Kurze Erinnerung: Mitte 2026 will Microsoft die RC4-Verschlüsselung bei der Authentifizierung im Active Directory für das Kerberos Key Distribution Center (KDC) in den Standardeinstellungen des Domänencontrollers abschalten. Mit den Januar 2026-Updates für Windows beginnt die initiale Phase, in der Systeme mit RC4-Verschlüsselung identifiziert werden, bevor im April 2026 erste Änderungen in der Verschlüsselung erfolgen.
Ich hatte letztmalig im Dezember 2025 im Blog-Beitrag Nachtrag zur Windows Kerberos RC4-Abschaltung (Mitte 2026) über die Pläne zur Abschaltung berichtet. Bis Mitte 2026 will Microsoft die RC4-Verschlüsselung bei der Authentifizierung im Active Directory in den Standardeinstellungen des Domänencontrollers für das Kerberos Key Distribution Center (KDC) unter Windows Server 2008 und höher abschalten und nur noch die stärkere AES-SHA1-Verschlüsselung zulassen.
Microsoft hatte die Details der Abschaltung in einem Techcommunity-Blog-Beitrag öffentlich gemacht und stellt auch einige PowerShell-Scripte sowie Hinweise für Administratoren bereit, um diese Abschaltung zu begleiten. Ich hatte den Beitrag Windows Authentifizierung: Microsoft kappt RC4 Mitte 2026 hier im Blog veröffentlicht.
Ankündigung der ersten Härtungsphase
Zum 16. Januar 2026 hat Microsoft im Windows-Release-Health Message Center den Supportbeitrag Initial deployment phase for Kerberos RC4 hardening begins with the January 2026 Windows security update mit weiteren Details eingestellt. Mit den kumulativen Sicherheitsupdates für Windows vom 13. Januar 2026 und wurde die erste Phase von Schutzmaßnahmen zur Kerberos RC4-Härtung eingeführt. Die Maßnahmen zielen darauf ab, die Sicherheitslücke (CVE-2026-20833) bei der Offenlegung von Kerberos-Informationen zu beheben.
In dieser einleitenden Phase werden neue Überwachungs- und optionale Konfigurationskontrollen eingeführt, schreibt Microsoft. Die Maßnahmen sollen dazu beitragen, die Abhängigkeit von älteren Verschlüsselungstypen wie RC4 zu verringern und Domänencontroller auf eine zukünftige Umstellung vorzubereiten. Diese Umstellung beginnt mit den im April 2026 ausgerollten Sicherheitsupdates. Diese sehen dann standardmäßige Verwendung von AES-SHA1-verschlüsselten Tickets vor.
Während dieser ersten Bereitstellungsphase empfiehlt Microsoft Unternehmen, alle Active Directory-Domänencontroller auf die kumulativen Updates des Windows-Sicherheitsupdates vom Januar 2026 (oder später) zu aktualisieren.
Diese Phase ermöglicht Transparenz und Früherkennung durch neue Kerberos-Überwachungsereignisse und eine temporäre Registrierungssteuerung, die eine frühzeitige Reaktion auf die RC4-Härtung ermöglicht. So können Administratoren Fehlkonfigurationen oder verbleibende Abhängigkeiten identifizieren, bevor die zweite Bereitstellungsphase im April 2026 beginnt.
Ab April 2026 wird der Durchsetzungsmodus (Enforcement) standardmäßig auf allen Windows-Domänencontrollern aktiviert, und im Juli 2026 wird der Überwachungsmodus entfernt, sodass der Durchsetzungsmodus als einzige Option verbleibt.
Ist das Unternehmen auf Dienstkonten oder Anwendungen angewiesen, die weiterhin RC4-basierte Kerberos-Diensttickets erwarten, ware jetzt der richtige Zeitpunkt, um mit der Erkennung und Behebung zu beginnen, schreibt Microsoft. Das "Audit First"-Modell stellt sicher, dass Umgebungen Risiken identifizieren können, ohne Ausfälle auszulösen.
Weitere Informationen zu Zeitplänen für die Einführung, empfohlenen Vorbereitungsschritten und Konfigurationsoptionen zur Sicherstellung der Compliance vor Beginn des Durchsetzungsmodus finden sich unter How to manage Kerberos KDC usage of RC4 for service account ticket issuance changes related to CVE-2026-20833.
Ähnliche Artikel:
Microsoft Security Update Summary (13. Januar 2026)
Patchday: Windows 10/11 Updates (13. Januar 2026)
Patchday: Windows Server-Updates (13. Januar 2026)
Patchday: Microsoft Office Updates (13. Januar 2026)
MVP: 2013 – 2016
