Welche Systeme sind von Kerberos RC4 KDC Enforcement betroffen?

Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2025

Kerberos RC4 KDC Enforcement

Microsoft erzwingt schrittweise das Ende von RC4-HMAC bei Kerberos-Service-Ticket-Ausstellung. Accounts ohne AES-Konfiguration werden nur noch AES-verschlüsselt bedient.

KritischAktivKerberos

Phasen-Verlauf

13. Januar 2026

Audit-Phase

Neue KDCSVC Event-IDs 201-209 protokollieren RC4-Nutzung. Kein Default-Enforcement.

14. April 2026

Enforcement-Phase

DefaultDomainSupportedEncTypes auf AES-only (0x18). RC4-Fallback nur bei expliziter Konfiguration.

Juli 2026

Vollständige ErzwingungErzwungen

Registry-Key RC4DefaultDisablementPhase entfernt. Kein Audit-Modus mehr verfügbar.

Betroffene Systeme

Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server 2022
Windows Server 2025

Betroffene Features

Kerberos-Authentifizierung
Service-Accounts
KDC-Ticketausstellung

Was passiert ohne Maßnahme

Service-Accounts ohne explizit konfigurierte AES-Verschlüsselungstypen erhalten keine Kerberos-Tickets mehr. Kerberoasting-Angriffe auf RC4-Tickets werden unterbunden.

Empfohlene Maßnahme

Alle Service-Accounts mit msDS-SupportedEncryptionTypes auf AES-Werte (0x18) konfigurieren. KDCSVC Event-IDs 201-209 überwachen.

Registry-Schlüssel

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

RC4DefaultDisablementPhase

Gruppenrichtlinien

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

Network security: Configure encryption types allowed for Kerberos

Event-IDs zur Überwachung

209

KDCSVC

RC4-Ticketausstellung blockiert

Referenzen

Ausführlicher Artikel verfügbar

Detaillierte Analyse, Schritt-für-Schritt-Anleitung und Praxistipps in unserem Blog.

→Zurück zur Security Timeline