Все признаки указывают на то, что обновление Windows за апрель 2026 года будет довольно значительным с точки зрения новых функций и изменений в операционной системе. На данный момент необязательное предварительное обновление внедрило поддержку дисплеев с частотой обновления 1000 Гц и улучшило Проводник, а Microsoft также сообщила, что скоро изменит политику ядра Windows, которая может заблокировать загрузку многих устаревших драйверов. Теперь изменение в Kerberos также может вызвать проблемы на некоторых ПК в следующем месяце, если ИТ-администраторы не примут меры.
С апрельским обновлением безопасности Microsoft ужесточает протокол сетевой аутентификации Kerberos для использования алгоритма шифрования AES-SHA1 для объектов Active Directory, тип шифрования которых явно не указан и установлен в null. Ранее эти объекты переключались на устаревшие варианты, такие как RC4, который не очень безопасен.
Использование AES-SHA1 может затронуть клиентов FSLogix, чье хранилище профилей зависит от файловых ресурсов SMB, интегрированных с Active Directory (AD). Если эти системы не поддерживают AES-SHA1 для Kerberos, аутентификация может завершиться сбоем. Стоит отметить, что это изменение платформы со стороны Windows, и оно не связано со службой Azure Virtual Desktop (AVD) или средами без AVD.
Затронутыми могут оказаться клиенты, которые полагаются на аутентификацию на основе Kerberos для доступа к хранилищу SMB для профилей FSLogix или те, кто установил настройки шифрования в null или только RC4. FSLogix, по сути, представляет собой конфигурацию, которая хранит переносимые профили пользователей в контейнерах виртуального жесткого диска (VHD) в сетевой папке, которая монтируется при входе в систему. Если это звучит для вас как бессмыслица, это, вероятно, хороший знак. Это, скорее всего, означает, что вы не в числе затронутых или, даже если вы затронуты, ваш ИТ-администратор позаботится об отступлении шифрования за вас.
Сроки этого изменения Kerberos следующие:
- Апрель 2026 г.: Этап принудительного применения с ручным откатом: Поведение Kerberos по умолчанию меняется, и контроллеры домена используют шифрование только AES-SHA1 для учетных записей без явных настроек типа шифрования, а режим принудительного применения включается по умолчанию на контроллерах домена Windows. Режим аудита остается доступным в качестве опции ручного отката до июля 2026 года.
- Июль 2026 г.: Этап принудительного применения: Режим аудита удаляется, оставляя режим принудительного применения единственным вариантом.
Microsoft настоятельно рекомендовала ИТ-администраторам выявить возможное использование RC4 для объектов AD, связанных с доступом по SMB, особенно того, что используется для профилей FSLogix. Если такой случай обнаружен, его следует обновить для поддержки AES-SHA1, и процесс аутентификации должен быть проверен.
Технологический гигант из Редмонда уже довольно давно занимается ужесточением безопасности Windows в области сетевой аутентификации. Недавно он исправил уязвимость Kerberos для контроллеров домена (DC) и также постепенно отказывается от NTLM в пользу Kerberos.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad
