简介

在遵守 Microsoft 安全散列算法(SHA)-1 过时策略的情况下,Windows Update 将 discontinuing 7 月 2020 6 日以后的基于 SHA-1 的终结点。 这意味着尚未更新到 SHA-1 的旧 Windows 设备将不再通过 Windows Update 接收更新。 较旧的 Windows 设备可以通过手动安装特定的 SHA-1 启用更新来继续使用 Windows 更新。

所有其他 Windows 平台将继续通过 Windows Update 接收更新,因为它们连接到 SHA-1 服务终结点。

为什么会发生这种变化?

已停用用于较旧平台的过时 Windows Update 服务终结点。 发生这种变化的原因是,SHA-1 散列算法中的缺陷和与行业标准的对应。

即使已停用第1个终结点,新的 Windows 设备也将通过 Windows 更新继续接收更新,因为这些设备使用更安全的 SHA-1 算法。 请参阅 "受影响的 Windows 设备" 部分中的表,确定设备是否会受到影响。

有关此更改的详细信息,请参阅适用于 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求

受影响的 Windows 设备是什么?

大多数用户不会受到此更改的影响。 从 Windows 8 桌面版和 Windows Server 2012 开始,与 Windows Update 服务终结点的连接使用更现代的算法(SHA-256)。 早期版本的 Windows 通过使用较低安全性的 SHA-1 算法连接到 Windows Update 服务终结点。

对于大多数受影响的 Windows 版本,SHA-1 更新将添加所需的支持,以继续通过 Windows Update 接收更新。 下表显示了对不同版本的 Windows 的影响。 有些平台不再受支持,因此不会进行更新。

Windows 桌面版

支持状态

Windows 2000

设备超出支持

将不再支持 Windows 更新。

Windows XP 64 位版

Windows XP SP3

Windows Vista

Windows Vista SP1

Windows Vista SP2

Windows 7

的 Windows 更新支持将受到影响。
可通过手动安装 KBs 来减轻

Windows 7 SP1

Windows 8 及更高版本

不受影响
无需更新的

Windows Server

支持状态

Windows 2000 服务器

设备超出支持

将不再支持 Windows 更新。

Windows Server 2003

Windows Server 2003 SP2

Windows Server 2008

的 Windows 更新支持将受到影响。
可通过手动安装 KBs 来减轻

Windows Server 2008 SP2

Windows Server 2008 R2

Windows Server 2008 R2 SP1

Windows 2012 和更高版本

不受影响
无需更新的

受影响的设备会发生什么情况?

根据上表,只有未更新到 SHA-1 的旧 Windows 设备会受此更改影响。 受影响的设备将无法再通过 Windows 更新接收更新,直至你手动将其更新到 SHA-2。 若要手动更新你的 Windows 设备,请参阅如何将 Windows 设备更新到 SHA-2 部分。

未更新到 SHA-2 的 Windows 设备将尝试扫描更新,并将返回以下错误之一:

  • 错误代码80072ee2:设备无法连接到 Windows 更新。

    Error code 80072ee2

  • 错误代码8024402c:设备找不到 Windows 更新。

    Error code 8024402c

  • 错误代码80244019:设备无法连接到 Windows 更新。

    Error code 80244019

某些更新扫描发生的情况下无需直接用户与 UI 交互,如自动更新、设备驱动程序、Defender 防病毒签名、Microsoft Office update 等。 对于这些 "后台" 扫描,这些失败将不明显。 在这种情况下,可查看 Windows 更新日志文件(c:\windows\windowsupdate.log)中的失败代码: 0x8024402c、8024402c、0x80072ee2、80072ee2、0x80244019 或80244019。

如何将 Windows 设备更新为 SHA-2

若要继续对较旧的 Windows 设备使用 Windows 更新,必须下载并安装以下两个特定更新:

更新1: SHA-1 代码签名支持
应用此更新时,将添加支持以使用更安全的 SHA-1 散列算法验证签名。 仅应用适用于你的 Windows 设备的更新。
 

  • KB4474419: SHA-1 代码签名支持更新
    适用于: Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2

  • KB4484071: SHA2 支持 Windows Server Update Services
    适用于: Windows Server Update Services 3.0 SP1 和 Windows Server Update Services 3.2

备注大多数用户应仅安装更新 KB4474419。 企业管理员也可能安装更新KB4484071

更新2: 与 SHA-1 相关的服务堆栈更新
应用此更新时,将向 Windows Update 服务堆栈添加支持来验证 SHA-1 签名,并指示受影响的 Windows 设备与 Windows 更新中的最新的基于 SHA-1 的服务终结点进行通信。 仅应用适用于你的 Windows 设备的更新。

  • KB4490628: 服务堆栈更新
    适用于: Windows 7 SP1 和 Windows Server 2008 R2 SP1

  • KB4493730: WU 服务堆栈更新
    适用于: Windows Server 2008 SP2

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对语言质量的满意程度如何?
哪些因素影响了你的体验?

谢谢您的反馈!

×