本周,微软更新了跟踪 Windows 客户端和 Windows Server 中移除功能的网页。该公司已经确认,Windows 11 24H2 和 Windows Server 2025 将删除 DES 或数据加密标准密码。这家科技巨头的理由是,DES 加密算法太老了,不安全,因此,它是合理的,也是提高 Windows 安全性的更广泛战略的一部分。
微软写道:
DES(对称密钥块加密密码)被认为对新式加密攻击不安全,代之以更可靠的加密算法。 默认情况下,从 Windows 7 和 Windows Server 2008 R2 开始禁用 DES。 它已从 Windows 11、版本 24H2 及更高版本以及 Windows Server 2025 及更高版本中删除。
对于不太熟悉的人来说,DES 是一种对称密码,早在 20 世纪 70 年代就已开发出来。它使用 56 位密钥加密和解密 64 位数据块。目前,三重 DES 是 NIST(美国国家标准与技术研究院)到 2030 年推荐使用的 DES 形式。
微软还更新了 Windows 消息中心,告知 IT 管理员和系统管理员即将在 Windows 11 24H2 和 Windows Server 2025 中的 Kerberos 中移除 DES。它建议改用 AES 或高级加密标准,后者使用 128、192 或 256 位更长的密钥长度。它说:
IT 管理员:准备在 Kerberos 中为 2025 Windows Server 2025 和 Windows 11 版本 24H2 中删除数据加密Standard (DES) 。 虽然它是默认情况下未安装的可选组件,但请务必检测并禁用 DES 使用,以避免潜在的中断,然后再执行 2025 年 9 月安全更新。 考虑采用高级加密Standard (AES) 算法作为更强的加密方法。 了解详细信息,并按照删除 Kerberos 中的 DES for Windows Server 和客户端中的建议指南进行作。
微软现在还允许使用基于 AES 的 BitLocker 对 Windows 11 24H2 家庭 PC 进行默认加密,因为它最近解释了 TPM 等系统要求在其中发挥的关键作用。
该公司还介绍了 Kerberos 中 DES 的禁用将分两个阶段进行,即兼容模式和禁用模式:
在 Windows 设备上的 Kerberos 中禁用 DES 的转换将分阶段进行。
兼容模式:默认情况下,在 Windows 7 和 Windows Server 2008 R2 上和之后发布的所有 Windows 客户端和服务器版本上,Kerberos 中的 DES 处于禁用状态。如果 Kerberos 中需要 DES,管理员可以在支持的作系统上手动配置 DES 密码,但已安装 2025 年 9 月 9 日及之后发布的更新的 Windows 11 24H2 和 Windows Server 2025 设备除外。
Kerberos 禁用模式下的 DES:删除 Kerberos 中的 DES 后,在 Windows Server 2025 及更高版本以及 Windows 11 版本 24H2 及更高版本中,将不再支持将其作为 Kerberos 的任何功能中的加密密码。在这两个作系统版本上使用 DES 的旧方案将停止工作,直到 IT 管理员进行与 Kerberos 相关的应用程序和网络安全配置更改,以便可以使用更安全的密码。
DES 不会从早期的 Windows 版本中删除。
您可以在微软技术社区的博文中找到更多详细信息:
![[WIN] PrivWindoze v5.3.5](https://www.pcsofter.com/wp-content/uploads/2025/04/2025040217040835.webp)
![[WIN] Calibre v8.3.0](https://www.pcsofter.com/wp-content/uploads/2024/07/2024071311553744.webp)
