Microsoft schaltet RC4 in Kerberos schrittweise ab: Was Admins jetzt beachten müssen

Lutz
von Lutz
10.02.2026
02:15 MIN

Das angekündigte Ende der RC4-Verschlüsselung im Kerberos-Protokoll ist ein wichtiger Schritt zur Härtung von Active-Directory-Umgebungen. Betroffene Unternehmen sollten bestehende Abhängigkeiten umgehend identifizieren und beseitigen.

Windows-Domänencontroller unter Windows Server 2022 oder älter nutzen auch jetzt noch für einige Zwecke die veraltete RC4-Verschlüsselung, obwohl RC4 seit Langem für eine Vielzahl an kryptografischen Schwächen bekannt ist.

 

Warum Microsoft nun RC4 aus Kerberos entfernen wird

RC4, lange ein gängiger Verschlüsselungsalgorithmus, gilt heute allgemein als kryptografisch unsicher. Es begünstigt Angriffe wie das Kerberoasting, bei dem Angreifer Kerberos-Diensttickets abgreifen und versuchen, sie offline zu entschlüsseln, um sich so Anmeldeinformationen zu verschaffen.

Ein konkretes, aktuelles Beispiel ist die Sicherheitslücke CVE-2026-20833, die eine potenzielle Offenlegung sensibler Informationen ermöglicht. Dieser Angriff setzt zwar ein Mindestmaß an Systemprivilegien voraus, aber spätestens damit ist klar: RC4 hat ausgedient.

 

Microsoft zieht Konsequenzen

Deshalb entfernt Microsoft nun RC4 schrittweise aus Kerberos und setzt konsequent auf moderne, sichere Verschlüsselungsverfahren wie AES, um die Sicherheit von Active Directory zu stärken. Diese Änderung betrifft alle IT-Systemlandschaften, in denen Windows-Domänencontroller unter Windows Server 2022 oder älter laufen. Falls das bei Ihnen der Fall sein sollte: Handeln Sie bitte frühzeitig, um Authentifizierungsprobleme und Sicherheitsrisiken zu vermeiden.

Dies sind die von Microsoft definierten Phasen des Entfernens von RC4 aus Kerberos:

Seit Januar 2026 läuft die initiale Phase, die ausschließlich der Analyse und Vorbereitung dient. Damit wurden neue Audit-Events auf Domain-Controllern eingeführt. Kerberos-Vorgänge, bei denen RC4 noch verwendet wird, werden jetzt protokolliert. Die neue Registry-Einstellung RC4DefaultDisablementPhase zur Steuerung des Verhaltens wurde eingeführt.

Ab April 2026 ändert sich das Standardverhalten. Dann stellen Domain-Controller die Kerberos-Tickets standardmäßig nur noch mit AES-SHA1 aus. Soll trotzdem noch RC4 verwendet werden, muss es explizit aktiviert werden. Nicht angepasste Service- oder Computer-Accounts können Authentifizierungsprobleme verursachen.

Im Juli 2026 beginnt die Durchsetzungsphase. Der Audit-Modus entfällt, RC4 ist deaktiviert, und Kerberos-Authentifizierungen mit RC4 schlagen fehl.

Wir empfehlen Ihnen folgende Vorgehensweise:

Schritt 1: 

Installieren Sie die Windows-Sicherheitsupdates von Januar 2026 auf allen Domain-Controllern. Nur so stehen Ihnen die neuen Audit- und Steuerungsfunktionen zur Verfügung.

 

Schritt 2: 

Überwachen Sie die neuen Kerberos-Event-IDs (201–209), um festzustellen, welche Clients, Geräte oder Service-Accounts noch RC4-basierte Tickets anfordern.

 

Schritt 3: 

Identifizieren Sie Legacy-Abhängigkeiten – also Systeme oder Anwendungen, die ausschließlich RC4 unterstützen. Diese sollten Sie dann entweder aktualisieren, ersetzen oder so konfigurieren, dass AES-basierte Verschlüsselung genutzt wird.

 

Schritt 4: 

Aktivieren Sie den Erzwingungsmodus, sobald keine RC4-Abhängigkeiten mehr bestehen. Ab diesem Zeitpunkt stellen Ihre Domain-Controller ausschließlich sichere Kerberos-Tickets aus.

Wir helfen Ihnen gern

Falls Sie sich unsicher sind, ob Ihre Umgebung von der RC4-Abschaltung betroffen ist, helfen wir Ihnen gern. Das gilt natürlich auch, wenn Sie sich Unterstützung bei der Analyse und Umsetzung wünschen.

Gern bewerten wir Ihre Active-Directory-Umgebung, identifizieren RC4-Abhängigkeiten und begleiten Sie bei der sicheren Umstellung auf AES-basierte Kerberos-Authentifizierung.

Zu den Kommentaren ()