RC4 in Kerberos — AES Enforcement

RC4-HMAC als Kerberos-Verschlüsselungstyp wird schrittweise durch AES ersetzt. In neuen Installationen von Windows 11 24H2 und Server 2025 bereits deaktiviert.

KritischErzwungenKerberos

Phasen-Verlauf

8. November 2022
CVE-2022-37966 Patch

Standard-Verschlüsselung für Kerberos-Sitzungsschlüssel von RC4 auf AES geändert.

Oktober 2024
Standardmäßig deaktiviertErzwungen

RC4 in neuen Windows 11 24H2- und Server 2025-Installationen nicht mehr standardmäßig aktiviert.

Betroffene Systeme

  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025
  • Windows 10
  • Windows 11

Betroffene Features

  • Kerberos-Authentifizierung
  • Service-Accounts
  • Kerberoasting-Schutz

Was passiert ohne Maßnahme

Service-Accounts ohne AES-Unterstützung können sich nicht mehr per Kerberos authentifizieren. Legacy-Anwendungen, Drucker und Dienste mit reiner RC4-Konfiguration verlieren den Zugriff.

Empfohlene Maßnahme

Alle Service-Accounts auf AES-Unterstützung prüfen. msDS-SupportedEncryptionTypes auf 0x18 (AES) setzen. Event-IDs 4768/4769 auf RC4-Nutzung überwachen.

Registry-Schlüssel

HKLM\SYSTEM\CurrentControlSet\Services\KDC
DefaultDomainSupportedEncTypes

Gruppenrichtlinien

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Network security: Configure encryption types allowed for Kerberos

Event-IDs zur Überwachung

4768
Security

Kerberos-TGT-Anforderung — Verschlüsselungstyp 0x17 zeigt RC4-Nutzung

4769
Security

Kerberos-Service-Ticket — Verschlüsselungstyp 0x17 zeigt RC4-Nutzung

27
Microsoft-Windows-Kerberos-Key-Distribution-Center

KDC erkennt inkompatible Verschlüsselungstypen zwischen Client und Service

Referenzen

Ausführlicher Artikel verfügbar

Detaillierte Analyse, Schritt-für-Schritt-Anleitung und Praxistipps in unserem Blog.

Zurück zur Security Timeline