3 月 28 日消息,科技媒体 NeoWin 昨日(3 月 27 日)发布博文,报道称微软宣布将在 4 月的 Windows 11/Windows 10 更新中,升级 Kerberos 网络身份验证协议,强制采用更安全的 AES-SHA1 加密算法,取代老旧的 RC4。
注:AES-SHA1 是一种极难破解的“高级防伪密码”,用来保护你的网络通行证不被黑客伪造或篡改;而 RC4 是传统加密算法,容易被不法分子撬开,微软正准备在系统中彻底淘汰它。
此次更新的核心在于强化网络身份验证。对于未明确设置加密类型的 Active Directory(AD)对象,微软将强制要求其使用更安全的 AES-SHA1 算法。这些对象过去会默认降级使用安全性较低的 RC4 算法,而新规将彻底堵住这一安全漏洞。
该媒体指出这一底层变动主要冲击企业级网络环境,特别是使用 FSLogix 配置的客户。如果企业员工的配置文件存储依赖于结合了 AD 的 SMB 文件共享,且系统尚未支持 AES-SHA1 加密,那么在登录时就会被系统直接拦截。不过,普通个人用户基本不在受影响范围内。
为了给企业留出缓冲期,微软给出了明确的推进时间表:
2026 年 4 月:开启强制执行阶段。系统默认切换至 AES-SHA1 加密。若遇突发问题,管理员在此阶段仍可手动回滚至审计模式。
2026 年 7 月:全面强制执行。审计模式将被彻底移除,系统不再提供任何降级选项。
