Microsoft bereitet RC4-Abschaltung mit Windows-Update vor

Mit den Januar-Updates 2026 beginnt der Ausstieg aus der RC4-Verschlüsselung im Kerberos-Protokoll für Windows Server. Auslöser ist eine Sicherheitslücke, die es Angreifern ermöglicht, Kerberos-Diensttickets mit schwachen Algorithmen anzufordern.

Sicherheitslücke erzwingt AES-Umstieg

In der Folge sind Offline-Angriffe möglich, um Passwörter von Dienstkonten auszulesen und sich unbefugten Netzwerkzugang zu verschaffen. Betroffen sind alle Windows-Server-Versionen von 2008 bis einschließlich Windows Server 2025. Daher hat Microsoft schon vor einiger Zeit verkündet, dass die Sicherheitshärtung kommen wird.

Ziel ist die ausschließliche Nutzung moderner AES-Verschlüsselung im Active Directory. In der aktuellen, mit dem Januar-Patchday gestarteten Phase aktivieren die Updates zunächst nur Überwachungsfunktionen, wie Günter Born nun in seinem Blog schreibt.


Systeme, die weiterhin RC4 verwenden, werden im Ereignisprotokoll erfasst, ohne dass Verbindungen blockiert werden. Administratoren erhalten so Zeit, veraltete Geräte und Anwendungen zu identifizieren, etwa ältere Multifunktionsdrucker, NAS-Systeme oder Legacy-Software ohne AES-Unterstützung.

Wie Microsoft in einem Support-Dokument erläutert, dient diese "Anfängliche Bereitstellungs­phase" der Vorbereitung weiterer Schritte. Für Tests stellt der Konzern den Registrierungs­schlüssel RC4DefaultDisablementPhase bereit. Damit lässt sich die RC4-Deaktivierung vorziehen, sobald die Protokolle keine Warn­meldungen mehr ausweisen. Der Zeit­plan sieht eine schritt­weise Verschärfung vor.

Harter Zeitplan bis zum Sommer 2026

Ab April 2026 beginnt die zweite Phase: Domänencontroller akzeptieren standardmäßig nur noch AES-Algorithmen. Das Attribut `DefaultDomainSupportedEncTypes` wird entsprechend angepasst, sofern keine expliziten Ausnahmen gesetzt sind. Geräte oder Anwendungen ohne Unterstützung dieser Verfahren können dann keine Verbindungen mehr aufbauen, was Anmelde- oder Zugriffsprobleme verursachen kann.

Im Juli 2026 folgt die finale Phase. Mit den Updates wird der sogenannte Durchsetzungsmodus verbindlich aktiviert. Übergangslösungen wie Überwachungsmodus oder Registry-Ausnahmen entfallen. Verbindungen mit RC4 werden dann konsequent blockiert.

Hintergrund: Das Ende einer Ära für RC4

Die Stromchiffre RC4 wurde 1987 von Ron Rivest entwickelt und war lange weitverbreitet. Trotz bekannter Schwächen blieb sie aus Kompatibilitätsgründen in vielen Altsystemen im Einsatz. In Protokollen wie WEP und SSL/TLS gilt RC4 jedoch seit Jahren als unsicher und wird nicht mehr unterstützt.

Die Schwachstelle CVE-2026-20833 zeigt nach Einschätzung von Microsoft, dass die Unterstützung veralteter Verschlüsselung ein Sicherheitsrisiko für gesamte Active-Directory-Umgebungen darstellt. Angriffe auf die Schwächen von RC4 können Klartextinformationen offenlegen und so die Domänensicherheit kompromittieren.

Habt ihr in euren Netzwerken noch alte Hardware entdeckt, die zwingend auf RC4 angewiesen ist? Wir sind gespannt auf eure Berichte aus der Praxis in den Kommentaren.


Siehe auch: