Eigentlich sollte RC4-Verschlüsselung bereits Geschichte sein, doch wird es bis heute noch vereinzelt genutzt. Jetzt hat Microsoft angekündigt, den Rivest Cipher 4 aus Kerberos zu entfernen. Dies soll die Sicherheit verbessern, da die geknackte Verschlüsselung Angriffe wie „Kerberoasting“ zum Stehlen von Zugangsdaten und Kompromittieren von Netzwerken ermöglicht.
„Es ist von entscheidender Bedeutung, die Verwendung von RC4 einzustellen“, erklärt der Program Manager Matthew Palko in einem Beitrag im Windows-Server-Blog. Mitte 2026 will Microsoft demnach die Standardeinstellungen des Kerberos Key Distribution Center (KDC) von Domain-Controllern ab Windows Server 2008 aktualisieren, sodass sie nur noch AES-SHA1-Verschlüsselung erlauben. RC4 wird dann standardmäßig deaktiviert und lässt sich nur noch dann nutzen, wenn Domain-Admins einen Zugang oder das KDC explizit so konfigurieren, dass der RC4 verwendet.
Sicherere Windows-Authentifizierung
„Sichere Windows-Authentifizierung benötigt kein RC4; AES-SHA1 lässt sich über alle unterstützten Windows-Versionen nutzen, seit es in Windows Server 2008 eingeführt wurde“, erklärt Microsoft. Sofern bislang bestehender RC4-Einsatz bis zur Standard-Konfigurationsänderung nicht angegangen wird, klappt danach die Authentifizierung nicht mehr, die auf dem veralteten Algorithmus basiert.
Anhand der Hilfestellungen in dem Blog-Beitrag lässt sich herausfinden, wie RC4 noch zum Einsatz kommt. RC4 könnte für Legacy-Apps oder Interoperabilität mit Nicht-Windows-Geräten nötig sein, worum sich Admins kümmern müssen. Um die RC4-Nutzung zu erkennen, erweitert Microsoft die Informationen im Security-Event-Log. Außerdem stehen neue Powershell-Auditing-Skripte für die Analyse bereit. Die Verbesserungen stehen für Windows Server 2019, 2022 und 2025 zur Verfügung. Der Blog-Beitrag erläutert die neuen Felder in den erweiterten Security-Log-Ereignissen und stellt zwei Powershell-Skripte vor.
Weiter erklärt Palko in dem Beitrag, wie Admins mit den Funden umgehen können. Microsoft stellt neben der Übersicht noch einen tiefergehenden Support-Beitrag zur Verfügung, mit dem IT-Verantwortliche das dräuende RC4-Ende in Kerberos vorbereiten sollten.
Die RC4-Verschlüsselung gilt schon sehr lange als geknackt. Bereits im Jahr 2013 hat Microsoft empfohlen, RC4 zu deaktivieren – für die Web-Verschlüsselung. Im Jahr 2015 hat die IETF (Internet Engineering Task Force) mit dem RFC 7465 den Einsatz von RC4 für TLS-Verschlüsselung praktisch verboten; auch nicht als optionale oder Fallback-Lösung. RC4 nun in der Windows-Domänen-Authentifizierung abzudrehen, ist in dem Lichte betrachtet eigentlich überfällig.
(dmk)
English (US) ·