Alle Leitfäden
CybersecurityPowerShell-Tool11. Juni 2026

RC4-Readiness-Scanner für Active Directory

Welche Ihrer Service- und Computerkonten verlieren ab April 2026 die Kerberos-Authentifizierung? Dieses schreibgeschützte PowerShell-Tool scannt Ihr Active Directory und erstellt einen priorisierten HTML-Bericht — ohne Datenabfluss.

Mit dem Sicherheitsupdate zu CVE-2026-20833 schaltet Microsoft die RC4-Verschlüsselung in Kerberos gestuft ab: Enforcement ab April 2026, vollständige Durchsetzung ab Juli 2026. Service- und Computerkonten ohne AES-Schlüssel verlieren dann die Fähigkeit, sich per Kerberos zu authentifizieren — mit kaskadierenden Ausfällen bei Dateifreigaben, Diensten und Backend-Anbindungen.

Der RC4-Readiness-Scanner beantwortet die entscheidende Frage, bevor es zum Ausfall kommt: Welche meiner Konten sind betroffen — und bis wann?

Was das Tool prüft

Das Skript inventarisiert alle Benutzer-, Computer- und gMSA-Konten und bewertet pro Konto das Attribut msDS-SupportedEncryptionTypes, das Vorhandensein von Service Principal Names (SPNs), das Alter des letzten Passwort-Resets und privilegierte Gruppenmitgliedschaften. Daraus leitet es drei Kategorien ab: Konten, die ab April ausfallen (kein AES-Schlüssel, leeres Attribut), RC4-abhängige Konten (Ausfall nach Juli) und Konten, die zwar funktionieren, aber durch weiter nutzbares RC4 Kerberoasting-gefährdet bleiben.

Sind die DC-Eventlogs lesbar, wertet das Tool zusätzlich die KDC-Hardening-Events 201–209 sowie die Kerberos-Events 4768/4769 aus und zeigt die tatsächlich beobachtete RC4-Nutzung der letzten Tage.

So läuft es ab

  1. Tool herunterladen, entpacken und die SHA-256-Prüfsumme gegen den Wert in der Seitenleiste abgleichen.
  2. Auf einem domänengebundenen Rechner ausführen: .\Invoke-RC4ReadinessScan.ps1
  3. Den erzeugten HTML-Bericht öffnen — mit Risikobewertung pro Konto und konkretem Migrationsfahrplan.

Sicherheit und Vertrauen

Das Tool ist ausschließlich lesend: Es führt nur LDAP-Suchen und Event-Log-Abfragen aus und enthält keine verändernden Cmdlets. Es sendet keinerlei Daten nach außen — keine Telemetrie, kein Update-Check. Der Quellcode ist unter BSD-3-Clause offen einsehbar, sodass Sie vor dem Ausführen jede Zeile prüfen können. Es ist keine RSAT-Installation nötig.

Den fachlichen Hintergrund finden Sie im Artikel RC4-Verschlüsselung in Active Directory abschalten und in der RC4-Abschaltung Checkliste.

Vom Scan in die Umsetzung.

Ein AD Security Assessment zeigt nicht nur RC4-Abhängigkeiten, sondern alle Angriffspfade in Ihrer Umgebung — von Kerberoasting bis zu unsicheren Delegierungen.

Identity & Access Hardening besprechen