Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Why is RC4 still being used?

Why is RC4 still being used?

Active Directory 勉強会 第 8 回目 発表資料
https://configmgr.connpass.com/event/397482/

Avatar for tamaiyutaro

tamaiyutaro

July 02, 2026

More Decks by tamaiyutaro

Other Decks in Technology

Transcript

  1. #ADIsNotDead #MECMJP Why is RC4 still being used? July 1,

    2026 Microsoft MVP (Security, Windows and Devices) Yutaro Tamai Active Directory 勉強会 第 8 回目
  2. #ADIsNotDead #MECMJP 自己紹介 ◆名前 玉井 裕太郎 (Yutaro Tamai) ◆趣味 自宅サーバー

    (TDC: Tamai Data Center) にて、Hyper-V を用いて、 Configuration Manager や Microsoft Intune 等の検証をすること。 エンタープライズ環境下での Surface デバイス検証や Azure Virtual Desktop (AVD)、 Windows 365 等の検証も幅広く行うこと。 ◆所属 SCUGJ (windows Server & Cloud User Group Japan) コアメンバー Japan EMS Users Group スタッフ Japan Microsoft Endpoint Configuration Manager UG 主催 Windows Cloud Community (WCCJ) 主催 ◆仕事 保険会社の IT 部門の社員 ◆Blog https://sccm.jp/ ◆Award Microsoft MVP (Security (Microsoft Intune), Windows and Devices (Surface) 6 回目の受賞 @tamai_pc
  3. #ADIsNotDead #MECMJP 本セッションの意図 • 企業や組織内で利用されている Active Directory 環境は多岐に渡るシステムにて 利用されている状況かと思います。 •

    そのような背景で見逃しがちな RC4 が利用されているシナリオについて一例を紹介し、 実際の対応に役立ててもらえれば幸いです。
  4. #ADIsNotDead #MECMJP Kerberos 認証における RC4 の利用シナリオ • 特定のサービス アカウント •

    特定サービス用に作成したサービス アカウントが RC4 を使用するように設定していないかの確認 • NAS (Network Attached Storage) • 古いシステムの NAS の場合、Kerberos 認証には対応しているが、RC4 を使用している場合もあり • Active Directory フォレスト信頼 • Active Directory 移行ツールなど • 例えば、ADMT (Active Directory Migration Tool) • サードパーティ製のミドルウェアなど • その他にも
  5. #ADIsNotDead #MECMJP Password Export Server (PES) • ADMT では PES

    (Password Export Server) を用いることで移行元のユーザーのパスワードを 移行先のドメインに移行可能 • ただし、このパスワード移行には RC4 の利用が必要 • RC4 の場合、同じパスワード文字列から生成されるキーは同じ文字列が生成される • AES の場合、同じパスワード文字列を入力しても、ランダムなデータ (ソルト) を付加して、キーが 生成されるため、異なる文字列が生成される
  6. #ADIsNotDead #MECMJP Demo corp.contoso.com ドメイン 移行先 (ターゲット) corp.fabrikam.com ドメイン 移行元

    (ソース) フォレスト信頼 FABRIKAM-DC01 CONTOSO-DC01 CONTOSO-ADMT01 CONTOSO-SV01
  7. #ADIsNotDead #MECMJP Demo corp.contoso.com ドメイン 移行先 (ターゲット) corp.fabrikam.com ドメイン 移行元

    (ソース) フォレスト信頼 FABRIKAM-DC01 CONTOSO-DC01 CONTOSO-ADMT01 CONTOSO-SV01
  8. #ADIsNotDead #MECMJP Active Directory 信頼関係 • Active Directory 信頼関係のチェックも •

    信頼関係を作成した時のデフォルト値が [他方のドメインで Kerberos AES 暗号化がサポートされる] にチェックが入っていない
  9. #ADIsNotDead #MECMJP まとめ • 企業や組織内での Kerberos 認証における RC4 の利用シーンを再度確認してみてください。 •

    今後、ADMT 等のツールを使ってドメイン移行を行う場合の方はご注意ください。