Microsoft Removing DES Encryption from Windows 11 24H2 and Windows Server 2025
Microsoft Removing DES Encryption from Windows 11 24H2 and Windows Server 2025
Microsoft has announced the removal of the Data Encryption Standard (DES) encryption algorithm from Kerberos in Windows 11 version 24H2.
gbhackers.com
- 주요 변경사항
- Microsoft는 2025년 9월 9일 이후 업데이트부터 Windows 11 24H2 및 Windows Server 2025에서 DES(Data Encryption Standard) 암호화 알고리즘을 Kerberos에서 완전히 제거
- 해당 조치는 Secure Future Initiative(SFI)의 일환으로, 보안에 취약한 구식 암호화 방식 제거를 통해 보안 강화를 목적으로 함
- DES 암호화 개요 및 문제점
- DES는 56비트 대칭키 블록 암호화 알고리즘으로, 1977년 최초 도입
- Kerberos 인증 프로토콜에 1990년대 초 도입되어 사용되었으나, 계산 성능 발전으로 인해 현재는 무차별 대입 공격, 평문 기반 공격에 매우 취약
- Windows 7 및 Windows Server 2008 R2 이후 기본 비활성화 상태였으나 호환성 목적으로 선택적 지원이 유지되었음
- 변경 대상 및 범위
- 영향을 받는 버전: Windows 11 24H2, Windows Server 2025
- 변경 미적용 대상: 이전 Windows 버전은 영향 없음
- 향후 업데이트부터 DES는 완전 제거되어 해당 암호화 방식 의존 환경은 기능 중단
- 보안 권고
- DES 사용 탐지: PowerShell 스크립트, Kerberos 이벤트 로그(Event ID 4768, 4769)를 통해 사용 계정 및 애플리케이션 식별
- DES 비활성화: Active Directory 계정에서 DES 암호 유형 광고 제거, 그룹 정책(GPO) 수정하여 AES 기반 암호화만 허용
- AES로 전환 테스트 및 적용: 도메인 트러스트, 애플리케이션 간 호환성 검증 후 단계적으로 전환
- 3자 시스템 또는 Java 등 구형 소프트웨어 사용 중인 조직은 공급사와 협력해 대체 암호화 방식 적용 필요
- 결론
- Kerberos에서 DES 제거는 기본 보안 강화(Security by Default) 전략의 일환이며, 인증 체계의 암호화 표준 현대화 가속화
- FIPS 등 최신 암호화 표준 준수를 위한 조직 전반의 기술 자산 점검과 보안 정책 갱신 필요
- 레거시 시스템 또는 미지원 소프트웨어 자산 파악 및 조기 전환 로드맵 수립이 중요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Microsoft, VBS Enclave 보안 강화를 위한 기술 권고사항 발표 (0) | 2025.03.24 |
|---|---|
| 이란 연계 해킹조직, 인도 기업 이메일 탈취해 UAE 항공 분야 표적 공격 (0) | 2025.03.24 |
| 가트너 발표, 2025년 사이버 보안 6대 트렌드 (0) | 2025.03.24 |
| AWS, 5G 및 클라우드 RAN 위한 아웃포스트 랙·서버 시리즈 발표 (0) | 2025.03.24 |
| 크라우드스트라이크 2025 글로벌 위협 보고서 (0) | 2025.03.24 |