Die Ankündigung von Microsoft, RC4 als Verschlüsselungsalgorithmus in der Kerberos-Authentifizierung schrittweise abzuschalten, ist die nächste große Sicherheitsänderung in Windows-Umgebungen – direkt nach der NTLM-Abschaltung.
Für IT-Administratoren bedeutet das konkrete Handlungsbedarfe, laufende Fristen und potenzielle Ausfälle, wenn jetzt nicht gehandelt wird.
RC4 (Rivest Cipher 4) ist ein Stromverschlüsselungsalgorithmus, der seit den frühen Windows-Versionen in der Kerberos-Authentifizierung verwendet wird. Er blieb vor allem aus Kompatibilitätsgründen erhalten: Ältere Geräte, Legacy-Anwendungen und Service-Accounts, die nie auf stärkere Verschlüsselung migriert wurden, stützten sich jahrelang stillschweigend darauf.
Kerberos ist das primäre Authentifizierungsprotokoll in Active Directory-Umgebungen. Wenn sich ein Benutzer oder Dienst anmeldet, stellt ein Domain Controller (Key Distribution Center, KDC) ein verschlüsseltes Ticket aus, das die Identität des Anfragenden gegenüber anderen Diensten beweist.
Das Problem: RC4 gilt heute als kryptografisch gebrochen. Seine Schwächen ermöglichen konkrete Angriffe:
RC4 ist damit ein zentraler Angriffsvektor moderner Ransomware-Kampagnen, die auf Active Directory-Umgebungen abzielen.
Mit dem Windows Cumulative Update vom 13. Januar 2026 hat Microsoft die Audit-Phase gestartet. RC4 wird noch nicht blockiert, aber neue Event-IDs werden in den Eventlogs der Domain Controller eingeführt:
Ticket Encryption Type 0x17 in den Security-Events zeigt RC4-Nutzung an. Microsoft stellt zwei neue PowerShell-Skripte auf GitHub bereit: List-AccountKeys.ps1 und Get-KerbEncryptionUsage.ps1.
Mit dem April-2026-Update tritt die Durchsetzungsphase in Kraft:
DefaultDomainSupportedEncTypes wird auf 0x18 (AES-SHA1 only) gesetztmsDS-SupportedEncryptionTypes-Attribut erhalten nur noch AES-verschlüsselte TicketsMit dem Juli-2026-Update wird der Audit-Modus vollständig entfernt:
RC4DefaultDisablementPhase wird nicht mehr ausgelesenmsDS-SupportedEncryptionTypes-Wert können RC4 nutzen (stark abgeraten)Service-Accounts, deren Passwort seit Einführung von AES-SHA1 (Windows Server 2008) nie zurückgesetzt wurde, verfügen unter Umständen nur über RC4-Schlüssel. Typischerweise betroffen:
Netzwerkspeicher-Geräte, die per Kerberos in Active Directory eingebunden sind, fallen ohne explizite AES-Konfiguration aus. Besonders betroffen sind Synology (ältere Firmware), QNAP, NetApp sowie FSLogix-Profile-Shares bei Azure Virtual Desktop und RDS.
Geräte, die Kerberos für Scan-to-Folder oder SMB-Authentifizierung nutzen, können nach der Enforcement-Phase keine Tickets mehr erhalten. Betroffen sind unter anderem ältere Geräte von HP, Canon, Kyocera und Ricoh.
Ältere Samba-Konfigurationen nutzen RC4 als Fallback. Ohne Aktualisierung der Einstellungen in der smb.conf oder krb5.conf schlägt die Authentifizierung fehl.
krbtgt-Account seit dem Upgrade auf Windows Server 2008 nie geändert wurde, verfügt er möglicherweise nicht über AES-Schlüssel – das kann zu flächendeckenden Authentifizierungsfehlern führen.
Auf allen Domain Controllern ab Windows Server 2019/2022/2025:
Audit Kerberos Authentication Service → Aktivieren
Audit Kerberos Service Ticket Operations → AktivierenZusätzlich: PowerShell-Skripte von Microsoft auf GitHub nutzen (List-AccountKeys.ps1, Get-KerbEncryptionUsage.ps1).
Über die neuen Event-IDs und Skripte gezielt prüfen: Welche Service-Accounts haben kein AES-Schlüsselmaterial? Welche Computer-Accounts und NAS-Geräte sind betroffen?
Für alle betroffenen Service-Accounts das Attribut explizit auf AES setzen und anschließend das Passwort zurücksetzen – erst dann werden neue Kerberos-Schlüssel generiert.
Den krbtgt-Account einmalig rotieren, um AES-Schlüssel zu generieren. Dies sollte kontrolliert und dokumentiert erfolgen.
Vor der automatischen Aktivierung den Registry-Key RC4DefaultDisablementPhase = 2 testweise auf nicht-produktiven Domain Controllern setzen und Ausfälle identifizieren.
Erst durch einen gezielten Audit wird sichtbar, welche Angriffspfade in der aktuellen Konfiguration bereits ausnutzbar sind – und wo RC4 still im Hintergrund genutzt wird.
Als spezialisierter IT-Security-Dienstleister unterstützt Mint Secure Unternehmen bei der sicheren Migration und Absicherung ihrer Active-Directory-Infrastruktur.
Die Abschaltung von RC4 in Kerberos ist keine theoretische Empfehlung – sie ist eine laufende, erzwungene Änderung mit konkreten Deadlines. Die Audit-Phase hat im Januar 2026 begonnen, die Enforcement-Phase ist im April 2026 aktiv, und ab Juli 2026 gibt es keinen Weg zurück.
Unternehmen, die jetzt handeln:
Jetzt ist der richtige Zeitpunkt zu handeln – bevor Microsoft die Entscheidung abnimmt.