Kontakt

Was Admins jetzt über RC4‑Abschaltung & CVE‑2026‑20833 wissen müssen.

  • 30.03.2026
  • Oliver Weiß

Weitere Artikel

Zur Übersicht

Einleitung

Das Ende von RC4: Kerberos-Sicherheit neu gedacht.

Mit den Windows‑Updates ab Januar 2026 beginnt Microsoft eine sicherheitsrelevante Umstellung in Active‑Directory‑Umgebungen. Die Nutzung des veralteten RC4‑Verschlüsselungsverfahrens wird schrittweise deaktiviert, um eine bekannte Schwachstelle zu schließen, über die Angreifer Kerberos‑Service‑Tickets abgreifen und offline analysieren könnten. Die Updates verschieben Kerberos in Richtung moderner AES‑basierter Verschlüsselung.

Hintergrund

Warum diese Änderung notwendig ist.

RC4 gilt schon lange als unsicher. Die jetzt geschlossene Schwachstelle macht es möglich, Service‑Tickets mit schwacher Verschlüsselung zu missbrauchen. Microsoft reagiert, indem Domain Controller in mehreren Stufen auf sichere Verschlüsselungstypen umgestellt werden. Ziel ist es, RC4 dauerhaft aus dem Kerberos‑Authentifizierungsprozess zu entfernen.

Agenda

Zeitplan der Umstellung.

1

Januar 2026 – Audit‑Phase

  • Neue Telemetrie und Audit‑Events werden aktiviert.
  • Administratoren sollen RC4‑Abhängigkeiten erkennen.
  • Über den Registry‑Wert RC4DefaultDisablementPhase kann das Verhalten getestet werden.
2

April 2026 – AES als Standard

  • Standardmäßig werden nur noch AES‑basierte Verschlüsselungstypen akzeptiert.
  • RC4‑Fallback wird deaktiviert.
  • Anwendungen, die weiterhin RC4 benötigen, beginnen ab hier zu scheitern.
3

Juli 2026 – Enforcement‑Phase

  • Der Audit‑Modus entfällt vollständig.
  • RC4 wird endgültig deaktiviert.
  • Der Registry‑Wert RC4DefaultDisablementPhase hat keine Wirkung mehr.

Schrittweise Identifikation und Umstellung betroffener Konten

Maßnahmen für Administratoren.

Step 1

RC4-Verwendung identifizieren.

  • Kerberos‑Events (z. B. 205, 4768, 4769) im Eventlog prüfen.
  • Bestehende Audit‑Tools nutzen, um betroffene Konten und Systeme zu erkennen.
Step 2

Dienstkonten auf AES umstellen.

  • Sicherstellen, dass Konten AES‑SHA1 unterstützen.
  • Falls erforderlich, die unterstützten Verschlüsselungstypen korrekt setzen.
Step 3

Legacy-Systeme ersetzen.

Systeme ohne AES‑Unterstützung, besonders alte Serverversionen, müssen abgelöst oder isoliert werden.

Step 4

RC4 nur im Ausnahmefall weiter erlauben.

  • RC4 lediglich dort aktiv lassen, wo es technisch zwingend notwendig ist.
  • Langfristig sollte keine Abhängigkeit von RC4 mehr bestehen.

So härten Sie Ihre Kerberos-Kommunikation gegen veraltete RC4-Verschlüsselung

Wichtige Registry‑Parameter.

DefaultDomainSupportedEncTypes

Bestimmt, welche Kerberos‑Verschlüsselungstypen ein Domain Controller standardmäßig unterstützt. Durch die Updates wird RC4 nicht mehr enthalten sein.

RC4DefaultDisablementPhase

Dient als Übergangsmechanismus:

  • 0 – Standardverhalten
  • 1 – Audit forcieren
  • 2 – Enforcement simulieren

Sicherheit proaktiv überwachen

Relevante Audit‑Events.

Ein besonders wichtiges Ereignis ist KDCSVC Event ID 205, das auf unsichere Einstellungen oder RC4‑Nutzung hinweist. Diese Ereignisse helfen Administratoren, betroffene Konten rechtzeitig zu identifizieren.

Bei Fragen oder für Unterstützung wenden Sie sich gerne an unser Vertriebsteam unter vertrieb@if-tech.de oder 089 2000 669 09.

Beratung anfordern

Ihr Draht zu uns

Sprechen Sie uns an.
Wir freuen uns auf Ihre Nachricht.

Markus Pfeil
Account Manager
+49 89 2000669 09
vertrieb@if-tech.de

*“ zeigt erforderliche Felder an

Einwilligung*