Microsoft 在即將發布的 Windows 版本中逐步淘汰 DES 加密
本週,微軟宣布對其官方頁面進行重大更新,概述了 Windows 用戶端和 Windows 伺服器中即將淘汰的功能。其中一個值得注意的變化是從 Windows 11 版本 24H2 和 Windows Server 2025 中刪除了資料加密標準 (DES) 密碼。 微軟此舉是其持續努力增強 Windows 生態系統內安全性的一部分,主要原因是 DES 演算法的過時性。
微軟在最近的聲明中解釋:
DES,即對稱金鑰分組加密密碼,被認為不能抵禦現代加密攻擊,因此已被更為強大的加密演算法所取代。從 Windows 7 和 Windows Server 2008 R2 開始,DES 預設會被停用。它將從 Windows 11 版本 24H2 及更高版本以及 Windows Server 2025 及更高版本中完全刪除。
了解 DES 及其局限性
對於不熟悉 DES 的人來說,它是一種在 20 世紀 70 年代開發的對稱密碼,利用 56 位元金鑰來加密 64 位元資料塊。儘管美國國家標準與技術研究院 (NIST) 建議使用三重 DES 直到 2030 年,但過渡到更強大的加密標準至關重要。
針對 IT 管理員的過渡建議
為了幫助 IT 團隊和系統管理員完成這一轉變,微軟在 Windows 訊息中心推出了更新,警告 Windows 11 版本 24H2 和 Windows Server 2025 的 Kerberos 中對 DES 的支援即將終止。
IT 管理員:準備刪除 Windows Server 2025 和 Windows 11 版本 24H2 的 Kerberos 中的資料加密標準 (DES)。雖然它是一個預設未安裝的可選組件,但識別和停用 DES 的使用對於防止 2025 年 9 月安全更新後出現營運中斷至關重要。考慮實施高級加密標準 (AES) 演算法作為更安全的加密選項。
Windows 11 家用版電腦上的 AES 部署
為了進一步推動更強的加密,微軟已啟用基於 AES 的 BitLocker 系統對運行 Windows 11 版本 24H2 的家用電腦進行預設加密。該計劃強調了 TPM(可信任平台模組)等系統組件對於維護安全標準的重要性。
Kerberos 中 DES 的分階段刪除
微軟在 Kerberos 中消除 DES 的策略將分為兩個不同的階段:相容模式和停用模式。
這項轉變將如下展開:
相容模式:從 Windows 7 和 Windows Server 2008 R2 開始發布的所有 Windows 版本中,Kerberos 中的 DES 已預設為停用。如果出現需要在 Kerberos 中使用 DES 的情況,管理者仍然可以在受支援的系統上手動啟用 DES 密碼 – 不包含 2025 年 9 月 9 日或之後套用的更新的 Windows 11 版本 24H2 和 Windows Server 2025。
停用模式:完全刪除 DES 後,它將不再作為 Windows Server 2025 或 Windows 11 版本 24H2 中的 Kerberos 加密密碼。任何仍依賴 DES 的遺留系統都會遇到操作問題,直到 IT 管理員做出適當調整以採用更安全的密碼。
重要的是,DES 仍可在早期版本的 Windows 上使用。
如需更詳細的概述,您可以在此處探索 Microsoft 對此主題的官方見解。
發佈留言 ▼