簡介
為了符合 Microsoft 安全哈希演算法 (SHA) -1 取代原則,Windows Update 已於 2020 年 7 月底中止其 SHA-1 端點。 這表示尚未更新至 SHA-2 的舊版 Windows 裝置將不再透過 Windows Update 接收更新。 您的舊版 Windows 裝置可以手動安裝啟用更新的特定 SHA-2,繼續使用 Windows Update。
所有其他 Windows 平臺會如往常一樣繼續透過 Windows Update 接收更新,因為它們會連線至 SHA-2 服務端點。
為何會進行這項變更?
只有舊版平臺使用的過時 Windows Update 服務端點已中止。 此變更的發生原因是SHA-1哈希演算法中存在漏洞,且符合業界標準。
即使 SHA-1 端點已中止,較新的 Windows 裝置仍會透過 Windows Update 繼續接收更新,因為這些裝置使用更安全的 SHA-2 演算法。 See the table in the "Which Windows devices are impacted" section to determine whether your devices are impacted.
如需有關此變更的詳細資訊,請參閱 Windows 和 WSUS 的 2019 SHA-2 代碼簽署支援需求。
哪些 Windows 裝置受到影響?
大部分的使用者不會受到此變更的影響。 從 Windows 8 桌面和 Windows Server 2012 開始,Windows Update 服務端點的聯機會使用較新式的演算法 (SHA-256) 。 舊版 Windows 會使用較不安全的 SHA-1 演演算法連線至 Windows Update 服務端點。
對於大部分受影響的 Windows 版本,SHA-2 更新會新增透過 Windows Update 繼續接收更新所需的支援。 下表顯示對各種 Windows 版本的影響。 部分平臺已不再受到支援,因此將不會更新。
|
Windows 桌面 |
支持狀態 |
|
Windows 2000 |
裝置已終止支援 將不再支援 Windows 匯報。 |
|
Windows XP 64 位版本 |
|
|
Windows XP SP3 |
|
|
Windows Vista |
|
|
Windows Vista SP1 |
|
|
Windows Vista SP2 |
|
|
Windows 7 |
Windows Update 支援將會受到影響。 |
|
Windows 7 SP1 |
|
|
Windows 8和更新版本 |
不受影響 |
|
Windows Server |
支持狀態 |
|
Windows 2000 Server |
裝置已終止支援 將不再支援 Windows 匯報。 |
|
Windows Server 2003 |
|
|
Windows Server 2003 SP2 |
|
|
Windows Server 2008 |
Windows Update 支援將會受到影響。 |
|
Windows Server 2008 SP2 |
|
|
Windows Server 2008 R2 |
|
|
Windows Server 2008 R2 SP1 |
|
|
Windows 2012 和更新版本 |
不受影響 |
受影響的裝置會發生什麼情況?
根據上一個數據表,只有未更新為SHA-2的舊版Windows裝置會受到此變更影響。 在您手動將裝置更新為SHA-2之前,受影響的裝置將無法透過 Windows Update接收更新。 To manually update your Windows devices, see the "How to update Windows devices to SHA-2" section.
未更新至 SHA-2 的 Windows 裝置將會嘗試掃描更新,並傳回下列其中一個錯誤:
-
錯誤碼 80072ee2: 裝置無法連線至 Windows Update。
-
錯誤碼 8024402c: 裝置無法找到 Windows Update。
-
錯誤碼80244019: 裝置無法連線至 Windows Update。
某些更新掃描不會直接由使用者與UI互動,例如自動更新、設備驅動器、Defender防病毒簽章、Microsoft Office 更新等。 對於這些「背景」掃描,這些失敗將不明顯。 在這種情況下,您可以檢查 Windows Update 記錄檔 (c:\windows\windowsupdate.log) 是否有失败码:0x8024402c、8024402c、0x80072ee2、80072ee2、0x80244019 或80244019。
如何將 Windows 裝置更新為 SHA-2
若要繼續為舊版 Windows 裝置使用 Windows Update,您必須下載並安裝下列兩種特定更新:
更新 1:SHA-2 代碼簽署支援
當您套用此更新時,會使用更安全的SHA-2哈希演算法來新增支援以驗證簽章。 只套用適用於 Windows 裝置的更新。
-
KB4474419:SHA-2 代碼簽署支援更新
適用於:Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2 -
KB4484071:SHA2 對 Windows Server Update Services
的支援 適用於:Windows Server Update Services 3.0 SP1 和 Windows Server Update Services 3.2
注意 大部分的用戶應該只會安裝更新KB4474419。 企業系統管理員也可以安裝更新 KB4484071。
更新 2:SHA-2 相關維護堆疊 匯報
當您套用此更新時,會將支援新增至 Windows Update 維護堆棧,以驗證 SHA-2 簽章,並引導受影響的 Windows 裝置與 Windows Update 中的新式 SHA-2 服務端點通訊。 只套用適用於 Windows 裝置的更新。
