Microsoft 在即将发布的 Windows 版本中逐步淘汰 DES 加密
本周,微软宣布对其官方页面进行重大更新,概述了 Windows 客户端和 Windows 服务器中即将淘汰的功能。其中一个显著的变化是从 Windows 11 版本 24H2 和 Windows Server 2025 中删除数据加密标准 (DES) 密码。微软此举是其不断努力增强 Windows 生态系统安全性的一部分,主要原因是 DES 算法的过时性。
微软在最近的一份声明中解释道:
DES 是一种对称密钥块加密密码,它被认为无法抵御现代加密攻击,已被更强大的加密算法取代。从 Windows 7 和 Windows Server 2008 R2 开始,DES 默认处于禁用状态。它将从 Windows 11 版本 24H2 及更高版本以及 Windows Server 2025 及更高版本中完全删除。
了解 DES 及其局限性
对于那些不熟悉 DES 的人来说,它是一种对称密码,开发于 20 世纪 70 年代,利用 56 位密钥加密 64 位数据块。尽管 NIST(美国国家标准与技术研究所)建议使用 Triple DES 直到 2030 年,但过渡到更强大的加密标准至关重要。
针对 IT 管理员的过渡建议
为了帮助 IT 团队和系统管理员完成这一转变,微软在 Windows 消息中心推出了更新,警告 Windows 11 版本 24H2 和 Windows Server 2025 的 Kerberos 中对 DES 的支持即将终止。建议转向高级加密标准 (AES),它支持 128、192 或 256 位的密钥长度,因为它提供了卓越的安全性。
IT 管理员:为 Windows Server 2025 和 Windows 11 版本 24H2 中的 Kerberos 中删除数据加密标准 (DES) 做好准备。虽然它是一个默认不安装的可选组件,但识别和禁用 DES 的使用对于防止 2025 年 9 月安全更新后的操作中断至关重要。考虑实施高级加密标准 (AES) 算法作为更安全的加密选项。
Windows 11 家庭版电脑上的 AES 部署
为了进一步加强加密,微软已启用基于 AES 的 BitLocker 系统对运行 Windows 11 版本 24H2 的家用电脑进行默认加密。此举强调了 TPM(可信平台模块)等系统组件对于维护安全标准的重要性。
Kerberos 中 DES 的分阶段删除
微软在 Kerberos 中消除 DES 的策略将分为两个不同的阶段:兼容模式和禁用模式。
这一转变将按如下方式展开:
兼容模式:从 Windows 7 和 Windows Server 2008 R2 开始发布的所有 Windows 版本都默认禁用 Kerberos 中的 DES。如果出现需要在 Kerberos 中使用 DES 的情况,管理员仍然可以在受支持的系统上手动启用 DES 密码(Windows 11 版本 24H2 和 Windows Server 2025 除外,适用于 2025 年 9 月 9 日或之后应用的更新)。
禁用模式:完全删除 DES 后,它将不再在 Windows Server 2025 或 Windows 11 版本 24H2 中用作 Kerberos 中的加密密码。任何仍依赖 DES 的旧系统都将遇到操作问题,直到 IT 管理员做出适当调整以采用更安全的密码。
重要的是,DES 仍可在早期版本的 Windows 上可用。
如需更详细的概述,您可以在此处探索 Microsoft 对此主题的官方见解。
发表回复 ▼