Keine Zusammenfassung vorhanden.
Aktualisierung 20. März 2026: Zusätzliche Hinweise für Geräte, die Azure Files SMB mit Active Directory-basierter Authentifizierung und Azure Virtual Desktop verwenden, wurden hinzugefügt.
Windows-Updates ab April 2026 führen die zweite Bereitstellungsphase der Schutzmaßnahmen für eine Kerberos-Informationsoffenlegungsschwachstelle (CVE‑2026‑20833) ein. In dieser Phase ändern Domänencontroller das Standardverhalten von Kerberos-Tickets für Konten ohne explizite Kerberos-Verschlüsselungskonfiguration und verwenden standardmäßig nur noch AES‑SHA1. Umgebungen mit verbleibenden RC4-Abhängigkeiten können Authentifizierungsprobleme erleben, sofern diese nicht behoben oder explizit konfiguriert werden.
Wann dies geschieht:
- April 2026 – Durchsetzungsphase mit manuellem Rücksetzungsmechanismus: Das Standardverhalten von Kerberos ändert sich dahingehend, dass Domänencontroller für Konten ohne explizite Verschlüsselungstyp-Einstellungen nur noch AES‑SHA1-Verschlüsselung verwenden. Der Durchsetzungsmodus ist standardmäßig auf Windows-Domänencontrollern aktiviert. Der Prüfmodus bleibt als manuelle Rücksetzoption bis Juli 2026 verfügbar.
- Juli 2026 – Durchsetzungsphase: Der Prüfmodus wird entfernt, so dass nur noch der Durchsetzungsmodus besteht.
Auswirkungen auf Ihre Organisation:
Ab dem Windows-Sicherheitsupdate im April 2026 geben Domänencontroller standardmäßig AES‑SHA1-verschlüsselte Tickets für Konten aus, die keine unterstützten Verschlüsselungstypen explizit definieren. Umgebungen mit Dienstkonten, Anwendungen oder Geräten, die weiterhin RC4-basierte Kerberos-Tickets benötigen, können Authentifizierungs- oder Verbindungsfehler erfahren, sofern diese Abhängigkeiten nicht behoben sind. Kerberos-bezogene Ereignisse im System-Ereignisprotokoll können helfen, Fehlkonfigurationen oder verbleibende Abhängigkeiten zu identifizieren und zu beheben, die mit fortschreitender Durchsetzung wahrscheinlich inkompatibel werden.
Hinweis: Für Geräte, die Azure Files SMB mit Active Directory-basierter Authentifizierung verwenden, sollten alle RC4-Abhängigkeiten vor Beginn der Durchsetzungsphase behoben werden, um Zugriffsunterbrechungen zu vermeiden, wenn der Prüfmodus im Juli 2026 entfernt wird. Folgen Sie den Schritten in der offiziellen Dokumentation, um einen unterbrechungsfreien Zugriff auf Azure Files und Azure Virtual Desktop sicherzustellen.
Was Sie tun müssen, um sich vorzubereiten:
Überwachen Sie das System-Ereignisprotokoll auf Kerberos-bezogene Ereignisse, die RC4-Abhängigkeiten oder unsichere Verschlüsselungskonfigurationen anzeigen. Wenn Ereignisprotokolldaten eine Abhängigkeit von RC4 zeigen, beheben Sie dies durch Umstellung auf stärkere Verschlüsselung oder explizite Konfiguration des Attributs msds-SupportedEncryptionTypes des Kontos, falls RC4 weiterhin benötigt wird. Schließen Sie diese Maßnahmen vor Juli 2026 ab, wenn der Prüfmodus entfernt und nur noch der Durchsetzungsmodus verfügbar ist.
Hinweis: Prüfereignisse im Zusammenhang mit dieser Änderung werden nur generiert, wenn Active Directory keine AES‑SHA1-Service-Tickets oder Sitzungsschlüssel ausstellen kann. Das Ausbleiben von Prüfereignissen garantiert nicht, dass alle Nicht-Windows-Geräte Kerberos-Authentifizierung nach Beginn der Durchsetzungsphase im April 2026 erfolgreich akzeptieren. Validieren Sie die Interoperabilität mit Nicht-Windows-Systemen durch Tests, bevor Sie dieses Verhalten weitläufig aktivieren.
Weitere Informationen:
- Lesen Sie die vollständige Härtungsempfehlung: Verwaltung der Nutzung von RC4 durch Kerberos KDC bei der Ausstellung von Dienstkontentickets in Bezug auf CVE-2026-20833.
- Erfahren Sie mehr über RC4-Nutzung in Windows und deren Risiken: RC4-Nutzung in Kerberos erkennen und beheben.
- Mehr über die zugrunde liegende Schwachstelle erfahren Sie hier: CVE-2026-20833.
