На этой неделе Microsoft обновила функции отслеживания веб-страниц, удаленные из клиентов Windows и Windows Server. Компания подтвердила, что в Windows 1124H2 и Windows Server 2025 будет удален шифр DES или стандарт шифрования данных. Аргументация технологического гиганта заключается в том, что алгоритм шифрования DES слишком устарел и небезопасен, поэтому его удаление оправдано и является частью более широкой стратегии по улучшению безопасности Windows.
Майкрософт сказал:
Алгоритм блочного шифрования с симметричным ключом DES считается небезопасным против современных криптографических атак и был заменен более сильными алгоритмами шифрования. Начиная с Windows 7 и Windows Server 2008R2, DES по умолчанию отключен. В Windows 11, 24 часа в сутки и более поздних версиях, а также в Windows Server 2025 и более поздних версиях DES был удален.
DES — это симметричный шифр, разработанный еще в 1970-х годах. Он использует 56-битный ключ для шифрования и дешифрования 64-битных блоков данных. К 2030 году NIST (Национальный институт стандартов и технологий) рекомендует использовать тройной DES.
Microsoft также обновила Центр сообщений Windows, чтобы уведомить ИТ-администраторов и системных администраторов о том, что DES в Kerberos будет удален в Windows 1124H2 и Windows Server 2025. Компания рекомендует перейти на AES или Advanced Encryption Standard, который использует более длинные ключи — 128, 192 или 256 бит. Там говорится:
ИТ-администраторы: подготовьтесь к удалению стандарта шифрования данных (DES) из Kerberos в Windows Server 2025 и Windows 11 версии 24H2. Хотя это необязательный компонент, который не устанавливается по умолчанию, использование DES необходимо обнаружить и отключить перед использованием обновления безопасности за сентябрь 2025 г., чтобы избежать возможных сбоев. Рассмотрим алгоритм Advanced Encryption Standard (AES) как более надежный метод шифрования.
Microsoft также теперь разрешает круглосуточное шифрование по умолчанию для домашних ПК с Windows 11 с использованием BitLocker на основе AES, поскольку компания недавно объяснила, что системные требования, такие как TPM, играют в этом ключевую роль.
Компания также сообщила, что отключение DES в Kerberos будет происходить в два этапа: режим совместимости и режим отключения:
Переход к отключению DES в Kerberos на устройствах Windows будет происходить поэтапно.
Режим совместимости: DES в Kerberos отключен по умолчанию в Windows 7 и Windows Server 2008R2, а также во всех клиентских и серверных версиях Windows, выпущенных после них. Если DES необходимо использовать с Kerberos, администраторы могут вручную настроить шифр DES в поддерживаемых операционных системах, за исключением устройств Windows 1124H2 и Windows Server 2025 с обновлениями, выпущенными 9 сентября 2025 года или после этой даты.
Режим отключения DES в Kerberos: после удаления DES из Kerberos он больше не будет поддерживаться в качестве зашифрованного шифра для какой-либо функции Kerberos в Windows Server 2025 и более поздних версиях, а также в Windows 1124H2 и более поздних версиях. Устаревший сценарий с использованием DES в обеих версиях операционной системы перестанет работать до тех пор, пока ИТ-администраторы не внесут изменения в конфигурации безопасности приложений и сети, связанные с Kerberos, для использования более безопасных паролей.
Более ранние версии Windows не удаляют DES.
Более подробную информацию можно найти в сообщении блога Microsoft TechCommunity:
https://techcommunity.microsoft.com/blog/WindowsServerNewsandBestPractices/removal-of-des-in-kerberos-for-windows-server-and-client/4386903