Windows updates released on and after January 13, 2026, introduce the first phase of protections addressing a Kerberos information disclosure vulnerability (CVE‑2026‑20833). These updates introduce new auditing and optional registry controls that devices can use to begin reducing reliance on RC4 encryption. They also help prepare domain controllers for a future shift to AES‑SHA1 as the default Kerberos encryption method for accounts without explicit encryption settings. The initial deployment phase focuses on identifying misconfigurations or dependencies before the second deployment phase begins in April 2026.

The initial deployment phase starts January 13, 2026, and introduces new Kerberos audit events that help identify any remaining RC4 dependencies across your environment. This phase also adds the temporary RC4DefaultDisablementPhase registry value, which organizations can use to optionally enable the upcoming behavior changes early; however, this key will no longer be read after Audit mode is removed in July 2026. Together, these updates provide early diagnostics to help assess readiness before the second deployment phase in April 2026, when the default domain controller behavior for Kerberos encryption will change to use AES‑SHA1 only for accounts without explicit encryption settings. Starting in April 2026, Enforcement mode will be enabled on all Windows domain controllers by default, and in July 2026 Audit mode will be removed, leaving Enforcement mode as the only option.

Domain controllers will begin logging new Kerberos audit events, KDCSVC (ID 201–209), that highlight where devices or service accounts still rely on RC4 encryption. Certain RC4‑dependent configurations will appear in the new Kerberos audit events, highlighting scenarios that will become incompatible once enforcement begins. These events provide early visibility into configurations that may fail as Enforcement mode is enabled by default starting in April 2026 and Audit mode is removed in July 2026.

As the deployment phases progress, beginning with the April 2026 Windows security update, Kerberos operations will shift to using AES‑SHA1 by default for accounts without explicit encryption settings. Environments that do not address RC4 dependencies may experience authentication issues as Enforcement mode is enabled by default starting in April 2026 and Audit mode is removed in July 2026. Organizations with secure configurations or without RC4 usage should see minimal impact aside from routine audit visibility during the transition period.

Begin by installing Windows updates released on or after January 13, 2026, on all Active Directory domain controllers. After updating, monitor the System event logs for the new Kerberos audit events that indicate whether any devices or service accounts still rely on RC4-based encryption. If no events appear, you can proactively move your domain controllers to Enforcement mode by using the Registry settings. If events do appear, you will need to address or explicitly configure any remaining RC4 dependencies before enforcement takes effect.

2026年1月13日以降にリリースされたWindowsアップデートは、Kerberos情報開示脆弱性(CVE-2026-20833)に対処するための保護の第一段階を導入します。これらのアップデートにより、新たな監査およびオプションのレジストリ制御が導入され、RC4暗号化への依存を減らすためにデバイスが利用できます。また、明示的な暗号化設定がないアカウントのデフォルト暗号化方式として将来的にAES-SHA1に移行する際に、ドメインコントローラーの準備にも役立っています。初期展開フェーズは、2026年4月の第2フェーズ開始前に、 誤設定や依存関係の特定 に焦点を当てています。

初期の展開フェーズは2026年1月13日に始まり、環境全体に残るRC4依存関係を特定するための新しいKerberos監査イベントを導入します。このフェーズでは、一時的なRC4DefaultDisablementPhaseレジストリ値も追加され、組織はこれを使って今後の動作変更を早期に有効化することができます。しかし、2026年7月に監査モードが削除された後、このキーは読み取られなくなります。これらのアップデートは、2026年4月の第2段階展開前に準備状況を評価するための早期診断を提供します。この段階では、Kerberos暗号化のデフォルトドメインコントローラーの動作が、明示的な暗号化設定のないアカウントのみにAES-SHA1を使用するよう変更されます。2026年4月からは、すべてのWindowsドメインコントローラーで強制モードがデフォルトで有効化され、2026年7月から監査モードが削除され、強制モードのみが選択肢となります。

ドメインコントローラーは、デバイスやサービスアカウントが依然としてRC4暗号化に依存している箇所を強調する新しいKerberos監査イベント(KDCSVC、ID 201-209)のログを開始します。特定のRC4依存構成は新しいKerberos監査イベントに現れ、執行開始後に互換性がなくなるシナリオを強調します。これらのイベントは、2026年4月から強制 モード がデフォルトで有効となり、監査モードが2026年7月に削除されるため、失敗する可能性のある構成を早期に把握できます。

展開段階が進むにつれて、2026年4月のWindowsセキュリティアップデートから、Kerberosの運用は暗号化設定を明示していないアカウントに対してデフォルトでAES-SHA1を使用するよう移行します。RC4依存関係に対応していない環境では、2026年4月から強制モードがデフォルトで有効となり、監査モードが2026年7月に削除されるため、認証問題が発生する可能性があります。安全な構成やRC4を使用していない組織は、移行期間中の定期的な監査の可視化以外はほとんど影響を受けないはずです。

まず、2026年1月13日以降にリリースされたWindowsアップデートをすべてのActive Directoryドメインコントローラーにインストールしてください。更新後は、システムイベントログで新しいKerberos監査イベントを監視し、デバイスやサービスアカウントが依然としてRC4ベースの暗号化に依存しているかどうかを示します。もしイベントが出なければ、レジストリ設定を使って  ドメインコントローラーを積極的に強制 モード に切り替えることができます。もしイベントが発生した場合、強制が適用される前に 残るRC4依存関係に対処するか明示的に設定 する必要があります。