Kerberos RC4-härdning i april — kontrollera era tjänstkonton nu
Aprils Windows-uppdatering aktiverar fas 2 av RC4-härdningen. Tjänstkonton utan explicit krypteringskonfiguration slutar fungera.
Microsoft har aktiverat fas 2 av Kerberos RC4-härdningen (CVE-2026-20833) med aprils Windows-uppdateringar. Domänkontrollanter använder nu AES-SHA1 som standard för alla tjänstkonton som saknar explicit krypteringskonfiguration.
Det här innebär att äldre tjänstkonton — de som skapades för skrivare, legacy-applikationer eller gamla backuplösningar — kommer att sluta autentisera efter patchning. Vi har redan sett det hos flera kunder under testning.
Vad har hänt
Microsoft rullar ut härdningen i tre faser. Fas 1 (januari 2026) la till audit-loggar. Fas 2 (april 2026) byter standard till AES-SHA1 och aktiverar enforcement. Fas 3 (juli 2026) tar bort möjligheten att rulla tillbaka till audit-läge.
Sårbarheten i sig, CVE-2026-20833, gör det möjligt för en angripare att begära Kerberos-biljetter med svag RC4-kryptering och sedan knäcka tjänstekontots lösenord offline. Det kallas Kerberoasting och det är en av de vanligaste attackvägarna i Active Directory.
Varför det spelar roll för svenska SMF
Många mindre företag kör fortfarande tjänstkonton som sattes upp för 5-10 år sedan utan att någon dokumenterade vilken kryptering de använder. Skrivare med Kerberos-autentisering, äldre affärssystem och FSLogix-profiler på SMB-lagring är typiska kandidater som kan sluta fungera.
Det här är inte en sårbarhet du kan ignorera — det är en brytande förändring som Microsoft tvingar igenom.
Vad ni bör göra
-
Kör en audit av alla tjänstkonton i AD och kontrollera
msDS-SupportedEncryptionTypes. Konton som visar0x0eller saknar attributet helt behöver konfigureras explicit. -
Aktivera KDC-auditloggar (Event ID 4771) och sök efter RC4-biljettförfrågningar. Varje träff är en tjänst som kommer sluta fungera.
-
Testa patchning i staging-miljö innan ni rullar ut till produktion.
-
Konfigurera explicit AES-kryptering för alla tjänstkonton som behöver det.
Rollback till audit-läge finns kvar som nödlösning fram till juli 2026, men det bör vara sista utvägen — inte strategin.
Hur vi kan hjälpa
Vi erbjuder en Kerberos RC4-beredskapsgenomgång (2-3 timmar) där vi scannar era tjänstkonton, identifierar RC4-beroenden och ger er en åtgärdslista innan ni patchar. Kontakta oss så bokar vi in det innan Patch Tuesday.