Kerberos-härdning april 2026 — gör det här innan patchen

Microsofts säkerhetsuppdatering för april 2026 aktiverar fas 2 av Kerberos RC4-härdningen (CVE-2026-20833). Från och med den här patchen kommer domänkontrollanter att som standard enbart använda AES för Kerberos-biljettkryptering.

Det betyder att tjänstkonton, applikationer och äldre system som fortfarande förlitar sig på RC4 kan sluta fungera. Direkt.

Vad händer i praktiken?

Sedan januari 2026 har Microsoft loggat varningshändelser på domänkontrollanter när RC4 används. Det var fas 1 — bara övervakning. Nu i april skärps det. RC4 accepteras inte längre som implicit fallback av KDC:n.

Har du tjänstkonton med tomt msDS-SupportedEncryptionTypes-attribut? Då kommer de att misslyckas med autentisering efter att aprilpatchen installerats.

I juli 2026 tar Microsoft bort möjligheten att rulla tillbaka helt. Det här är sista chansen att fixa det ordentligt.

Vilka påverkas?

Alla organisationer med hybrid Active Directory-miljöer. Specifikt:

• Tjänstkonton som inte explicit konfigurerats för AES256
• Entra Connect Sync som kan drabbas av autentiseringsfel
• FSLogix-profilcontainrar på SMB-lagring
• Äldre applikationer som bara stöder RC4

Om du kör M365 Business Premium med hybrid AD och Entra Connect — det här berör dig.

Vad ska du göra nu?

1. Granska alla domänkontrollanter för Kerberos RC4-varningshändelser (Event ID i System-loggen)
2. Identifiera tjänstkonton med tomt eller RC4-specifikt msDS-SupportedEncryptionTypes
3. Uppdatera alla tjänstkonton till AES256 innan aprilpatchen installeras
4. Testa Entra Connect Sync och FSLogix i en stagingmiljö först
5. Planera — juliuppdateringen tar bort alla möjligheter att återställa

Hur vi kan hjälpa

Vi erbjuder en Kerberos Health Check — en halvdags genomgång där vi identifierar alla RC4-beroenden i er miljö och tar fram en åtgärdsplan innan Patch Tuesday den 14 april. Kontakta oss för att boka in.

Referens: Microsoft Tech Community — Kerberos RC4 Hardening