Initiale Bereitstellungsphase für die Kerberos RC4-Härtung beginnt mit dem Windows-Sicherheitsupdate im Januar 2026

Die initiale Bereitstellungsphase startet am 13. Januar 2026 und führt neue Kerberos-Auditereignisse ein, die dabei helfen, verbleibende Abhängigkeiten von RC4 in Ihrer Umgebung zu identifizieren. Diese Phase fügt außerdem den temporären Registrierungsschlüssel RC4DefaultDisablementPhase hinzu, mit dem Organisationen die anstehenden Verhaltensänderungen optional vorzeitig aktivieren können; dieser Schlüssel wird jedoch nach der Entfernung des Audit-Modus im Juli 2026 nicht mehr berücksichtigt. Gemeinsam bieten diese Updates frühzeitige Diagnosen zur Beurteilung der Einsatzbereitschaft vor der zweiten Bereitstellungsphase im April 2026, wenn sich das Standardverhalten der Domänencontroller bei der Kerberos-Verschlüsselung auf AES‑SHA1 umstellen wird, und zwar nur für Konten ohne explizite Verschlüsselungseinstellungen. Ab April 2026 wird der Durchsetzungsmodus (Enforcement Mode) standardmäßig auf allen Windows-Domänencontrollern aktiviert, und im Juli 2026 wird der Audit-Modus entfernt, sodass nur noch der Durchsetzungsmodus zur Verfügung steht.

Domänencontroller beginnen damit, neue Kerberos-Auditereignisse (KDCSVC, ID 201–209) zu protokollieren, die anzeigen, wo Geräte oder Dienstkonten weiterhin RC4-Verschlüsselung verwenden. Bestimmte, von RC4 abhängige Konfigurationen werden in diesen neuen Auditereignissen hervorgehoben und zeigen Szenarien auf, die mit Beginn des Durchsetzungsmodus nicht mehr kompatibel sein werden. Diese Ereignisse bieten eine frühe Einsicht in Konfigurationen, die versagen können, sobald der Durchsetzungsmodus ab April 2026 standardmäßig aktiviert und der Audit-Modus im Juli 2026 entfernt wird.

Im Verlauf der Bereitstellungsphasen, beginnend mit dem Windows-Sicherheitsupdate im April 2026, werden Kerberos-Vorgänge standardmäßig AES‑SHA1 verwenden, sofern keine expliziten Verschlüsselungseinstellungen vorhanden sind. Umgebungen, die RC4-Abhängigkeiten nicht beheben, können ab April 2026 mit Authentifizierungsproblemen rechnen, wenn der Durchsetzungsmodus standardmäßig aktiviert und der Audit-Modus entfernt wird. Organisationen mit sicheren Konfigurationen oder ohne RC4-Nutzung sollten während der Übergangszeit abgesehen von den Erwartungen an eine routinemäßige Audit-Sichtbarkeit nur minimale Auswirkungen erfahren.

Beginnen Sie damit, auf allen Active Directory-Domänencontrollern Windows-Updates ab dem 13. Januar 2026 zu installieren. Überwachen Sie danach die System-Ereignisprotokolle auf die neuen Kerberos-Auditereignisse, die anzeigen, ob noch Geräte oder Dienstkonten auf RC4-basierte Verschlüsselung angewiesen sind. Sofern keine Ereignisse erscheinen, können Sie Ihre Domänencontroller proaktiv in den Durchsetzungsmodus versetzen, indem Sie die Registrierungseinstellungen verwenden. Sollten Ereignisse auftreten, müssen Sie alle verbleibenden RC4-Abhängigkeiten beheben oder explizit konfigurieren, bevor der Durchsetzungsmodus greift.