SHD / MC Checker

MC1427604 | Enforcement phase for Kerberos RC4 protections begins with the July 2026 Windows security update



MC1427604 | Enforcement phase for Kerberos RC4 protections begins with the July 2026 Windows security update

Classification planForChange
Last Updated 07/14/2026 17:12:12
Start Time 07/14/2026 17:12:08
End Time 07/14/2027 17:12:08
Message Content
What and why
Windows updates released in July 2026 introduce the enforcement phase of protections designed to address a Kerberos information disclosure vulnerability (CVE‑2026‑20833). This phase completes the transition away from RC4-based Kerberos tickets by removing Audit mode and leaving Enforcement mode as the only supported behavior for Kerberos RC4 usage on Windows domain controllers.
With the July 2026 security update installed, domain controllers enforce updated behavior for service account ticket issuance. RC4-based Kerberos tickets are restricted under this enforcement model, and AES-based encryption is expected for supported configurations. This change helps reduce reliance on legacy encryption methods and aligns Kerberos authentication with current security standards.
Rollout schedule
This change is effective beginning with the July 2026 security update.
Impact on your organization
Organizational environments that still depend on RC4-based Kerberos service tickets might experience authentication failures when requesting service tickets after installing the July 2026 security update.
Applications, services, or devices that rely on legacy encryption configurations or explicitly defined RC4 usage are most likely to be affected. Environments previously operating in Audit mode no longer have the ability to revert to that mode once enforcement is in place.
Workloads that previously completed Kerberos authentication without updated encryption configurations might no longer function as expected.
Action required/recommendations
Audit mode and the RC4DefaultDisablementPhase rollback setting are removed beginning with the July 2026 security update. If RC4 must be retained for specific services, explicit configuration is still possible, but it leaves those scenarios vulnerable to CVE‑2026‑20833 and should be used only as a temporary measure.
Compliance considerations
No compliance considerations are identified. Review as appropriate for your organization.
Machine Translation
何となぜ
2026年7月にリリースされたWindowsアップデートでは、Kerberos情報開示脆弱性(CVE-2026-20833)に対処するための保護の執行段階が導入されました。このフェーズは、監査モードを廃止し、WindowsドメインコントローラーでのKerberos RC4使用において唯一サポートされている動作としてEnforcementモードを残し、RC4ベースのKerberosチケットからの移行を完了させます。
2026年7月のセキュリティアップデートが導入されたことで、ドメインコントローラーはサービスアカウントチケット発行時に更新された動作を強制します。RC4ベースのKerberosチケットはこの強制モデルの下で制限されており、サポートされる構成にはAESベースの暗号化が期待されています。この変更により、従来の暗号化手法への依存を減らし、Kerberos認証を現行のセキュリティ標準に整合させることができます。
展開スケジュール
この変更は2026年7月のセキュリティアップデートから有効です。
組織への影響
RC4ベースのKerberosサービスチケットに依然として依存している組織環境では、2026年7月のセキュリティアップデートをインストールした後にサービスチケットを要求する際に認証失敗が発生することがあります。
レガシー暗号化構成や明示的に定義されたRC4使用に依存するアプリケーション、サービス、デバイスが最も影響を受けやすいです。監査モードで動作していた環境は、強制が実施されるとそのモードに戻す能力を失います。
以前は暗号化設定の更新なしにKerberos認証を完了していたワークロードは、期待通りに動作しなくなる可能性があります。
必要な行動/提言
  • すべてのサービスアカウントおよび依存アプリケーションがAESベースのKerberos暗号化をサポートしていることを確認してください。
  • 過去の監査フェーズで特定された残存するRC4依存関係をレビューし、是正してください。
  • 認証失敗や誤設定アカウントを特定するために、Kerberos関連イベントのシステムイベントログを監視してください。
  • 非WindowsのKerberos実装やサービスとの相互運用性を検証します。
  • CVE-2026-20833に関連するサービスアカウントチケット発行の変更に関するKerberos KDCのRC4使用管理方法をレビューしてください。
監査モードおよびRC4DefaultDisablementPhaseロールバック設定は、2026年7月のセキュリティアップデートから削除されました。特定のサービスにRC4を保持しなければならない場合でも明示的な設定は可能ですが、その場合は ケースがCVE-2026-20833 の影響を受けやすくなり、あくまで一時的な措置として使用すべきです。
コンプライアンスの考慮事項
コンプライアンス上の考慮事項は特定されていません。あなたの組織に応じてレビューを行ってください。