Microsoft оголосила про остаточну відмову від застарілого та вразливого алгоритму шифрування RC4, який понад 25 років підтримувався у Windows і неодноразово ставав причиною масштабних компрометацій корпоративних мереж. Компанія планує до середини 2026 року вимкнути RC4 за замовчуванням у Kerberos на Windows Server 2008 і новіших версіях, дозволивши використовувати лише шифрування AES-SHA1. RC4 залишатиметься доступним лише у разі явного налаштування з боку адміністратора домену.
Алгоритм RC4 був єдиним механізмом захисту Active Directory з моменту запуску сервісу у 2000 році, попри те що його криптографічні слабкості стали відомі ще в середині 1990-х. Хоча Microsoft згодом додала підтримку AES, сервери Windows за замовчуванням продовжували приймати RC4-запити, що створювало умови для атак Kerberoasting — одного з найпоширеніших методів компрометації Active Directory.
Саме використання RC4 стало ключовим фактором масштабного зламу мережі медичної групи Ascension у 2024 році, який призвів до збоїв у роботі 140 лікарень і витоку даних 5,6 млн пацієнтів. Після інциденту підтримка RC4 за замовчуванням стала предметом жорсткої критики з боку американських законодавців.
У Microsoft пояснюють, що повна відмова від RC4 була технічно складною через його глибоку інтеграцію в механізми автентифікації. Водночас поступове зниження пріоритету алгоритму на користь AES призвело до майже повного зникнення його реального використання у сучасних середовищах.
Компанія також запускає нові інструменти для адміністраторів — оновлені журнали KDC та PowerShell-скрипти, які допоможуть виявити системи, що досі залежать від RC4, зокрема застарілі сторонні рішення. Microsoft рекомендує вже зараз провести аудит інфраструктури, оскільки після запланованих змін RC4-автентифікація без спеціальних налаштувань працювати не буде.
Читайте на ProIT: Microsoft підтвердила проблеми з VPN у WSL після оновлень Windows.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
