Компания Microsoft планирует полностью отказаться от алгоритма шифрования RC4 в своих продуктах к середине 2026 года, сообщает ArsTechnica. Этот шаг затрагивает контроллеры домена Windows Server 2008 и более новые версии. Решение продиктовано необходимостью повышения уровня безопасности инфраструктурных решений.
Уязвимости RC4 и риски для безопасности
Алгоритм RC4, использовавшийся в Active Directory с 2000 года, признан
небезопасным современными криптографами. Главная проблема заключается в
его уязвимости к атаке Kerberoasting. Злоумышленники могут перехватывать
зашифрованные билеты Kerberos и взламывать пароли сервисных учётных
записей методом перебора.
Отсутствие криптографической "соли" в Active Directory значительно упрощает взлом хешей. Уязвимость RC4 уже стала причиной серьёзных инцидентов, таких как масштабный взлом медицинской компании Ascension, который парализовал работу около 140 больниц.
Отсутствие криптографической "соли" в Active Directory значительно упрощает взлом хешей. Уязвимость RC4 уже стала причиной серьёзных инцидентов, таких как масштабный взлом медицинской компании Ascension, который парализовал работу около 140 больниц.
Переход на более надёжное шифрование
По
умолчанию, Microsoft переводит инфраструктуру на более надёжный алгоритм
шифрования AES-SHA1. RC4 будет полностью отключен на системном уровне,
активация станет возможна только посредством ручной настройки отдельных
учётных записей. Это значительно повысит безопасность стандартной
конфигурации сети.
Рекомендации для системных администраторов
Системным
администраторам рекомендуется провести тщательный аудит существующих
сетей для выявления систем, которые могут зависеть от RC4. Особенно это
касается устаревшего оборудования и
старого программного обеспечения. Важно проверить атрибут
"msDS-SupportedEncryptionTypes" для каждой учётной записи на предмет
поддержки AES.
Критически важно вывести из эксплуатации системы, не поддерживающие AES, например, старые версии Windows Server 2003. Своевременная подготовка позволит предотвратить сбои в работе важных сервисов после вступления изменений в силу и обеспечить бесперебойную работу инфраструктуры.
Критически важно вывести из эксплуатации системы, не поддерживающие AES, например, старые версии Windows Server 2003. Своевременная подготовка позволит предотвратить сбои в работе важных сервисов после вступления изменений в силу и обеспечить бесперебойную работу инфраструктуры.
Буду рад видеть вас в числе подписчиков моего Дзен‑канала и
Telegram‑канала! Все комментарии к статье и живые обсуждения - именно
там.
До новых встреч!