Microsoft Security Advisory 3057154

Mise à jour vers Renforcer l’utilisation du chiffrement DES

Date de publication : 14 juillet 2015 | Mise à jour : 8 décembre 2015

Version : 1.1

Résumé

Microsoft annonce la disponibilité d’une mise à jour pour renforcer les scénarios dans lesquels des clés de chiffrement Data Encryption Standard (DES) sont utilisées avec des comptes pour s’assurer que les utilisateurs du domaine, les services et les ordinateurs qui prennent en charge d’autres types de chiffrement ne sont pas vulnérables au vol d’informations d’identification ou aux attaques par élévation de privilèges. Des est considéré comme un chiffrement faible en raison de la force brute bien connue et plus rapide que les attaques par force brute. L’algorithme de chiffrement a également été supprimé de la norme [RFC 6649]. Pour mieux protéger nos utilisateurs, Microsoft a désactivé DES par défaut dans les systèmes d’exploitation Windows 7 et Windows Server 2008 R2 et ultérieur. Toutefois, cette mise à jour permet d’utiliser DES entre le client et le serveur pour résoudre les scénarios dans lesquels DES est toujours nécessaire pour des raisons de compatibilité des applications. L’amélioration s’inscrit dans le cadre des efforts continus visant à renforcer l’efficacité du chiffrement dans Windows, tout en continuant à prendre en charge les applications métier héritées.

Les comptes suivants ne peuvent jamais utiliser DES pour protéger les TGT et les tickets de service, car tous les contrôleurs de domaine Windows qui prennent en charge le protocole Kerberos prennent également en charge au moins RC4 :

• compte krbtgt
• Comptes de contrôleur de domaine

En outre, les comptes suivants ne peuvent pas utiliser DES pour protéger les TGT et les tickets de service, sauf si DES est le seul type de chiffrement pris en charge :

• comptes d’ordinateur
• comptes de service
• comptes d’approbation
• comptes d'utilisateur

Pour plus d’informations et d’aide sur le déploiement, consultez l’article 3057154 de la Base de connaissances Microsoft.

Logiciel affecté

|Système d’exploitation| |------------| |Windows Server 2003 Service Pack 2| |Windows Server 2003 R2 Service Pack 2| |Windows Server 2003 Édition x64 Service Pack 2| |Windows Server 2003 R2 Édition x64 Service Pack 2| |Windows Server 2003 avec SP2 pour les systèmes Itanium | |Windows Vista Service Pack 2| |Windows Vista Édition x64 Service Pack 2| |Windows Server 2008 pour systèmes 32 bits Service Pack 2| |Windows Server 2008 pour systèmes x64 Service Pack 2| |Windows Server 2008 pour systèmes Itanium Service Pack 2| |Windows 7 pour systèmes 32 bits Service Pack 1 | |Windows 7 pour systèmes x64 Service Pack 1 | |Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | |Windows Server 2008 R2 pour systèmes Itanium Service Pack 1| |Windows 8 pour systèmes 32 bits | |Windows 8 pour systèmes x64 | |Windows 8.1 pour les systèmes 32 bits | |Windows 8.1 pour les systèmes x64 | |Windows Server 2012| |Windows Server 2012 R2| |Windows RT| |Windows RT 8.1| |Option d’installation minimale | |Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation minimale)| | |Windows Server 2008 pour systèmes x64 Service Pack 2 (installation minimale)| | |Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation minimale)| | |Windows Server 2012 (installation minimale)| | |Windows Server 2012 R2 (installation minimale)|

QUESTIONS FRÉQUENTES (FAQ)

Quelle est la portée de l’avis? 
Pour annoncer la disponibilité d’une mise à jour pour renforcer les scénarios dans lesquels les clés de chiffrement Data Encryption Standard (DES) sont autorisées pour les comptes de domaine.

Que fait la mise à jour ? 
La mise à jour permet aux clients d’accéder toujours aux services qui utilisent DES sans leur permettre d’utiliser DES avec le Centre de distribution de clés Kerberos (KDC).

Autres informations

Microsoft Active Protections Program (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque publication de mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels qu’un antivirus, des systèmes de détection des intrusions basés sur le réseau ou des systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, consultez les sites web de protections actives fournis par les partenaires du programme, répertoriés dans Partenaires du programme Microsoft Active Protections (MAPP).

Commentaires

• Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, Contactez-nous par le service clientèle.

Support

• Les clients du États-Unis et du Canada peuvent bénéficier d’un support technique du support de sécurité. Pour plus d’informations, consultez Aide et support Microsoft.
• Les clients internationaux peuvent bénéficier d’un support de la part de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
• Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Clause d'exclusion de responsabilité

Les informations fournies dans le présent avis sont fournies « telles quelles » sans garantie d’aucune sorte. Microsoft rejette toutes les garanties, expresses ou implicites, y compris les garanties de qualité marchande et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne peuvent être tenus responsables de quelque dommage que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, la perte de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas s’appliquer.

Révisions

• V1.0 (14 juillet 2015) : Avis publié.
• V1.1 (8 décembre 2015) : Mise à jour de l’avis pour inclure plus d’informations sur la désactivation des des systèmes d’exploitation par défaut dans Windows 7 et Windows Server 2008 R2 et les systèmes d’exploitation ultérieurs. La mise à jour permet d’utiliser DES entre le client et le serveur pour traiter des scénarios dans lesquels DES est toujours nécessaire pour des raisons de compatibilité des applications.

Page générée 2015-12-03 13:53Z-08:00.