Компания Microsoft объявила, что к середине 2026 года завершит использование шифрования RC4 в протоколе Kerberos для аутентификации Windows. Переход на AES-SHA1 призван повысить безопасность доменных контроллеров на версиях Windows Server от 2008 года и позднее. Внедрение новых стандартов предусматривает отключение RC4 по умолчанию, кроме случаев, когда он будет настроен явно.
Новые возможности Windows Server
Чтобы помочь администраторам выявить остаточное использование RC4, в журнале событий безопасности Windows Server 2019, 2022 и 2025 появились новые поля. Среди них поля msds-SupportedEncryptionTypes, Available Keys и Session Encryption Type, которые помогают идентифицировать учетные записи, поддерживающие только RC4. Администраторы могут использовать PowerShell-скрипты List-AccountKeys.ps1 и Get-KerbEncryptionUsage.ps1 для анализа запросов и фильтрации шифрования RC4.
Переход на AES-SHA1 в Windows Server до 2026
Руководства по устранению
Для обеспечения безопасного перехода на AES-SHA1, Microsoft рекомендует изменить пароли учетных записей, у которых есть только RC4 ключи, что вызовет генерацию AES ключей. Для оборудования без поддержки AES предлагается апгрейд на более новые устройства или обращение к поставщикам. Центр администрирования Windows и пред-установленные политики безопасности Microsoft для сервера 2025 года обеспечивают конфигурацию и аудит типов шифрования Kerberos.
Последствия и рекомендации
Ожидается, что данное изменение окажет позитивное влияние на безопасность корпоративных сетей, использующих Windows. Внедрение AES-SHA1 поддерживается всеми версиями Windows Server, начиная с 2008 года, что обеспечивает стабильное и безопасное шифрование запросов аутентификации.
