Microsoft окончательно отключает устаревший шифр в Windows. Готова ли ваша компания?

leer en español

Microsoft Windows Server Kerberos RC4 AES-SHA1 Мэттью Пэлко аутентификация
Microsoft окончательно отключает устаревший шифр в Windows. Готова ли ваша компания?
Microsoft Windows Server Kerberos RC4 AES-SHA1 Мэттью Пэлко аутентификация

Вот, что нужно сделать прямо сейчас, чтобы не лишиться доступа к своей инфраструктуре.

image

Microsoft объявила о планах отказаться от устаревшего алгоритма RC4 в системе аутентификации Windows. Компания готовит изменения, которые затронут инфраструктуру Kerberos и должны повысить устойчивость корпоративных сетей к современным атакам, в том числе связанным с кражей учётных данных.

По словам менеджера программ Microsoft Мэттью Пэлко, к середине 2026 года будут изменены стандартные настройки контроллеров домена для центра распределения ключей Kerberos в Windows Server 2008 и более новых версиях. По умолчанию будет разрешено только использование шифрования AES-SHA1, а RC4 окажется отключён.

Применение старого алгоритма станет возможным лишь при явной настройке со стороны администратора. В компании подчёркивают, что все поддерживаемые версии Windows уже много лет работают с AES-SHA1, поэтому необходимость в RC4 отсутствует.

В компании предупреждают, что системы и сервисы, продолжающие полагаться на RC4, после изменения стандартных параметров могут столкнуться с отказами при аутентификации. Чтобы снизить риски, Microsoft предлагает заранее выявить такие зависимости. Для этого в Windows Server 2019, 2022 и 2025 были доработаны журналы безопасности и добавлены новые средства аудита.

В событиях Kerberos с идентификаторами 4768 и 4769 появились дополнительные поля, позволяющие увидеть, какие алгоритмы поддерживает учётная запись и какой из них фактически используется при выдаче билетов. Эти данные помогают обнаружить устройства и учётные записи, не готовые к переходу на AES-SHA1, а также случаи, когда для сеанса всё ещё выбирается RC4.

Дополнительно Microsoft опубликовала два скрипта PowerShell. Один из них анализирует журналы событий и показывает, какие ключи шифрования существуют для обнаруженных учётных записей, а второй позволяет оценить реальное использование алгоритмов в среде и отфильтровать обращения, где применялся RC4. Эти инструменты упрощают подготовку инфраструктуры к будущим изменениям и позволяют избежать ручного анализа логов.

Компания также дала рекомендации по устранению типичных проблем. Например, если у учётной записи присутствуют только ключи RC4, достаточно сменить пароль, чтобы в Active Directory автоматически появились ключи AES. В случаях, когда в атрибутах не указана поддержка AES-SHA1, предлагается проверить и скорректировать параметры через оснастку Active Directory или групповые политики. Отдельно отмечается, что неподдерживающими AES остаются лишь крайне устаревшие версии Windows, такие как Windows Server 2003, и их рекомендуется как можно быстрее вывести из эксплуатации.

Для контроля настроек Microsoft советует использовать базовые параметры безопасности Windows Server 2025 и Windows Admin Center, где уже предусмотрены политики, исключающие RC4 из разрешённых алгоритмов Kerberos. По мнению компании, отказ от RC4 и переход на более сильные шифры является необходимым шагом для защиты современных корпоративных сред.