No summary content provided to translate.
Windows-Updates, die ab April 2026 veröffentlicht werden, starten die zweite Bereitstellungsphase der Schutzmaßnahmen gegen eine Kerberos-Informationsoffenlegungsschwachstelle (CVE‑2026‑20833). In dieser Phase ändern Domänencontroller das Standardverhalten bei Kerberos-Tickets für Konten, die keine explizite Kerberos-Verschlüsselungskonfiguration besitzen, indem standardmäßig nur noch AES‑SHA1 verwendet wird. Umgebungen mit weiterhin bestehenden RC4-Abhängigkeiten können Authentifizierungsprobleme erleben, sofern diese Abhängigkeiten nicht behoben oder explizit konfiguriert sind.
Wann dies geschieht:
- April 2026 - Durchsetzungsphase mit manuellem Rollback: Mit der Installation des Windows-Sicherheitsupdates im April 2026 ändert sich das Standardverhalten von Kerberos, sodass Domänencontroller für Konten ohne explizite Verschlüsselungstyp-Einstellungen nur noch AES‑SHA1-Verschlüsselung verwenden, und der Durchsetzungsmodus auf Windows-Domänencontrollern standardmäßig aktiviert wird. Der Überwachungsmodus bleibt bis Juli 2026 als manuelle Rücksetzoption verfügbar.
- Juli 2026 - Durchsetzungsphase: Der Überwachungsmodus wird entfernt, sodass der Durchsetzungsmodus die einzige verbleibende Option ist.
Wie sich das auf Ihre Organisation auswirkt:
Mit der Installation des Windows-Sicherheitsupdates im April 2026 geben Domänencontroller standardmäßig AES‑SHA1-verschlüsselte Tickets für Konten aus, die keine unterstützten Verschlüsselungstypen explizit definieren. Umgebungen mit Servicekonten, Anwendungen oder Geräten, die weiterhin RC4-basierte Kerberos-Tickets benötigen, könnten Authentifizierungs- oder Verbindungsfehler erfahren, sofern diese Abhängigkeiten nicht adressiert werden. Kerberos-bezogene Ereignisse im Systemereignisprotokoll können dabei helfen, Fehlkonfigurationen oder verbleibende Abhängigkeiten zu identifizieren und zu beheben, die wahrscheinlich mit Voranschreiten der Durchsetzung inkompatibel werden.
Hinweis: Für Geräte, die Azure Files SMB mit Active Directory-basierter Authentifizierung verwenden, sollten alle RC4-Abhängigkeiten vor Beginn der Durchsetzungsphase beseitigt werden, um das Risiko von Zugriffsunterbrechungen zu verringern, wenn der Überwachungsmodus im Juli 2026 entfernt wird. Folgen Sie den Anweisungen in der offiziellen Dokumentation, um einen unterbrechungsfreien Zugriff auf Azure Files und Azure Virtual Desktop zu gewährleisten.
Was Sie zur Vorbereitung tun müssen:
Überwachen Sie das Systemereignisprotokoll auf Kerberos-bezogene Ereignisse, die auf RC4-Abhängigkeiten oder unsichere Verschlüsselungskonfigurationen hinweisen. Wenn die Ereignisprotokolle eine RC4-Abhängigkeit anzeigen, beheben Sie dies durch Umstellung auf stärkere Verschlüsselung oder indem Sie das Attribut msds-SupportedEncryptionTypes des Kontos explizit konfigurieren, falls RC4 weiterhin erforderlich ist. Schließen Sie die Behebung vor Juli 2026 ab, wenn der Überwachungsmodus entfernt wird und der Durchsetzungsmodus die einzige verfügbare Option ist.
Hinweis: Audit-Ereignisse im Zusammenhang mit dieser Änderung werden nur erzeugt, wenn Active Directory keine AES‑SHA1-Service-Tickets oder Sitzungsschlüssel ausstellen kann. Das Fehlen von Audit-Ereignissen garantiert nicht, dass alle Nicht-Windows-Geräte Kerberos-Authentifizierungen nach Beginn der Durchsetzungsphase im April 2026 erfolgreich akzeptieren. Validieren Sie die Interoperabilität mit Nicht-Windows-Systemen durch Tests, bevor Sie dieses Verhalten breit aktivieren.
Zusätzliche Informationen:
- Lesen Sie die ausführlichen Empfehlungen zur Härtung: Wie der Kerberos KDC die Verwendung von RC4 für die Ausstellung von Servicekonten-Tickets im Zusammenhang mit CVE-2026-20833 verwaltet.
- Erfahren Sie mehr über die Nutzung von RC4 in Windows und die damit verbundenen Risiken: Erkennen und beheben von RC4-Nutzung in Kerberos.
- Weitere Informationen zur zugehörigen Schwachstelle: CVE-2026-20833.
