Windows updates released April 2026 and later introduce the second deployment phase of protections for a Kerberos information disclosure vulnerability (CVE‑2026‑20833). In this phase, domain controllers change default Kerberos ticket behavior for accounts that do not have an explicit Kerberos encryption configuration, shifting to AES‑SHA1-only by default. Environments with remaining RC4 dependencies may experience authentication issues unless those dependencies are remediated or explicitly configured.

Beginning with the April 2026 Windows security update, domain controllers will default to issuing AES‑SHA1-encrypted tickets for accounts that do not explicitly define supported encryption types. Environments with service accounts, applications, or devices that still require RC4-based Kerberos tickets may see authentication or connection failures unless those dependencies are addressed. Kerberos-related events in the System event log can help identify and address misconfigurations or remaining dependencies that are likely to become incompatible as enforcement progresses.

Monitor the System event log for Kerberos-related events indicating RC4 dependencies or insecure encryption configurations. If event log data shows RC4 reliance, remediate by moving to stronger encryption or explicitly configuring the account’s msds-SupportedEncryptionTypes attribute where RC4 is still required. Complete these actions before July 2026, when Audit mode is removed and Enforcement mode becomes the only available option.

Note: Audit events related to this change are only generated when Active Directory is unable to issue AES‑SHA1 service tickets or session keys. The absence of audit events does not guarantee that all non-Windows devices will successfully accept Kerberos authentication after the April 2026 Enforcement phase begins. Validate non-Windows interoperability through testing before broadly enabling this behavior.

Windowsアップデートは2026年4月にリリースされ、その後Kerberos情報開示脆弱性(CVE-2026-20833)に対する保護の第2段階展開が導入されました。この段階では、ドメインコントローラーは明示的なKerberos暗号化設定を持たないアカウントのデフォルトのKerberosチケット動作を変更し、デフォルトではAES-SHA1のみにシフトします。RC4依存関係が残っている環境では、それらの依存関係が修復されるか明示的に設定されていない限り、認証の問題が発生する可能性があります。

2026年4月のWindowsセキュリティアップデート以降、ドメインコントローラーはサポートする暗号化タイプを明示的に定義していないアカウントに対して、AES-SHA1で暗号化されたチケットを発行するのがデフォルトとなります。サービスアカウント、アプリケーション、デバイスがRC4ベースのKerberosチケットを必要とする環境では、これらの依存関係が対処されない限り認証や接続失敗が発生することがあります。システムイベントログ内のKerberos関連イベントは、執行が進むにつれて互換性がなくなる可能性のある 誤設定や残存する依存関係を特定し対処 するのに役立ちます。

システムイベントログを監視し、RC4依存関係や不安全な暗号化設定を示すKerberos関連イベントを監視してください。イベントログのデータでRC4依存が示された場合は、より強力な暗号化に切り替えるか、RC4がまだ必要なアカウントの msds-SupportedEncryptionTypes 属性を明示的に設定して補正してください。監査モードが削除され、執行モードが唯一の選択肢となる2026年7月までにこれらの行動を完了してください。

注: この変更に関連する監査イベントは、Active DirectoryがAES-SHA1サービスチケットやセッションキーを発行できない場合のみ生成されます。監査イベントがなかったからといって、2026年4月の強制フェーズ開始後にすべての非WindowsデバイスがKerberos認証を正常に受け入れられる保証はありません。この動作を広く許可する前に、テストを通じて非Windowsの相互運用性を検証してください。