Datenschutz & Sicherheit
Microsoft-Erinnerung an nächste Phase der Kerberos-RC4-Härtung
Im April will Microsoft die nächste Phase im Prozess zum Rauswurf der unsicheren RC4-Verschlüsselung aus Kerberos starten. Die Authentifizierung im Active Directory soll dadurch deutlich sicherer werden, gilt die RC4-Verschlüsselung doch bereits viele Jahre als geknackt.
Weiterlesen nach der Anzeige
Dazu hat Microsoft im Message-Center der Windows-Release-Health-Notizen eine 30-Tage-Erinnerung veröffentlicht. Die Windows-Updates zum April-Patchday und die darauf folgenden läuten die zweite Umsetzungsphase ein, um Schutzmaßnahmen gegen ein Kerberos-Informationsleck zu etablieren (CVE-2026-20833, CVSS 5.5, Risiko „mittel“). Die erste Phase, die Microsoft „Bereitstellungsphase“ nennt, begann mit den Windows-Updates zum Januar-Patchday. Damit hat Microsoft „neue Überwachungs- und optionale Konfigurationseinstellungen eingeführt, die dazu beitragen, die Abhängigkeit von älteren Verschlüsselungstypen wie RC4 zu reduzieren und Domänencontroller auf eine künftige Umstellung vorzubereiten, die mit dem Update im April 2026 beginnt und die standardmäßige Verwendung von AES-SHA1-verschlüsselten Tickets vorsieht.“
„Erzwingungsphase“ ab April 2026
Im zugehörigen Support-Beitrag erklärt Microsoft, dass im April die „Erzwingungsphase mit manuellem Rollback“ startet. Damit setzt Microsoft den Weg fort, der durch „stärkeres Standard-Ticket-Verhalten“ weg von veralteter Verschlüsselung wie RC4 führt. Domain-Controller setzen als neuen Standard auf AES-SHA1-verschlüsselte Tickets für Konten, die keine explizite Kerberos-Verschlüsselung konfiguriert haben. Microsoft nennt als konkreten Standardwert „0x18“ für „DefaultDomainSupportedEncTypes“ für KDC-Vorgänge von Konten, für die kein AD-Attribut „msds-SupportedEncryptionTypes“ gesetzt wurde. Admins können das Verhalten noch durch die manuelle Konfiguration des „RC4DefaultDisablementPhase“-REG_DWORD im Registry-Zweig „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters“ übersteuern. „0“ steht für keine Überwachung, „1“ erzeugt die Warnungen in den Protokollen der Phase 1, während „2“ die Erzwingungsphase aktiviert.
Microsoft weist eindringlich darauf hin, dass jetzt der Zeitpunkt gekommen ist, Abhängigkeiten von RC4-basierten Kerberos-Tickets für Dienstkonten oder Apps aufzulösen, bevor im Juli 2026 die „Durchsetzungsphase“ beginnt.
Weiterlesen nach der Anzeige
Das thematisierte auch das heise security Webinar zu Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben, das die praktischen Probleme von Kerberos und NTLM und Lösungen dafür aufzeigte.
(dmk)