Kerberos RC4 Enforcement:
Was sich in Active Directory ändert

Was am 14. April 2026 passiert ist

Mit dem kumulativen Update vom April 2026 (CVE-2026-20833) hat Microsoft das Enforcement der RC4-Deprecationin Kerberos aktiviert. In der Praxis stellt das Active Directory KDC (Key Distribution Center) keine mit RC4 verschlüsselten Tickets mehr für Konten aus, deren Attribut msds-SupportedEncryptionTypes nicht explizit konfiguriert ist.

Die Änderung kam nicht ohne Vorwarnung: Die Audit-Phasewar seit dem 13. Januar 2026 aktiv und protokollierte Konten, die noch RC4 verwendeten, im System-Ereignisprotokoll. Wer die Event-IDs 201–209 (Quelle KDCSVC) überwacht hat, hatte drei Monate zur Vorbereitung. Wer dies nicht getan hat, könnte bereits Authentifizierungsprobleme in der Produktion haben.

Was nicht mehr funktioniert

Die Auswirkungen hängen davon ab, wie viele Objekte in der Active-Directory-Domäne noch keinen expliziten Verschlüsselungstyp haben. Die häufigsten Fälle sind:

• Legacy-Dienstkonten— Dienstkonten, die vor Jahren für ERP-, CRM- oder Middleware-Anwendungen erstellt und kryptographisch nie aktualisiert wurden. Wenn msds-SupportedEncryptionTypes fehlt oder auf Null steht, lehnt das KDC das Ticket ab.
• NAS und Storage mit RC4-Keytabs— Netzwerkgeräte (Synology, QNAP und andere NAS), die einen mit RC4-Verschlüsselung exportierten Kerberos-Keytab für die Domänenauthentifizierung verwenden. Der Zugriff auf Freigaben funktioniert nicht mehr.
• Nicht-Windows-Geräte— Linux-Appliances, Netzwerkdrucker und Embedded-Systeme, die sich über Kerberos mit für RC4 konfigurierten Keytabs authentifizieren, erhalten keine gültigen Tickets mehr.
• Legacy-Anwendungen— Software, die RC4-Aushandlung im Ticket-Request erzwingt oder AES nicht unterstützt. Das Ergebnis ist ein stiller Authentifizierungsfehler, der wie ein Netzwerkproblem aussehen kann.

So prüfen Sie den Domänenstatus

Die Prüfung muss auf zwei Ebenen erfolgen: KDC-Protokolle und Konteninventar.

1. Ereignisprotokoll— Prüfen Sie auf den Domänencontrollern die Event-IDs 201–209 im System-Protokoll mit der Quelle KDCSVC. Jedes Ereignis zeigt ein Konto an, das ein Ticket mit RC4-Verschlüsselung angefordert oder erhalten hat. Wenn das Enforcement bereits aktiv ist und Sie Authentifizierungsfehler sehen, sind diese Ereignisse der Ausgangspunkt zur Ursachenanalyse.

2. PowerShell-Abfrage— Durchsuchen Sie Active Directory nach allen Konten (Benutzer und Computer), deren Attribut msds-SupportedEncryptionTypes fehlt, auf Null gesetzt ist oder das RC4-Flag (0x4) enthält. Diese Konten erhalten nach dem Enforcement keine Tickets mehr vom KDC, sofern sie nicht aktualisiert werden.

So beheben Sie das Problem

Die Migration von RC4 auf AES ist ein chirurgischer Eingriff: Sie muss Konto für Konto erfolgen, wobei die Authentifizierung nach jeder Änderung getestet wird. Die Schritte:

• 1msds-SupportedEncryptionTypes setzen— Konfigurieren Sie für jedes Dienstkonto das Attribut auf einen Wert, der AES128 und AES256 umfasst (der gängigste ist 0x18, was AES-SHA1 entspricht). Das teilt dem KDC mit, AES-Tickets für dieses Konto auszustellen.
• 2Keytabs neu exportieren— Für Nicht-Windows-Geräte (NAS, Linux-Appliances) den Kerberos-Keytab mit AES-Verschlüsselungstyp neu exportieren und auf dem Gerät aktualisieren. Ein RC4-Keytab funktioniert nach dem Enforcement nicht mehr.
• 3Anwendungen aktualisieren— Überprüfen Sie, ob die Software, die Kerberos-Authentifizierung nutzt, AES unterstützt. Für Anwendungen, die RC4 erzwingen, wenden Sie sich an den Hersteller für ein Update oder eine alternative Konfiguration.
• 4Überprüfen und überwachen— Nach jeder Änderung prüfen, ob die Authentifizierung funktioniert, und die Event-IDs 201–209 auf dem KDC weiter überwachen. Das Ziel ist, vor der endgültigen Entfernung des Registry-Workarounds im Juli 2026 auf null RC4-Ereignisse zu kommen.

Die drei Wellen des Kerberos-Enforcements

Die RC4-Deprecation ist kein Einzelereignis. Sie ist Teil eines umfassenderen Kerberos-Hardening-Programms in Active Directory, das Microsoft auf drei Ebenen vorantreibt:

• 1PAC-Validierung (CVE-2024-26248 + CVE-2024-29056)— Vollständiges Enforcement seit dem 8. April 2025. Das KDC validiert die PAC-Signatur (Privilege Attribute Certificate) streng und blockiert PAC-Forgery-Angriffe. Bereits aktiv und dauerhaft.
• 2RC4-Deprecation (CVE-2026-20833)— Enforcement seit dem 14. April 2026. Das KDC stellt keine RC4-Tickets mehr für Konten ohne explizite Verschlüsselung aus. Rollback über Registry bis Juli 2026 möglich, danach dauerhaft.
• 3Zertifikatsbasierte Authentifizierung (CVE-2025-26647)— Verstärkt die Validierung von Zertifikaten für die Kerberos-PKINIT-Authentifizierung und verhindert Certificate-Impersonation-Angriffe. Derzeit im schrittweisen Rollout.

Die Botschaft ist klar: Active Directory wird sicherer, erfordert aber kontinuierliche Aufmerksamkeit für Konfiguration und Überwachung. Domänen, die jahrelang „so wie sie sind“ belassen wurden, häufen technische Schulden an, die sich früher oder später in Ausfällen niederschlagen.

Unterstützung bei der Migration

AtWorkStudio verwaltet seit 2000 Active-Directory-Infrastrukturen für KMU, von Piacenza (Italien) aus. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, mit ACN-Qualifizierung für Cloud-Dienste. Wir sind Mitglied von Clusit (Italienischer Verband für Informationssicherheit) und Confindustria Piacenza im RICT-Cluster.

Wenn Ihre Active-Directory-Domäne nicht auf das RC4-Enforcement vorbereitet wurde, können wir mit einem gezielten Audit helfen: RC4-Konteninventar, Event-ID-Analyse auf den Domänencontrollern, AES-Migrationsplan und Post-Enforcement-Verifizierung. Alles ohne Produktionsunterbrechung.