Kerberos RC4 enforcement:
cosa cambia in Active Directory

Cosa è successo il 14 aprile 2026

Con l'aggiornamento cumulativo di aprile 2026 (CVE-2026-20833), Microsoft ha attivato l'enforcement della deprecazione di RC4in Kerberos. In pratica, il KDC (Key Distribution Center) di Active Directory non emette più ticket cifrati con RC4 per gli account che non hanno un tipo di cifratura esplicitamente configurato nell'attributo msds-SupportedEncryptionTypes.

Il cambiamento non è arrivato senza preavviso: la fase di auditera attiva dal 13 gennaio 2026, registrando nei log di sistema gli account che ancora utilizzavano RC4. Chi ha monitorato gli Event ID 201–209 nel log System (sorgente KDCSVC) ha avuto tre mesi per prepararsi. Chi non lo ha fatto, potrebbe già avere problemi di autenticazione in produzione.

Cosa si rompe

L'impatto dipende da quanti oggetti nel dominio Active Directory non hanno ancora un tipo di cifratura esplicito. I casi più comuni sono:

• Service account legacy— account di servizio creati anni fa per applicativi gestionali, ERP, CRM o middleware, mai aggiornati dal punto di vista crittografico. Se il campo msds-SupportedEncryptionTypes è assente o a zero, il KDC rifiuta il ticket.
• NAS e storage con keytab RC4— dispositivi di rete (Synology, QNAP e altri NAS) che usano un keytab Kerberos esportato con cifratura RC4 per l'autenticazione di dominio. Il login alle share smette di funzionare.
• Dispositivi non-Windows— appliance Linux, stampanti di rete e sistemi embedded che si autenticano via Kerberos con keytab configurati per RC4 smettono di ottenere ticket validi.
• Applicazioni legacy— software che forzano la negoziazione RC4 nel ticket request o che non supportano AES. Il risultato è un errore di autenticazione silenzioso che può sembrare un problema di rete.

Come verificare lo stato del dominio

La verifica va fatta su due fronti: i log del KDC e l'inventario degli account.

1. Event log— sui domain controller, controllare gli Event ID 201–209 nel log System con sorgente KDCSVC. Ogni evento indica un account che ha richiesto o ottenuto un ticket con cifratura RC4. Se l'enforcement è già attivo e vedete errori di autenticazione, questi eventi sono il punto di partenza per identificare le cause.

2. Query PowerShell— cercare in Active Directory tutti gli account (utente e computer) il cui attributo msds-SupportedEncryptionTypes è assente, uguale a zero o include il flag RC4 (0x4). Questi sono gli account che dopo l'enforcement non riceveranno più ticket dal KDC, a meno che non vengano aggiornati.

Come risolvere

La migrazione da RC4 ad AES è un'operazione chirurgica: va fatta account per account, testando l'autenticazione dopo ogni modifica. Ecco i passaggi:

• 1Impostare msds-SupportedEncryptionTypes— per ogni service account, configurare l'attributo a un valore che includa AES128 e AES256 (il valore più comune è 0x18, che corrisponde ad AES-SHA1). Questo dice al KDC di emettere ticket AES per quell'account.
• 2Ri-esportare i keytab— per i dispositivi non-Windows (NAS, appliance Linux), ri-esportare il keytab Kerberos specificando il tipo di cifratura AES e aggiornarlo sul dispositivo. Un keytab RC4 non funziona più dopo l'enforcement.
• 3Aggiornare le applicazioni— verificare che il software che usa l'autenticazione Kerberos supporti AES. Per le applicazioni che forzano RC4, contattare il vendor per un aggiornamento o una configurazione alternativa.
• 4Verificare e monitorare— dopo ogni modifica, controllare che l'autenticazione funzioni e continuare a monitorare gli Event ID 201–209 sul KDC. L'obiettivo è arrivare a zero eventi RC4 prima della rimozione definitiva del workaround registry prevista per luglio 2026.

Le tre ondate di Kerberos enforcement

La deprecazione di RC4 non è un evento isolato. Fa parte di un percorso più ampio di hardening di Kerberos in Active Directory che Microsoft sta portando avanti su tre fronti:

• 1PAC Validation (CVE-2024-26248 + CVE-2024-29056)— enforcement totale dall'8 aprile 2025. Il KDC valida la firma del PAC (Privilege Attribute Certificate) in modo rigoroso, bloccando gli attacchi di tipo PAC forgery. Già attivo e permanente.
• 2RC4 deprecation (CVE-2026-20833)— enforcement dal 14 aprile 2026. Il KDC non emette più ticket RC4 per gli account senza cifratura esplicita. Rollback possibile via registry fino a luglio 2026, poi permanente.
• 3Certificate-based authentication (CVE-2025-26647)— rafforza la validazione dei certificati usati per l'autenticazione Kerberos PKINIT, prevenendo attacchi di tipo certificate impersonation. In fase di rollout progressivo.

Il messaggio è chiaro: Active Directory diventa più sicuro, ma richiede un'attenzione continua alla configurazione e al monitoraggio. I domini lasciati “così come sono” da anni accumulano debito tecnico che prima o poi si traduce in disservizi.

Supporto per la migrazione

AtWorkStudio gestisce infrastrutture Active Directory per PMI dal 2000, da Piacenza. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, con qualificazione ACN per i servizi cloud. Siamo membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.

Se il vostro dominio Active Directory non è stato preparato per l'enforcement RC4, possiamo intervenire con un audit mirato: inventario degli account con cifratura RC4, analisi degli Event ID sui domain controller, piano di migrazione ad AES e verifica post-enforcement. Il tutto senza interrompere la produzione.