Approfondimenti

Kerberos RC4 enforcement:
cosa cambia in Active Directory

·KerberosActive DirectoryRC4Windows ServerCybersecurity
Enforcement14 aprile 2026
Nuovo defaultAES-SHA1 (0x18)
Event ID201–209 (KDCSVC)

Cosa è successo il 14 aprile 2026

Con l'aggiornamento cumulativo di aprile 2026 (CVE-2026-20833), Microsoft ha attivato l'enforcement della deprecazione di RC4in Kerberos. In pratica, il KDC (Key Distribution Center) di Active Directory non emette più ticket cifrati con RC4 per gli account che non hanno un tipo di cifratura esplicitamente configurato nell'attributo msds-SupportedEncryptionTypes.

Il cambiamento non è arrivato senza preavviso: la fase di audit era attiva dal 13 gennaio 2026, registrando nei log di sistema gli account che ancora utilizzavano RC4. Chi ha monitorato gli Event ID 201–209 nel log System (sorgente KDCSVC) ha avuto tre mesi per prepararsi. Chi non lo ha fatto, potrebbe già avere problemi di autenticazione in produzione.

Aggiornamento del 14 luglio 2026: l'enforcement diventa definitivo

Con il Patch Tuesday di luglio 2026 arriva la fase di enforcement finale di CVE-2026-20833: i domain controller aggiornati non onorano più la chiave di registro RC4DefaultDisablementPhase. L'escape di rollback che da gennaio 2026 permetteva di riattivare temporaneamente RC4 è chiuso: non c'è più modo di tornare indietro.

L'impatto pratico va anticipato: dopo il riavvio dei DC aggiornati, ogni service account, appliance, keytab o applicativo legacy ancora dipendente da RC4 può iniziare a fallire l'autenticazione Kerberos — inclusi i service account di SQL Server. Se avete rimandato la migrazione contando sul workaround registry, è questa la settimana in cui il conto arriva. Chi ha già portato tutti gli account ad AES non noterà nulla.

Cosa si rompe

L'impatto dipende da quanti oggetti nel dominio Active Directory non hanno ancora un tipo di cifratura esplicito. I casi più comuni sono:

  • Service account legacy — account di servizio creati anni fa per applicativi gestionali, ERP, CRM o middleware, mai aggiornati dal punto di vista crittografico. Se il campo msds-SupportedEncryptionTypes è assente o a zero, il KDC rifiuta il ticket.
  • NAS e storage con keytab RC4— dispositivi di rete (Synology, QNAP e altri NAS) che usano un keytab Kerberos esportato con cifratura RC4 per l'autenticazione di dominio. Il login alle share smette di funzionare.
  • Dispositivi non-Windows — appliance Linux, stampanti di rete e sistemi embedded che si autenticano via Kerberos con keytab configurati per RC4 smettono di ottenere ticket validi.
  • Applicazioni legacy — software che forzano la negoziazione RC4 nel ticket request o che non supportano AES. Il risultato è un errore di autenticazione silenzioso che può sembrare un problema di rete.

Come verificare lo stato del dominio

La verifica va fatta su due fronti: i log del KDCe l'inventario degli account.

1. Event log— sui domain controller, controllare gli Event ID 201–209 nel log System con sorgente KDCSVC. Ogni evento indica un account che ha richiesto o ottenuto un ticket con cifratura RC4. Se l'enforcement è già attivo e vedete errori di autenticazione, questi eventi sono il punto di partenza per identificare le cause.

2. Query PowerShell — cercare in Active Directory tutti gli account (utente e computer) il cui attributo msds-SupportedEncryptionTypes è assente, uguale a zero o include il flag RC4 (0x4). Questi sono gli account che dopo l'enforcement non riceveranno più ticket dal KDC, a meno che non vengano aggiornati.

Come risolvere

La migrazione da RC4 ad AES è un'operazione chirurgica: va fatta account per account, testando l'autenticazione dopo ogni modifica. Ecco i passaggi:

  • 1Impostare msds-SupportedEncryptionTypes— per ogni service account, configurare l'attributo a un valore che includa AES128 e AES256 (il valore più comune è 0x18, che corrisponde ad AES-SHA1). Questo dice al KDC di emettere ticket AES per quell'account.
  • 2Ri-esportare i keytab— per i dispositivi non-Windows (NAS, appliance Linux), ri-esportare il keytab Kerberos specificando il tipo di cifratura AES e aggiornarlo sul dispositivo. Un keytab RC4 non funziona più dopo l'enforcement.
  • 3Aggiornare le applicazioni— verificare che il software che usa l'autenticazione Kerberos supporti AES. Per le applicazioni che forzano RC4, contattare il vendor per un aggiornamento o una configurazione alternativa.
  • 4Verificare e monitorare— dopo ogni modifica, controllare che l'autenticazione funzioni e continuare a monitorare gli Event ID 201–209 sul KDC. L'obiettivo è arrivare a zero eventi RC4: dal Patch Tuesday di luglio 2026 il workaround registry non è più disponibile e l'enforcement è permanente.

Le tre ondate di Kerberos enforcement

La deprecazione di RC4 non è un evento isolato. Fa parte di un percorso più ampio di hardening di Kerberos in Active Directory che Microsoft sta portando avanti su tre fronti:

  • 1PAC Validation (CVE-2024-26248 + CVE-2024-29056)— enforcement totale dall'8 aprile 2025. Il KDC valida la firma del PAC (Privilege Attribute Certificate) in modo rigoroso, bloccando gli attacchi di tipo PAC forgery. Già attivo e permanente.
  • 2RC4 deprecation (CVE-2026-20833)— enforcement dal 14 aprile 2026. Il KDC non emette più ticket RC4 per gli account senza cifratura esplicita. Il rollback via registry, possibile da gennaio 2026, è stato rimosso con il Patch Tuesday di luglio 2026: da allora l'enforcement è permanente.
  • 3Certificate-based authentication (CVE-2025-26647)— rafforza la validazione dei certificati usati per l'autenticazione Kerberos PKINIT, prevenendo attacchi di tipo certificate impersonation. In fase di rollout progressivo.

Il messaggio è chiaro: Active Directory diventa più sicuro, ma richiede un'attenzione continua alla configurazione e al monitoraggio. I domini lasciati «così come sono» da anni accumulano debito tecnico che prima o poi si traduce in disservizi.

Supporto per la migrazione

AtWorkStudio gestisce infrastrutture Active Directory per PMI dal 2000, da Piacenza. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, con qualificazione ACN per i servizi cloud. Siamo membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.

Se il vostro dominio Active Directory non è stato preparato per l'enforcement RC4, possiamo intervenire con un audit mirato: inventario degli account con cifratura RC4, analisi degli Event ID sui domain controller, piano di migrazione ad AES e verifica post-enforcement. Il tutto senza interrompere la produzione.

Fonti

  • Microsoft Support KB5073381 — Articolo ufficiale sulla gestione dell'uso di RC4 nel KDC (CVE-2026-20833), incluse le fasi di enforcement fino a quella definitiva di luglio 2026
  • Microsoft Tech Community — Kerberos encryption type enforcement timeline
  • 4sysops — Guida tecnica alla migrazione RC4-AES in Active Directory
  • NVD — CVE-2026-20833, CVE-2024-26248, CVE-2024-29056, CVE-2025-26647

Domande frequenti

Risposte alle domande più comuni sull'enforcement RC4 in Kerberos e sulla migrazione ad AES.

Il tuo dominio Active Directory è pronto?

Se non avete ancora verificato lo stato degli account RC4, possiamo eseguire un audit mirato del vostro dominio Active Directory e guidarvi nella migrazione ad AES, senza interruzioni di servizio.