Microsoft Security Advisory 3057154

  • Artikel

Update zur Härtung der Verwendung der DES-Verschlüsselung

Veröffentlicht: 14. Juli 2015 | Aktualisiert: 8. Dezember 2015

Version: 1.1

Kurzfassung

Microsoft kündigt die Verfügbarkeit eines Updates an, um Szenarien zu härten, in denen Verschlüsselungsschlüssel (Data Encryption Standard, DES) mit Konten verwendet werden, um sicherzustellen, dass Standard benutzer, Dienste und Computer, die andere Verschlüsselungstypen unterstützen, nicht anfällig für Den diebstahl von Anmeldeinformationen oder Rechteerweiterungsangriffen sind. DES gilt als schwache Chiffre aufgrund bekannter Brute-Force und schneller als Brute-Force-Angriffe. Der kryptografische Algorithmus wurde auch aus dem Standard [RFC 6649] entfernt. Um unsere Benutzer weiter zu schützen, hat Microsoft DAS standardmäßig unter Windows 7 und Windows Server 2008 R2 und höher deaktiviert. Mit diesem Update kann DES jedoch zwischen Client und Server verwendet werden, um Szenarien zu behandeln, in denen DES aus Anwendungskompatibilitätsgründen noch erforderlich ist. Die Verbesserung ist Teil der laufenden Bemühungen, die Effektivität der Verschlüsselung in Windows zu stärken und weiterhin ältere Branchenanwendungen (Line-of-Business) zu unterstützen.

Die folgenden Konten können DES niemals verwenden, um TGTs und Servicetickets zu schützen, da alle Windows-Do Standard-Controller, die das Kerberos-Protokoll unterstützen, mindestens RC4 unterstützen:

  • krbtgt-Konto
  • Do Standard Controllerkonten

Darüber hinaus können die folgenden Konten DES nicht zum Schutz von TGTs und Servicetickets verwenden, es sei denn, DES ist der einzige unterstützte Verschlüsselungstyp:

  • Computerkonten
  • Dienstkonten
  • Vertrauenskonten
  • Benutzerkonten

Weitere Details und Bereitstellungsanleitungen finden Sie im Microsoft Knowledge Base-Artikel 3057154.

Betroffene Software

|Betriebssystem| |------------| |Windows Server 2003 Service Pack 2| |Windows Server 2003 R2 Service Pack 2| |Windows Server 2003 x64 Edition Service Pack 2| |Windows Server 2003 R2 x64 Edition Service Pack 2| |Windows Server 2003 mit SP2 für Itanium-basierte Systeme| |Windows Vista Service Pack 2| |Windows Vista x64 Edition Service Pack 2| |Windows Server 2008 für 32-Bit-Systeme Service Pack 2| |Windows Server 2008 für x64-basierte Systeme Service Pack 2| |Windows Server 2008 für Itanium-basierte Systeme Service Pack 2| |Windows 7 für 32-Bit-Systeme Service Pack 1| |Windows 7 für x64-basierte Systeme Service Pack 1| |Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1| |Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1| |Windows 8 für 32-Bit-Systeme| |Windows 8 für x64-basierte Systeme| |Windows 8.1 für 32-Bit-Systeme| |Windows 8.1 für x64-basierte Systeme| |Windows Server 2012| |Windows Server 2012 R2| |Windows RT| |Windows RT 8.1| |Server Core-Installationsoption| |Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)| |Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)| |Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)| |Windows Server 2012 (Server Core-Installation)| |Windows Server 2012 R2 (Server Core-Installation)|

Häufig gestellte Fragen zu Beratungen

Was ist der Umfang der Beratung? 
Um die Verfügbarkeit eines Updates ankündigen zu können, um Szenarien zu härten, in denen Verschlüsselungsschlüssel (Data Encryption Standard, DES) zulässig sind Standard Konten.

Was geschieht mit dem Update? 
Mit dem Update können Clients weiterhin auf Dienste zugreifen, die DES verwenden, ohne sie mit dem Kerberos Key Distribution Center (KDC) verwenden zu können.

Sonstige Informationen

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.

Feedback

Unterstützung

Haftungsausschluss

Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (14. Juli 2015): Empfehlung veröffentlicht.
  • V1.1 (8. Dezember 2015): Empfehlung aktualisiert, um weitere Informationen zum Standardmäßigen Deaktivieren von DES in Windows 7 und Windows Server 2008 R2 und höher verfügbaren Betriebssystemen einzuschließen. Mit dem Update kann DES zwischen Client und Server verwendet werden, um Szenarien zu behandeln, in denen DES aus Anwendungskompatibilitätsgründen noch erforderlich ist.

Seite generiert 2015-12-03 13:53Z-08:00.