К 2026 году Windows Server прекращает поддержку шифра RC4 в Kerberos, переходя на AES-SHA1 для улучшения безопасности. Этот шаг направлен на прекращение использования устаревших алгоритмов и повышение надежности аутентификации в корпоративных сетях.
Изменения в настройках аутентификации
Начиная с середины 2026 года, контроллеры домена Windows Server 2008 и позднейших версий перейдут на использование только AES-SHA1 для аутентификации по умолчанию. При этом RC4 будет отключен и будет использоваться только в случае, если администратор домена явно активирует его для учетной записи или распределительного центра ключей (KDC).
RC4, ранее используемый для обеспечения совместимости, теперь считается уязвимым и подверженным атакам, что может привести к краже учетных данных и компрометации сети. Переход на шифры AES128-CTS-HMAC-SHA1-96 (AES128-SHA96) и AES256-CTS-HMAC-SHA1-96 (AES256-SHA96) усилят защиту.
Инструменты для выявления использования RC4
Microsoft предлагает новые инструменты для облегчения перехода. В безопасности новых версий Windows Server 2019, 2022 и 2025 улучшен журнал событий безопасности, позволяющий лучше отслеживать используемые шифры в запросах Kerberos.
- Скрипт List-AccountKeys.ps1 выявляет учетные записи с ключами RC4, помогая определить, где необходимы изменения.
- Скрипт Get-KerbEncryptionUsage.ps1 позволяет анализировать типы шифрования, используемые Kerberos, и отфильтровать запросы, использующие RC4.
Администраторы могут использовать Windows Admin Center и предоставленные базовые уровни безопасности для настройки и аудита настроек Kerberos, гарантируя соответствие политике, исключающей использование RC4, и переход на более современные шифры.
Рекомендации по переходу
Организациям рекомендуется обновиться до поддерживаемых версий Windows и убедиться, что все приложения и устройства совместимы с AES-SHA1. Для этого важно откорректировать политики учетных записей в Active Directory и использовать предложенные инструменты для аудита текущих настроек и ремедиации уязвимых сценариев использования RC4.
Использование современных алгоритмов шифрования, таких как AES-SHA1, способствует усилению защиты аутентификации, минимизируя риск скомпрометированных учетных данных и повышая целостность IT-инфраструктуры.
