Kerberos RC4-Enforcement im Juli 2026: Letzter Aufruf für Ihre Domain Controller

Kerberos RC4-Enforcement im Juli 2026: Letzter Aufruf für Ihre Domain Controller

CVE-2026-20833 – warum der eigentliche Bruch schon im April passiert ist und der Juli nur das Sicherheitsnetz entfernt

Mit den kumulativen Updates ab Juli 2026 schließt Microsoft die mehrstufige Härtung von Kerberos auf Windows Domain Controllern ab. Hintergrund ist CVE-2026-20833 – eine Schwachstelle, bei der ein authentifizierter Angreifer die kryptografische Schwäche von RC4 ausnutzen kann, um per Kerberoasting Service-Tickets zu erbeuten und Dienstkonten-Passwörter offline zu knacken. Die Lösung: RC4 verschwindet als implizit unterstützter Verschlüsselungstyp. Wer jetzt nicht aufgeräumt hat, riskiert Authentifizierungsausfälle.

Die wichtigste Nuance zuerst: Der „große Knall” war nicht der Juli, sondern der April 2026. Bereits mit dem April-Update wurde das Standardverhalten der KDC auf AES-SHA1-only umgestellt (Enforcement aktiv). Bis Juli konnten Sie über den Audit-Modus manuell zurückrollen. Mit dem Juli-Update entfällt genau dieser Rückwärtsgang – der Registry-Subkey RC4DefaultDisablementPhase wird ignoriert bzw. entfernt.

Der Zeitplan in drei Phasen

Phase Ab Verhalten
Initial / Audit Januar 2026 Neue Audit-Events warnen vor RC4-Abhängigkeiten, kein Funktionsbruch
Second Deployment April 2026 KDC stellt für Konten ohne explizite Konfiguration auf AES-SHA1-only um; Enforcement aktiv, Audit-Modus als Rückrollung verfügbar
Final Enforcement Juli 2026 Audit-Modus entfällt, Rückrollung nicht mehr möglich; RC4 nur noch bei expliziter Konfiguration pro Konto

Nach dem Juli-Update funktioniert RC4 also nur noch für Konten, die es ausdrücklich über das Attribut msDS-SupportedEncryptionTypes deklarieren. Alles andere bekommt AES.

Wer fällt typischerweise um?

Gewachsene AD-Umgebungen enthalten fast immer Konten und Geräte, die implizit oder explizit auf RC4 angewiesen sind. Die üblichen Verdächtigen:

  • Domänengebundene NAS-Systeme und alte File-Server
  • Netzwerkdrucker und Multifunktionsgeräte mit veraltetem Kerberos-Stack
  • Industrie- und Branchenanwendungen mit alten Authentifizierungsbibliotheken
  • Nicht-Windows-Systeme (Linux/Unix-Interop, Appliances)
  • Azure Files SMB mit Active-Directory-basierter Authentifizierung

Jetzt prüfen: RC4-Abhängigkeiten finden

Konten ohne explizit gesetzten Verschlüsselungstyp (Attribut leer) fallen auf das KDC-Standardverhalten zurück – und das ist seit April AES-only. Diese Konten gilt es zu identifizieren:

# Konten finden, die RC4 explizit erlauben (Bit 0x4) oder kein EncType gesetzt haben
Get-ADObject -Filter * -Properties msDS-SupportedEncryptionTypes |
  Where-Object {
    ($null -eq $_.'msDS-SupportedEncryptionTypes') -or
    ($_.'msDS-SupportedEncryptionTypes' -band 0x4)
  } |
  Select-Object Name, ObjectClass, msDS-SupportedEncryptionTypes |
  Sort-Object ObjectClass, Name

Parallel sollten Sie das System-Ereignisprotokoll der Domain Controller auf Kerberos-Events überwachen. Audit-Events werden nur dann erzeugt, wenn Active Directory kein AES-SHA1-Service-Ticket oder keinen Session-Key ausstellen kann – die Abwesenheit von Events ist also kein Beweis dafür, dass alle (insbesondere Nicht-Windows-)Geräte nach dem Enforcement weiter funktionieren. Testen Sie Interoperabilität aktiv.

Enforcement vorab testen: Mit dem transitorischen Registry-Wert RC4DefaultDisablementPhase = 2 können Sie das Verhalten vor dem globalen Wechsel proaktiv aktivieren – ideal, um in einem Wartungsfenster Ausfälle aufzudecken, solange der Rückwärtsgang noch existiert.

# Enforcement-Verhalten vorab testen (vor Juli, solange Rueckrollung moeglich)
$path = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters'
if (-not (Test-Path $path)) { New-Item -Path $path -Force | Out-Null }
New-ItemProperty -Path $path -Name 'RC4DefaultDisablementPhase' -PropertyType DWord -Value 2 -Force | Out-Null
# Neustart des DC erforderlich

Wenn ein Gerät RC4 wirklich noch braucht

Lässt sich eine Altlast bis Juli nicht ablösen, konfigurieren Sie RC4 ausdrücklich auf dem betroffenen Konto – statt das gesamte KDC-Standardverhalten zu schwächen. Der Bitmask-Wert 28 (0x1C) erlaubt AES128 + AES256 + RC4:

# Nur fuer das eine Legacy-Dienstkonto, das RC4 zwingend braucht
Set-ADUser -Identity svc_legacy -Replace @{ 'msDS-SupportedEncryptionTypes' = 28 }
# 0x04 RC4 + 0x08 AES128 + 0x10 AES256 = 28 (0x1C)

Verstehen Sie das als Notausgang, nicht als Lösung: Jedes Konto mit aktivem RC4 bleibt ein Kerberoasting-Ziel. Setzen Sie eine Frist für die Ablösung und dokumentieren Sie die Ausnahme.

Fazit

Der Juli 2026 bringt keine strengere Logik als der April – aber er nimmt Ihnen die Möglichkeit zurückzurollen. Wer bis dahin nicht weiß, welche Konten und Appliances noch auf RC4 setzen, riskiert stille Authentifizierungsausfälle ohne Notbremse. Die Hausaufgabe ist klar: inventarisieren, im Wartungsfenster testen, Altlasten gezielt mit expliziten EncTypes versehen und einen Ablöseplan terminieren.

Kerberos-Verschlüsselung domänenweit auditieren?

Der ISW Kerberos Audit Analyzer und der ISW AD Tier Model Manager machen RC4-Abhängigkeiten, Encryption-Types und Kerberos-Schwachstellen über die gesamte Domäne sichtbar – inklusive Diagnostik zu Armoring/FAST. Mehr dazu auf isw-adtools.de.

© 2026 IT-Service Walter · der-windows-papst.de · Alle Angaben ohne Gewähr. Quellen: Microsoft Support (CVE-2026-20833), M365 Admin, AskDS Engineering Blog.