Microsoft 資訊安全諮詢:用以強化 DES 加密使用方法的更新:2015 年 7 月 14 日

簡介

Microsoft 已經針對這個問題為 IT 專業人員發行 Microsoft 資訊安全諮詢。此資訊安全諮詢包含其他安全性相關資訊。如果要檢視此資訊安全摘要報告,請移至下列 Microsoft 網站:

其他相關資訊

重要
  • Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 未來所有的安全性與非安全性更新皆需要已安裝更新 2919355 (機器翻譯)。我們建議您在 Windows RT 8.1、Windows 8.1 或 Windows Server 2012 R2 電腦上安裝更新 2919355 (英文),以便收到未來的更新。
  • 如果您在安裝此更新之後安裝語言套件,您必須重新安裝此更新。因此,建議您先安裝所有需要的語言套件,再安裝此更新。如需詳細資訊,請參閱將語言套件新增到 Windows

常見問題集

如何確定只能使用 DES 加密進行 Kerberos 驗證 (DES for Kerberos) 的服務將繼續運作?

您可以在帳戶管理 UI 中啟用 [這個帳戶需要使用 Kerberos DES 加密類型] 設定,將服務帳戶設定為僅支援資料加密標準 (DES) 加密類型。具體來說,針對 Active Directory 使用者及電腦嵌入式管理單元 (DSA.MSC) 中的安全性主體屬性,按一下以選取 [使用 DES] 核取方塊。這會在該帳戶的 [使用者帳戶控制] 屬性中設定 [僅使用 DES] 旗標。此設定會覆寫任何其他已設定的加密類型,讓 DES 成為唯一的加密類型。

以此方式設定帳戶可讓網域管理員輕鬆識別「僅限 DES」Kerberos 平台上的所有帳戶,以及判斷何時將這些帳戶全部解除委任,以便更新或移除可將 DES 支援加入至 Windows 的群組原則物件。

因為 DES 中的已知弱點,,我們建議僅限 DES 服務應只能存取公用資料,而絕對不能存取受侵害時會造成任何業務影響的資料。

如何確定僅使用 DES for Kerberos 的用戶端所存取的服務將繼續運作?

DES 必須在服務帳戶物件上支援的加密類型 (msDS-SupportedEncryptionTypes 屬性) 清單中。

當已加入網域的主機正在執行 Windows Server 2008 或更新版本時,使用系統身分識別的服務只須啟用主機即可支援 DES。Windows 會自動將電腦帳戶設定為使用作業系統所支援的加密類型。也會自動設定 Windows 2008 R2 受管理的服務帳戶。

如果服務需要手動設定,則應使用帳戶類型的 PowerShell Cmdlet 與 KerberosEncryptionType 參數來設定帳戶,才可確保所有的加密類型都已正確設定。使用 Active Directory 使用者及電腦或 Active Directory 管理中心將帳戶設定為支援 DES,讓服務僅限使用 DES。這麼做會中斷不支援 DES 的用戶端。

對於定期使用僅使用 DES 之平台的使用者,我該如何對其設定?

僅限 DES 之 Kerberos 平台的使用者絕對不能存取有業務影響的資料。他們只能存取公用資料。這些使用者應具備無法存取有業務影響之資料的個別帳戶。可將這些帳戶設定為使用僅限 DES 的加密。

如何檢查我環境中的 DES 使用方式?

請參閱追蹤 DES 以便安全地部署 Kerberos

如何取得並安裝更新

方法 1:Windows Update

您可以透過 Windows Update 取得此更新。開啟自動更新後,就會自動下載並安裝此更新。如需有關如何開啟自動更新的詳細資訊,請參閱
自動取得安全性更新 (英文)。

注意:若為 Windows RT 和 Windows RT 8.1,只能透過 Windows Update 取得此更新。
方法 2:Microsoft 下載中心

其他相關資訊

檔案雜湊資訊

檔案資訊

Windows Vista 和 Windows Server 2008 檔案資訊
Windows 7 和 Windows Server 2008 R2 檔案資訊
Windows 8 和 Windows Server 2012 檔案資訊
內容

文章識別碼:3057154 - 最後檢閱時間:2015年12月11日 - 修訂: 1

Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows 8 Enterprise, Windows 8 Pro, Windows 8, Windows RT, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2, Windows Server 2008 R2 Foundation, Windows 7 Service Pack 1, Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Home Premium, Windows 7 Home Basic, Windows 7 Starter, Windows Server 2008 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 Foundation, Windows Server 2008 for Itanium-Based Systems, Windows Vista Service Pack 2, Windows Vista 旗艦版, Windows Vista 商用進階版, Windows Vista 商用入門版, Windows Vista 家用進階版, Windows Vista 家用入門版, Windows Vista Starter

意見反應