RC4 abschalten: Checkliste + GPO-Referenz
Audit-Events, msDS-SupportedEncryptionTypes-Werte, GPO-Pfad und Monitoring-Fehlercodes — die RC4-zu-AES-Migration als kompakte Checkliste zum Abarbeiten.
Mit CVE-2026-20833 schaltet Microsoft die RC4-Verschlüsselung in Kerberos stufenweise ab: Seit Januar 2026 läuft die Audit-Phase, seit April wird AES erzwungen, ab Juli 2026 entfällt der Audit-Modus vollständig. Service Accounts ohne AES-Schlüssel verlieren dann die Fähigkeit, sich per Kerberos zu authentifizieren — mit kaskadierenden Ausfällen bei Dateifreigaben, Diensten und Backend-Anbindungen.
Diese Checkliste fasst die Migration in abarbeitbare Schritte zusammen: die KDC-Audit-Events 201–209 mit der jeweils richtigen Reaktion, die PowerShell-Bestandsaufnahme betroffener Konten, die Passwort-Resets zur AES-Schlüsselgenerierung, die msDS-SupportedEncryptionTypes-Werte, der GPO-Pfad für die domänenweite Kerberos-Konfiguration und die Fehlercodes für das Monitoring nach der Umstellung.
Den fachlichen Hintergrund — warum RC4-Tickets per Kerberoasting in Stunden knackbar sind und wie die drei Enforcement-Phasen zusammenhängen — finden Sie im zugehörigen Artikel RC4-Verschlüsselung in Active Directory abschalten.
Kapitelübersicht
Die RC4-Migrations-Checkliste: Audit, Reset, Enforcement, Monitoring
Alle KDC-Audit-Events, Attributwerte, der GPO-Pfad und die Monitoring-Fehlercodes — der komplette Migrationspfad als Arbeitsdokument.
Weiterführende Artikel
Vom Leitfaden
in die Umsetzung.
In einem unverbindlichen Erstgespräch besprechen wir Ihre konkrete Umgebung — wo Sie heute stehen, welche Schritte aus diesem Leitfaden die größte Wirkung haben und wie die Umsetzung aussieht.