Почти ровно год назад Microsoft поделилась подробностями о процессе усиления защиты контроллеров домена (DC) от нескольких уязвимостей в Kerberos. Теперь компания запускает очередной этап усиления защиты, чтобы устранить проблемы безопасности, о которых недавно сообщалось в рамках публикации CVE-2026-20833.

В протоколе аутентификации Kerberos существует уязвимость, которая позволяет злоумышленнику использовать слабые и устаревшие алгоритмы шифрования, такие как RC4, и получать служебные тикеты, чтобы красть учётные данные для учётных записей служб. Эта уязвимость помечена как CVE-2026-20833 и применима к контроллерам домена, работающим под управлением следующих версий Windows Server:

  • Windows Server 2008 Premium Assurance;

  • Windows Server 2008 R2 Premium Assurance;

  • Windows Server 2012 ESU;

  • Windows Server 2012 R2 ESU;

  • Windows Server 2016;

  • Windows Server 2019;

  • Windows Server 2022;

  • Windows Server 2025.

Для решения этой проблемы Microsoft внесла ряд изменений в рамках недавнего обновления Patch Tuesday. В настоящее время клиенты находятся на этапе начального развёртывания. Технологический гигант выпустил обновления Windows, предоставляющие события аудита для клиентов, которые могут столкнуться с проблемами совместимости из-за процесса повышения уровня безопасности. Также был добавлен параметр реестра RC4DefaultDisablementPhase, позволяющий контроллерам домена заблаговременно разрешать использование алгоритма AES-SHA1, когда это безопасно. Этот этап продлится до апреля 2026 года, после чего начнётся второй, который позволит контроллерам домена использовать AES-SHA1 для учётных записей, для которых не определён явный атрибут Active Directory msds-SupportedEncryptionTypes.

Наконец, в июле 2026 года Microsoft начнёт этап принудительного применения, который удалит подраздел реестра RC4DefaultDisablementPhase.

В специальной статье поддержки Microsoft призвала IT-администраторов установить обновления Patch Tuesday за январь 2026 года и начать активно отслеживать события аудита, чтобы определить, готовы ли они к следующему этапу усиления безопасности контроллеров домена. 

Подробнее о мерах защиты Active Directory можно почитать здесь.