Kurze Information, die vermutlich bereits bekannt ist. Bis Mitte 2026 will Microsoft die RCE-Authentifizierung in den Standardeinstellungen des Domänencontrollers für das Kerberos Key Distribution Center (KDC) unter Windows Server 2008 und höher abschalten und nur noch die stärkere AES-SHA1-Verschlüsselung zulassen.
RC4 als unsicherer Verschlüsselungsalgorithmus
RC4 steht für Rivest Cipher 4, ein 1987 vom Mathematiker und Kryptographen Ron Rivest von RSA Security entwickelter Algorithmus zur Stromverschlüsselung. Der Algorithmus wurde vom Hersteller geheim gehalten. Aber der Quelltext wurde im Jahr 1994 über eine anonyme Quelle auf einer Mailingliste veröffentlicht.
Wenige Tage nach dieser Veröffentlichung demonstrierte ein Forscher, laut Arstechnica, einen kryptographischen Angriff, der zeigte, dass die Sicherheit nicht gegeben ist. Der erste praktische Angriff auf RC4 gelang laut Wikipedia Scott Fluhrer, Itsik Mantin und Adi Shamir im Jahr 2001. Trotz der bekannten Anfälligkeit blieb RC4 bis vor etwa einem Jahrzehnt ein fester Bestandteil von Verschlüsselungsprotokollen, darunter SSL und dessen Nachfolger TLS.
Im Februar 2015 wurde mit RFC 7465 der Einsatz von RC4 im Rahmen von TLS verboten, da es erhebliche Sicherheitsmängel aufweist. Auch Sicherheitsagenturen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI, German CERT) raten inzwischen von der Verwendung von RC4 ab.
Jörn Walther hat im Juni 2024 im Artikel Die Nachteile der RC4-Verschlüsselung in Kerberos auf die Probleme von RC4 für Kerberos hingewiesen. Ein Active Directory, in dem RC4-basierte Verfahren noch zulässig sind, ist extrem anfällig für Kerberoasting-Angriffe (siehe auch den Beitrag Kerberoasting im Jahr 2025: So schützen Sie Ihre Servicekonten). RC4 wurde hier im Blog letztmalig im Beitrag Windows Server 2025 als DC: Finger weg, bei gemischten Umgebungen (RC4-Problem) diskutiert.
Ab Sommer 2026 ist RC4 in Windows Server DCs deaktiviert
Blog-Leser Marcel W. hatte mich gestern nochmals an das Thema RC4-Abschaltung bei Domain-Controllern erinnert – ich hatte es zudem die Woche im Artikel Microsoft will finally kill obsolete cipher that has wreaked decades of havoc vom 15. Dezember 2025 bei Arstechnica gesehen.
Microsoft hat gemäß obigem Tweet bereits Anfang Dezember 2025 auf den Artikel Beyond RC4 for Windows authentication vom 3. Dezember 2025 im Windows Server-Blog hingewiesen. Die Botschaft des Artikels ist klar: Bis Mitte 2026 will Microsoft die RCE-Authentifizierung in den Standardeinstellungen des Domänencontrollers für das Kerberos Key Distribution Center (KDC) unter Windows Server 2008 und höher abschalten und nur noch die stärkere AES-SHA1-Verschlüsselung zulassen.
RC4 wird standardmäßig deaktiviert und nur verwendet, wenn ein Domänenadministrator ein Konto oder das KDC ausdrücklich für die Verwendung konfiguriert. Die sichere Windows-Authentifizierung erfordert kein RC4. AES-SHA1 kann seit seiner Einführung in Windows Server 2008 in allen unterstützten Windows-Versionen verwendet werden.
Wichtig für Administratoren: Wenn die bestehende Verwendung von RC4 zur Verschlüsselung nicht vor der Abschaltung behoben wird, funktioniert die Authentifizierung nicht mehr. Der Microsoft Blog-Beitrag soll Administratoren in Windows Server-Umgebungen beim Übergang zur AES-SHA1-Verschlüsselung helfen. Es werden die Schritte zum Erkennen und Beheben der verbleibenden RC4-Verwendung (durch PowerShell-Scripte und Eventlogs) beschrieben.
MVP: 2013 – 2016
@ Günter
Leider ist dir ein Fehler in der Überschrift passiert es müsste doch 2026 und nicht 2025 heißen oder?
Doch schon? Das war auch schon vor 10 Jahren völlig outdated.
Abwarten. Totgesagte leben bekanntlich länger. ;-)
Abschalten ab Server 2008?
Bekommen die über den Januar 2026 hinaus weiter Updates?
Afaik bekommt Server 2008/2008R2 mit ESU im Januar 2026 letztmalig ein Update.