Avis de sécurité Microsoft : Mise à jour visant à renforcer la sécurité en cas d'utilisation du chiffrement DES : 14 juillet 2015

S’applique à : Windows Server 2012 DatacenterWindows Server 2012 DatacenterWindows Server 2012 Standard

INTRODUCTION


Microsoft a publié un avis de sécurité concernant ce problème à l'attention des professionnels de l'informatique. Cet avis contient des informations supplémentaires relatives à la sécurité. Pour consulter cet avis de sécurité, reportez-vous au site web de Microsoft à l'adresse suivante :

Plus d'informations


Important
  • Toutes les prochaines mises à jour de sécurité et non liées à la sécurité pour Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2 nécessitent l'installation de la mise à jour 2919355. Nous vous recommandons d'installer la mise à jour 2919355 sur votre ordinateur Windows RT 8.1, Windows 8.1 ou Windows Server 2012 R2 pour recevoir les prochaines mises à jour.
  • Si vous installez un module linguistique après avoir installé cette mise à jour, vous devez réinstaller cette mise à jour. Par conséquent, nous vous conseillons d'installer les modules linguistiques nécessaires avant cette mise à jour. Pour plus d'informations, voir Ajouter des modules linguistiques à Windows.

Forum aux questions

Comment puis-je m'assurer que les services qui ne peuvent utiliser que le chiffrement DES pour l'authentification Kerberos (DES pour Kerberos) continueront de fonctionner ?

Vous pouvez configurer des comptes de service pour ne prendre en charge que les types de chiffrement DES (Data Encryption Standard) en activant le paramètre Utiliser les types de chiffrement DES via Kerberos pour ce compte dans l'interface utilisateur de gestion du compte. Plus précisément, cochez la case Utiliser DES dans les propriétés d'une entité de sécurité dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory (DSA.MSC). Cette option définit un indicateur Utilisez DES UNIQUEMENT dans l'attribut Contrôle de compte d'utilisateur de ce compte. Ce paramètre remplace tout autre type de chiffrement configuré pour que DES soit le seul type de chiffrement.

Cette manière de configurer des comptes offre aux administrateurs de domaine une méthode simple pour identifier tous les comptes sur des plate-formes Kerberos « DES uniquement » et pour savoir quand ils seront désaffectés pour que les objets Stratégie de groupe qui permettent à Windows de prendre en charge DES puissent être mis à jour ou supprimés.

De par les faiblesses connues de DES, il est préférable que les services DES uniquement n'aient accès qu'à des données publiques et qu'ils n'aient jamais accès à des données qui pourraient avoir des conséquences commerciales si elles étaient compromises.

Comment puis-je m'assurer que les services auxquels ont accès des clients qui n'utilisent que DES pour Kerberos continueront de fonctionner ?

DES doit figurer sur la liste des types de chiffrement pris en charge (attribut msDS-SupportedEncryptionTypes) sur l'objet de compte du service.

Lorsqu'un hébergeur joint au domaine exécute Windows Server 2008 ou une version ultérieure, les services qui utilisent l'identité du système doivent uniquement activer l'hébergeur pour prendre en charge DES. Windows configurera automatiquement le compte d'ordinateur pour qu'il utilise les types de chiffrement pris en charge par le système d'exploitation. Les comptes de service administrés Windows 2008 R2 sont également configurés automatiquement.

Si le service nécessite une configuration manuelle, les comptes devraient être configurés à l'aide de l'applet de commande PowerShell ainsi que du paramètre KerberosEncryptionType pour s'assurer que l'ensemble des types de chiffrement sont correctement configurés. Si vous utilisez les Utilisateurs et ordinateurs Active Directory ou le Centre d'administration Active Directory pour configurer le compte dans le but qu'il prenne en charge DES, le service sera DES uniquement. Cela bloque les clients qui ne prennent pas en charge DES.

Comment configurer des utilisateurs qui utilisent régulièrement des plates-formes qui utilisent DES uniquement ?

Les utilisateurs des plate-formes Kerberos DES uniquement ne devraient jamais avoir accès à des données qui pourraient avoir des conséquences commerciales. Il ne devraient avoir accès qu'à des données publiques. Ces utilisateurs devraient recevoir des comptes différents, qui n'octroient pas l'accès à des données qui pourraient avoir des conséquences commerciales. Il est possible de configurer ces comptes pour qu'ils utilisent le chiffrement DES uniquement.

Comment vérifier l'utilisation de DES dans mon environnement ?

Consulter Hunting down DES in order to securely deploy Kerberos (Traquer DES en vue d'un déploiement en toute sécurité de Kerberos).

Procédure d'obtention et d'installation de la mise à jour


Méthode 1 : Windows Update

Cette mise à jour est disponible via Windows Update. Si vous activez les mises à jour automatiques, cette mise à jour est téléchargée et installée automatiquement. Pour plus d'informations sur la procédure d'activation des mises à jour automatiques, reportez-vous à la section
Recevez automatiquement les mises à jour de sécurité.

Remarque Pour Windows RT et Windows RT 8.1, cette mise à jour est disponible via Windows Update uniquement.

Plus d'informations


Informations sur les fichiers