Компания Microsoft планирует исключить шифрование RC4 из Windows в Kerberos к середине 2026 года. Windows Server 2008 и более поздние версии по умолчанию будут использовать только шифрование AES-SHA1, а RC4 будет отключено.
Обновления Kerberos
Реализация этой меры включает добавление полей событий Kerberos в Windows Server 2019, 2022 и 2025. Эти события (4768, 4769) включают msds-SupportedEncryptionTypes, Available Keys и Session Encryption Type, что позволяет выявлять счета, поддерживающие только RC4 или не имеющие AES ключей.
Скрипты PowerShell, такие как List-AccountKeys.ps1 и Get-KerbEncryptionUsage.ps1, помогут администраторам выявить использование RC4 и наличие ключей AES. Log файлы могут быть переданы в системы SIEM, такие как Microsoft Sentinel.
Рекомендации по переходу
Организациям рекомендуется обновить устаревшие системы и парольные учетные записи для автоматического создания ключей AES. Также важно проверять атрибуты msds-SupportedEncryptionTypes и применять соответствующие политики через Active Directory и Group Policy.
В случае, если устройства не поддерживают AES128 или AES256, настоятельно рекомендуется обновление версий Windows или консультация с поставщиком для получения поддержки.
Используя Windows Admin Center и базовый уровень безопасности Windows Server 2025, предприятия могут исключить RC4 и внедрить безопасные протоколы AES. Это шаг обеспечит усиление защиты аутентификации Windows без необходимости использования RC4.
