ينطبق على
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

تاريخ النشر الأصلي: 13 يناير 2026

معرف KB: 5073381

تغيير التاريخ

تغيير الوصف

10 فبراير 2026

  • تمت إضافة ارتباط الوثائق إلى تكرارات DefaultDomainSupportedEncTypes.

  • تصحيح صياغة نقطة التعداد النقطي الثانية في قسم "الخطوة 3: تمكين".من: يقدم قيمة التسجيل RC4DefaultDisablementPhase لتمكين التغيير بشكل استباقي عن طريق تعيين القيمة إلى 2 على وحدات التحكم بالمجال عندما تشير أحداث تدقيق KDCSVC إلى أنه من الآمن القيام بذلك.ل: يقدم الدعم لقيمة التسجيل RC4DefaultDisablementPhase بعد أن يقوم المسؤول بتمكين التغيير بشكل استباقي عن طريق تعيين القيمة إلى 2 على وحدات التحكم بالمجال عندما تشير أحداث تدقيق KDCSVC إلى أنه من الآمن القيام بذلك.

  • أسفل ملاحظة هامة في قسم "اتخاذ إجراء"، غيرت الجملة الأولى من الفقرة للإشارة إلى وقت تمكين وضع الإنفاذ تقريبا.من: اعتبارا من أبريل 2026، سيتم تمكين وضع الإنفاذ على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة.ل: سيتم تمكين وضع الإنفاذ تلقائيا عن طريق تثبيت Windows التحديثات تم إصداره في أبريل 2026 أو بعده على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة.

  • تمت إضافة صياغة للإشارة إلى هذا التغيير بواسطة Windows التحديثات تم إصدارها في 13 يناير 2026 وCVE-2026-20833 وبعد ذلك.

في هذه المقالة

الملخص

تحتوي تحديثات Windows التي تم إصدارها في 13 يناير 2026 وبعده على حماية لثغرة أمنية باستخدام بروتوكول مصادقة Kerberos. تتناول تحديثات Windows ثغرة أمنية في الكشف عن المعلومات في CVE-2026-20833 قد تسمح للمهاجم بالحصول على تذاكر خدمة بأنواع تشفير ضعيفة أو قديمة مثل RC4 لتنفيذ هجمات دون اتصال لاسترداد كلمة مرور حساب خدمة.

للتخفيف من هذه الثغرة الأمنية، يتم تغيير القيمة الافتراضية ل DefaultDomainSupportedEncTypes عن طريق تمكين وضع الإنفاذ. ستدعم وحدات التحكم بالمجال المحدثة التي تعمل في وضع الإنفاذ تكوينات نوع تشفير Standard التشفير المتقدم (AES). لمزيد من المعلومات، راجع علامات بت أنواع التشفير المدعومة. تنطبق القيمة الافتراضية ل DefaultDomainSupportedEncTypes في حالة عدم وجود قيمة صريحة

على وحدات التحكم بالمجال ذات قيمة سجل DefaultDomainSupportedEncTypes محددة، لن يتأثر السلوك وظيفيا بهذه التغييرات. ومع ذلك، سيتم تسجيل معرف حدث تدقيق KDCSVC: سيتم تسجيل 205 في سجل أحداث النظام إذا كان تكوين DefaultDomainSupportedEncTypes الحالي غير آمن (على سبيل المثال، عند استخدام تشفير RC4).

اتخاذ الإجراء المناسب

للمساعدة في حماية بيئتك ومنع الانقطاعات، نوصيك بما يلي: 

  • تحديث وحدات تحكم مجال Microsoft Active Directory بدءا من تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك.

  • مراقبة سجل أحداث النظام لأي من أحداث KDCSVC 201 > 209 Audit التي تم تسجيلها في Windows Server 2012 ووحدات التحكم بالمجال الأحدث التي تحدد المخاطر مع تمكين حماية RC4.

  • تخفيف تم تسجيل أحداث KDCSVC في سجل أحداث النظام الذي يمنع التمكين اليدوي أو البرمجي لحماية RC4.

  • تمكين وضع الإنفاذ لمعالجة الثغرات الأمنية التي تمت معالجتها في CVE-2026-20833 في بيئتك عند عدم تسجيل أحداث التحذير أو الحظر أو النهج.

هام لن يعالج تثبيت التحديثات التي تم إصدارها في 13 يناير 2026 أو بعده الثغرات الأمنية الموضحة في CVE-2026-20833 لوحدات تحكم مجال Active Directory بشكل افتراضي. للتخفيف من الثغرة الأمنية بشكل كامل، يجب تمكين وضع الإنفاذ يدويا (الموضح في الخطوة 3: ENABLE) على جميع وحدات التحكم بالمجال. سيؤدي تثبيت Windows التحديثات الذي تم إصداره في يوليو 2026 وبعده إلى تمكين مرحلة الإنفاذ برمجيا.

سيتم تمكين وضع الإنفاذ تلقائيا عن طريق تثبيت Windows التحديثات تم إصداره في أبريل 2026 أو بعده على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة.  في ذلك الوقت، لن تتمكن من تعطيل التدقيق ولكن قد تعود إلى إعداد وضع التدقيق. ستتم إزالة وضع التدقيق في يوليو 2026، كما هو موضح في قسم توقيت التحديثات ، وسيتم تمكين وضع الإنفاذ على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة.

إذا كنت بحاجة إلى الاستفادة من RC4 بعد أبريل 2026، نوصي بتمكين RC4 بشكل صريح داخل msds-SupportedEncryptionTypes bitmask على الخدمات التي ستحتاج إلى قبول استخدام RC4. 

توقيت التحديثات

13 يناير 2026 - مرحلة النشر الأولية 

تبدأ مرحلة التوزيع الأولية بالتحديثات التي تم إصدارها في 13 يناير 2026 وبعده، وتستمر مع تحديثات Windows اللاحقة حتى مرحلة الإنفاذ . هذه المرحلة هي تحذير العملاء من عمليات إنفاذ الأمان الجديدة التي سيتم تقديمها في مرحلة التوزيع الثانية. هذا التحديث: 

  • يوفر أحداث تدقيق لتحذيص العملاء الذين قد يتأثرون سلبا بتصلب الأمان القادم.

  • يقدم الدعم لقيمة التسجيل RC4DefaultDisablementPhase بعد أن يقوم المسؤول بتمكين التغيير بشكل استباقي عن طريق تعيين القيمة إلى 2 على وحدات التحكم بالمجال عندما تشير أحداث تدقيق KDCSVC إلى أنه من الآمن القيام بذلك.

أبريل 2026 - مرحلة الإنفاذ مع التراجع اليدوي 

يغير هذا التحديث القيمة الافتراضية DefaultDomainSupportedEncTypes لعمليات KDC للاستفادة من AES-SHA1 للحسابات التي لا تحتوي على سمة دليل نشط msds-SupportedEncryptionTypes محددة. 

تغير هذه المرحلة القيمة الافتراضية ل DefaultDomainSupportedEncTypes إلى AES-SHA1 فقط: 0x18

تتيح هذه المرحلة أيضا التكوين اليدوي لقيمة التراجع RC4DefaultDisablementPhase حتى التنفيذ البرمجي في يوليو 2026.

يوليو 2026 - مرحلة الإنفاذ 

ستؤدي تحديثات Windows التي تم إصدارها في يوليو 2026 أو بعده إلى إزالة دعم مفتاح التسجيل الفرعي RC4DefaultDisablementPhase

إرشادات التوزيع

لنشر تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك، اتبع الخطوات التالية: 

  1. قم بتحديث وحدات التحكم بالمجال باستخدام تحديث Windows تم إصداره في 13 يناير 2026 أو بعده.

  2. مراقبة الأحداث المسجلة أثناء مرحلة التوزيع الأولية للمساعدة في تأمين بيئتك.

  3. انقل وحدات التحكم بالمجال إلى وضع الإنفاذ باستخدام قسم إعدادات التسجيل.

الخطوة 1: تحديث  

نشر تحديث Windows الذي تم إصداره في 13 يناير 2026 أو بعده على جميع Windows Active Directory القابل للتطبيق الذي يعمل كوحدة تحكم بالمجال بعد نشر التحديث.

  • ستظهر أحداث التدقيق في سجلات أحداث النظام إذا كان Windows Server 2012 أو وحدات التحكم بالمجال الأحدث تتلقى طلبات تذكرة خدمة Kerberos التي تتطلب استخدام تشفير RC4 ولكن حساب الخدمة لديه تكوين تشفير افتراضي.

  • سيتم تسجيل حدث التدقيق 205 في سجل أحداث النظام إذا كانت وحدة التحكم بالمجال لديك تحتوي على تكوين DefaultDomainSupportedEncTypes صريح للسماح بتشفير RC4.

الخطوة 2: MONITOR

بمجرد تحديث وحدات التحكم بالمجال، إذا كنت لا ترى أي أحداث تدقيق، فانتقل إلى وضع الإنفاذ عن طريق تغيير قيمة RC4DefaultDisablementPhase إلى 2.   

إذا كانت هناك أحداث تدقيق تم إنشاؤها، فستحتاج إما إلى إزالة تبعيات RC4 أو تكوين أنواع التشفير المدعومة من Kerberos بشكل صريح لدعم الاستخدام المستمر ل RC4 بعد التمكين اليدوي أو التلقائي لوضع الإنفاذ .

لمعرفة كيفية الكشف عن استخدام RC4 في مجالك، سيحدد التدقيق حسابات الأجهزة والمستخدمين التي لا تزال تعتمد على RC4. يجب على المسؤولين اتخاذ خطوات لمعالجة الاستخدام لصالح أنواع تشفير أقوى أو إدارة تبعيات RC4. لمزيد من المعلومات، راجع الكشف عن استخدام RC4 ومعالجته في Kerberos.

الخطوة 3: تمكين  

تمكين وضع الإنفاذ لمعالجة الثغرات الأمنية CVE-2026-20833 في بيئتك. 

  • إذا طلب من KDC توفير تذكرة خدمة RC4 لحساب بتكوينات افتراضية، فسيتم تسجيل حدث خطأ.

  • ستستمر في رؤية معرف الحدث: 205 تم تسجيله للحصول على أي تكوين غير آمن ل DefaultDomainSupportedEncTypes.

إعدادات التسجيل

بعد تثبيت تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك، يتوفر مفتاح التسجيل التالي لبروتوكول Kerberos.

يتم استخدام مفتاح التسجيل هذا لبوابة توزيع تغييرات Kerberos. مفتاح التسجيل هذا مؤقت ولن تتم قراءته بعد تاريخ التنفيذ.

مفتاح التسجيل

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

نوع البيانات

REG_DWORD

اسم القيمة

RC4DefaultDisablementPhase

القيمة

0 – لا تدقيق، لا تغيير 

1 - سيتم تسجيل أحداث التحذير على استخدام RC4 الافتراضي. (المرحلة 1 الافتراضية) 

2 - سيبدأ Kerberos بافتراض عدم تمكين RC4 بشكل افتراضي.  (المرحلة 2 الافتراضية) 

هل إعادة التشغيل مطلوبة؟

نعم

أحداث التدقيق

بعد تثبيت تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك، تتم إضافة أنواع أحداث تدقيق KSCSVC التالية إلى سجل أحداث النظام Windows Server 2012 وتشغيلها لاحقا كوحدة تحكم بالمجال.

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

201

نص الحدث

كشف مركز توزيع المفاتيح عن <استخدام اسم التشفير> الذي سيكون غير مدعوم في مرحلة الإنفاذ لأن service msds-SupportedEncryptionTypes غير محدد ويدعم العميل أنواع التشفير غير الآمنة فقط. 

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

معرف الحدث: سيتم تسجيل 201 إذا:

  • العميل هو فقط الإعلان عن RC4 ك Etypes الإعلانية

  • لا تحتوي الخدمة الهدف على msds-SET محدد

  • لا تحتوي وحدة التحكم بالمجال على DDSET محدد

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 1

  • ينتقل حدث التحذير 201 إلى حدث الخطأ 203 في وضع الإنفاذ

  • يتم تسجيل هذا الحدث لكل طلب

  • لم يتم تسجيل حدث التحذير 201 إذا تم تعريف DefaultDomainSupportedEncTypes يدويا

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

202

نص الحدث

كشف مركز توزيع المفاتيح <استخدام اسم التشفير> الذي سيكون غير مدعوم في مرحلة الإنفاذ لأن الخدمة msds-SupportedEncryptionTypes غير محددة وحساب الخدمة يحتوي فقط على مفاتيح غير آمنة.  

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث التحذير 202 إذا:

  • لا تحتوي الخدمة المستهدفة على مفاتيح AES

  • لا تحتوي الخدمة الهدف على msds-SET محدد

  • لا تحتوي وحدة التحكم بالمجال على DDSET محدد

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 1

  • ينتقل حدث الخطأ 202 إلى الخطأ 204 في وضع الإنفاذ

  • يتم تسجيل حدث التحذير 202 على كل طلب

  • لم يتم تسجيل حدث التحذير 202 إذا تم تعريف DefaultDomainSupportedEncTypes يدويا

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

203

نص الحدث

حظر مركز توزيع المفاتيح استخدام التشفير لأن الخدمة msds-SupportedEncryptionTypes غير محددة والعميل يدعم أنواع التشفير غير الآمنة فقط. 

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث الخطأ 203 إذا:

  • العميل هو فقط الإعلان عن RC4 ك Etypes الإعلانية

  • لا تحتوي الخدمة الهدف على msds-SET محدد

  • لا تحتوي وحدة التحكم بالمجال على DDSET محدد

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 2

  • لكل طلب

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

204

نص الحدث

حظر مركز توزيع المفاتيح استخدام التشفير لأن الخدمة msds-SupportedEncryptionTypes غير محددة وحساب الخدمة يحتوي فقط على مفاتيح غير آمنة.  

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث الخطأ 204 إذا:

  • لا تحتوي الخدمة المستهدفة على مفاتيح AES

  • لا تحتوي الخدمة الهدف على msds-SET محدد

  • لا تحتوي وحدة التحكم بالمجال على DDSET محدد

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 2

  • لكل طلب

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

205

نص الحدث

كشف مركز توزيع المفاتيح عن تمكين تشفير صريح في تكوين نهج أنواع التشفير المدعومة بالمجال الافتراضي. 

التشفير: <تمكين الشفرات غير الآمنة> 

DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes المكونة> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد.

التعليقات

سيتم تسجيل حدث التحذير 205 إذا:

  • وحدة التحكم بالمجال لديها DDSET محددة لتضمين أي شيء باستثناء AES-SHA1.

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 1، 2

  • لن يتحول هذا أبدا إلى خطأ

  • الغرض هو جعل العملاء على دراية بالسلوك غير الآمن الذي لن نغيره

  • تسجيل الدخول في كل مرة في بداية KDCSVC

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

206

نص الحدث

كشف مركز توزيع المفاتيح عن <استخدام اسم التشفير> الذي لن يتم دعمه في مرحلة الإنفاذ لأنه تم تكوين service msds-SupportedEncryptionTypes لدعم AES-SHA1 فقط ولكن العميل لا يقوم بتحميل AES-SHA1 

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث التحذير 206 إذا:

  • العميل هو فقط الإعلان عن RC4 ك Etypes الإعلانية

  • يحدث أي مما يلي:

    • تم تعريف الخدمة الهدف msds-SET إلى AES-SHA1 فقط

    • وحدة التحكم بالمجال لديها DDSET محددة إلى AES-SHA1 فقط

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 1

  • انتقال حدث التحذير 2016 إلى حدث الخطأ 2018 في وضع الإنفاذ

  • تم التسجيل على أساس كل طلب

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

207

نص الحدث

كشف مركز توزيع المفاتيح <استخدام اسم التشفير> الذي سيكون غير مدعوم في مرحلة الإنفاذ لأنه تم تكوين service msds-SupportedEncryptionTypes لدعم AES-SHA1 فقط ولكن حساب الخدمة لا يحتوي على مفاتيح AES-SHA1.  

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث التحذير 207 إذا:

  • لا تحتوي الخدمة المستهدفة على مفاتيح AES

  • يحدث أي مما يلي:

    • تم تعريف الخدمة الهدف msds-SET إلى AES-SHA1 فقط

    • وحدة التحكم بالمجال لديها DDSET محددة إلى AES-SHA1 فقط

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 1

  • سيتحول هذا إلى 209 (خطأ) في وضع الإنفاذ

  • لكل طلب

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

208

نص الحدث

رفض مركز توزيع المفاتيح عمدا استخدام التشفير لأن الخدمة msds-SupportedEncryptionTypes تم تكوينها لدعم AES-SHA1 فقط ولكن العميل لا يحرف AES-SHA1 

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث الخطأ 208 إذا:

  • العميل هو فقط الإعلان عن RC4 ك Etypes الإعلانية

  • يحدث EIther مما يلي:

    • تم تعريف الخدمة الهدف msds-SET إلى AES-SHA1 فقط

    • وحدة التحكم بالمجال لديها DDSET محددة إلى AES-SHA1 فقط

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 2

  • لكل طلب

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

209

نص الحدث

رفض مركز توزيع المفاتيح عمدا استخدام التشفير لأنه تم تكوين service msds-SupportedEncryptionTypes لدعم AES-SHA1 فقط ولكن حساب الخدمة لا يحتوي على مفاتيح AES-SHA1 

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث الخطأ 209 إذا:

  • لا تحتوي الخدمة المستهدفة على مفاتيح AES

  • يحدث أي مما يلي:

    • تم تعريف الخدمة الهدف msds-SET إلى AES-SHA1 فقط

    • وحدة التحكم بالمجال لديها DDSET محددة إلى AES-SHA1 فقط

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 2

  • لكل طلب

ملاحظة

إذا وجدت أن أيا من رسائل التحذير هذه مسجلة على وحدة تحكم بالمجال، فمن المحتمل أن جميع وحدات التحكم بالمجال في مجالك ليست محدثة مع تحديث Windows الذي تم إصداره في 13 يناير 2026 أو بعده. للتخفيف من الثغرة الأمنية، ستحتاج إلى التحقيق في مجالك بشكل أكبر للعثور على وحدات التحكم بالمجال غير المحدثة.  

إذا رأيت معرف حدث: 0x8000002A تسجيل الدخول إلى وحدة تحكم مجال، فيرجى مراجعة KB5021131: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37966.

الأسئلة المتداولة (FAQ)

يؤثر تغيير التصلب هذا فقط على وحدات تحكم مجال Windows. لا يتأثر تدفق Kerberos Trust والإحالة مع وحدات تحكم مجال Windows الأخرى أو KDCs التابعة لجهة خارجية.

يجب أن تكون أجهزة المجال التابعة لجهة خارجية غير قادرة على معالجة تشفير AES-SHA1 قد تم تكوينها بالفعل بشكل صريح للسماح بتشفير AES-SHA1.

لا. سنقوم بتسجيل أحداث التحذير للتكوينات غير الآمنة ل DefaultDomainSupportedEncTypes. بالإضافة إلى ذلك، سنحترم أي تكوين تم تعيينه بشكل صريح من قبل المسؤول.

الموارد

KB5020805: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37967

KB5021131: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37966

علامات بت أنواع التشفير المدعومة

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة