Microsoft выпустила рекомендации для администраторов контроллеров домена Windows

Компания Microsoft представила новый этап усиления защиты контроллеров домена Windows, затрагивающий уязвимость в протоколе аутентификации Kerberos. Известная как CVE-2026-20833, она позволяет злоумышленникам использовать устаревший и небезопасный алгоритм шифрования RC4 для получения служебных тикетов и кражи учётных данных сервисных аккаунтов. Эта проблема затрагивает широкий спектр версий Windows Server, включая 2008, 2012, 2016, 2019, 2022 и даже предстоящую 2025.

В рамках январского обновления Patch Tuesday компания выпустила исправления, включающие генерацию событий аудита, что позволяет администраторам выявлять потенциальные проблемы совместимости при переходе на более безопасные алгоритмы. Для упрощения обновления Microsoft внедрила параметр реестра RC4DefaultDisablementPhase. Он даёт возможность временно разрешать использование алгоритма AES-SHA1 в случаях, когда это считается безопасным. Такой подход рассчитан на постепенный переход, который продлится до апреля 2026 года.

В этой фазе контроллеры домена будут по умолчанию работать с алгоритмом AES-SHA1 для сервисных учётных записей, не имеющих явного атрибута msds-SupportedEncryptionTypes в Active Directory. Начиная с июля 2026-го планируется начать этап обязательного применения обновлённых настроек безопасности и удаления ключа реестра, отвечающего за временные разрешения.

Microsoft настоятельно рекомендует IT-специалистам как можно скорее установить последние обновления Patch Tuesday, а также приступить к мониторингу новых событий аудита. Это позволит своевременно выявить возможные ошибки и подготовиться к следующему этапу повышения безопасности контроллеров домена, минимизируя риски, связанные с эксплуатацией уязвимости.