تاريخ النشر الأصلي: 13 يناير 2026
معرف KB: 5073381
في هذه المقالة
الملخص
تحتوي تحديثات Windows التي تم إصدارها في 13 يناير 2026 وبعده على حماية لثغرة أمنية باستخدام بروتوكول مصادقة Kerberos. تتناول تحديثات Windows ثغرة أمنية في الكشف عن المعلومات في CVE-2026-20833 قد تسمح للمهاجم بالحصول على تذاكر خدمة بأنواع تشفير ضعيفة أو قديمة مثل RC4 لتنفيذ هجمات دون اتصال لاسترداد كلمة مرور حساب خدمة.
للتخفيف من هذه الثغرة الأمنية، تم إصدار تحديثات Windows في 14 أبريل 2026 وبعده، قم بتغيير القيمة الافتراضية لمركز توزيع مفتاح Kerberos (KDC) ل DefaultDomainSupportedEncTypes، ما لم يقم المسؤولون بتمكين وضع الإنفاذ في وقت سابق. ستفترض وحدات التحكم بالمجال المحدثة التي تعمل في وضع الإنفاذ فقط دعم تكوينات نوع تشفير Standard التشفير المتقدمة (AES) إذا لم يتم تحديد تكوين صريح. لمزيد من المعلومات، راجع علامات بت أنواع التشفير المدعومة. تنطبق القيمة الافتراضية ل DefaultDomainSupportedEncTypes في حالة عدم وجود قيمة صريحة.
على وحدات التحكم بالمجال ذات قيمة سجل DefaultDomainSupportedEncTypes محددة، لن يتأثر السلوك وظيفيا بهذه التغييرات. ومع ذلك، سيتم تسجيل معرف حدث تدقيق KDCSVC: سيتم تسجيل 205 في سجل أحداث النظام إذا كان تكوين DefaultDomainSupportedEncTypes الحالي غير آمن (على سبيل المثال، عند استخدام تشفير RC4).
اتخاذ الإجراء المناسب
للمساعدة في حماية بيئتك ومنع الانقطاعات، نوصيك بما يلي:
-
تحديث وحدات تحكم مجال Microsoft Active Directory بدءا من تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك.
-
مراقبة سجل أحداث النظام لأي من أحداث KDCSVC 201 > 209 Audit التي تم تسجيلها في Windows Server 2012 ووحدات التحكم بالمجال الأحدث التي تحدد المخاطر مع تمكين حماية RC4.
-
تخفيف تم تسجيل أحداث KDCSVC في سجل أحداث النظام الذي يمنع التمكين اليدوي أو البرمجي لحماية RC4.
-
تمكين وضع الإنفاذ لمعالجة الثغرات الأمنية التي تمت معالجتها في CVE-2026-20833 في بيئتك عند عدم تسجيل أحداث التحذير أو الحظر أو النهج.
هام لن يعالج تثبيت التحديثات التي تم إصدارها في 13 يناير 2026 أو بعده الثغرات الأمنية الموضحة في CVE-2026-20833 لوحدات تحكم مجال Active Directory بشكل افتراضي. للتخفيف من الثغرة الأمنية بشكل كامل، يجب تمكين وضع الإنفاذ يدويا (الموضح في الخطوة 3: ENABLE) على جميع وحدات التحكم بالمجال. سيؤدي تثبيت Windows التحديثات الذي تم إصداره في يوليو 2026 وبعده إلى تمكين مرحلة الإنفاذ برمجيا.
سيتم تمكين وضع الإنفاذ تلقائيا عن طريق تثبيت Windows التحديثات تم إصداره في أبريل 2026 أو بعده على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة. في ذلك الوقت، لن تتمكن من تعطيل التدقيق ولكن قد تعود إلى إعداد وضع التدقيق. ستتم إزالة وضع التدقيق في يوليو 2026، كما هو موضح في قسم توقيت التحديثات ، وسيتم تمكين وضع الإنفاذ على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة.
إذا كنت بحاجة إلى الاستفادة من RC4 بعد أبريل 2026، نوصي بتمكين RC4 بشكل صريح داخل msds-SupportedEncryptionTypes bitmask على الخدمات التي ستحتاج إلى قبول استخدام RC4.
توقيت التحديثات
13 يناير 2026 - مرحلة النشر الأولية
تبدأ مرحلة التوزيع الأولية بالتحديثات التي تم إصدارها في 13 يناير 2026 وبعده، وتستمر مع تحديثات Windows اللاحقة حتى مرحلة الإنفاذ . هذه المرحلة هي تحذير العملاء من عمليات إنفاذ الأمان الجديدة التي سيتم تقديمها في مرحلة التوزيع الثانية. هذا التحديث:
-
يوفر أحداث تدقيق لتحذيص العملاء الذين قد يتأثرون سلبا بتصلب الأمان القادم.
-
يقدم الدعم لقيمة التسجيل RC4DefaultDisablementPhase بعد أن يقوم المسؤول بتمكين التغيير بشكل استباقي عن طريق تعيين القيمة إلى 2 على وحدات التحكم بالمجال عندما تشير أحداث تدقيق KDCSVC إلى أنه من الآمن القيام بذلك.
14 أبريل 2026 - مرحلة الإنفاذ مع التراجع اليدوي
يغير هذا التحديث القيمة الافتراضية DefaultDomainSupportedEncTypes لعمليات KDC للاستفادة من AES-SHA1 للحسابات التي لا تحتوي على سمة دليل نشط msds-SupportedEncryptionTypes محددة.
تغير هذه المرحلة القيمة الافتراضية ل DefaultDomainSupportedEncTypes إلى AES-SHA1 فقط: 0x18.
تتيح هذه المرحلة أيضا التكوين اليدوي لقيمة التراجع RC4DefaultDisablementPhase حتى التنفيذ البرمجي في يوليو 2026.
يوليو 2026 - مرحلة الإنفاذ
ستؤدي تحديثات Windows التي تم إصدارها في يوليو 2026 أو بعده إلى إزالة دعم مفتاح التسجيل الفرعي RC4DefaultDisablementPhase.
إرشادات التوزيع
لنشر تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك، اتبع الخطوات التالية:
-
قم بتحديث وحدات التحكم بالمجال باستخدام تحديث Windows تم إصداره في 13 يناير 2026 أو بعده.
-
مراقبة الأحداث المسجلة أثناء مرحلة التوزيع الأولية للمساعدة في تأمين بيئتك.
-
انقل وحدات التحكم بالمجال إلى وضع الإنفاذ باستخدام قسم إعدادات التسجيل.
الخطوة 1: تحديث
نشر تحديث Windows الذي تم إصداره في 13 يناير 2026 أو بعده على جميع Windows Active Directory القابل للتطبيق الذي يعمل كوحدة تحكم بالمجال بعد نشر التحديث.
-
ستظهر أحداث التدقيق في سجلات أحداث النظام إذا كان Windows Server 2012 أو وحدات التحكم بالمجال الأحدث تتلقى طلبات تذكرة خدمة Kerberos التي تتطلب استخدام تشفير RC4 ولكن حساب الخدمة لديه تكوين تشفير افتراضي.
-
سيتم تسجيل حدث التدقيق 205 في سجل أحداث النظام إذا كانت وحدة التحكم بالمجال لديك تحتوي على تكوين DefaultDomainSupportedEncTypes صريح للسماح بتشفير RC4.
الخطوة 2: MONITOR
بمجرد تحديث وحدات التحكم بالمجال، إذا كنت لا ترى أحداث التدقيق موثقة في هذه المقالة، فانتقل إلى وضع الإنفاذ عن طريق تغيير قيمة التسجيل RC4DefaultDisablementPhase إلى 2.
إذا كانت هناك أحداث تدقيق تم إنشاؤها، فستحتاج إما إلى إزالة تبعيات RC4 أو تكوين الحسابات بشكل صريح سمة msds-SupportedEncryptionTypes لدعم الاستخدام المستمر ل RC4 بعد التمكين اليدوي أو التلقائي لوضع الإنفاذ .
بالنسبة للمسؤولين المهتمين ب معالجة استخدام RC4 على نطاق أوسع مما تمت مناقشته في هذه المقالة، نوصي بمراجعة الكشف عن استخدام RC4 ومعالجته في Kerberos لمزيد من المعلومات.
هام يتم إنشاء أحداث التدقيق المتعلقة بهذا التغيير فقط عندما يكون Active Directory غير قادر على إصدار تذاكر خدمة AES-SHA1 أو مفاتيح الجلسة. لا يضمن عدم وجود أحداث تدقيق قبول جميع الأجهزة غير التابعة ل Windows بنجاح مصادقة Kerberos بعد تحديث أبريل. يجب على العملاء التحقق من إمكانية التشغيل التفاعلي غير Windows من خلال الاختبار قبل تمكين هذا السلوك على نطاق واسع.
الخطوة 3: تمكين
تمكين وضع الإنفاذ لمعالجة الثغرات الأمنية CVE-2026-20833 في بيئتك.
-
إذا طلب من KDC توفير تذكرة خدمة RC4 لحساب بتكوينات افتراضية، فسيتم تسجيل حدث خطأ.
-
ستستمر في رؤية معرف الحدث: 205 تم تسجيله للحصول على أي تكوين غير آمن ل DefaultDomainSupportedEncTypes.
إعدادات التسجيل
بعد تثبيت تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك، يتوفر مفتاح التسجيل التالي لبروتوكول Kerberos.
RC4DefaultDisablementPhase
يتم استخدام مفتاح التسجيل هذا لبوابة توزيع تغييرات Kerberos. مفتاح التسجيل هذا مؤقت ولن تتم قراءته بعد تاريخ التنفيذ.
|
مفتاح التسجيل |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
نوع البيانات |
REG_DWORD |
|
اسم القيمة |
RC4DefaultDisablementPhase |
|
القيمة |
0 – لا تدقيق، لا تغيير 1 - سيتم تسجيل أحداث التحذير على استخدام RC4 الافتراضي. (المرحلة 1 الافتراضية) 2 - سيبدأ Kerberos بافتراض عدم تمكين RC4 بشكل افتراضي. (المرحلة 2 الافتراضية) |
|
هل إعادة التشغيل مطلوبة؟ |
نعم |
أحداث التدقيق
بعد تثبيت تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك، تتم إضافة أنواع أحداث تدقيق KSCSVC التالية إلى سجل أحداث النظام Windows Server 2012 وتشغيلها لاحقا كوحدة تحكم بالمجال.
في هذا القسم
معرف الحدث: 201
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kdcsvc |
|
معرف الحدث |
201 |
|
نص الحدث |
كشف مركز توزيع المفاتيح عن <استخدام اسم التشفير> الذي سيكون غير مدعوم في مرحلة الإنفاذ لأن service msds-SupportedEncryptionTypes غير محدد ويدعم العميل أنواع التشفير غير الآمنة فقط. معلومات الحساب اسم الحساب:> اسم حساب < اسم النطاق المتوفر: <اسم النطاق المتوفر> msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> المفاتيح المتوفرة:> المفاتيح المتوفرة < معلومات الخدمة: اسم الخدمة:> اسم خدمة < معرف الخدمة:> معرف الخدمة < msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < معلومات وحدة التحكم بالمجال: msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < معلومات الشبكة: عنوان العميل:> عنوان IP للعميل < منفذ العميل:> منفذ العميل < Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. |
|
التعليقات |
معرف الحدث: سيتم تسجيل 201 إذا:
|
معرف الحدث: 202
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kdcsvc |
|
معرف الحدث |
202 |
|
نص الحدث |
كشف مركز توزيع المفاتيح <استخدام اسم التشفير> الذي سيكون غير مدعوم في مرحلة الإنفاذ لأن الخدمة msds-SupportedEncryptionTypes غير محددة وحساب الخدمة يحتوي فقط على مفاتيح غير آمنة. معلومات الحساب اسم الحساب:> اسم حساب < اسم النطاق المتوفر: <اسم النطاق المتوفر> msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> المفاتيح المتوفرة:> المفاتيح المتوفرة < معلومات الخدمة: اسم الخدمة:> اسم خدمة < معرف الخدمة:> معرف الخدمة < msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < معلومات وحدة التحكم بالمجال: msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < معلومات الشبكة: عنوان العميل:> عنوان IP للعميل < منفذ العميل:> منفذ العميل < Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. |
|
التعليقات |
سيتم تسجيل حدث التحذير 202 إذا:
|
معرف الحدث: 203
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kdcsvc |
|
معرف الحدث |
203 |
|
نص الحدث |
حظر مركز توزيع المفاتيح استخدام التشفير لأن الخدمة msds-SupportedEncryptionTypes غير محددة والعميل يدعم أنواع التشفير غير الآمنة فقط. معلومات الحساب اسم الحساب:> اسم حساب < اسم النطاق المتوفر: <اسم النطاق المتوفر> msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> المفاتيح المتوفرة:> المفاتيح المتوفرة < معلومات الخدمة: اسم الخدمة:> اسم خدمة < معرف الخدمة:> معرف الخدمة < msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < معلومات وحدة التحكم بالمجال: msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < معلومات الشبكة: عنوان العميل:> عنوان IP للعميل < منفذ العميل:> منفذ العميل < Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. |
|
التعليقات |
سيتم تسجيل حدث الخطأ 203 إذا:
|
معرف الحدث: 204
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kdcsvc |
|
معرف الحدث |
204 |
|
نص الحدث |
حظر مركز توزيع المفاتيح استخدام التشفير لأن الخدمة msds-SupportedEncryptionTypes غير محددة وحساب الخدمة يحتوي فقط على مفاتيح غير آمنة. معلومات الحساب اسم الحساب:> اسم حساب < اسم النطاق المتوفر: <اسم النطاق المتوفر> msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> المفاتيح المتوفرة:> المفاتيح المتوفرة < معلومات الخدمة: اسم الخدمة:> اسم خدمة < معرف الخدمة:> معرف الخدمة < msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < معلومات وحدة التحكم بالمجال: msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < معلومات الشبكة: عنوان العميل:> عنوان IP للعميل < منفذ العميل:> منفذ العميل < Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. |
|
التعليقات |
سيتم تسجيل حدث الخطأ 204 إذا:
|
معرف الحدث: 205
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kdcsvc |
|
معرف الحدث |
205 |
|
نص الحدث |
كشف مركز توزيع المفاتيح عن تمكين تشفير صريح في تكوين نهج أنواع التشفير المدعومة بالمجال الافتراضي. التشفير: <تمكين الشفرات غير الآمنة> DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes المكونة> راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. |
|
التعليقات |
سيتم تسجيل حدث التحذير 205 إذا:
|
معرف الحدث: 206
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kdcsvc |
|
معرف الحدث |
206 |
|
نص الحدث |
كشف مركز توزيع المفاتيح عن <استخدام اسم التشفير> الذي لن يتم دعمه في مرحلة الإنفاذ لأنه تم تكوين service msds-SupportedEncryptionTypes لدعم AES-SHA1 فقط ولكن العميل لا يقوم بتحميل AES-SHA1 معلومات الحساب اسم الحساب:> اسم حساب < اسم النطاق المتوفر: <اسم النطاق المتوفر> msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> المفاتيح المتوفرة:> المفاتيح المتوفرة < معلومات الخدمة: اسم الخدمة:> اسم خدمة < معرف الخدمة:> معرف الخدمة < msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < معلومات وحدة التحكم بالمجال: msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < معلومات الشبكة: عنوان العميل:> عنوان IP للعميل < منفذ العميل:> منفذ العميل < Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. |
|
التعليقات |
سيتم تسجيل حدث التحذير 206 إذا:
|
معرف الحدث: 207
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kdcsvc |
|
معرف الحدث |
207 |
|
نص الحدث |
كشف مركز توزيع المفاتيح <استخدام اسم التشفير> الذي سيكون غير مدعوم في مرحلة الإنفاذ لأنه تم تكوين service msds-SupportedEncryptionTypes لدعم AES-SHA1 فقط ولكن حساب الخدمة لا يحتوي على مفاتيح AES-SHA1. معلومات الحساب اسم الحساب:> اسم حساب < اسم النطاق المتوفر: <اسم النطاق المتوفر> msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> المفاتيح المتوفرة:> المفاتيح المتوفرة < معلومات الخدمة: اسم الخدمة:> اسم خدمة < معرف الخدمة:> معرف الخدمة < msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < معلومات وحدة التحكم بالمجال: msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < معلومات الشبكة: عنوان العميل:> عنوان IP للعميل < منفذ العميل:> منفذ العميل < Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. |
|
التعليقات |
سيتم تسجيل حدث التحذير 207 إذا:
|
معرف الحدث: 208
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kdcsvc |
|
معرف الحدث |
208 |
|
نص الحدث |
رفض مركز توزيع المفاتيح عمدا استخدام التشفير لأن الخدمة msds-SupportedEncryptionTypes تم تكوينها لدعم AES-SHA1 فقط ولكن العميل لا يحرف AES-SHA1 معلومات الحساب اسم الحساب:> اسم حساب < اسم النطاق المتوفر: <اسم النطاق المتوفر> msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> المفاتيح المتوفرة:> المفاتيح المتوفرة < معلومات الخدمة: اسم الخدمة:> اسم خدمة < معرف الخدمة:> معرف الخدمة < msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < معلومات وحدة التحكم بالمجال: msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < معلومات الشبكة: عنوان العميل:> عنوان IP للعميل < منفذ العميل:> منفذ العميل < Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. |
|
التعليقات |
سيتم تسجيل حدث الخطأ 208 إذا:
|
معرف الحدث: 209
|
سجل الأحداث |
النظام |
|
نوع الحدث |
تحذير |
|
مصدر الحدث |
Kdcsvc |
|
معرف الحدث |
209 |
|
نص الحدث |
رفض مركز توزيع المفاتيح عمدا استخدام التشفير لأنه تم تكوين service msds-SupportedEncryptionTypes لدعم AES-SHA1 فقط ولكن حساب الخدمة لا يحتوي على مفاتيح AES-SHA1 معلومات الحساب اسم الحساب:> اسم حساب < اسم النطاق المتوفر: <اسم النطاق المتوفر> msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> المفاتيح المتوفرة:> المفاتيح المتوفرة < معلومات الخدمة: اسم الخدمة:> اسم خدمة < معرف الخدمة:> معرف الخدمة < msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < معلومات وحدة التحكم بالمجال: msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < معلومات الشبكة: عنوان العميل:> عنوان IP للعميل < منفذ العميل:> منفذ العميل < Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. |
|
التعليقات |
سيتم تسجيل حدث الخطأ 209 إذا:
|
ملاحظة
فيما يتعلق بالتغيير الضمني في تحديد تشفير تذكرة الخدمة، تتمتع Microsoft برؤية محدودة للأسباب التي تجعل جهازا غير Windows غير قادر على قبول مصادقة Kerberos بعد تطبيق KDCs لتحديث أبريل والانتقال إلى سلوك AES-SHA1 الافتراضي عند عدم تحديده. نقترح التحقق من صحة هذه التغييرات من خلال الاختبار داخل بيئتك الخاصة قبل تمكين هذا السلوك على نطاق واسع.
المكان الأكثر شيوعا حيث ستتم مواجهة ذلك هو مع الأجهزة التي تستفيد من Kerberos Keytabs. إذا تم تصدير Kerberos Keytab بمفاتيح RC4 فقط، ولكن حساب الخدمة الهدف يحتوي على مفاتيح AES-SHA1 وليس لديه msds-SupportedEncryptionTypes محدد، فهناك احتمال لفشل المصادقة في هذه الخدمة. من المرجح أن يظهر هذا في شكل فشل المصادقة من الخدمة الهدف بدلا من KDC.
توصيتنا الأساسية هي العمل مع بائع الجهاز غير Windows. بشكل عام، حالات فشل الأجهزة غير التابعة ل Windows في قبول مصادقة Kerberos ليست فريدة من نوعها لتغييرات أبريل وقد تكون بسبب قيود خاصة بالجهاز أو خاصة بالتطبيق.
إذا تمت ملاحظة مشكلات مصادقة Kerberos مع الأجهزة غير التي تعمل بنظام Windows بعد هذا التغيير، ولم يكن إصلاح المورد ممكنا، فإن توصياتنا هي كما يلي:
-
في حساب الخدمة المتأثر، حدد صراحة msDS-SupportedEncryptionTypes لتضمين RC4 مع مفاتيح جلسة AES (0x24).
-
إذا لم يكن هذا ممكنا، كحل أخير، فبادر بتكوين قيمة سجل DefaultDomainSupportedEncTypes يدويا على جميع KDCs ذات الصلة لتضمين RC4 مع مفاتيح جلسة AES-SHA1 (0x24). لاحظ أن هذا يترك جميع الحسابات في المجال عرضة ل CVE-2026-20833.
من المهم ملاحظة أن هذا التكوين غير آمن، وتوصيتنا طويلة الأجل هي ترحيل الأجهزة غير التابعة ل Windows إلى الإصدارات التي تدعم تشفير تذكرة AES-SHA1 Kerberos.
الأسئلة المتداولة (FAQ)
س1: كيف يتفاعل هذا التغيير مع المجالات التي تحتوي على KDCs تابعة لجهة خارجية؟
يؤثر تغيير التصلب هذا فقط على وحدات تحكم مجال Windows. لا يتأثر تدفق Kerberos Trust والإحالة مع وحدات تحكم مجال Windows الأخرى أو KDCs التابعة لجهة خارجية.
س2: كيف يتفاعل هذا التغيير مع المجالات التي تحتوي على أجهزة مجال غير Windows؟
يجب أن تكون أجهزة المجال التابعة لجهة خارجية غير قادرة على معالجة تشفير AES-SHA1 قد تم تكوينها بالفعل بشكل صريح للسماح بتشفير RC4. يجب إصلاح الخدمات غير القادرين على معالجة تذاكر AES-SHA1 أو تكوينها بشكل صريح في Active Diretory لتوفير تشفير RC4 كما هو مذكور أعلاه. يرجى التحقق من صحة هذه التغييرات بدقة.
س3: هل ستقوم Microsoft بإزالة القدرة على تكوين DefaultDomainSupportedEncTypes؟
لا. سنقوم بتسجيل أحداث التحذير للتكوينات غير الآمنة ل DefaultDomainSupportedEncTypes. بالإضافة إلى ذلك، سنحترم أي تكوين تم تعيينه بشكل صريح من قبل المسؤول.
الموارد
تغيير السجل
|
تغيير التاريخ |
تغيير الوصف |
|
14 أبريل 2026 |
|
|
7 أبريل 2026 |
|
|
16 مارس 2026 |
|
|
10 فبراير 2026 |
|
