本周,微软更新了跟踪 Windows 客户端和 Windows Server 中移除功能的网页。 该公司已确认,Windows 11 24H2 和 Windows Server 2025 将删除 DES 或数据加密标准密码。 这家技术巨头的理由是,DES 加密算法过于陈旧,不安全,因此将其移除是合理的,也是提高 Windows 安全性的更广泛战略的一部分。
微软表示:
对称密钥块加密算法 DES 被认为对现代加密攻击不安全,并被更强大的加密算法所取代。 从 Windows 7 和 Windows Server 2008 R2 开始,默认禁用 DES。 在 Windows 11、24H2 及更高版本和 Windows Server 2025 及更高版本中,DES 已被移除。
DES 是一种对称密码,早在 20 世纪 70 年代就已开发出来。 它使用 56 位密钥加密和解密 64 位数据块。 到 2030 年,NIST(美国国家标准与技术研究院)推荐使用三重 DES。
微软还更新了 Windows 消息中心,通知 IT 管理员和系统管理员即将在 Windows 11 24H2 和 Windows Server 2025 中取消 Kerberos 中的 DES。 它建议迁移到 AES 或高级加密标准,后者使用 128、192 或 256 位更长的密钥长度。 它说:
IT 管理员: 准备在 Windows Server 2025 和 Windows 11 版本 24H2 的 Kerberos 中移除数据加密标准 (DES)。 虽然这是一个默认不安装的可选组件,但在使用 2025 年 9 月的安全更新之前,必须检测并禁用 DES 的使用,以避免潜在的中断。 考虑采用高级加密标准 (AES) 算法作为更强大的加密方法。
微软现在还允许使用基于 AES 的 BitLocker 对 Windows 11 24H2 家庭 PC 进行默认加密,因为该公司最近解释了系统要求如TPM 在其中发挥的关键作用。
该公司还介绍了在 Kerberos 中禁用 DES 将分两个阶段进行,即兼容模式和禁用模式:
在 Windows 设备上禁用 Kerberos 中 DES 的过渡将分阶段进行。
兼容模式:在 Windows 7 和 Windows Server 2008 R2 及之后发布的所有 Windows 客户端和服务器版本中,Kerberos 中的 DES 默认为禁用。 如果需要在 Kerberos 中使用 DES,管理员可以在支持的操作系统上手动配置 DES 密码,但安装了 2025 年 9 月 9 日及之后发布的更新的 Windows 11 24H2 和 Windows Server 2025 设备除外。
Kerberos 禁用模式中的 DES:一旦删除 Kerberos 中的 DES,它将不再作为 Windows Server 2025 及更高版本和 Windows 11 24H2 及更高版本中 Kerberos 的任何功能的加密密码提供支持。 在这两个操作系统版本上使用 DES 的传统方案将停止工作,直到 IT 管理员对与 Kerberos 相关的应用程序和网络安全配置进行更改,以便使用更安全的密码。
早期的 Windows 版本不会删除 DES。
您可以在Microsoft Tech Community 博文中找到更多相关详细信息:
