За пределами RC4 для аутентификации Windows - Вопрос относительно KB5073381

В KB5021131 Microsoft рекомендует установить значение DefaultDomainSupportedEncTypes равным 0x38, в новом KB 5073381 - 0x18. Это удаляет настройку, которая принудительно использует "AES Session Keys", что должно быть нормально, если билеты Kerberos могут использовать только шифрование AES. Но как быть с учетными записями, у которых в атрибуте msds-supportedEncryptionTypes включен RC4? Они все еще могут использовать RC4 для шифрования билетов Kerberos, а затем также переключаться на шифрование сеансовых билетов RC4. Насколько я понимаю, DefaultDomainSupportedEncTypes был специально введен, чтобы избежать этого сценария. Или теперь существует какой-то жестко закодированный механизм, который всегда гарантирует, что Session Keys зашифрованы AES?