Microsoftは、Windows認証からレガシーなRC4アルゴリズムを廃止する計画を発表しました。同社は、Kerberosインフラに影響する変更を準備しており、資格情報の窃取を含む現代の脅威に対して企業ネットワークの耐性を強化します。
MicrosoftのプログラムマネージャーであるMatthew Palko氏によると、2026年半ばまでに、Windows Server 2008以降のバージョンにおけるKerberosキー配布センター(KDC)向けドメインコントローラーの既定設定が更新されます。既定ではAES-SHA1暗号化のみが許可され、RC4は無効化されます。
レガシーアルゴリズムの使用は、明示的な管理者設定によってのみ可能なままとなります。Microsoftは、サポート対象のWindowsは長年にわたりAES-SHA1に依存してきたため、RC4は事実上不要であると強調しています。
同社は、依然としてRC4に依存しているシステムやサービスは、既定設定の変更後に認証失敗に遭遇する可能性があると注意を促しています。このリスクを軽減するため、Microsoftはそのような依存関係を事前に特定することを推奨しています。これを支援するため、Windows Server 2019、2022、2025のセキュリティログが強化され、新しい監査機能が導入されました。
ID 4768および4769のKerberosイベントには、アカウントがサポートする暗号化アルゴリズムと、チケット発行時に実際に使用されたアルゴリズムを示す追加フィールドが含まれるようになりました。これらの詳細により、AES-SHA1への移行準備ができていないデバイスやアカウント、ならびにRC4が依然として選択されているセッションを特定できます。
Microsoftはまた、2つのPowerShellスクリプトも公開しました。1つはイベントログを分析して検出されたアカウントに存在する暗号化キーを報告し、もう1つは環境全体における実運用でのアルゴリズム使用状況を評価し、RC4が適用された要求をフィルタリングします。これらのツールを併用することで、今後の変更に向けた準備が簡素化され、手作業でのログ分析が不要になります。
同社は、一般的な問題を解決するためのガイダンスも提供しています。たとえば、アカウントにRC4キーしかない場合、パスワードを変更するだけでActive Directoryが自動的にAESキーを生成します。アカウント属性にAES-SHA1のサポートが欠けている場合、管理者はActive Directory管理ツールまたはグループポリシーを通じて設定を確認し、修正するよう推奨されています。Microsoftは、Windows Server 2003のような極めて古いWindowsバージョンのみがAESサポートを完全に欠いており、可能な限り早期に廃止すべきだと指摘しています。
設定の見落としを防ぐため、MicrosoftはWindows Server 2025のセキュリティベースラインとWindows Admin Centerの利用を推奨しています。これらには、許可されるKerberosアルゴリズムからRC4を除外するポリシーがすでに用意されています。同社の見解では、RC4をより強力な暗号へ置き換えることは、現代のエンタープライズ環境を保護するうえで不可欠なステップです。
