Windows 11が壊したのではない
「Windows 11にしたら突然ログインできなくなった」
「認証印刷が動かない」
「ファイルサーバに入れない」
こうした話は、まだ“事故報告”として頻繁に聞く段階ではない。
だが、同じ構造を内包した環境は確実に増えている。
結論から言えば、
Windows 11が何かを壊したわけではない。
壊れていたものが、いずれ通行止めになる条件が揃い始めただけだ。
その正体が、
RC4暗号に依存したKerberos認証である。
Kerberosは消えない。RC4が消える
今回Microsoftが段階的に進めると明言している変更について、
「Kerberosが使えなくなる」と早合点しているケースも見られる。
- Kerberosが廃止される
- AD認証が使えなくなる
そういう話ではない。
変わるのはただ一つ、
Kerberosで使える暗号からRC4が外されるという点だ。
Microsoftは2026年中頃を目安に、
Windows Server(2008以降)のドメインコントローラで
KDCのデフォルト設定からRC4を無効化する。
AES(AES128 / AES256)が標準となり、
RC4は明示的に許可しない限り使われなくなる。
Kerberos自体は、むしろ健全な形に戻る。
なぜRC4はここまで生き延びたのか
RC4は長年、互換性のために残されてきた。
- 古いOS
- 古いアプライアンス
- 古いLinux
- 古いサービスアカウント
「動いているから」という理由だけで、
誰も触らず、誰も点検せず、
惰性で生き延びてきた暗号だ。
だがRC4はKerberoastingなど、
現代の攻撃手法に対して明確に弱い。
残しておく理由は、もうどこにもない。
総なめにされる“ズボラAD環境”
今回、真っ先に影響を受けるのは
管理されていない認証を抱えた環境だ。
代表的なのは次のようなもの。
- 古いNAS(Synology / QNAP / NetApp 旧FW)
- 複合機・認証印刷用デバイス
- 古いSambaを使ったLinuxアプライアンス
- バックアップ・仮想化基盤のサービスアカウント
- 10年以上パスワードを変更していないADアカウント
共通点は明確だ。
OSにログインできない
設定変更ができない
責任者がいない
つまり、触れない箱である。
壊れる瞬間は、驚くほど静かだ
この問題が厄介なのは、
派手に壊れないことだ。
- Windows 11はAESでチケットを要求する
- DCはRC4を拒否する
- TGTが発行されない
- 認証に失敗する
サーバは落ちない。
エラーも分かりにくい。
ログインできないだけ。
現場ではこう言われる。
「昨日まで動いていたのに」
Microsoftは“猶予”を与えている
重要なのは、
Microsoftがこれを突然やるわけではないという点だ。
- イベントログ(4768 / 4769)の拡張
- RC4使用状況の可視化
- PowerShell監査スクリプトの提供
- Windows Admin Centerでの確認
1年以上前から、準備の時間は与えられている。
つまりこれは障害ではなく、
計画された運用是正だ。
今すぐ最低限やるべきこと
大がかりな更改は必要ない。
まずはこれだけでいい。
- RC4が使われているアカウントの洗い出し
- サービスアカウントの棚卸し
- パスワードリセットによるAES鍵生成
- アプライアンスのAES対応確認
1時間あればできることは、意外と多い。
壊れたのはKerberosではない
最後に、これだけははっきり言っておく。
壊れたのはKerberosではない。
壊れたのは、
誰も管理していなかった認証
触れないまま放置されたアカウント
惰性で残されていた箱
Windows 11は、それを見える化しただけだ。
動いているから健全、ではない。
2026年は、その現実を突きつけてくる。
参照
