微软弃用古老的DES加密 希望Windows用户换用AES

微软表示：

对称密钥块加密算法DES被认为对现代加密攻击不安全，并被更强大的加密算法所取代。从Windows7和WindowsServer2008R2开始，默认禁用DES。在Windows11、24H2及更高版本和WindowsServer2025及更高版本中，DES已被移除。

DES是一种对称密码，早在20世纪70年代就已开发出来。它使用56位密钥加密和解密64位数据块。到2030年，NIST（美国国家标准与技术研究院）推荐使用三重DES。

微软还更新了Windows消息中心，通知IT管理员和系统管理员即将在Windows1124H2和WindowsServer2025中取消Kerberos中的DES。它建议迁移到AES或高级加密标准，后者使用128、192或256位更长的密钥长度。它说：

IT管理员：准备在WindowsServer2025和Windows11版本24H2的Kerberos中移除数据加密标准(DES)。虽然这是一个默认不安装的可选组件，但在使用2025年9月的安全更新之前，必须检测并禁用DES的使用，以避免潜在的中断。考虑采用高级加密标准(AES)算法作为更强大的加密方法。

微软现在还允许使用基于AES的BitLocker对Windows1124H2家庭PC进行默认加密，因为该公司最近解释了系统要求如TPM在其中发挥的关键作用。

该公司还介绍了在Kerberos中禁用DES将分两个阶段进行，即兼容模式和禁用模式：

在Windows设备上禁用Kerberos中DES的过渡将分阶段进行。

兼容模式：在Windows7和WindowsServer2008R2及之后发布的所有Windows客户端和服务器版本中，Kerberos中的DES默认为禁用。如果需要在Kerberos中使用DES，管理员可以在支持的操作系统上手动配置DES密码，但安装了2025年9月9日及之后发布的更新的Windows1124H2和WindowsServer2025设备除外。

Kerberos禁用模式中的DES：一旦删除Kerberos中的DES，它将不再作为WindowsServer2025及更高版本和Windows1124H2及更高版本中Kerberos的任何功能的加密密码提供支持。在这两个操作系统版本上使用DES的传统方案将停止工作，直到IT管理员对与Kerberos相关的应用程序和网络安全配置进行更改，以便使用更安全的密码。

早期的Windows版本不会删除DES。

您可以在MicrosoftTechCommunity博文中找到更多相关详细信息：

https://techcommunity.microsoft.com/blog/WindowsServerNewsandBestPractices/removal-of-des-in-kerberos-for-windows-server-and-client/4386903