簡介

遵循 Microsoft 安全哈希算法(SHA)-1 取代原则,Windows Update 将于2020年7月末 discontinuing 其 SHA-1 的端点。 这表示旧版没有更新到 SHA-1 的 Windows 装置将不会再透过 Windows Update 接收更新。 如果您的旧版 Windows 装置手动安装特定的 SHA-1 来启用更新,您可以继续使用 Windows Update。

所有其他 Windows 平台都将继续透过 Windows Update 接收更新,因为它们会联机到 SHA-1 服务端点。

为什么要进行这项变更?

过期的 Windows Update 服务端点仅适用于旧版平台。 这项变更是由 SHA-1 散列算法中的弱点所导致,并符合业界标准。

即使 SHA-1 端点即将中止,较新的 Windows 装置仍会透过 Windows Update 持续接收更新,因为这些装置使用更安全的 SHA-1 算法。 请参阅「影响窗口」一节中的表格,判断您的装置是否受到影响。

如需有关此变更的详细信息,2019请参阅Windows 和 WSUS 的 sha-1 程序代码签名支持需求

哪些 Windows 装置会受到影响?

大部分用户不会受到此变更影响。 从 Windows 8 桌面计算机和 Windows Server 2012 开始,Windows Update 服务端点的联机会使用更先进的算法(SHA-256)。 旧版 Windows 会使用较不安全的 SHA-1 算法联机到 Windows Update 服务端点。

在大部分受影响的 Windows 版本中,SHA-1 更新将新增必要的支持,以继续透过 Windows Update 接收更新。 下表显示各种版本 Windows 的影响。 部分平台不再受支持,因此不会更新。

Windows 计算机版

支持状态

Windows 2000

设备不支持

将不再支持 Windows 更新。

Windows XP 64 位版

Windows XP SP3

Windows Vista

Windows Vista SP1

Windows Vista SP2

Windows 7

Windows Update 支持将会受到影响。
可透过手动安装 KBs 来缓解。

Windows 7 SP1

Windows 8 和更新版本

不会受到影响
不必更新的

Windows Server

支持状态

Windows 2000 服务器

设备不支持

将不再支持 Windows 更新。

Windows Server 2003

Windows Server 2003 SP2

Windows Server 2008

Windows Update 支持将会受到影响。
可透过手动安装 KBs 来缓解。

Windows Server 2008 SP2

Windows Server 2008 R2

Windows Server 2008 R2 SP1

Windows 2012 及更新版本

不会受到影响
不必更新的

受影响的装置会发生什么情况?

根据上个数据表,只有那些没有更新到 SHA-1 的 Windows 装置会受到此变更影响。 受影响的装置将无法再透过 Windows Update 接收更新,除非您手动更新为 SHA-1。 若要手动更新您的 Windows 装置,请参阅如何将 Windows 装置更新为 SHA-1」一节。

未更新为 SHA-1 的 Windows 装置会尝试扫描更新,并传回下列其中一个错误:

  • 错误码80072ee2:装置无法联机到 Windows Update。

    Error code 80072ee2

  • 错误码8024402c:装置找不到 Windows Update。

    Error code 8024402c

  • 错误码80244019:装置无法联机到 Windows Update。

    Error code 80244019

有些更新扫描不需要直接与 UI (例如自动更新、装置驱动程序、Defender 防病毒处理程序和 Microsoft Office 更新等)进行直接用户互动就能进行。 针对这些「背景」扫描,这些失败将不明显。 在这种情况下,您可以查看 Windows Update 记录档(c:\windows\windowsupdate.log)的失败代码: 0x8024402c、8024402c、0x80072ee2、80072ee2、0x80244019 或80244019。

如何将 Windows 装置更新为 SHA-1

若要继续为旧版 Windows 装置使用 Windows 更新,您必须下载并安装下列两种特定更新:

更新1: Sha-1 的 SHA-2 代码签名支持
当您套用此更新时,系统会新增 [支持] 以使用更安全的 SHA-1 散列算法来验证签名。 只套用适合您 Windows 装置的更新。
 

  • KB4474419: SHA-1 代码签名支持更新
    適用對象: Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2008 SP2

  • KB4484071
    Windows Server Update Services 的支持 SHA2 適用對象: Windows Server Update Services 3.0 SP1 和 Windows Server Update Services 3.2

附注大部分用户应只安装更新 KB4474419。 企业系统管理员也可以安装更新KB4484071

更新2: 的 SHA-1 相关服务栈更新
当您套用此更新时,系统会在 Windows 更新服务堆栈中加入支持来验证 SHA-1 签名,并指导受影响的 Windows 装置在 Windows Update 中与新式的 SHA-1 服务端点通信。 只套用适合您 Windows 装置的更新。

  • KB4490628: 处理堆栈更新
    適用對象: Windows 7 SP1 和 Windows Server 2008 R2 SP1

  • KB4493730: WU 服务堆栈更新
    適用對象: Windows Server 2008 SP2

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

您對翻譯品質的滿意度為何?
以下何者是您會在意的事項?

感謝您的意見反應!

×