Keine Zusammenfassung angegeben.
Was und Warum
Die im Juli 2026 veröffentlichten Windows-Updates schließen die letzte Bereitstellungsphase der Schutzmaßnahmen für eine Kerberos-Informationsfreigabe-Schwachstelle (CVE‑2026‑20833) ab. Ab dieser Phase wird der Auditmodus entfernt, womit der Durchsetzungsmodus die einzige verfügbare Option für die Verwendung von Kerberos RC4 auf Windows-Domänencontrollern ist. Umgebungen mit verbleibenden RC4-Abhängigkeiten könnten Authentifizierungsprobleme erfahren, sofern diese Abhängigkeiten nicht behoben oder explizit konfiguriert wurden, bevor das Windows-Sicherheitsupdate im Juli 2026 installiert wird.
Bereitstellungszeitplan
- April 2026 – Durchsetzungsphase mit manuellem Rollback: Mit der Installation des Windows-Sicherheitsupdates im April 2026 ändert sich das Standardverhalten von Kerberos dahingehend, dass Domänencontroller nur noch AES‑SHA1-Verschlüsselung für Konten ohne explizite Verschlüsselungseinstellungen verwenden, und der Durchsetzungsmodus standardmäßig auf Windows-Domänencontrollern aktiviert wird. Der Auditmodus bleibt bis Juli 2026 als manuelle Rollback-Option verfügbar.
- Juli 2026 – Durchsetzungsphase: Mit der Installation des Windows-Sicherheitsupdates im Juli 2026 wird der Auditmodus entfernt, und der Durchsetzungsmodus ist die einzig verfügbare Verhaltensweise für unterstützte Windows-Domänencontroller.
Auswirkungen auf Ihre Organisation
Mit der Installation des Windows-Sicherheitsupdates im Juli 2026 unterstützen Windows-Domänencontroller nicht mehr das Rollback-Verhalten im Auditmodus für die Kerberos RC4-Härtung. Umgebungen mit Dienstkonten, Anwendungen, Appliances oder Geräten, die weiterhin auf RC4-basierte Kerberos-Tickets angewiesen sind, können Authentifizierungsfehler erfahren, sofern diese Abhängigkeiten nicht behoben oder explizit so konfiguriert wurden, dass der fortgesetzte RC4-Einsatz dort möglich ist, wo er erforderlich ist.
Geräte, die nicht-Windows-Kerberos-Implementierungen verwenden, benötigen möglicherweise zusätzliche Interoperabilitätstests, um die fortlaufende Authentifizierungsfunktionalität nach Beginn der Durchsetzungsphase im Juli 2026 sicherzustellen.
Hinweis zu Azure Files: Für Geräte, die Azure Files SMB mit Active Directory-basierter Authentifizierung verwenden, sollten alle RC4-Abhängigkeiten vor der Installation des Windows-Sicherheitsupdates im Juli 2026 behoben werden, um das Risiko von Zugriffsunterbrechungen nach Entfernung des Auditmodus zu verringern. Folgen Sie den Schritten der offiziellen Dokumentation, um den unterbrechungsfreien Zugriff auf Azure Files und abhängige Workloads wie Azure Virtual Desktop zu gewährleisten.
Erforderliche Maßnahmen/Empfehlungen
Überwachen Sie weiterhin das System-Ereignisprotokoll auf Kerberos-bezogene Ereignisse, die auf RC4-Abhängigkeiten oder unsichere Verschlüsselungskonfigurationen hinweisen. Falls das Ereignisprotokoll RC4-Abhängigkeiten zeigt, beheben Sie diese durch Umstellung auf AES-basierte Verschlüsselung oder durch explizite Konfiguration des msds-SupportedEncryptionTypes-Attributs des Kontos, wo RC4 weiterhin benötigt wird.
Validieren Sie vor der Bereitstellung des Windows-Sicherheitsupdates im Juli 2026, dass Dienstkonten, Anwendungen und nicht-Windows-Kerberos-Implementierungen erfolgreich authentifizieren können, ohne RC4-basierte Kerberos-Authentifizierung zu erfordern.
Compliance-Hinweise
Auditereignisse im Zusammenhang mit dieser Änderung werden nur generiert, wenn Active Directory keine AES‑SHA1-Service-Tickets oder Sitzungsschlüssel ausstellen kann. Das Fehlen von Auditereignissen garantiert nicht, dass alle Nicht-Windows-Geräte Kerberos-Authentifizierungen nach Beginn der Durchsetzungsphase im Juli 2026 erfolgreich akzeptieren. Validieren Sie die Interoperabilität durch Tests, bevor das Windows-Sicherheitsupdate im Juli 2026 breit ausgerollt wird.
