Was sich jetzt aendert

Mit den Windows-Sicherheitsupdates ab Juli 2026 beginnt die finale Phase der Kerberos-RC4-Haertung fuer CVE-2026-20833. Der bisherige Audit-/Rollback-Pfad ueber RC4DefaultDisablementPhase entfaellt. Fuer Domain Controller bleibt Enforcement das verbindliche Verhalten.

Praktisch bedeutet das: Konten, Dienste oder Clients, die noch RC4-basierte Kerberos-Service-Tickets erwarten, koennen nach dem DC-Rollout Authentifizierungsfehler sehen. Das betrifft nicht nur alte Windows-Systeme. Haeufig liegen die Restabhaengigkeiten bei Service Accounts mit SPNs, Middleware, Appliances, Java-/Linux-Kerberos-Stacks oder historisch gesetzten Encryption-Type-Ausnahmen.

Wo Bruchstellen wahrscheinlich sind

  • Service Accounts mit SPNs und fehlendem oder altem msDS-SupportedEncryptionTypes-Wert.
  • Dienste, deren Passwortmaterial nie nach AES-Aktivierung rotiert wurde.
  • Nicht-Windows-Systeme, die Kerberos nur mit RC4 sauber getestet haben.
  • Domaenen mit manuell gesetztem DefaultDomainSupportedEncTypes.
  • Anwendungen, bei denen App-Owner, SPNs und technische Konten nicht mehr eindeutig zugeordnet sind.

Das Fehlen von Audit-Events reicht nicht als alleiniger Nachweis. Einige Inkompatibilitaeten werden erst im echten Ticket-Flow sichtbar, besonders bei Drittanbieter-Software und Appliances.

Was vor der breiten Freigabe in den Change gehoert

  1. DC-Rollout staffeln: zuerst Pilot-Site oder klar abgegrenzte Domain Controller, danach breiter ausrollen.
  2. KDC-Events pruefen: System-Log der DCs auf Kdcsvc-Events 201 bis 209 und besonders Event 205 auswerten.
  3. SPN-Konten priorisieren: Service Accounts mit SPNs, privilegierte technische Konten und lange nicht geaenderte Passwoerter zuerst bearbeiten.
  4. AES wirklich testen: Attributwerte allein beweisen keine funktionierende Anwendungsauthentifizierung.
  5. Passwoerter kontrolliert rotieren: nach Encryption-Type-Aenderungen, vor allem bei alten Service Accounts.
  6. Ausnahmen eng begrenzen: falls RC4 noch benoetigt wird, nur fuer benannte Konten, mit Owner, Ablaufdatum und akzeptiertem Risiko.

Wenn der Patch schon verteilt ist

Bei Stoerungen sollte RC4 nicht pauschal wieder als Default erlaubt werden. Besser ist eine gezielte Rueckverfolgung ueber DC-Events, betroffene Clients, Ziel-SPNs und das zugehoerige Servicekonto. Danach laesst sich entscheiden, ob ein Service auf AES gehoben, ein Passwort neu erzeugt oder eine befristete Ausnahme dokumentiert werden muss.

Der wichtigste Sofortcheck: auf allen aktualisierten Domain Controllern Kerberos-/KDC-Events auswerten, betroffene SPNs einem Owner zuordnen und RC4-Ausnahmen nicht ohne Ablaufdatum stehen lassen.