Windows updates released in July 2026 will complete the final deployment phase of protections for a Kerberos information disclosure vulnerability (CVE‑2026‑20833). Beginning with this phase, Audit mode is removed, leaving Enforcement mode as the only available option for Kerberos RC4 usage on Windows domain controllers. Environments with remaining RC4 dependencies might experience authentication issues unless those dependencies are remediated or explicitly configured before the July 2026 Windows security update is installed.

With installation of the July 2026 Windows security update, Windows domain controllers will no longer support Audit mode rollback behavior for Kerberos RC4 hardening. Environments with service accounts, applications, appliances, or devices that still rely on RC4-based Kerberos tickets may experience authentication failures unless those dependencies have been remediated or explicitly configured to support continued RC4 usage where required.

Devices using non-Windows Kerberos implementations might also require additional interoperability testing to ensure continued authentication functionality after the July 2026 Enforcement phase begins.

Azure Files note: For devices using Azure Files SMB with Active Directory-based authentication, address any RC4 dependencies before installation of the July 2026 Windows security update to reduce the risk of access disruption once Audit mode is removed. Follow the steps in the official documentation to help maintain uninterrupted access to Azure Files and dependent workloads such as Azure Virtual Desktop.

Continue monitoring the System event log for Kerberos-related events indicating RC4 dependencies or insecure encryption configurations. If event log data shows RC4 reliance, remediate by moving to AES‑based encryption or explicitly configuring the account’s msds-SupportedEncryptionTypes attribute where RC4 is still required.

Before deploying the July 2026 Windows security update, validate that service accounts, applications, and non-Windows Kerberos implementations can successfully authenticate without requiring RC4-based Kerberos authentication.

Audit events related to this change are only generated when Active Directory is unable to issue AES‑SHA1 service tickets or session keys. The absence of audit events does not guarantee that all non-Windows devices will successfully accept Kerberos authentication after the July 2026 Enforcement phase begins. Validate interoperability through testing before broadly deploying the July 2026 Windows security update.

2026年7月にリリースされたWindowsアップデートは、Kerberos情報開示脆弱性(CVE-2026-20833)に対する保護の最終展開フェーズを完了させます。このフェーズから監査モードは削除され、WindowsドメインコントローラーでのKerberos RC4使用においてEnforcementモードのみが利用可能な選択肢となります。RC4依存関係が残っている環境では、2026年7月のWindowsセキュリティアップデートがインストールされる前にそれらの依存関係が修復または明示的に設定されない限り、認証問題が発生する可能性があります。

2026年7月のWindowsセキュリティアップデートのインストールにより、WindowsドメインコントローラーはKerberos RC4のハードニングに対する監査モードロールバック動作をサポートしなくなります。サービスアカウント、アプリケーション、アプライアンス、またはRC4ベースのKerberosチケットに依存している環境では、依存関係が修復されているか、必要に応じてRC4の継続使用をサポートするように明示的に設定されていない限り、認証失敗が発生することがあります。

Windows以外のKerberos実装を使用しているデバイスは、2026年7月の強制フェーズ開始後も認証機能の継続を保証するために追加の相互運用性テストが必要になるかもしれません。

Azure Files 注意:Active Directoryベースの認証でAzure Files SMBを使用しているデバイスについては、2026年7月のWindowsセキュリティアップデートをインストールする前にRC4依存関係を解決し、監査モード解除後のアクセス障害のリスクを減らしてください。Azure FilesやAzure Virtual Desktopなどの依存ワークロードへの継続的なアクセスを維持するために 、公式ドキュメント の手順に従ってください。

RC4依存関係や不安全な暗号化設定を示すKerberos関連イベントの監視を続けてください。イベントログデータでRC4依存が示された場合は、AESベースの暗号化に切り替えるか、RC4がまだ必要な場合はアカウントの msds-SupportedEncryptionTypes 属性を明示的に設定して補正してください。

2026年7月のWindowsセキュリティアップデートを展開する前に、サービスアカウント、アプリケーション、非WindowsのKerberos実装がRC4ベースのKerberos認証なしで正常に認証できるかを検証してください。

この変更に関連する監査イベントは、Active DirectoryがAES-SHA1サービスチケットやセッションキーを発行できない場合のみ生成されます。監査イベントがなかったからといって、2026年7月の強制フェーズ開始後にすべての非WindowsデバイスがKerberos認証を正常に受け入れられる保証はありません。2026年7月のWindowsセキュリティアップデートを広く展開する前に、テストを通じて相互運用性を検証してください。