RC4-Verschlüsselung: Microsoft setzt 30-Tage-Frist für Kerberos-Umstieg
15.06.2026 - 00:52:16 | boerse-global.de
Windows-Administratoren stehen vor einer der größten Sicherheitsumstellungen der letzten Jahre. Microsoft hat eine letzte 30-Tage-Frist gesetzt, um die veraltete RC4-Verschlüsselung im Kerberos-Protokoll endgültig zu deaktivieren.
Der Countdown läuft: Mit dem Juli-Update 2026 wird Microsoft den sogenannten Audit-Modus für RC4 in Windows Domain Controllern ersatzlos streichen. Dann gilt ausschließlich der Enforcement-Modus – eine Rückkehr zur alten Konfiguration ist nicht mehr möglich. Das bestätigte der Konzern in einer aktuellen Mitteilung an IT-Administratoren weltweit.
Warum dieser Schritt nötig ist
Anzeige: Wer die RC4-Abhängigkeiten in seiner Umgebung noch nicht identifiziert hat, riskiert nach dem Juli-Update 2026 Authentifizierungsfehler. Dieser Leitfaden liefert PowerShell-Skripte, AES-Umstellungsanleitung und eine Checkliste für Legacy-Systeme – damit Sie die Frist sicher einhalten. Jetzt kostenlosen Umstellungsleitfaden anfordern
Hintergrund der Maßnahme ist die Sicherheitslücke CVE-2026-20833. Sie ermöglicht sogenannte Kerberoasting-Angriffe, bei denen Angreifer das schwache RC4-Verfahren ausnutzen, um an verschlüsselte Passwort-Hashes zu gelangen. Bereits im April 2026 hatte Microsoft eine erste Enforcement-Phase eingeleitet – damals ließ sich die Änderung noch manuell rückgängig machen. Diese Option entfällt nun endgültig.
Systeme, die noch auf RC4 angewiesen sind, drohen nach dem Update mit Authentifizierungsfehlern. Microsoft rät Administratoren daher dringend, die Ereignisprotokolle auf RC4-bezogene Einträge zu überprüfen und die Umgebung schrittweise auf AES-basierte Verschlüsselung umzustellen.
Besonders betroffen: Alte Hardware und Spezialanwendungen
Der erzwungene Umstieg trifft vor allem Nicht-Windows-Systeme und ältere Geräte. NAS-Systeme, Legacy-Dateiserver, Drucker und spezialisierte Industrieanwendungen gelten als besonders gefährdet. Auch wer Azure Files SMB nutzt, muss vor der Juli-Frist handeln, sonst drohen Service-Unterbrechungen.
Für die Vorbereitung empfiehlt Microsoft den Einsatz von PowerShell-Skripten, um Konten mit persistenten RC4-Abhängigkeiten zu identifizieren. Administratoren können das Enforcement-Verhalten vorab testen, indem sie den Registry-Wert RC4DefaultDisablementPhase entsprechend anpassen. Für einzelne Konten, die RC4 zwingend benötigen, steht ein spezifischer Bitmask-Wert als temporäre Übergangslösung bereit.
Rekordverdächtiges Patch-Aufkommen
Anzeige: Besonders Nicht-Windows-Systeme und alte Geräte sind von der RC4-Abschaltung betroffen – NAS, Drucker, Industrieanwendungen. Ohne rechtzeitige Umstellung drohen Service-Unterbrechungen. Dieser Report zeigt, wie Sie betroffene Konten identifizieren und eine Übergangslösung konfigurieren. RC4-Checkliste für Legacy-Systeme jetzt sichern
Die Kerberos-Umstellung fällt in einen Zeitraum außergewöhnlich vieler Sicherheitsupdates. Erst Anfang Juni hatte Microsoft mit 206 behobenen Schwachstellen einen neuen Rekord aufgestellt – davon 39 als kritisch eingestuft. Darunter befanden sich mehrere Zero-Day-Exploits und der als CVE-2026-45585 bekannte YellowKey-BitLocker-Bypass.
Doch die Updates brachten auch Probleme: Das Windows-11-Update KB5094126 verursachte auf Geräten von HP und Dell Boot-Fehler und Blue Screens. Ursache sind offenbar zu wenig Speicherplatz in der EFI-Partition oder Firmware-Inkompatibilitäten im Zusammenhang mit dem Secure-Boot-2023-Zertifikatsupdate.
Branchenbeobachter führen die steigende Zahl entdeckter Schwachstellen auf den verstärkten Einsatz künstlicher Intelligenz in der Fehlererkennung zurück. Für Microsoft steht fest: Domain Controller und internetexponierte Server haben jetzt oberste Priorität – insbesondere angesichts gezielter Cyber-Spionage-Aktivitäten von Gruppen wie Velvet Ant.
