Conseil de sécurité Microsoft 3057154

Mise à jour visant à renforcer la sécurité en cas d'utilisation du chiffrement DES

Date de publication : 14 juillet 2015 | Date de mise à jour : 8 décembre 2015

Version : 1.1

Synthèse

Microsoft annonce la disponibilité d'une mise à jour pour renforcer la sécurité dans les cas où des clés de chiffrement DES (Data Encryption Standard) sont utilisées avec les comptes afin de garantir que les utilisateurs, services et ordinateurs du domaine qui prennent en charge d'autres types de chiffrement ne sont pas vulnérables aux usurpations d'identité ou aux attaques liées à une élévation de privilège. DES est considéré comme un chiffrement faible étant donné les attaques bien connues par force brute et les attaques plus rapides. L'algorithme de chiffrement a également été supprimé de la norme [RFC 6649]. Pour renforcer la protection des utilisateurs, Microsoft a désactivé DES par défaut dans Windows 7 et Windows Server 2008 R2 ainsi que dans des systèmes d'exploitation plus récents. Toutefois, cette mise à jour permet à DES d'être utilisé entre le client et le serveur pour faire face à des cas de figure où DES est toujours requis pour des raisons de compatibilité d'applications. L'amélioration fait partie des efforts déployés visant à renforcer l'efficacité du chiffrement dans Windows et à conserver la prise en charge d'applications métier héritées.

Les comptes suivants ne peuvent jamais utiliser DES pour protéger les TGT et les tickets de service, car tous les contrôleurs de domaine Windows qui prennent en charge le protocole Kerberos prennent également en charge RC4 au minimum :

  • compte krbtgt
  • Comptes de contrôleur de domaine

En outre, les comptes suivants ne peuvent pas utiliser DES pour protéger les TGT et les tickets de service, à moins que DES soit le seul type de chiffrement pris en charge :

  • comptes d'ordinateur
  • comptes de service
  • comptes d'approbation
  • comptes d'utilisateur

Pour obtenir plus d'informations et des instructions de déploiement, consultez l'article 3057154 de la Base de connaissances Microsoft.

Logiciels concernés

Système d'exploitation
Windows Server 2003 Service Pack 2
Windows Server 2003 R2 Service Pack 2
Windows Server 2003 Édition x64 Service Pack 2
Windows Server 2003 R2 Édition x64 Service Pack 2
Windows Server 2003 avec SP2 pour systèmes Itanium
Windows Vista Service Pack 2
Windows Vista Édition x64 Service Pack 2
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes Itanium Service Pack 2
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Windows 8 pour systèmes 32 bits
Windows 8 pour systèmes x64
Windows 8.1 pour systèmes 32 bits
Windows 8.1 pour systèmes x64
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Option d'installation Server Core
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
Windows Server 2012 (installation Server Core)
Windows Server 2012 R2 (installation Server Core)

Forum aux questions de cet Avis

Quelle est la portée de cet Avis ?
Pour annoncer la disponibilité d'une mise à jour visant à renforcer la sécurité dans les cas où des clés de chiffrement DES (Data Encryption Standard) sont autorisées pour les comptes de domaine.

Que fait cette mise à jour ?
La mise à jour permet aux clients de garder accès aux services qui utilisent DES sans leur permettre d'utiliser DES avec le Centre de distribution de clés Kerberos.

Autres informations

Microsoft Active Protections Program (MAPP)

Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).

Commentaires

  • Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire de contact du service clientèle disponible sur le site web Aide et Support Microsoft.

Support technique

Dédit de responsabilité

Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (14 juillet 2015) : Avis publié.
  • V1.1 (8 décembre 2015) : Avis mis à jour pour inclure davantage d'informations sur la désactivation de DES par défaut dans Windows 7 et Windows Server 2008 R2 ainsi que dans des systèmes d'exploitation plus récents. La mise à jour permet à DES d'être utilisé entre le client et le serveur pour faire face à des cas de figure où DES est toujours requis pour des raisons de compatibilité d'applications.

Page générée le 03/12/2015 9:46Z-08:00.