النصائح الإرشادية للأمان من Microsoft: التحديث استخدام تشفير DES تتصلب: 14 يوليو عام 2015

ينطبق على: Windows Server 2012 DatacenterWindows Server 2012 StandardWindows Server 2012 Essentials

مقدمة


قامت Microsoft بإصدار أمان Microsoft النصائح الإرشادية حول هذه المشكلة لمتخصصي تكنولوجيا المعلومات. النصائح الإرشادية للأمان معلومات إضافية متعلقة بالأمان. لعرض "النصائح الإرشادية للأمان"، انتقل إلى موقع Microsoft التالي على الويب:

مزيد من المعلومات


هام
  • تتطلب كافة الأمنية المستقبلية وتحديثات غير متعلقة بالأمان ل Windows RT 8.1 Windows 8.1 و Windows Server 2012 R2 التحديث 2919355 للتثبيت. نوصي بتثبيت التحديث 2919355 على الكمبيوتر الخاص بك يستند إلى Windows RT 8.1 المستندة إلى Windows 8.1 أو المستندة إلى Windows Server 2012 R2 حتى يتسنى الحصول على التحديثات المستقبلية.
  • إذا قمت بتثبيت حزمة لغة بعد تثبيت هذا التحديث، يجب إعادة تثبيت هذا التحديث. ولذلك، نوصي أن تقوم بتثبيت أي لغة حزم تحتاج قبل تثبيت هذا التحديث. لمزيد من المعلومات، راجع إضافة حزم اللغات ل Windows.

الأسئلة المتداولة

كيف يمكنني التأكد من الخدمات التي يمكن استخدامها فقط تشفير DES لمصادقة Kerberos (DES ل Kerberos) ستواصل العمل؟

يمكنك تكوين حسابات الخدمة لدعم أنواع التشفير مقياس تشفير البيانات (DES) بتمكين الإعداد استخدام Kerberos DES أنواع التشفير لهذا الحساب في واجهة مستخدم إدارة الحساب. وبوجه خاص، انقر لتحديد خانة الاختيار استخدام DES لخصائص أساس الأمان في "مستخدمي Active Directory" وأجهزة الكمبيوتر الإضافية (DSA. MSC). يؤدي هذا إلى تعيين علامة استخدام DES فقط سمة التحكم في حساب المستخدم لهذا الحساب. يتجاوز هذا الإعداد أي أخرى أنواع التشفير التي تم تكوينها بحيث يكون لنوع التشفير فقط.

تكوين حسابات بهذه الطريقة تعطي مسؤولي المجال طريقة بسيطة لتحديد كافة الحسابات الموجودة على الأنظمة الأساسية Kerberos "DES فقط" وتحديد متى تكون كافة التي أخرجت من الخدمة وبذلك يمكن تحديث كائنات "نهج المجموعة" التي يتم إضافة دعم DES إلى Windows أو إزالتها.

بسبب الضعف المعروفة في DES، ننصحك بأن خدمات DES فقط ينبغي أن يحصل فقط على البيانات العامة ويجب إلا يكون لديك حق الوصول إلى البيانات أن يكون لها أي تأثير العمل إذا كان قد لحق بهما عيب.

كيف أقوم بإجراء التأكد من أن الخدمات التي يتم الوصول إليها من قبل العملاء استخدام DES فقط ل Kerberos ستواصل العمل؟

يجب أن يكون لقائمة أنواع التشفير المعتمدة (سمةمسدس سوبورتيدينكريبتيونتيبيس ) على كائن حساب الخدمة.

عندما يتم تشغيل مضيف متصل بمجال Windows Server 2008 أو الإصدارات الأحدث، يكون خدمات استخدام الهوية الخاصة بالنظام فقط لتمكين المضيف لدعم DES. سيتم تكوين Windows تلقائياً حساب الكمبيوتر لاستخدام أنواع التشفير المعتمدة من قبل نظام التشغيل. يتم تلقائياً تكوين حسابات الخدمة المدارة R2 2008 Windows.

إذا كانت الخدمة تتطلب التكوين اليدوي، يجب تكوين حسابات باستخدام cmdlet نوع الحساب PowerShell جنبا إلى جنب مع المعلمة كيربيروسينكريبتيونتيبي للتأكد من أنه تم تكوين كافة أنواع التشفير بشكل صحيح. باستخدام مستخدمي Active Directory وأجهزة الكمبيوتر أو مركز الإدارية دليل نشط لتكوين حساب لدعم DES، تقوم خدمة DES فقط. سيؤدي هذا إلى الأجهزة العميلة التي لا تدعم DES.

كيف أقوم بتكوين المستخدمين الذين يستخدمون أنظمة استخدام DES فقط دورياً؟

يجب عدم الوصول المستخدمين على الأنظمة الأساسية Kerberos DES فقط البيانات التي قد يكون لها أثر على عمل. فيجب الوصول إلى البيانات العامة فقط. وينبغي إصدار هؤلاء المستخدمين حسابات منفصلة لا يستطيعون الوصول إلى البيانات التي قد يكون لها أثر على عمل. قد يتم تكوين هذه الحسابات باستخدام تشفير DES فقط.

كيف يمكنني فحص استخدام DES في البيئة الخاصة بي؟

راجع تعقب DES لنشر أمان Kerberos.

كيفية الحصول على التحديث وتثبيته


الطريقة الأولى: Windows Update

يتوفر هذا التحديث من خلال Windows Update. عند تشغيل التحديث التلقائي، سيتم تحميل هذا التحديث وتثبيته تلقائياً. لمزيد من المعلومات حول كيفية تشغيل التحديث التلقائي، راجع
الحصول على تحديثات الأمان تلقائياً.

ملاحظة: Windows RT و Windows RT 8.1، يتوفر هذا التحديث من خلال Windows Update فقط.