Microsoft beginnt mit der schrittweisen Abkündigung des unsicheren Kerberos Verschlüsselungsverfahrens RC4 im Zusammenhang mit CVE 2026 20833. Diese Änderung betrifft insbesondere Service Accounts und kann – bei unzureichender Vorbereitung – zu Authentifizierungsproblemen und Dienst Ausfällen führen.
Zeitplan der Microsoft Umstellung:
- Seit 13. Jänner 2026: Audit Phase
Neue Kerberos KDC Events (KDCSVC Events 201–209) werden protokolliert und zeigen auf, welche Konten oder Dienste noch RC4 verwenden. - Ab April 2026: Enforcement wird automatisch aktiviert
Mit Windows Updates ab diesem Zeitpunkt wird RC4 standardmäßig nicht mehr verwendet. Nicht konforme Konfigurationen können zu Authentifizierungsfehlern führen. - Ab Juli 2026: Finale Durchsetzung
RC4 wird vollständig deaktiviert; Audit Modus und Übergangsmechanismen entfallen.
Wichtig:
Auch in vollständig gepatchten Umgebungen ist eine Überprüfung zwingend erforderlich. Microsoft empfiehlt dringend, die Kerberos KDC Events 201–209 auf den Domain Controllern zu überwachen, um betroffene Service Accounts frühzeitig zu identifizieren und rechtzeitig umzustellen.
Wir empfehlen, diese Prüfungen zeitnah durchzuführen und notwendige Anpassungen (z. B. AES Unterstützung bei Service Accounts) vorzunehmen, um einen reibungslosen Betrieb sicherzustellen.
Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen selbstverständlich gerne zur Verfügung.
Weitere Details finden Sie in der offiziellen Microsoft Dokumentation.