Microsoft je najavio planove za poboljšanje sigurnosnih mjera uklanjanjem algoritma šifrovanja Standarda za šifrovanje podataka (DES) iz Kerberos provjere autentičnosti u narednim Windows izdanjima.
Ova sigurnosna promjena će uticati na Windows Server 2025 i Windows 11 verziju 24H2 računare nakon što instaliraju Windows ažuriranja objavljena 9. septembra 2025. ili nakon toga.
Uklanjanje predstavlja važan korak u Microsoftovoj tekućoj Secure Future Initiative (SFI), koja ima za cilj eliminaciju zastarjelih i ranjivih tehnologija šifriranja iz njihovog ekosistema.
DES enkripcija, uspostavljena 1977. godine kao prvi standardni algoritam za šifrovanje za poslovnu upotrebu u Sjedinjenim Državama, vremenom je postajala sve ranjivija na narušavanje sigurnosti.
Algoritam je ugrađen u Kerberos u RFC1510 (1993) i pojavio se u Windowsovoj prvoj Kerberos implementaciji sa Windows 2000.
Međutim, Windows sistemi se nikada nisu izvorno oslanjali na DES za Kerberos, već su umjesto toga koristili RC4 za transakcije Windows-na-Windows.
Od Windows 7 i Windows Server 2008 R2, DES je onemogućen po defaultu, ali je ostao dostupan kao opciona komponenta kada ga administratori ručno omoguće.
Osim toga, istraživači iz Microsofta su primijetili da će se prijelaz na onemogućavanje DES-a u Kerberos-u odvijati u fazama. Trenutno, Windows radi u “Compatibility Mode” gdje je DES onemogućen po defaultu, ali se može ručno konfigurisati ako je potrebno.
Nakon septembra 2025., pogođeni sistemi će ući u „DES u Kerberos onemogućenom načinu“, gdje DES više neće biti podržan kao šifra za šifrovanje u bilo kojoj Kerberos funkciji.
Važno je napomenuti da DES neće biti uklonjen iz ranijih verzija Windowsa, što će organizacijama omogućiti vrijeme da prebace svoje sisteme.
Microsoft snažno preporučuje da organizacije identifikuju i pozabave se bilo kakvom trenutnom upotrebom DES enkripcije prije sigurnosnog ažuriranja u septembru 2025.
Organizacije bi trebale otkriti korištenje DES-a, identifikovati aplikacije koje se oslanjaju na njega i rekonfigurisati ih da koriste jače šifre kao što je Advanced Encryption Standard (AES).
Detekcija i sanacija
Da bi identificirali korištenje DES-a, administratori mogu koristiti PowerShell skripte koje skeniraju dnevnike sigurnosnih događaja za ID-ove događaja Kerberos usluge distribucije ključeva (KDCSVC) 4768 i 4769.
Ovi događaji se bilježe svaki put kada Centar za distribuciju ključeva izda Kerberos kartu za dodjelu tiketa ili kada se zatraži tiket usluge Kerberos.
Nakon što identifikuju upotrebu DES-a, administratori bi ga trebali onemogućiti putem postavki Active Directory i grupnih politika.
U politici Active Directory Users and Computers, administratori treba da osiguraju da je opcija „Koristi samo Kerberos DES tipove enkripcije za ovaj nalog“ poništena za sve naloge.
.webp)
Pored toga, u Pravilima grupe idite na „Sigurnost mreže: Konfigurišite tipove šifrovanja dozvoljene za Kerberos“ koji se nalazi u Konfiguracija računara\Windows postavke\Sigurnosne postavke\Lokalne politike\Sigurnosne opcije.
.webp)
Za naloge kreirane na starijim kontrolerima domena sa operativnim sistemom Windows Server 2003 ili starijim, Microsoft savetuje da promenite lozinku naloga kako bi se osigurala AES kompatibilnost.
Organizacije bi trebale postepeno preći sa DES na AES enkripciju, osiguravajući da svi trustovi domena podržavaju AES i implementirajući odgovarajuće testiranje i procedure vraćanja u prethodno stanje tokom tranzicije.
Izvor: CyberSecurityNews