文章总结： 微软宣布彻底废除已陪伴Windows25年的RC4加密算法，因其无盐单轮MD4设计成为Kerberoasting攻击突破口；微软通过引导策略使RC4使用率趋零，建议管理员全面审计清理遗留配置，改用AES-SHA1以提升千倍破解难度。 综合评分： 85 文章分类： 漏洞分析,安全建设,漏洞预警,网络安全,技术标准

陪伴Windows系统25年的过时算法终于退场！微软宣布将彻底废除RC4加密

原创

甲子元

安全代码

2025年12月25日 07:28 山西

近日，微软Windows身份验证团队负责人Steve Syfuhs在社交平台Bluesky上宣布，微软正准备彻底废除已存在25年的老式加密算法RC4。由于该算法存在严重安全缺陷且已被现代攻击手法广泛利用，其最终移除标志着Windows安全演进历程中的一个重要里程碑。

25年“元老算法”即将告别历史舞台

RC4全称为Rivest Cipher 4，诞生于1987年，是一种曾广泛用于网络传输加密的流加密算法。自Windows系统发布以来，该算法已作为默认加密选项存在长达25年。然而，由于设计年代久远，RC4存在严重安全漏洞，被Steve Syfuhs形象地比喻为“一把锁芯已经生锈且配方泄漏的旧锁，极易被撬开”。

自然衰退与引导策略为移除创造条件

微软原计划于今年彻底废除RC4，但因发现仍需修复新漏洞而被迫推迟。在此期间，微软引入了一系列“微小改进”，引导系统优先使用更安全的AES加密算法。这一策略效果显著，使得RC4的使用率呈数量级下降，目前已趋近于零。Syfuhs表示，这种自然衰退为彻底移除该算法提供了绝佳契机，因为此时采取强硬措施已不太可能破坏用户的现有业务环境。

安全缺陷显著：Kerberoasting攻击的主要突破口

RC4的核心安全缺陷在于其在Active Directory身份验证中的实现方式：它不使用“密码学加盐”技术，且仅执行单轮MD4哈希运算，导致密码极易被破解。这种设计缺陷直接催生了著名的Kerberoasting攻击手法。在该攻击中，黑客可以利用系统允许任何用户请求服务票据的机制，提取出用RC4弱加密保护的票据，然后在离线环境下暴力破解密码，进而获取管理员权限。

替代方案安全性大幅提升

作为RC4的替代方案，微软推广的AES-SHA1实现方式在安全性上显著提高。据统计，破解AES-SHA1加密密码所需的时间和资源，大约是破解RC4的1000倍，能极大增强企业域环境的安全防护能力。

建议全面审计，防范遗留配置风险

尽管微软已在系统层面采取行动，但鉴于RC4在行业内长期广泛使用，微软仍强烈建议Windows管理员全面审计网络环境，彻底排查并清理任何遗留的RC4配置，避免其成为攻击者突破系统防线的薄弱环节。

新闻来源：微软官方声明、IT之家报道

山西甲子元科技有限公司

产品介绍：

软件：防泄密、行为管理、行为审计、云文档安全管理、数据智能备份等安全管理系统。

电话：0351-3366668

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全代码 甲子元《陪伴Windows系统25年的过时算法终于退场！微软宣布将彻底废除RC4加密》