Microsoft, Windows dünyasında 30 yıla yakındır bir “uyumluluk koltuğu” görevi gören RC4’ü Kerberos kimlik doğrulamasından aşamalı olarak kaldırıyor. Şirketin 3 Aralık 2025’te paylaştığı bilgiye göre, 2026’nın ortasına kadar etki alanı denetleyicilerinin varsayılan ayarları yalnızca AES‑SHA1’e izin verecek; RC4 devre dışı olacak ve ancak yönetici açıkça etkinleştirirse çalışacak. Bu adım, Kerberoasting gibi saldırıların etkisini azaltmayı hedefliyor. RC4’e kıyasla çok daha güçlü olan AES, Windows Server 2008’den beri zaten destekleniyor.
Zamanlama ve ne değişiyor?
- 2026 ortası: KDC (Kerberos Key Distribution Center) varsayılanları güncellenerek yalnızca AES‑SHA1’e izin verilecek. RC4 kapalı gelecek; yalnızca yönetici açıkça seçerse kullanılabilecek.
- Windows Server 2025’te etki alanı denetleyicileri RC4 ile TGT (Ticket Granting Ticket) üretmiyor. Eski cihazlar hâlâ RC4 ile kimlik doğrulamaya çalışsa da Kerberos tarafında yanıt alamayabiliyor.
- Microsoft, RC4 kullanımını tespit etmek ve azaltmak için adım adım kılavuzlar, olay günlükleri ve grup ilkesi ayarları sunuyor.
Yöneticiler için yol haritası
- RC4 kullanan hesap ve hizmetleri tespit edin: Defender/olay günlüklerinde olağan dışı şifreleme türlerini kontrol edin, RC4 ile bilet isteyen hizmet hesaplarını çıkarın.
- Grup İlkesi ile izin verilen Kerberos şifreleme türlerini yalnızca AES olacak şekilde daraltın; Windows Admin Center üzerinden Windows Server 2025 güvenlik temelini uygulayın.
- Hizmet hesaplarını mümkünse gMSA’ye taşıyın, gereksiz SPN’leri temizleyin, güçlü ve düzenli yenilenen parolalar kullanın.
Neden bu kadar önemli? RC4, Ron Rivest’in 1987’de geliştirdiği akış şifreleme algoritması. 1994’te algoritmanın ayrıntıları sızınca kriptografik saldırılara açık olduğu ortaya çıktı ve yıllar içinde SSL/TLS dahil birçok protokolden çıkarıldı. Windows ortamında ise “eski sistemlerle uyumluluk” gerekçesiyle Kerberos’ta uzun süre desteklenmeye devam etti; bu da Kerberoasting gibi tekniklerin işini kolaylaştırdı. 2025 sonbaharında ABD’li senatör Ron Wyden, varsayılan RC4 desteğinin büyük ihlalleri tetiklediğini öne sürerek Microsoft’u daha hızlı harekete geçmeye çağırmıştı. Microsoft’un Aralık’ta açıkladığı takvim, bu tartışmaların ardından netleşmiş oldu.
Özetle: Eğer ortamınızda hâlâ RC4’e bağımlı kalan bir uygulama veya cihaz varsa, 2026’nın ortasından önce keşfedip AES’e geçişi tamamlamanız gerekiyor. Aksi halde Kerberos oturumları başarısız olabilir ve hizmet kesintileri yaşanabilir.
Kaynak: www.techspot.com