![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Kurze Information, die vermutlich bereits bekannt ist. Bis Mitte 2026 will Microsoft die RC4-Verschl\u00fcsselung bei der Authentifizierung im Active Directory in den Standardeinstellungen des Dom\u00e4nencontrollers f\u00fcr das Kerberos Key Distribution Center (KDC) unter Windows Server 2008 und h\u00f6her abschalten und nur noch die st\u00e4rkere AES-SHA1-Verschl\u00fcsselung zulassen.<\/p>\n
<\/p>\n
Wenige Tage nach dieser Ver\u00f6ffentlichung demonstrierte ein Forscher, laut Arstechnica<\/a>,\u00a0 einen kryptographischen Angriff, der zeigte, dass die Sicherheit nicht gegeben ist. Der erste praktische Angriff auf RC4 gelang laut Wikipedia Scott Fluhrer, Itsik Mantin und Adi Shamir<\/a> im Jahr 2001.\u00a0Trotz der bekannten Anf\u00e4lligkeit blieb RC4 bis vor etwa einem Jahrzehnt ein fester Bestandteil von Verschl\u00fcsselungsprotokollen, darunter SSL und dessen Nachfolger TLS.<\/p>\n Im Februar 2015 wurde mit RFC 7465 der Einsatz von RC4 im Rahmen von TLS verboten, da es erhebliche Sicherheitsm\u00e4ngel aufweist. Auch Sicherheitsagenturen wie das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI, German CERT) raten inzwischen von der Verwendung von RC4 ab.<\/p>\n J\u00f6rn Walther hat im Juni 2024 im Artikel\u00a0Die Nachteile der RC4-Verschl\u00fcsselung in Kerberos<\/a> auf die Probleme von RC4 f\u00fcr Kerberos hingewiesen. \u00a0Ein Active Directory, in dem RC4-basierte Verfahren noch zul\u00e4ssig sind, ist extrem anf\u00e4llig f\u00fcr Kerberoasting-Angriffe (siehe auch den Beitrag\u00a0Kerberoasting im Jahr 2025: So sch\u00fctzen Sie Ihre Servicekonten<\/a>). RC4 wurde hier im Blog letztmalig im Beitrag\u00a0Windows Server 2025 als DC: Finger weg, bei gemischten Umgebungen (RC4-Problem)<\/a> diskutiert.<\/p>\n Blog-Leser Marcel W. hatte mich gestern nochmals an das Thema RC4-Abschaltung bei Domain-Controllern erinnert – ich hatte es zudem die Woche im Artikel\u00a0Microsoft will finally kill obsolete cipher that has wreaked decades of havoc<\/a> vom 15. Dezember 2025 bei Arstechnica gesehen.<\/p>\n Microsoft hat gem\u00e4\u00df obigem Tweet<\/a> bereits Anfang Dezember 2025 auf den Artikel Beyond RC4 for Windows authentication<\/a> vom 3. Dezember 2025 im Windows Server-Blog hingewiesen. Die Botschaft des Artikels ist klar:\u00a0Bis Mitte 2026 will Microsoft die die RC4-Verschl\u00fcsselung bei der Authentifizierung im Active Directory in den Standardeinstellungen des Dom\u00e4nencontrollers f\u00fcr das Kerberos Key Distribution Center (KDC) unter Windows Server 2008 und h\u00f6her abschalten und nur noch die st\u00e4rkere AES-SHA1-Verschl\u00fcsselung zulassen.<\/p>\n RC4 wird standardm\u00e4\u00dfig deaktiviert und nur verwendet, wenn ein Dom\u00e4nenadministrator ein Konto oder das KDC ausdr\u00fccklich f\u00fcr die Verwendung konfiguriert. Die sichere Windows-Authentifizierung erfordert kein RC4. AES-SHA1 kann seit seiner Einf\u00fchrung in Windows Server 2008 in allen unterst\u00fctzten Windows-Versionen verwendet werden.<\/p>\n Wichtig f\u00fcr Administratoren: Wenn die bestehende Verwendung von RC4 zur Verschl\u00fcsselung nicht vor der Abschaltung behoben wird, funktioniert die Authentifizierung nicht mehr. Der Microsoft Blog-Beitrag soll Administratoren in Windows Server-Umgebungen beim \u00dcbergang zur AES-SHA1-Verschl\u00fcsselung helfen. Es werden die Schritte zum Erkennen und Beheben der verbleibenden RC4-Verwendung (durch PowerShell-Scripte und Eventlogs) beschrieben.<\/p>\n Erg\u00e4nzung:<\/strong> Frank Carius hat in diesem Artikel<\/a> eine Check-Liste zur Kerberos-Abschaltung ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":" Kurze Information, die vermutlich bereits bekannt ist. Bis Mitte 2026 will Microsoft die RC4-Verschl\u00fcsselung bei der Authentifizierung im Active Directory in den Standardeinstellungen des Dom\u00e4nencontrollers f\u00fcr das Kerberos Key Distribution Center (KDC) unter Windows Server 2008 und h\u00f6her abschalten und … Weiterlesen RC4<\/a> steht f\u00fcr Rivest Cipher 4, ein 1987 vom\u00a0Mathematiker und Kryptographen Ron Rivest von RSA Security entwickelter Algorithmus zur Stromverschl\u00fcsselung. Der Algorithmus wurde vom Hersteller geheim gehalten. Aber der Quelltext wurde im Jahr 1994 \u00fcber eine anonyme Quelle auf einer Mailingliste ver\u00f6ffentlicht.<\/p>\n
Ab Sommer 2026 ist RC4 in Windows Server DCs deaktiviert<\/h2>\n
![\"RC4-Abschaltung](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/12\/image-7.png\")
<\/p>\n