2026年4月1日 ケルベロス暗号化の適用(RC4の廃止)
お知らせ
マイクロソフトは、Windowsのセキュリティ強化を導入し、2026年4月のWindows累積更新プログラムからデフォルトのケルベロス暗号化の動作が更新されます。この変更は、RC4のような従来のケルベロス暗号化方式から移行することで、セキュリティを向上させることを目的としています。新しい動作の下では、Active Directory オブジェクトのケルベロス暗号化設定が未設定(null)の場合、Windowsは従来のデフォルトではRC4が使用されていましたが、AES-SHA1をデフォルトとして使用します。これはWindows プラットフォームの変更です。Azure Virtual Desktop(AVD)サービス自体は変更されません。
潜在的な影響
ほとんどの顧客は影響を受けないと予想されています。
この変更は、KerberosベースのSMBアクセスに使用される Active Directory オブジェクトに明示的に RC4 暗号化を設定した顧客にのみ影響します(例えば、FSLogix プロファイルストレージ)。
- デフォルトでは、WindowsはAES-128またはAES-256を使用し、これは完全にサポートされており影響を受けません。
- 私たちのエンジニアリングレビューでは、典型的な顧客ストレージアカウントはすでにAES-256を使用するように設定されていることが確認されています。
- RC4暗号化を明示的に設定していない場合、対応は不要です。
RC4が意図的に強制されている場合にのみ、問題が発生する可能性があります。その場合、RC4が無効にされると、構成がAES-SHA1をサポートするように更新されない限り、SMBストレージへのケルベロス認証が失敗する可能性があります。RC4のみの構成は稀であるため、これはエッジケースシナリオであると予想されます。ただし、予期しない中断を避けるために、構成を確認することをお勧めします。
タイムライン
-
2026年4月 – 適用フェーズ(手動ロールバック可能)
デフォルトのケルベロス動作が変更され、ドメインコントローラーは暗号化設定がnullのアカウントに対してAES-SHA1のみの暗号化を使用します。適用モードはデフォルトで有効になっています。監査モードは手動でのロールバックオプションとして利用可能です。 -
2026年7月 – 適用フェーズ(最終)
監査モードは削除され、適用モードのみがサポートされる動作として残ります。
あなたがすべきこと
ほとんどの顧客にとって、即時の変更は必要ありません。レガシーKerberos暗号化(RC4)を使用していないことを確認するために、短い検証を行うことをお勧めします。
Microsoftのガイダンスを使用してKerberos認証活動を監査し、RC4が環境内のどこかでまだ使用されているかどうかを判断します。
Microsoftは、次のためにPowerShellスクリプトとイベントログベースの監査を提供しています:
- RC4を使用しているKerberosチケットを検出する
- 関与しているアカウント、サービス、またはシステムを特定する
2. 影響を受けるActive Directoryオブジェクトの暗号化設定を確認します。
RC4の使用が検出された場合、関連するActive Directoryオブジェクト(SMBアクセスに使用されるサービスまたはストレージアカウントなど)を確認し、最新の暗号化をサポートしていることを確認します。
具体的には:
- 暗号化設定が明示的に定義されているかどうかを確認します。
- AESベースの暗号化(AES-SHA1 / AES-128 / AES-256)がサポートされ、優先されていることを確認します。
監査中にRC4の使用が検出されなかった場合、通常はさらなるアクションは必要ありません。
監査でRC4がまだ使用されていることが示された場合:
- 関連するActive Directoryアカウントまたは依存システムを更新して、AESベースのKerberos暗号化をサポートします。
- SMBストレージへの成功した認証とアクセスを検証します(FSLogix プロファイルコンテナーを含む)
Microsoftは、適用モードが必須になる前に影響を受けた構成の修復を完了することをお勧めします。
コメント (0件のコメント)