汇报。 |
Windows XP 64 位版本 |
|
Windows XP SP3 |
|
Windows Vista |
|
Windows Vista SP1 |
|
Windows Vista SP2 |
|
Windows 7 |
Windows 更新支持将受到影响。 |
Windows 7 SP1 |
|
Windows 8及更高版本 |
不受影响 |
Windows Server |
支持状态 |
Windows 2000 Server |
设备不受支持 将不再支持 Windows 汇报。 |
Windows Server 2003 |
|
Windows Server 2003 SP2 |
|
Windows Server 2008 |
Windows 更新支持将受到影响。 |
Windows Server 2008 SP2 |
|
Windows Server 2008 R2 |
|
Windows Server 2008 R2 SP1 |
|
Windows 2012 及更高版本 |
不受影响 |
受影响的设备会发生什么情况?
根据上表,只有尚未更新到 SHA-2 的较旧 Windows 设备才会受到此更改的影响。 在手动将其更新为 SHA-2 之前,受影响的设备将无法再通过Windows 更新接收更新。 若要手动更新 Windows 设备,请参阅“如何将 Windows 设备更新为 SHA-2”部分。
未更新到 SHA-2 的 Windows 设备将尝试扫描更新,并返回以下错误之一:
-
错误代码 80072ee2: 设备无法连接到Windows 更新。
-
错误代码 8024402c: 设备找不到Windows 更新。
-
错误代码80244019: 设备无法连接到Windows 更新。
某些更新扫描无需用户与 UI 直接交互,例如自动更新、设备驱动程序、Defender 防病毒签名、Microsoft Office 更新等。 对于这些“后台”扫描,这些失败将不明显。 在这种情况下,可以检查失败代码 (c:\windows\windowsupdate.log) Windows 更新 日志文件:0x8024402c、8024402c、0x80072ee2、80072ee2、0x80244019 或 80244019。
如何将 Windows 设备更新到 SHA-2
若要继续使用旧版 Windows 设备的 Windows 更新,必须下载并安装以下两个特定更新:
更新 1:SHA-2 代码签名支持
应用此更新时,将添加支持,以使用更安全的 SHA-2 哈希算法验证签名。 仅应用适用于 Windows 设备的更新。
-
KB4474419:SHA-2 代码签名支持更新
适用于:Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2 -
KB4484071:SHA2 对Windows Server Update Services
的支持 适用于:Windows Server Update Services 3.0 SP1 和 Windows Server Update Services 3.2
注意 大多数用户只应安装更新KB4474419。 企业管理员还可以安装 更新KB4484071。
更新 2:SHA-2 相关服务堆栈汇报
应用此更新时,支持将添加到 Windows 更新 服务堆栈,以验证 SHA-2 签名,并指示受影响的 Windows 设备与 Windows 更新 中基于 SHA-2 的新式服务终结点通信。 仅应用适用于 Windows 设备的更新。