RC4 in Active Directory: Microsoft ersetzt seit Jahren obsolete Verschlüsselung
Seit vielen Jahren verwendet Microsoft das veraltete und unsichere RC4, auch Arcfour genannt, für die Authentifizierung bei Active Directory. Nun hat das Unternehmen einen finalen Plan vorgestellt, nach dem der Algorithmus abgeschaltet wird.
Das berichtet Microsoft in einem Blogpost(öffnet im neuen Fenster) . "Ab Mitte 2026 werden wir Domain-Controller-Standardeinstellungen für das Kerberos Key Distribution Center KDC aktualisieren" , schreibt das Unternehmen. RC4 wird dann nicht mehr als Rückfallebene nutzbar sein.
Diese Änderung wird für Windows Server 2008 und neuer durchgeführt. Später soll zudem nur noch AES-SHA1-Verschlüsselung erlaubt sein. Bis dahin können Admins für jeden Account manuell einstellen, ob weiterhin RC4 genutzt werden darf oder nicht. Mitte 2026 wird also auch der Zeitpunkt sein, wenn auf RC4 aufbauende Legacy-Algorithmen nicht mehr mit Active Directory funktionieren werden.
Schon 1994 geleakt
Innerhalb von Windows Server 2019, 2022 und 2025 wurden Security-Event-Logs angepasst, so dass sie die Nutzung von RC4-Authentifizierung anzeigen und Admins so ihren Ursprung ausmachen können. Microsoft hat auf Github auch zwei Powershell-Scripts veröffentlicht(öffnet im neuen Fenster) , mit denen entsprechende Kontoschlüssel und Apps aufgelistet werden können.
Das in den achtziger Jahren entwickelte RC4 wurde bereits im Jahr 1994 durch einen Leak öffentlich gemacht. Ein erster erfolgreicher Angriff wurde 2001 durchgeführt. Es folgten diverse weitere Hacks, weshalb der Verschlüsselungsalgorithmus als sehr unsicher gilt.
Bei Microsoft wird RC4 weiterhin als Rückfallebene im Kerberos-Prokoll genutzt, das bei Active Directory standardmäßig zum Einsatz kommt. Ab Mitte 2026 wird das wohl nicht mehr der Fall sein.