Windows 25 лет использовала уязвимую систему шифрования. После множества уязвимостей в системе безопасности, наконец, это исправлено

Главная » Microsoft » OS Windows » Windows 25 лет использовала уязвимую систему шифрования. После множества уязвимостей в системе безопасности, наконец, это исправлено

18.12.2025

Windows 25 лет использовала уязвимую систему шифрования. После множества уязвимостей в системе безопасности, наконец, это исправлено

Время чтения: 3 мин.

На протяжении более двух десятилетий одним из теоретических столпов безопасности Windows, как это ни парадоксально, была одна из ее самых больших слабостей: алгоритм шифрования RC4 (Rivest Cipher 4), разработанный в 1987 году и получивший широкое распространение в девяностые годы, оставался активным в основе системы аутентификации Windows. Windows по сей день.

Однако Microsoft наконец подтвердила, что RC4 будет отключен по умолчанию в Windows в середине 2026 года, завершив 25-летнюю главу, отмеченную уязвимостями.

Этот шаг, которого давно ждали (и которого требовало) сообщество безопасности, предполагает отказ от устаревшего алгоритма, но он также является хорошим примером технических и организационных сложностей, которые мешают «убить» небезопасные технологии, когда они глубоко интегрированы в критическую инфраструктуру.

Быстрый алгоритм … и опасно хрупкий

RC4 (Rivest Cipher 4) был разработан в 1987 году Роном Ривестом, одним из самых влиятельных криптографов двадцатого века. Его первоначальная популярность была обусловлена его простотой и скоростью, что привело к его широкому распространению в таких протоколах, как WEP, SSL/TLS, а затем и в системах аутентификации Microsoft.

Но проблемы не заставили себя долго ждать. Уже в девяностых годах исследователи начали предупреждать, что RC4 имеет серьезные структурные недостатки, особенно при использовании со слабыми ключами или без механизмов криптографического усиления. Несмотря на это, в 2000 году Microsoft выпустила Active Directory с RC4 в качестве шифрования по умолчанию, решение, которое будет определять безопасность Windows на десятилетия.

Читать Google не будет устранять новую уязвимость в Gemini, связанную с контрабандой ASCII

В то время RC4 не казался плохим выбором. Проблема заключалась не столько в ее первоначальном внедрении, сколько в ее постоянстве, когда уже было известно, что она сломана.

Устаревшая технология … терпимая слишком долго

Сообщество безопасности годами призывало к окончательному отзыву RC4. В 2013 году Microsoft уже рекомендовала отключить его в веб-средах. В 2015 году IETF официально запретил его использование в TLS с помощью RFC 7465, даже не в качестве резервной копии. Однако Windows продолжала поддерживать его при аутентификации домена.

Задержка вызвала не только техническую критику. В 2024 году сенатор США Рон Уайден зашел так далеко, что обвинил Microsoft в «грубом пренебрежении безопасностью», заявив, что сохранение RC4 представляет угрозу для национальной безопасности.

Kerberoasting: когда теория переросла в настоящий кризис

Одна из самых серьезных атак, связанных с RC4, — это Kerberoasting, метод, который позволяет злоумышленникам запрашивать сервисные билеты Kerberos и взламывать их в автономном режиме до получения действительных учетных данных. Этой атаке способствует смертельная комбинация:

Как следствие, за последние несколько лет несколько организаций столкнулись с нарушениями безопасности с серьезными последствиями: одним из наиболее серьезных случаев стала атака на Ascension, больничную сеть США, в результате которой были скомпрометированы медицинские данные 5,6 миллиона пациентов, что затронуло более 140 больниц.

Читать Microsoft внедряет функцию защиты от записи экрана для пользователей Teams

Почему было так сложно удалить RC4?

Microsoft признает, что проблема заключалась не только в алгоритме, но и в том, как он был выбран в операционной системе с более чем 20-летней эволюцией. Стив Сайфухс, руководитель группы проверки подлинности Windows, объяснил, что RC4 глубоко интегрирован в устаревшие правила, влияющие на совместимость и совместимость системы.

Фактически, для ее устранения потребовались «хирургические» изменения, чтобы избежать нарушения сложных бизнес-сред. В течение последнего десятилетия Microsoft внедряла постепенные улучшения, отдавая приоритет AES, в результате чего использование RC4 сократилось до практически остаточного уровня. Только тогда можно было объявить о ее окончательном удалении.

Что изменится с 2026 года

В середине 2026 года Microsoft обновит настройки KDC (Key Distribution Center) по умолчанию для Windows Server 2008 и более поздних версий, разрешив только AES-SHA1 для Kerberos. RC4 будет отключен по умолчанию и может использоваться только в том случае, если он явно включен администратором.

Microsoft подчеркнула, что для безопасной аутентификации Windows не требуется RC4, поскольку AES-SHA1 доступен во всех поддерживаемых версиях уже более десяти лет. Кроме того, в нее добавлены новые инструменты аудита, расширенные журналы событий и сценарии PowerShell для обнаружения и устранения остаточных зависимостей .

Просмотров поста: 5

Редактор: AndreyEx

Рейтинг: 3 (2 голоса)