Conseils de sécurité Microsoft 3057154

  • Article

Mise à jour pour renforcer l’utilisation du chiffrement DES

Publication : 14 juillet 2015 | Mise à jour : 8 décembre 2015

Version : 1.1

Résumé

Microsoft annonce la disponibilité d’une mise à jour pour renforcer les scénarios dans lesquels les clés de chiffrement DES (Data Encryption Standard) sont utilisées avec des comptes pour s’assurer que les utilisateurs de domaine, les services et les ordinateurs qui prennent en charge d’autres types de chiffrement ne sont pas vulnérables au vol d’informations d’identification ou à l’élévation de privilèges. DES est considéré comme un chiffrement faible en raison d’une force brute connue et plus rapide que les attaques par force brute. L’algorithme de chiffrement a également été supprimé de la norme [RFC 6649]. Pour protéger davantage nos utilisateurs, Microsoft a désactivé DES par défaut dans Windows 7 et Windows Server 2008 R2 et les systèmes d’exploitation ultérieurs. Toutefois, cette mise à jour permet d’utiliser DES entre le client et le serveur pour résoudre les scénarios dans lesquels DES est toujours nécessaire pour des raisons de compatibilité des applications. L’amélioration fait partie des efforts continus visant à renforcer l’efficacité du chiffrement dans Windows et à prendre toujours en charge les applications métier héritées.

Les comptes suivants ne peuvent jamais utiliser DES pour protéger les TGT et les tickets de service, car tous les contrôleurs de domaine Windows qui prennent en charge le protocole Kerberos prennent également en charge au moins RC4 :

  • compte krbtgt
  • Comptes de contrôleur de domaine

En outre, les comptes suivants ne peuvent pas utiliser DES pour protéger les TGT et les tickets de service, sauf si DES est le seul type de chiffrement pris en charge :

  • comptes d’ordinateur
  • comptes de service
  • comptes d’approbation
  • comptes d’utilisateur

Pour plus d’informations et des conseils de déploiement, consultez l’article de la Base de connaissances Microsoft 3057154.

Logiciel affecté

|Système d’exploitation | |------------| |Windows Server 2003 Service Pack 2 | |Windows Server 2003 R2 Service Pack 2 | |Windows Server 2003 x64 Edition Service Pack 2 | |Windows Server 2003 R2 x64 Edition Service Pack 2 | |Windows Server 2003 avec SP2 pour les systèmes Itanium | |Windows Vista Service Pack 2 | |Windows Vista x64 Edition Service Pack 2 | |Windows Server 2008 pour systèmes 32 bits Service Pack 2 | |Windows Server 2008 pour systèmes x64 Service Pack 2 | |Windows Server 2008 pour les systèmes Itanium Service Pack 2 | |Windows 7 pour systèmes 32 bits Service Pack 1 | |Windows 7 pour systèmes x64 Service Pack 1 | |Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | |Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | |Windows 8 pour systèmes 32 bits | |Windows 8 pour systèmes x64 | |Windows 8.1 pour les systèmes 32 bits | |Windows 8.1 pour systèmes x64 | |Windows Server 2012 | |Windows Server 2012 R2 | |Windows RT| |Windows RT 8.1 | |Option d’installation server Core | |Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)| |Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)| |Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core)| |Windows Server 2012 (installation Server Core)| |Windows Server 2012 R2 (installation Server Core)|

Faq sur les conseils

Quelle est la portée de l’avis ? 
Pour annoncer la disponibilité d’une mise à jour pour renforcer les scénarios dans lesquels les clés de chiffrement DES (Data Encryption Standard) sont autorisées pour les comptes de domaine.

Que fait la mise à jour ? 
La mise à jour permet aux clients d’accéder toujours aux services qui utilisent DES sans leur permettre d’utiliser DES avec le Centre de distribution de clés Kerberos (KDC).

Autres informations

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (14 juillet 2015) : Avis publié.
  • V1.1 (8 décembre 2015) : avis mis à jour pour inclure plus d’informations sur la désactivation des DES par défaut dans Windows 7 et Windows Server 2008 R2 et les systèmes d’exploitation ultérieurs. La mise à jour permet d’utiliser DES entre le client et le serveur pour résoudre les scénarios dans lesquels DES est toujours nécessaire pour des raisons de compatibilité des applications.

Page générée 2015-12-03 13 :53Z-08 :00.