Алгоритм, який десятиліттями вважався робочою константою у Windows, остаточно втрачає статус норми. Microsoft оголосила про поетапне вимкнення RC4 у Kerberos, визнавши, що його подальша присутність у системах несе неприйнятні ризики.
До середини 2026 року RC4 буде вимкнено за замовчуванням на Windows Server 2008 і новіших версіях. У стандартній конфігурації Kerberos залишиться лише сучасне шифрування AES-SHA1. RC4 не зникне повністю, але працюватиме виключно за умови свідомого ручного налаштування з боку адміністратора домену.
Це рішення закриває цілу епоху. Саме RC4 був єдиним механізмом захисту Active Directory з моменту запуску сервісу у 2000 році. І це попри те, що криптографічні слабкості алгоритму були відомі ще в середині 1990-х.
Згодом Microsoft інтегрувала підтримку AES. Але критичний нюанс залишався. Windows-сервери за замовчуванням продовжували приймати RC4-запити. Ця зворотна сумісність роками відкривала шлях до атак Kerberoasting – одного з найефективніших і найпоширеніших методів компрометації Active Directory.
Наслідки виявилися не теоретичними.
У 2024 році саме використання RC4 стало ключовим фактором масштабного зламу мережі медичної групи Ascension у США. Інцидент призвів до перебоїв у роботі 140 лікарень і витоку персональних даних 5,6 млн пацієнтів. Після цього питання підтримки RC4 за замовчуванням опинилося під жорсткою критикою з боку американських законодавців.
У Microsoft пояснюють: різко відмовитися від RC4 було складно технічно. Алгоритм глибоко вбудований у механізми автентифікації Windows, і його миттєве видалення могло б спричинити масові збої у корпоративних середовищах.
Втім поступове зниження пріоритету RC4 на користь AES зробило свою справу. За даними компанії, у сучасних інфраструктурах реальне використання цього алгоритму вже майже зникло.
Разом із вимкненням RC4 Microsoft запускає нові інструменти для адміністраторів. Йдеться про оновлені журнали KDC та спеціальні PowerShell-скрипти, які дозволяють виявити системи й сервіси, що все ще залежать від застарілого шифрування. Особливу увагу рекомендують приділяти старим стороннім рішенням.
Компанія радить не відкладати аудит інфраструктури. Після запланованих змін RC4-автентифікація без спеціальних ручних налаштувань просто не працюватиме. І для багатьох організацій це може стати неприємним сюрпризом.
RC4 довго тримався за рахунок інерції. Тепер інерція закінчується.
Залишити коментар