KerberosからDESが削除される!認証に問題が出る可能性あり。管理者は要チェック!

この記事の内容

  • Windows Server 2025 および Windows 11 バージョン 24H2 以降、Kerberos 認証から DES(Data Encryption Standard)暗号化が削除されます
  • 削除は 2025年9月9日以降にリリースされる Windows 更新プログラムで実施されます
  • DES は Windows 7 / Windows Server 2008 R2 以降デフォルトで無効化されており、多くの環境では影響がない見込みです
  • イベントログや PowerShell スクリプトを使って、DES が使用されているかを事前に確認できます
  • 古いレガシーシステムや Windows 以外のデバイスが Kerberos で DES を使用している場合は、早急な対応が必要です

DES が Kerberos から削除される背景

Microsoft は、Kerberos 認証における DES(Data Encryption Standard)暗号化のサポートを段階的に廃止しています。2025年9月9日以降にリリースされる Windows 更新プログラムを適用した環境では、DES が Kerberos から意図的に削除されます。

対象となるのは以下の OS です。

  • Windows Server 2025 以降
  • Windows 11 バージョン 24H2 以降

DES は 56 ビット鍵長の古い暗号化アルゴリズムであり、現代のセキュリティ基準では脆弱とされています。Microsoft はすでに AES などのより強力な暗号化をサポートしており、古いアルゴリズムを廃止する方針を取っています。

DES の歴史と現状

DES は 1993年に RFC 1510 で Kerberos に追加され、Windows の初期実装にも存在していました。ただし、当初から後方互換性のためだけに使用されていたという経緯があります。

重要なポイントとして、DES は Windows 7 および Windows Server 2008 R2 以降、デフォルトで無効化されています。つまり、それ以降に構築された環境では、意図的に有効化しない限り DES は使用されていないはずです。

Microsoft によると、Windows が Kerberos で DES をネイティブに使用したことはなく、古いバージョンの Java クライアントとの互換性のためだけに使われていたケースが主だったとしています。

今回の変更により、Windows Server 2025 および Windows 11 24H2 以降では、DES を手動で有効化することもできなくなります。

影響を受ける可能性がある環境

ほとんどの組織では影響がない見込みですが、以下のような環境では注意が必要です。

  • 10年以上稼働し続けている古いレガシーシステムが Active Directory 環境に接続している
  • Windows 以外のデバイス(古い Linux サーバー、組み込みデバイスなど)が Kerberos 認証を使用している
  • 過去に何らかの理由で DES を手動で有効化したアカウントが残っている
  • 引き継いだシステムで詳細な設定が把握できていない

特に「誰かが引き継いだだけで詳細が不明な古いシステム」がある場合は、確認を行うことをおすすめします。

DES の使用状況を検出する方法

1. Windows Update を適用する

まず、2025年1月以降にリリースされた更新プログラムを適用します。この更新プログラムを当てることで、DES 使用時にイベントログへの記録が有効になります。

2. イベントログを確認する

以下のイベント ID を Security イベントログで確認します。

イベント ID説明
4768Kerberos 認証チケット(TGT)が要求された
4769Kerberos サービスチケットが要求された

イベントの詳細情報の中に暗号化アルゴリズムが記録されており、DES が使用されているかどうかを判断できます。

3. PowerShell スクリプトを使用する

Microsoft は GitHub 上に検出用のスクリプトを公開しています。

Get-KerberosEncryptionUsage.ps1

スクリプトの主なパラメーターとして、ドメインコントローラーの指定や検索対象の時間枠(1週間、1ヶ月など)を設定できます。デフォルトのパラメーターのままでも動作しますので、そのまま実行して DES の使用状況を確認できます。

DES を無効化する手順

DES の使用が検出された場合は、以下の手順で無効化します。

アカウントの設定を確認する

Active Directory ユーザーとコンピューターで、対象アカウントのプロパティを確認します。以下の設定が有効になっていないことを確認してください。

  • 「このアカウントには Kerberos DES 暗号化タイプのみを使用する」 チェックボックスがオフになっていること

UserAccountControl フィールドの値としては、USE_DES_KEY_ONLY(16進数で 0x200000)が設定されていないことを確認します。

グループポリシーで暗号化タイプを制限する

グループポリシーで DES を無効化するには、以下のパスにある設定を変更します。

Windows:Kerberos

この設定で DES 関連のチェックボックスをオフにし、AES128、AES256 などの強力な暗号化タイプのみを有効にします。

パスワードのリセットが必要な場合

アカウントが Windows Server 2003 以前のドメインコントローラーで作成された場合や、AES に対応した鍵情報が生成されていない場合は、パスワードを変更することで AES 用の鍵が生成されます。

Windows 以外のデバイスへの対応

対象が Windows 以外のデバイス(Linux、NAS、組み込みデバイスなど)の場合は、各デバイスのベンダーのドキュメントやマニュアルを参照して、Kerberos 暗号化設定を変更してください。

移行時の注意点

DES から AES への移行を行う際には、以下の点に注意が必要です。

  • ロールバック計画を事前に準備する:設定変更後にアプリケーションが動作しなくなる可能性があります
  • 移行期間中は AES と DES を並行して有効にする期間を設けることも選択肢の一つです
  • 段階的な移行:一気に切り替えず、テスト環境で確認してから本番環境に適用することをおすすめします

まとめ

2025年9月9日以降にリリースされる Windows 更新プログラムにより、Windows Server 2025 および Windows 11 バージョン 24H2 以降では Kerberos 認証から DES 暗号化が削除されます。

DES は Windows 7 / Windows Server 2008 R2 以降デフォルトで無効化されているため、多くの組織では影響を受けないと考えられます。ただし、古いレガシーシステムや Windows 以外のデバイスを Active Directory 環境に接続している場合は、DES が使用されている可能性があります。

対策の流れは以下のとおりです。

  1. 2025年1月以降の Windows Update を適用してイベントログ記録を有効化
  2. イベント ID 4768・4769 または PowerShell スクリプトで DES の使用状況を確認
  3. DES の使用が確認された場合は、アカウント設定とグループポリシーで無効化
  4. 必要に応じてパスワードリセットを実施

Active Directory の管理者の方は、特に引き継いだ古いシステムがある環境で DES の使用状況を確認しておくことをおすすめします。