6

Windows RC4: июльский кумулятив 2026

Серия Кудахтеры: безопасность и боль

Для ЛЛ: в июльском кумулятиве выключают старое шифрование - RC4

Этап 3 — Полное вступление в силу (июль 2026 г.)

Этот заключительный этап начинается с выпуска обновлений безопасности в июле 2026 года и знаменует собой окончание переходного периода.
На этом этапе:
отменяется режим «только аудит» (audit-only mode);
система перестает считывать временное значение реестра `RC4DefaultDisablementPhase`;
для параметра `DefaultDomainSupportedEncTypes` устанавливается значение по умолчанию, соответствующее только шифрованию AES-SHA1 (0x18).

При такой конфигурации протокол Kerberos будет выдавать билеты RC4 только в том случае, если это явно настроено для конкретной учетной записи с помощью атрибута `msDS-SupportedEncryptionTypes`.

Организации, не принявшие заблаговременных мер в отношении использования RC4, столкнутся с постоянными сбоями в работе устаревших систем и приложений, не поддерживающих шифрование AES.

Всех предупредили, и давно.
Даже я писал - Новые обновления для Windows и Kerberos: будет больно, но вы держитесь

Что делать? Читать!


https://techcommunity.microsoft.com/blog/coreinfrastructurea...

https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/how-to-manage-rc4-hardening-–-definitive-guide/4515923

Windows Kerberos RC4 deprecation: what will break in Active Directory and how to fix it

https://4sysops.com/archives/windows-kerberos-rc4-deprecation-what-will-break-in-active-directory-and-how-to-fix-it/

Windows Kerberos hardening may cause authentication issues for some PCs next month

Windows 11's April 2026 update could quietly break logins on some PCs as Microsoft flips a major Kerberos security switch.

https://www.neowin.net/news/windows-kerberos-hardening-may-cause-authentication-issues-for-some-pcs-next-month/

Что было написано раньше:

Начиная с апреля 2026 года, обновления Windows изменят поведение выдачи билетов Kerberos по умолчанию на AES-SHA1 для учетных записей без явных настроек шифрования, в то время как RC4 по-прежнему можно будет использовать там, где он явно включен. Это изменение, вызванное уязвимостью CVE-2026-20833, затронет все среды Windows Server, где учетные записи служб или устройства по-прежнему используют RC4. Любая учетная запись службы, устройство NAS или устаревшее приложение, не настроенное явно на шифрование AES-SHA1, может потерять возможность аутентификации. В этой статье объясняется, что такое Kerberos и RC4, что перестанет работать в апреле 2026 года и что необходимо сделать для предотвращения сбоев.

Starting in April 2026, Windows updates will change the default Kerberos ticket issuance behavior to AES-SHA1 for accounts without explicit encryption settings, while RC4 can still be used where explicitly enabled. This change, driven by CVE-2026-20833, affects every Windows Server environment where service accounts or devices still rely on RC4. Any service account, NAS device, or legacy application not explicitly configured for AES-SHA1 encryption may lose authentication capability. This article explains what Kerberos and RC4 are, what will break in April 2026, and what you must do to prevent outages.

В журнале безопасности события с идентификаторами 4768 и 4769 описывают запросы билетов Kerberos, но теперь показывают использование или отклонение RC4. Код ошибки 0xE (KDC_ERR_ETYPE_NOSUPP) появляется, когда запрошенный тип шифрования не поддерживается.

В системном журнале новые события KDCSVC в диапазоне 201–209 представляют собой явные сообщения об устаревании RC4: события 201 и 202 отображаются как предупреждения в режиме аудита, в то время как соответствующие события 203 и 204 показывают, что сценарии только с RC4 теперь блокируются, поскольку либо клиент объявляет только RC4, либо у службы отсутствуют ключи AES. События 205 и связанные с ними события предупреждают о том, что в настройках шифрования домена по умолчанию по-прежнему используются слабые типы шифров.

In the Security log, Event IDs 4768 and 4769 describe Kerberos ticket requests but now show RC4 being used or rejected. Error code 0xE (KDC_ERR_ETYPE_NOSUPP) appears when the requested encryption type is not supported.

In the System log, new KDCSVC events in the 201–209 range are the explicit RC4 deprecation messages: Events 201 and 202 appear as warnings in audit mode, while enforcement counterparts 203 and 204 show that RC4-only scenarios are now blocked because either the client only advertises RC4 or the service lacks AES keys. Events 205 and related events warn that domain encryption defaults still include weak cipher types.

Статья с деталями, как именно будет больно

Windows Kerberos RC4 deprecation: what will break in Active Directory and how to fix it

https://4sysops.com/archives/windows-kerberos-rc4-deprecation-what-will-break-in-active-directory-and-how-to-fix-it/

Как было больно в прошлые разы:

You might experience Kerberos and New Technology LAN Manager (NTLM) authentication failures across devices that have duplicate Security IDs (SIDs). This issue might occur in Windows 11, version 24H2, Windows 11, version 25H2, and Windows Server 2025 after installing the Windows updates released on and after:

https://support.microsoft.com/en-us/topic/kerberos-and-ntlm-authentication-failures-due-to-duplicate-sids-76f7394d-c460-4882-9ed1-d27e0960f949

но выбора нет. Патчи ставить надо.

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества

Недвижимость и ремонт

Теги

Популярные авторы

Сообщества