Easi Blog

Kerberos-encryptiewijzigingen: Active Directory voorbereiden op de uitfasering van RC4

Geschreven door Daria Kovalenko | May 11, 2026 3:09:45 PM

Microsoft zet zijn langetermijnstrategie voort om authenticatiebeveiliging binnen Windows Server- en Active Directory-omgevingen verder te versterken. Een van de volgende belangrijke stappen binnen die strategie is de geleidelijke verwijdering van RC4 uit Kerberos-authenticatie.

Voor de meeste moderne IT-omgevingen zal deze overgang zonder grote verstoringen verlopen. Organisaties die nog afhankelijk zijn van verouderde systemen, oude serviceaccounts of onaangeroerde Kerberos-configuraties kunnen echter authenticatieproblemen ondervinden als er geen voorbereiding gebeurt.

Wat verandert er?

Kerberos is het standaard authenticatieprotocol dat wordt gebruikt in Microsoft Active Directory-omgevingen. Historisch gezien vertrouwden veel omgevingen op het RC4-encryptiealgoritme voor Kerberos-ticketing.

  • Het probleem:
    RC4 wordt vandaag beschouwd als cryptografisch zwak en voldoet niet langer aan moderne beveiligingsstandaarden.

  • De oplossing:
    Microsoft beweegt omgevingen daarom richting AES-gebaseerde Kerberos-encryptie (AES-128 en AES-256). 

Belangrijke mijlpalen

Vanaf de Windows security updates van april 2026:

  • RC4 wordt standaard niet langer opgenomen in de Kerberos-encryptiemethoden die door een domein worden ondersteund.

Volgende updates later in 2026:

  • RC4-ondersteuning wordt volledig uitgeschakeld.
    Er zal geen ondersteund rollbackmechanisme meer beschikbaar zijn.

Dit betekent dat systemen of accounts die nog uitsluitend afhankelijk zijn van RC4 mogelijk niet langer succesvol kunnen authenticeren.

Welke omgevingen kunnen impact ondervinden?

Moderne besturingssystemen en applicaties ondersteunen AES al en worden niet getroffen. De impact heeft vooral betrekking op legacy systemen of oudere configuraties die nooit gemoderniseerd werden.

Mogelijk getroffen componenten zijn:

  • Legacy besturingssystemen
  • Oudere NAS-appliances of embedded devices
  • Verouderde Linux- of Unix-distributies
  • Third-party applicaties die oude Kerberos-libraries gebruiken
  • Oude serviceaccounts
  • Active Directory-omgevingen die nog steeds standaard RC4 gebruiken

Een belangrijke nuance:
RC4 vandaag gebruiken betekent niet automatisch dat er een storing zal optreden.

Veel systemen die momenteel RC4 aanvragen, ondersteunen ook AES maar blijven RC4 gebruiken omdat het beschikbaar blijft. Zodra RC4 verwijderd wordt, kunnen deze systemen automatisch succesvol AES onderhandelen.

Daarom zijn verificatie en monitoring cruciaal vóór enforcement.

Welke Windows-systemen worden rechtstreeks getroffen?

Systemen die AES Kerberos-encryptie niet betrouwbaar ondersteunen

De volgende besturingssystemen zijn afhankelijk van RC4 en zullen naar verwachting authenticatieproblemen ondervinden zodra RC4 volledig uitgeschakeld wordt:

  •  Windows-systemen die authenticatie zullen breken
  • Windows 2000
  • Windows XP
  • Windows Server 2003 / 2003 R2

Deze platformen:

  • Ondersteunen alleen RC4-HMAC voor Kerberos
  • Kunnen geen AES-gebaseerde Kerberos-tickets onderhandelen

Systemen die AES al ondersteunen

De volgende Windows-versies worden niet inherent getroffen:

  • Windows Vista en later
  • Windows 7, 8, 8.1
  • Windows 10 en Windows 11
  • Windows Server 2008 en later (d.w.z. 2008, 2012, 2016, 2019, 2022, 2025) 

Maar zelfs in moderne omgevingen:

  • Oude serviceaccounts kunnen nog steeds geconfigureerd zijn voor RC4
  • Onaangeroerde Active Directory-omgevingen kunnen RC4 standaard blijven verkiezen
  • Legacy integraties kunnen nog steeds RC4-tickets aanvragen

AES-capaciteit alleen garandeert geen readiness.

Wat zijn de risico’s?

Als organisaties onvoorbereid zijn, kan de uitfasering van RC4 leiden tot:

  • Authenticatiefouten
  • Serviceonderbrekingen
  • Problemen met applicatieconnectiviteit
  • Verhoogde troubleshootingdruk tijdens updatevensters 

Het goede nieuws is dat het risico zeer beheersbaar is wanneer het proactief wordt aangepakt.

Waarom organisaties nu moeten beoordelen

Het doel is niet om onnodige ongerustheid te creëren. In veel omgevingen zal de overgang naar AES vlot verlopen.

Het echte doel van een assessment is het identificeren van:

  • Legacy systemen die AES niet kunnen ondersteunen
  • Applicaties die verouderde Kerberos-implementaties gebruiken
  • Serviceaccounts die nog geconfigureerd zijn voor RC4-only encryptie

  • Systemen die stilzwijgend RC4 verkiezen ondanks beschikbare AES-ondersteuning

Dit stelt organisaties in staat om remediatie gecontroleerd te plannen in plaats van te reageren tijdens een storing.

Aanbevolen acties

We raden sterk aan om een Kerberos-readiness assessment uit te voeren voordat RC4-enforcement verplicht wordt.

Typische stappen zijn:

1. Kerberos-encryptiegebruik beoordelen

Identificeer welke systemen, services of accounts nog RC4 Kerberos-tickets aanvragen.

2. AES-compatibiliteit valideren

Bevestig of de geïdentificeerde systemen AES-encryptie correct ondersteunen.

3. Remediëren waar nodig

Afhankelijk van de bevindingen kan dit het volgende omvatten:

  • Legacy systemen updaten
  • Serviceaccounts herconfigureren
  • Kerberos-encryptie-instellingen aanpassen
  • Niet-ondersteunde applicaties of appliances vervangen 

4. Gecontroleerd overstappen naar AES

De overstap naar AES-only authenticatie moet gepland en gevalideerd worden vóór de enforcement deadlines.

Is tijdelijke mitigatie mogelijk?

Ja, Microsoft laat momenteel nog tijdelijke compatibiliteitsinstellingen toe om RC4-ondersteuning opnieuw in te schakelen voor remediatiedoeleinden.

Maar:

  •  Dit is alleen bedoeld als kortetermijnmitigatie

  • Toekomstige updates zullen deze fallback uiteindelijk volledig verwijderen

 De langetermijnaanbeveling blijft duidelijk:
volledig migreren naar AES waar mogelijk. 

Hoe Easi kan helpen

Onze teams kunnen ondersteunen met:

  •  Kerberos encryption readiness assessments
  •  Kerberos event log analyse
  •  Identificatie van RC4-afhankelijke systemen of accounts
  •  AES-migratieplanning
  •  Remediatie en validatie

  • Wijzigingsdocumentatie en testing

Of u nu nood heeft aan een technische deep-dive of een volledige assessment van uw omgeving of ondersteuning met remediatie of testing, proactieve voorbereiding vandaag helpt authenticatieverrassingen morgen vermijden.

 Slotgedachten 

Microsofts uitfasering van RC4 maakt deel uit van een bredere security hardening-strategie, ontworpen om de weerbaarheid van moderne Active Directory-omgevingen te verbeteren.

Voor de meeste organisaties blijft de impact beperkt, op voorwaarde dat legacy afhankelijkheden tijdig geïdentificeerd worden.

Nu voorbereiden helpt zorgen voor:

  • Business continuity
  • Sterkere authenticatiebeveiliging
  • Verminderd operationeel risico

  • Compliance met moderne beveiligingsstandaarden

De overgang weg van RC4 is niet zomaar een toekomstige Microsoft-wijziging. Voor veel organisaties is het ook een kans om langdurige authenticatie-afhankelijkheden eindelijk te moderniseren voordat ze een bedrijfsrisico worden.

 


👉 Neem contact op voor begeleiding op maat

Christophe Verhaeghe
Senior Business Unit Manager

Daria Kovalenko
Project Officer

Davy Cardon
Expert System Engineer

 
Volledig bericht weergeven