Переход на AES-SHA1: отказ от RC4 в Kerberos к 2026

К 2026 году Windows Server прекращает поддержку шифра RC4 в Kerberos, переходя на AES-SHA1 для улучшения безопасности. Этот шаг направлен на прекращение использования устаревших алгоритмов и повышение надежности аутентификации в корпоративных сетях.

Изменения в настройках аутентификации

Начиная с середины 2026 года, контроллеры домена Windows Server 2008 и позднейших версий перейдут на использование только AES-SHA1 для аутентификации по умолчанию. При этом RC4 будет отключен и будет использоваться только в случае, если администратор домена явно активирует его для учетной записи или распределительного центра ключей (KDC).

RC4, ранее используемый для обеспечения совместимости, теперь считается уязвимым и подверженным атакам, что может привести к краже учетных данных и компрометации сети. Переход на шифры AES128-CTS-HMAC-SHA1-96 (AES128-SHA96) и AES256-CTS-HMAC-SHA1-96 (AES256-SHA96) усилят защиту.

Инструменты для выявления использования RC4

Microsoft предлагает новые инструменты для облегчения перехода. В безопасности новых версий Windows Server 2019, 2022 и 2025 улучшен журнал событий безопасности, позволяющий лучше отслеживать используемые шифры в запросах Kerberos.

Скрипт List-AccountKeys.ps1 выявляет учетные записи с ключами RC4, помогая определить, где необходимы изменения.
Скрипт Get-KerbEncryptionUsage.ps1 позволяет анализировать типы шифрования, используемые Kerberos, и отфильтровать запросы, использующие RC4.

Администраторы могут использовать Windows Admin Center и предоставленные базовые уровни безопасности для настройки и аудита настроек Kerberos, гарантируя соответствие политике, исключающей использование RC4, и переход на более современные шифры.