In molti ambienti Active Directory, è ancora frequente che il protocollo Kerberos utilizzi RC4 come algoritmo di cifratura predefinito, rendendo necessario disabilitare RC4 in Active Directory per ridurre i rischi di sicurezza. Sebbene RC4 sia ormai considerato obsoleto, viene mantenuto per retrocompatibilità con sistemi legacy — ma la sua presenza rappresenta oggi una vulnerabilità concreta.
L’utilizzo di RC4 espone l’infrastruttura a tecniche di attacco moderne, rendendo più semplice il compromesso delle credenziali.
Il problema principale risiede nel fatto che RC4 rende decisamente più semplici gli attacchi mirati al furto di credenziali, come il Kerberoasting, esponendo in particolare gli account di servizio e aumentando il rischio di compromissione dell’intero dominio. Oggi, lo standard di sicurezza prevede l’utilizzo esclusivo di algoritmi più robusti come AES128 e AES256.
Perché disabilitare RC4 in Active Directory?
RC4 è un algoritmo di cifratura obsoleto e vulnerabile ad attacchi offline come il Kerberoasting. Per proteggere Active Directory è necessario disabilitarlo e utilizzare algoritmi più sicuri come AES128 o AES256. La configurazione avviene tramite l’attributo msDS-SupportedEncryptionTypes e il cambio password degli account.
RC4 e Kerberos: perché è ancora un problema
Uno degli errori più comuni tra gli amministratori IT è pensare che, utilizzando Domain Controller moderni (come Windows Server 2022 o 2025), RC4 sia automaticamente disabilitato.
In realtà, Kerberos negozia l’algoritmo di cifratura in base alle caratteristiche dell’account coinvolto nell’autenticazione, non solo in base al livello funzionale del dominio.
Questo significa che:
- RC4 può essere ancora utilizzato anche in ambienti aggiornati
- il fallback su RC4 è automatico se AES non è disponibile
- la sicurezza dipende dallo stato degli account, non solo dall’infrastruttura
Kerberos decide infatti l’algoritmo anche in base alle proprietà dell’account. Se un account non è configurato per supportare AES, il sistema può utilizzare RC4.
Questo accade frequentemente con:
- account di servizio storici
- account creati molti anni fa
- account applicativi mai aggiornati
Il rischio reale: Kerberoasting e attacchi offline
Il legame tra RC4 e attacchi come il Kerberoasting è diretto.
Quando un ticket Kerberos è cifrato con RC4:
- può essere estratto da un attaccante autenticato
- può essere sottoposto a cracking offline
- richiede meno tempo per essere decifrato rispetto ad AES
Questo rende gli account di servizio particolarmente vulnerabili, soprattutto perché spesso presentano:
- password statiche
- password molto vecchie
- privilegi elevati
Nel contesto della sicurezza Active Directory, questo è uno dei vettori di attacco più sfruttati in fase di post-exploitation e lateral movement.
A livello tecnico, uno dei principali problemi di RC4 è che la chiave di cifratura deriva direttamente dall’hash della password dell’account. Questo rende possibile eseguire attacchi di brute-force offline in modo estremamente rapido rispetto agli algoritmi più moderni come AES.
Come verificare se RC4 è ancora in uso
Il modo corretto per individuare l’utilizzo di RC4 è analizzare i log di sicurezza dei Domain Controller.
Prima di tutto è necessario configurare correttamente l’auditing:
- modificare la Default Domain Controller Policy
- abilitare il logging degli eventi Kerberos in fase di account logon
Dopo aver applicato la GPO ed eseguito un gpupdate /force, gli eventi da monitorare sono:
- 4768 → richiesta Ticket Granting Ticket (TGT)
- 4769 → richiesta Service Ticket
All’interno di questi eventi è presente il campo relativo al tipo di cifratura.
Se il valore è 0x17, significa che è stato utilizzato RC4.
Questa analisi permette di identificare con precisione:
- quali account utilizzano ancora RC4
- quali servizi sono a rischio
- dove intervenire in modo mirato
Mappatura algoritmi Kerberos e livello di sicurezza
Di seguito una tabella utile per identificare rapidamente i principali algoritmi Kerberos, il loro stato di sicurezza e le azioni consigliate:
| Codice Hex | Tipo di cifratura | Stato sicurezza | Azione consigliata |
|---|---|---|---|
| 0x1 | DES-CBC-CRC | Critico (legacy) | Disabilitare immediatamente |
| 0x3 | DES-CBC-MD5 | Critico (legacy) | Disabilitare immediatamente |
| 0x17 | RC4-HMAC | Insicuro (legacy) | Da eliminare, vulnerabile a Kerberoasting |
| 0x11 | AES128-CTS-HMAC-SHA1-96 | Sicuro | Standard accettabile |
| 0x18 | AES256-CTS-HMAC-SHA1-96 | Molto sicuro | Best practice consigliata |
Come disabilitare RC4 sugli account
Active Directory consente di definire gli algoritmi Kerberos ammessi per ogni account tramite l’attributo:
msDS-SupportedEncryptionTypes
Configurando correttamente questo attributo è possibile consentire esclusivamente:
- AES128
- AES256
ed escludere completamente RC4.
In questo modo Kerberos non potrà più negoziare RC4 per quell’account, eliminando il rischio legato a questo algoritmo.
Attenzione: verifica delle chiavi AES
Un passaggio critico — spesso sottovalutato — riguarda la presenza delle chiavi AES.
Le chiavi AES vengono generate solo quando:
- la password dell’account viene impostata
- oppure viene modificata
Molti account legacy contengono solo hash compatibili con RC4. Se si forza l’utilizzo di AES senza che queste chiavi siano presenti, il risultato sarà:
- autenticazione fallita
- interruzione del servizio
Per questo motivo, la procedura corretta è:
- aggiornare la password dell’account
- verificare il corretto funzionamento del servizio
- impostare l’uso esclusivo di AES
Strategia di hardening: approccio graduale
La dismissione di RC4 è oggi una best practice fondamentale per la sicurezza di Active Directory.
L’approccio consigliato non è drastico, ma progressivo:
- identificare gli account che utilizzano RC4 tramite i log
- aggiornare gli account applicativi e di servizio
- abilitare solo AES sugli account critici
- monitorare eventuali anomalie
Questo consente di:
- ridurre il rischio senza impattare i servizi
- mantenere il controllo sull’infrastruttura
- migliorare la postura di sicurezza nel tempo
Perché disabilitare RC4 riduce davvero il rischio
Forzare l’utilizzo di AES ha un impatto diretto sulla sicurezza:
- aumenta drasticamente la complessità degli attacchi offline
- riduce l’efficacia del Kerberoasting
- protegge gli account con privilegi elevati
- limita le possibilità di lateral movement
È un intervento mirato, poco invasivo ma ad alto valore in termini di sicurezza.
Vuoi approfondire la sicurezza di Active Directory?
La disabilitazione di RC4 in Kerberos è solo uno dei primi interventi di hardening. Per proteggere efficacemente un’infrastruttura Active Directory è necessario adottare un approccio più ampio, che includa:
- gestione sicura degli account e delle identità privilegiate
- implementazione del tiering amministrativo
- hardening dei Domain Controller
- integrazione e controllo degli ambienti Entra ID Hybrid
Una strategia efficace richiede competenze pratiche, visione architetturale e capacità di prevenire tecniche di attacco avanzate.
Per questo, Nexsys offre percorsi formativi e consulenziali pensati per coprire sia la componente difensiva che quella offensiva:
Difesa e gestione
Approfondisci le best practice di hardening, configurazione sicura e gestione operativa con il Corso Active Directory.
Attacco e Red Teaming
Metti alla prova la tua infrastruttura simulando scenari reali di Kerberoasting, ACL abuse e lateral movement con il Corso Active Directory Attack & Defense.
Formazione avanzata in cybersecurity
Completa le competenze con percorsi dedicati alla sicurezza informatica, progettati per affrontare le minacce moderne in ambienti enterprise. Investire nella sicurezza di Active Directory significa ridurre concretamente la superficie di attacco e aumentare la resilienza dell’intera infrastruttura IT.
