Esta semana, a Microsoft atualizou seus recursos de rastreamento de páginas da Web removidos dos clientes Windows e do Windows Server. A empresa confirmou que o Windows 1124H2 e o Windows Server 2025 removerão a cifra DES ou Data Encryption Standard. O raciocínio da gigante da tecnologia é que o algoritmo de criptografia DES é muito antigo e inseguro, portanto, removê-lo é justificado e faz parte de uma estratégia mais ampla para melhorar a segurança do Windows.
Microsoft disse:
O algoritmo de cifra de bloco de chave simétrica DES é considerado inseguro contra ataques criptográficos modernos e foi substituído por algoritmos de criptografia mais fortes. A partir do Windows 7 e do Windows Server 2008R2, o DES está desabilitado por padrão. No Windows 11, 24H2 e posterior, e no Windows Server 2025 e posterior, o DES foi removido.
DES é uma cifra simétrica desenvolvida na década de 1970. Ele usa uma chave de 56 bits para criptografar e descriptografar blocos de dados de 64 bits. Até 2030, o NIST (Instituto Nacional de Padrões e Tecnologia) recomenda o uso de DES triplo.
A Microsoft também atualizou o Windows Message Center para notificar os administradores de TI e administradores de sistema de que o DES no Kerberos será eliminado no Windows 1124H2 e no Windows Server 2025. Ela recomenda a migração para AES ou Advanced Encryption Standard, que usa comprimentos de chave mais longos de 128, 192 ou 256 bits. Diz:
Administradores de TI: preparem-se para remover o Data Encryption Standard (DES) do Kerberos no Windows Server 2025 e no Windows 11 versão 24H2. Embora este seja um componente opcional que não é instalado por padrão, o uso do DES deve ser detectado e desabilitado antes de usar a atualização de segurança de setembro de 2025 para evitar possíveis interrupções. Considere o algoritmo Advanced Encryption Standard (AES) como um método de criptografia mais forte.
A Microsoft agora também está permitindo criptografia padrão para PCs domésticos com Windows 11 24H2 usando BitLocker baseado em AES, já que a empresa explicou recentemente como requisitos de sistema como TPM desempenham um papel fundamental nisso.
A empresa também informou que a desativação do DES no Kerberos ocorrerá em duas fases, a saber, modo de compatibilidade e modo de desativação:
A transição para a desativação do DES no Kerberos em dispositivos Windows ocorrerá em fases.
Modo de compatibilidade: DES no Kerberos está desabilitado por padrão no Windows 7 e no Windows Server 2008R2 e em todas as versões de cliente e servidor Windows lançadas posteriormente. Se o DES precisar ser usado com Kerberos, os administradores poderão configurar manualmente a cifra DES em sistemas operacionais compatíveis, exceto para dispositivos Windows 1124H2 e Windows Server 2025 com atualizações lançadas em ou após 9 de setembro de 2025.
DES no modo Kerberos desabilitado: depois que o DES no Kerberos for removido, ele não terá mais suporte como uma cifra criptografada para qualquer recurso do Kerberos no Windows Server 2025 e posterior e no Windows 1124H2 e posterior. O cenário legado que usa DES em ambas as versões do sistema operacional deixará de funcionar até que os administradores de TI façam alterações nas configurações de aplicativos e segurança de rede relacionadas ao Kerberos para usar senhas mais seguras.
Versões anteriores do Windows não removerão o DES.
Você pode encontrar detalhes mais relevantes na postagem do blog Microsoft TechCommunity:
https://techcommunity.microsoft.com/blog/WindowsServerNewsandBestPractices/removal-of-des-in-kerberos-for-windows-server-and-client/4386903