IT之家刚转了消息,微软说要在4月给Win10和Win11升级一下那个叫Kerberos的网络登录协议。科技媒体NeoWin头一天刚发文,讲的是微软要强制把加密算法从以前那种比较老旧的RC4,换成现在安全性更好的AES-SHA1。AES-SHA1跟RC4完全不一样,它属于那种特别难破解的高级密码,能防着黑客伪造或篡改你的登录信息。微软现在是要彻底把RC4从系统里拿掉了。 这次改动主要是为了把网络验证的安全级别提上去。特别是那些Active Directory(AD)里还没明说要用什么加密方式的对象,微软这次要强制它们用更安全的AES-SHA1。以前这些对象默认会降级用RC4,这次新规出来就是要堵上这个安全窟窿。 NeoWin那边说了,这个底层的变动主要影响企业级的网络环境,尤其是用了FSLogix配置的客户。如果员工的配置文件是存放在AD连着的SMB文件共享上,并且系统还没支持AES-SHA1加密的话,到时候登录的时候就会直接被系统拦下来。不过一般的个人用户基本上没啥影响。 为了给企业留出个准备的时间,微软给了个很清楚的时间表:2026年4月开始正式强推,系统默认会切到AES-SHA1加密。要是万一碰到问题了,管理员还能手动回滚到之前的审计模式里去调整。到了2026年7月就会彻底执行了,审计模式那个选项也就没了,系统以后再也不给降级用旧加密算法的机会了。