Microsoft объявила о планах отключить шифрование RC4 в протоколе Kerberos на доменных контроллерах Windows Server к середине 2026 года. Это изменение повысит безопасность посредством перехода на AES-SHA1.
Изменения и срок реализации
По состоянию на середину 2026 года, доменные контроллеры Windows Server 2008 и более поздние версии будут по умолчанию использовать шифрование AES-SHA1 для Kerberos. RC4 будет отключено, но его можно будет использовать, если администратор домена явно укажет это для учётной записи или центра распределения ключей (KDC).
Чтобы избежать перебоев в обслуживании, Microsoft рекомендует идентифицировать оставшееся использование RC4 до вступления изменений в силу. Для этого были обновлены журналы безопасности на KDC и добавлены новые PowerShell-скрипты.
Как отключение RC4 влияет на безопасность Windows Server
Обновления и новые возможности
В Kerberos событиях 4768 и 4769 появились новые поля: msds-SupportedEncryptionTypes, Available Keys и Session Encryption Type. Эти поля помогут выявлять клиентов и устройства, поддерживающие только RC4.
- Сценарий List-AccountKeys.ps1 просматривает журналы событий для поиска Available Keys.
- Cценарий Get-KerbEncryptionUsage.ps1 показывает, какие типы шифрования использовались Kerberos, с возможностью фильтрации по RC4.
Рекомендации и сценарии действий
Компания рекомендует следующее при подготовке к изменениям:
- Если учётная запись содержит только ключи RC4, необходимо сбросить пароль, чтобы сформировать ключи AES128-SHA96 и AES256-SHA96.
- Если msds-SupportedEncryptionTypes не включает AES-SHA1, проверьте и настройте это значение через атрибуты AD для учётной записи.
- Если устройства не поддерживают новые стандарты шифрования, необходимо обновить конфигурацию или обратиться в службу поддержки Microsoft.
Windows Admin Center и новые базовые уровни безопасности для Windows Server 2025 предлагают средства для аудита и применения политик, исключающих RC4.