Deze week heeft Microsoft de trackingfuncties voor webpagina's bijgewerkt, verwijderd van Windows-clients en Windows Server. Het bedrijf heeft bevestigd dat Windows 1124H2 en Windows Server 2025 de DES- of Data Encryption Standard-codering zullen verwijderen. De redenering van de technologiegigant is dat het DES-coderingsalgoritme te oud en onveilig is, dus het verwijderen ervan is gerechtvaardigd en onderdeel van een bredere strategie om de Windows-beveiliging te verbeteren.
Microsoft zei:
Het symmetrische sleutelblokcoderingsalgoritme DES wordt als onveilig beschouwd tegen moderne cryptografische aanvallen en is vervangen door sterkere encryptie-algoritmen. Vanaf Windows 7 en Windows Server 2008R2 is DES standaard uitgeschakeld. In Windows 11, 24H2 en hoger, en Windows Server 2025 en hoger is DES verwijderd.
DES is een symmetrisch cijfer dat in de jaren zeventig werd ontwikkeld. Het gebruikt een 56-bits sleutel om 64-bits datablokken te coderen en decoderen. Tegen 2030 beveelt NIST (National Institute of Standards and Technology) het gebruik van drievoudige DES aan.
Microsoft heeft ook het Windows Message Center bijgewerkt om IT-beheerders en systeembeheerders te informeren dat DES in Kerberos zal worden geëlimineerd in Windows 1124H2 en Windows Server 2025. Het raadt aan om te migreren naar AES of Advanced Encryption Standard, die langere sleutellengtes van 128, 192 of 256 bits gebruikt. Er staat:
IT-beheerders: bereid u voor op het verwijderen van Data Encryption Standard (DES) uit Kerberos in Windows Server 2025 en Windows 11 versie 24H2. Hoewel dit een optioneel onderdeel is dat niet standaard wordt geïnstalleerd, moet het gebruik van DES worden gedetecteerd en uitgeschakeld voordat de beveiligingsupdate van september 2025 wordt gebruikt om mogelijke verstoringen te voorkomen. Beschouw het Advanced Encryption Standard (AES)-algoritme als een sterkere encryptiemethode.
Microsoft staat nu ook standaardversleuteling toe voor Windows 11 24H2 Home-pc's met behulp van AES-gebaseerde BitLocker, zoals het bedrijf onlangs uitlegde hoe systeemvereisten zoals TPM hierbij een sleutelrol spelen.
Het bedrijf introduceerde ook dat het uitschakelen van DES in Kerberos in twee fasen zal plaatsvinden, namelijk de compatibiliteitsmodus en de uitschakelmodus:
De overgang naar het uitschakelen van DES in Kerberos op Windows-apparaten zal in fasen plaatsvinden.
Compatibiliteitsmodus: DES in Kerberos is standaard uitgeschakeld in Windows 7 en Windows Server 2008R2 en alle Windows-client- en serverversies die daarna zijn uitgebracht. Als DES moet worden gebruikt met Kerberos, kunnen beheerders de DES-codering handmatig configureren op ondersteunde besturingssystemen, behalve voor Windows 1124H2- en Windows Server 2025-apparaten met updates die op of na 9 september 2025 zijn uitgebracht.
DES in Kerberos uitgeschakelde modus: Zodra DES in Kerberos is verwijderd, wordt het niet langer ondersteund als gecodeerde codering voor enige functie van Kerberos in Windows Server 2025 en hoger en Windows 1124H2 en hoger. Het oude scenario waarbij DES op beide besturingssysteemversies wordt gebruikt, zal niet meer werken totdat IT-beheerders wijzigingen aanbrengen in Kerberos-gerelateerde applicatie- en netwerkbeveiligingsconfiguraties om veiligere wachtwoorden te gebruiken.
Eerdere versies van Windows zullen DES niet verwijderen.
Meer relevante details vindt u in de Microsoft TechCommunity-blogpost:
https://techcommunity.microsoft.com/blog/WindowsServerNewsandBestPractices/removal-of-des-in-kerberos-for-windows-server-and-client/4386903