Microsoft исключает протокол шифрования RC4 из Kerberos для усиления безопасности Windows, начиная с 2026 года. Данная мера направлена на снижение риска компрометации учетных данных.
Переход на AES-SHA1
13 января 2026 года Microsoft начала внедрение обновлений, которые включают новые события аудита Kerberos и дополнительные параметры реестра. Эти изменения помогают администраторам определить, где уже используется RC4.
В апреле 2026 года контроллеры домена перейдут на AES-SHA1, что станет стандартом для аккаунтов без особых настроек Kerberos. Это изменение потенциально может привести к сбоям в аутентификации в тех системах, которые ещё сильно зависят от RC4.
Обновления безопасности Windows: отказ от RC4
Переход в режим Enforcement
Июль 2026 года станет окончательным сроком для устранения использования RC4. В этом месяце Microsoft удалит режим аудита и активирует режим имплементации, полностью прекращая возможность отката к RC4.
Компания рекомендует обновить все контроллеры домена до версий, выпущенных после 13 января 2026 года, и контролировать событийный журнал системы на Windows Server 2012 и позже, чтобы выявлять зависимости от RC4. Важно отреагировать на события KDCSVC, указывающие на проблемы с защитой RC4, и активировать режим Enforcement, как только события аудита и предупреждения будут устранены.
