微软 Win11 将加速移除 RC4 加密算法

　　系统之家 12 月 16 日最新消息，微软 Windows 身份验证团队负责人 Steve Syfuhs 近日正式宣布，Win11 系统正加速推进 “古董” 加密算法 RC4 的彻底移除，伴随 Windows 长达 25 年的技术将正式画上句号。

　　系统之家注：RC4 全称为 Rivest Cipher 4，是一种诞生于 1987 年的老式流加密算法，曾广泛用于网络传输加密。由于设计年代久远，存在严重安全漏洞，就像一把锁芯已经生锈且配方泄漏的旧锁，极易被撬开。

　　他指出，该加密算法伴随 Windows 系统发布长达 25 年，且长期作为默认选项，因此现在想要彻底“杀死”，其难度远超预期。

　　问题的核心不仅在于算法本身的存在，更在于其被调用的方式以及跨越 20 年的代码变更规则，开发人员在过去二十年间发现了大量 RC4 的严重漏洞，并不得不进行多次“外科手术式”的修复。

　　微软原计划于今年彻底废除 RC4，但因发现仍需修复新漏洞而被迫推迟。在此期间，微软引入了一系列“微小改进”，旨在引导系统优先使用更安全的 AES 加密算法。

　　这一策略效果显著，RC4 的使用率随后呈数量级下降，目前已趋近于零。Syfuhs 表示，这种自然衰退为彻底移除该算法提供了绝佳契机，因为此时采取强硬措施已不太可能破坏用户的现有业务环境。

　　RC4 的核心安全缺陷在于其在 Active Directory 身份验证中的实现方式：它不使用“密码学加盐（Salt）”技术，且仅执行单轮 MD4 哈希运算。

　　“加盐”是一种在哈希之前向密码添加随机输入的关键技术，能大幅增加黑客破解的难度。相比之下，MD4 算法运算速度极快，黑客仅需极少资源即可完成破解。这种设计缺陷直接导致了著名的 Kerberoasting 攻击，让攻击者能轻易窃取服务账号凭证。

　　Kerberoasting 攻击是针对 Windows 域环境（Active Directory）的一种攻击手法。黑客利用系统允许任何用户请求服务票据的机制，提取出用弱加密（如 RC4）保护的票据，然后在离线环境下暴力破解密码，进而获取管理员权限。

　　作为 RC4 的替代方案，微软推广的 AES-SHA1 实现方式则安全得多。综合来看，破解 AES-SHA1 加密的密码所需的时间和资源大约是破解 RC4 的 1000 倍。

　　尽管微软已在系统层面采取行动，但鉴于 RC4 在行业内的广泛应用，微软仍强烈建议 Windows 管理员全面审计网络环境，确保没有任何遗留的 RC4 配置，以免让防御者陷入被动。

　　小编推荐

　　1. 如果你是日常工作学习使用，家庭版是大部分电脑出厂预装的系统，可以满足你的日常使用需求，推荐你下载：Windows11 25H2 中文家庭版（前往下载）

　　2. 真正纯净的 Windows11 专业版系统，安装完成以后不捆绑软件，系统占用小，推荐你下载：Windows11 25H2 纯净专业版系统（前往下载）

　　3. 拥有五年超长生命周期支持的养老版，不频繁更新补丁，适合对稳定性要求高的企业用户。推荐你下载：Win11 24H2 LTSC 2024 企业版（前往下载）

　　4. 拥有超强的性能，专为“干重活”的专业用户设计（例如 CAD、动画、媒体制作者、图形设计团队等等），推荐你下载：Windows11 25H2 专业工作站版（前往下载）

　　5. 支持 BitLocker 磁盘加密、远程桌面主机、组策略管理等高级功能，适合对安全性、管理性和专业性有更高需求的用户。推荐你下载：Windows 11 25H2 专业版（前往下载）

　　以上是系统之家提供的最新资讯，感谢您的阅读，更多精彩内容请关注系统之家官网。