微软宣布 4 月升级 Win10/Win11 身份验证协议，影响部分设备登录

anyangmo

微软宣布 4 月升级 Win10/Win11 身份验证协议，影响部分设备登录

IT之家 3 月 28 日消息，科技媒体 NeoWin 昨日（3 月 27 日）发布博文，报道称微软宣布将在 4 月的 Windows 11/Windows 10 更新中，升级 Kerberos 网络身份验证协议，强制采用更安全的 AES-SHA1 加密算法，取代老旧的 RC4。

IT之家注：AES-SHA1 是一种极难破解的“高级防伪密码”，用来保护你的网络通行证不被黑客伪造或篡改；而 RC4 是传统加密算法，容易被不法分子撬开，微软正准备在系统中彻底淘汰它。

此次更新的核心在于强化网络身份验证。对于未明确设置加密类型的 Active Directory（AD）对象，微软将强制要求其使用更安全的 AES-SHA1 算法。这些对象过去会默认降级使用安全性较低的 RC4 算法，而新规将彻底堵住这一安全漏洞。

该媒体指出这一底层变动主要冲击企业级网络环境，特别是使用 FSLogix 配置的客户。如果企业员工的配置文件存储依赖于结合了 AD 的 SMB 文件共享，且系统尚未支持 AES-SHA1 加密，那么在登录时就会被系统直接拦截。不过，普通个人用户基本不在受影响范围内。

为了给企业留出缓冲期，微软给出了明确的推进时间表：

• 2026 年 4 月：开启强制执行阶段。系统默认切换至 AES-SHA1 加密。若遇突发问题，管理员在此阶段仍可手动回滚至审计模式。
  

• 2026 年 7 月：全面强制执行。审计模式将被彻底移除，系统不再提供任何降级选项。
  

原文地址：https://www.ithome.com/0/933/531.htm