Microsoft, Windows 11 sürüm 24H2 ve Windows Server 2025’teki Kerberos’tan Veri Şifreleme Standardı (DES) şifreleme algoritmasının kaldırıldığını duyurdu.
9 Eylül 2025’te veya sonrasında yayınlanan güncellemelerle yürürlüğe girecek olan bu değişiklik, modern siber tehditlere karşı savunmasız eski şifreleme protokollerini ortadan kaldırarak güvenliği artırmayı amaçlamaktadır.
Hareket, Microsoft’un daha güçlü şifreleme standartlarının benimsenmesini vurgulayan Güvenli Gelecek Girişimi (SFI) ile uyumludur.
56 bit bir anahtar kullanan simetrik anahtarlı bir blok şifre olan Des, ilk olarak 1977’de tanıtıldı ve 1990’ların başında Kerberos’a dahil edildi.
Bununla birlikte, hesaplama gücündeki gelişmeler, DES’i kaba kuvvet ve bilinen plainte metin saldırılarına giderek daha fazla duyarlı hale getirmiştir.
DES, Windows 7 ve Windows Server 2008 R2’den beri Windows Systems’ta varsayılan olarak devre dışı bırakılmış olsa da, uyumluluk amaçları için isteğe bağlı bir bileşen olarak kullanılabilir.
Bu güncelleme ile DES artık Windows 11 sürüm 24H2 ve Windows Server 2025’te desteklenmeyecek.
Daha güçlü şifreleme standartlarına geçiş
DES’in kaldırılması aşamalarda gerçekleşecektir. Yöneticiler, Eylül 2025 güncellemelerini uygulamadan önce DES’in ağlarında kalan kullanımlarını tespit etmeleri ve devre dışı bırakmaları istenir.
Kerberos, kuruluşların Federal Bilgi İşleme Standartları (FIP’ler) gibi modern standartlara daha iyi güvenlik ve uyumluluk için benimsemeleri için teşvik edilen Gelişmiş Şifreleme Standardı (AES) gibi daha sağlam şifreleme algoritmalarını zaten desteklemektedir.
DES’e dayanan eski senaryolar, AES veya diğer güvenli şifreleri kullanmak için uygulamaları ve ağ güvenlik ayarlarını yeniden yapılandırmadıkça güncellenmiş sistemlerde işlevi durduracaktır.
Özellikle, Windows’un önceki sürümleri bu değişiklikten etkilenmeyecektir.
Yöneticiler için öneriler
Geçişe hazırlanmak için Microsoft, kuruluşlara şunları önerir:
- Des kullanımını tespit et: DES kullanan hesapları veya uygulamaları tanımlamak için PowerShell komut dosyaları veya Monitor Kerberos Anahtar Dağıtım Hizmeti (KDCSVC) olay kimliklerini (4768 ve 4769) güvenlik olay günlüklerinde kullanın.
- Devre dışı bırakmak: Hesapların DES şifreleme türleri için desteğin reklamını yapmamasını sağlamak için Active Directory Yapılandırmalarını güncelleyin. Yalnızca AES tabanlı şifreleme yöntemlerine izin vermek için grup ilkesi ayarlarını değiştirin.
- Test ve Geçiş: Etki alanı güvenleri ve üçüncü taraf sistemleri arasında uyumluluk sağlarken DES ile AES ile yavaş yavaş değiştirin. Dağıtımdan önce yeni yapılandırmaları iyice test edin.
Microsoft, bu değişikliğin tasarımla ve varsayılan olarak güvenliği artırmak için daha geniş çabalarının bir parçası olduğunu vurgulamaktadır.
Hala Java veya DES’e bağlı olarak üçüncü taraf yazılım eski sürümlerini kullanan kuruluşlar, alternatifleri güvence altına almak için geçiş konusunda rehberlik için satıcılarına danışmalıdır.
Microsoft, DES’den tasarruf ederek, Kerberos kimlik doğrulamasındaki güvenlik açıklarını azaltmayı ve sistemleri saldırılara daha az duyarlı hale getirmeyi amaçlıyor.
Yöneticiler, modern şifreleme özelliklerine ve gelişmiş güvenlik özelliklerine erişim için Windows Server 2025 ve Windows 11 sürüm 24H2’ye yükseltmeye teşvik edilir.
DES kullanımını algılama ve devre dışı bırakma veya AES’e geçiş hakkındaki ek kaynaklar için, yöneticiler Microsoft’un resmi belgelerini veya topluluk destek forumlarına başvurabilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.