ينطبق على
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

تاريخ النشر الأصلي: 13 يناير 2026

معرف KB: 5073381

انتهاء صلاحية شهادة التمهيد الآمن لـ Windows 

هام: شهادات التمهيد الآمن المستخدمة من قبل معظم أجهزة Windows معينة على أن تنتهي صلاحيتها بدءاً من يونيو 2026. قد يؤثر هذا على قدرة بعض الأجهزة الشخصية وأجهزة الأعمال على التمهيد بأمان إذا لم يتم تحديثها في الموعد المحدد. لتجنب انقطاع الخدمة، نوصي بمراجعة الإرشادات واتخاذ إجراء لتحديث الشهادات مسبقاً. للحصول على التفاصيل وخطوات التحضير، اطلع على انتهاء صلاحية شهادة التمهيد الآمن لـ Windows وتحديثات هيئة الشهادات

في هذه المقالة

الملخص

تحتوي تحديثات Windows التي تم إصدارها في 13 يناير 2026 وبعده على حماية لثغرة أمنية باستخدام بروتوكول مصادقة Kerberos. تعالج تحديثات Windows ثغرة أمنية في الكشف عن المعلومات قد تسمح للمهاجم بالحصول على تذاكر الخدمة بأنواع تشفير ضعيفة أو قديمة مثل RC4 وتنفيذ هجمات دون اتصال لاسترداد كلمة مرور حساب خدمة.

للمساعدة في تأمين بيئتك وتصلبها، قم بتثبيت تحديث Windows الذي تم إصداره في 13 يناير 2026 أو بعده على جميع خوادم Windows المدرجة في قسم "ينطبق على" الذي يعمل كوحدة تحكم بالمجال. لمعرفة المزيد حول الثغرات الأمنية، راجع CVE-2026-20833

للتخفيف من هذه الثغرة الأمنية، يتم تغيير القيمة الافتراضية ل DefaultDomainSupportedEncTypes (DDSET) بحيث تدعم جميع وحدات التحكم بالمجال فقط التذاكر المشفرة للتشفير المتقدم Standard (AES-SHA1) للحسابات دون تكوين نوع تشفير Kerberos صريح. لمزيد من المعلومات، راجع علامات بت أنواع التشفير المدعومة.

على وحدات التحكم بالمجال ذات قيمة سجل DefaultDomainSupportedEncTypes محددة، لن يتأثر السلوك وظيفيا بهذه التغييرات. ومع ذلك، قد يتم تسجيل معرف حدث تدقيق KDCSVC: 205 في سجل أحداث النظام إذا كان تكوين DefaultDomainSupportedEncTypes الحالي غير آمن.

اتخاذ الإجراء المناسب

للمساعدة في حماية بيئتك ومنع الانقطاعات، نوصي بالقيام بالخطوات التالية: 

  • تحديث وحدات تحكم مجال Microsoft Active Directory بدءا من تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك.

  • مراقبة سجل أحداث النظام لأي من أحداث التدقيق 9 التي تم تسجيلها في Windows Server 2012 ووحدات التحكم بالمجال الأحدث التي تحدد المخاطر مع تمكين حماية RC4.

  • تخفيف تم تسجيل أحداث KDCSVC في سجل أحداث النظام الذي يمنع التمكين اليدوي أو البرمجي لحماية RC4.

  • تمكين وضع الإنفاذ لمعالجة الثغرات الأمنية التي تمت معالجتها في CVE-2026-20833 في بيئتك عند عدم تسجيل أحداث التحذير أو الحظر أو النهج.

هام لن يعالج تثبيت التحديثات التي تم إصدارها في 13 يناير 2026 أو بعده الثغرات الأمنية الموضحة في CVE-2026-20833 لوحدات تحكم مجال Active Directory بشكل افتراضي. للتخفيف من الثغرة الأمنية بشكل كامل، يجب الانتقال إلى الوضع المفروض (الموضح في الخطوة 3) في أقرب وقت ممكن على جميع وحدات التحكم بالمجال. 

اعتبارا من أبريل 2026، سيتم تمكين وضع الإنفاذ على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة.  في ذلك الوقت، لن تتمكن من تعطيل التدقيق ولكن قد تعود إلى إعداد وضع التدقيق. ستتم إزالة وضع التدقيق في يوليو 2026، كما هو موضح في قسم توقيت التحديثات ، وسيتم تمكين وضع الإنفاذ على جميع وحدات تحكم مجال Windows وسيحظر الاتصالات الضعيفة من الأجهزة غير المتوافقة.

إذا كنت بحاجة إلى الاستفادة من RC4 بعد أبريل 2026، نوصي بتمكين RC4 بشكل صريح داخل msds-SupportedEncryptionTypes bitmask على الخدمات التي ستحتاج إلى قبول استخدام RC4. 

توقيت التحديثات

13 يناير 2026 - مرحلة النشر الأولية 

تبدأ مرحلة التوزيع الأولية بالتحديثات التي تم إصدارها في 13 يناير 2026 وبعده، وتستمر مع تحديثات Windows اللاحقة حتى مرحلة الإنفاذ . هذه المرحلة هي تحذير العملاء من عمليات إنفاذ الأمان الجديدة التي سيتم تقديمها في مرحلة التوزيع الثانية. هذا التحديث: 

  • يوفر أحداث تدقيق لتحذيص العملاء الذين قد يتأثرون سلبا بتصلب الأمان القادم.

  • يقدم قيمة التسجيل RC4DefaultDisablementPhase لتمكين التغيير بشكل استباقي عن طريق تعيين القيمة إلى 2 على وحدات التحكم بالمجال عندما تشير أحداث تدقيق KDCSVC إلى أنه من الآمن القيام بذلك.

أبريل 2026 - مرحلة التوزيع الثانية 

يغير هذا التحديث القيمة الافتراضية DefaultDomainSupportedEncTypes لعمليات KDC للاستفادة من AES-SHA1 للحسابات التي لا تحتوي على سمة دليل نشط msds-SupportedEncryptionTypes محددة. 

تغير هذه المرحلة القيمة الافتراضية ل DefaultDomainSupportedEncTypes إلى AES-SHA1 فقط: 0x18

يوليو 2026 - مرحلة الإنفاذ 

ستؤدي تحديثات Windows التي تم إصدارها في يوليو 2026 أو بعده إلى إزالة دعم مفتاح التسجيل الفرعي RC4DefaultDisablementPhase

إرشادات التوزيع

لنشر تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك، اتبع الخطوات التالية: 

  1. قم بتحديث وحدات التحكم بالمجال باستخدام تحديث Windows تم إصداره في 13 يناير 2026 أو بعده.

  2. مراقبة الأحداث المسجلة أثناء مرحلة التوزيع الأولية للمساعدة في تأمين بيئتك.

  3. انقل وحدات التحكم بالمجال إلى وضع الإنفاذ باستخدام قسم إعدادات التسجيل.

الخطوة 1: تحديث  

نشر تحديث Windows الذي تم إصداره في 13 يناير 2026 أو بعده على جميع Windows Active Directory القابل للتطبيق الذي يعمل كوحدة تحكم بالمجال بعد نشر التحديث.

  • ستظهر أحداث التدقيق في سجلات أحداث النظام إذا كانت وحدة التحكم بالمجال تتلقى طلبات تذكرة خدمة Kerberos التي تتطلب استخدام تشفير RC4 ولكن حساب الخدمة لديه تكوين تشفير افتراضي.

  • سيتم تسجيل أحداث التدقيق في سجل أحداث النظام إذا كانت وحدة التحكم بالمجال لديك تحتوي على تكوين DefaultDomainSupportedEncTypes صريح للسماح بتشفير RC4.

الخطوة 2: MONITOR

بمجرد تحديث وحدات التحكم بالمجال، إذا كنت لا ترى أي أحداث تدقيق، فانتقل إلى وضع الإنفاذ عن طريق تغيير قيمة RC4DefaultDisablementPhase إلى 2.   

إذا كانت هناك أحداث تدقيق تم إنشاؤها، فستحتاج إما إلى إزالة تبعيات RC4 أو تكوين أنواع التشفير المدعومة من Kerberos بشكل صريح. بعد ذلك، ستتمكن من الانتقال إلى وضع الإنفاذ .

لمعرفة كيفية الكشف عن استخدام RC4 في مجالك، وحسابات الأجهزة والمستخدمين التي لا تزال تعتمد على RC4، واتخاذ خطوات لمعالجة الاستخدام لصالح أنواع تشفير أقوى أو إدارة تبعيات RC4، راجع الكشف عن استخدام RC4 ومعالجته في Kerberos.

الخطوة 3: تمكين  

تمكين وضع الإنفاذ لمعالجة الثغرات الأمنية CVE-2026-20833 في بيئتك. 

  • إذا طلب من KDC توفير تذكرة خدمة RC4 لحساب بتكوينات افتراضية، تسجيل حدث خطأ.

  • ستظل ترى معرف الحدث: تم تسجيل 205 للحصول على أي تكوين غير آمن ل DefaultDomainSupportedEncTypes.

إعدادات التسجيل

بعد تثبيت تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك، يتوفر مفتاح التسجيل التالي لبروتوكول Kerberos.

يتم استخدام مفتاح التسجيل هذا لبوابة توزيع تغييرات Kerberos. مفتاح التسجيل هذا مؤقت ولن تتم قراءته بعد تاريخ التنفيذ.

مفتاح التسجيل

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

نوع البيانات

REG_DWORD

اسم القيمة

RC4DefaultDisablementPhase

القيمة

0 – لا تدقيق، لا تغيير 

1 - سيتم تسجيل أحداث التحذير على استخدام RC4 الافتراضي. (المرحلة 1 الافتراضية) 

2 - سيبدأ Kerberos بافتراض عدم تمكين RC4 بشكل افتراضي.  (المرحلة 2 الافتراضية) 

هل إعادة التشغيل مطلوبة؟

نعم

أحداث التدقيق

بعد تثبيت تحديثات Windows التي تم إصدارها في 13 يناير 2026 أو بعد ذلك، تتم إضافة أنواع أحداث التدقيق التالية إلى Windows Server 2012 وتشغيلها لاحقا كوحدة تحكم بالمجال.

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

201

نص الحدث

كشف مركز توزيع المفاتيح عن <استخدام اسم التشفير> الذي سيكون غير مدعوم في مرحلة الإنفاذ لأن service msds-SupportedEncryptionTypes غير محدد ويدعم العميل أنواع التشفير غير الآمنة فقط. 

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

معرف الحدث: سيتم تسجيل 201 إذا:

  • العميل هو فقط الإعلان عن RC4 ك Etypes الإعلانية

  • لا تحتوي الخدمة الهدف على msds-SET محدد

  • لا تحتوي وحدة التحكم بالمجال على DDSET محدد

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 1

  • ينتقل حدث التحذير 201 إلى حدث الخطأ 203 في وضع الإنفاذ

  • يتم تسجيل هذا الحدث لكل طلب

  • لم يتم تسجيل حدث التحذير 201 إذا تم تعريف DefaultDomainSupportedEncTypes يدويا

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

202

نص الحدث

كشف مركز توزيع المفاتيح <استخدام اسم التشفير> الذي سيكون غير مدعوم في مرحلة الإنفاذ لأن الخدمة msds-SupportedEncryptionTypes غير محددة وحساب الخدمة يحتوي فقط على مفاتيح غير آمنة.  

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث التحذير 202 إذا:

  • لا تحتوي الخدمة المستهدفة على مفاتيح AES

  • لا تحتوي الخدمة الهدف على msds-SET محدد

  • لا تحتوي وحدة التحكم بالمجال على DDSET محدد

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 1

  • ينتقل حدث الخطأ 202 إلى الخطأ 204 في وضع الإنفاذ

  • يتم تسجيل حدث التحذير 202 على كل طلب

  • لم يتم تسجيل حدث التحذير 202 إذا تم تعريف DefaultDomainSupportedEncTypes يدويا

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

203

نص الحدث

حظر مركز توزيع المفاتيح استخدام التشفير لأن الخدمة msds-SupportedEncryptionTypes غير محددة والعميل يدعم أنواع التشفير غير الآمنة فقط. 

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث الخطأ 203 إذا:

  • العميل هو فقط الإعلان عن RC4 ك Etypes الإعلانية

  • لا تحتوي الخدمة الهدف على msds-SET محدد

  • لا تحتوي وحدة التحكم بالمجال على DDSET محدد

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 2

  • لكل طلب

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

204

نص الحدث

حظر مركز توزيع المفاتيح استخدام التشفير لأن الخدمة msds-SupportedEncryptionTypes غير محددة وحساب الخدمة يحتوي فقط على مفاتيح غير آمنة.  

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث الخطأ 204 إذا:

  • لا تحتوي الخدمة المستهدفة على مفاتيح AES

  • لا تحتوي الخدمة الهدف على msds-SET محدد

  • لا تحتوي وحدة التحكم بالمجال على DDSET محدد

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 2

  • لكل طلب

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

205

نص الحدث

كشف مركز توزيع المفاتيح عن تمكين تشفير صريح في تكوين نهج أنواع التشفير المدعومة بالمجال الافتراضي. 

التشفير: <تمكين الشفرات غير الآمنة> 

DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes المكونة> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد.

التعليقات

سيتم تسجيل حدث التحذير 205 إذا:

  • وحدة التحكم بالمجال لديها DDSET محددة لتضمين أي شيء باستثناء AES-SHA1.

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 1، 2

  • لن يتحول هذا أبدا إلى خطأ

  • الغرض هو جعل العملاء على دراية بالسلوك غير الآمن الذي لن نغيره

  • تسجيل الدخول في كل مرة في بداية KDCSVC

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

206

نص الحدث

كشف مركز توزيع المفاتيح عن <استخدام اسم التشفير> الذي لن يتم دعمه في مرحلة الإنفاذ لأنه تم تكوين service msds-SupportedEncryptionTypes لدعم AES-SHA1 فقط ولكن العميل لا يقوم بتحميل AES-SHA1 

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث التحذير 206 إذا:

  • العميل هو فقط الإعلان عن RC4 ك Etypes الإعلانية

  • يحدث أي مما يلي:

    • تم تعريف الخدمة الهدف msds-SET إلى AES-SHA1 فقط

    • وحدة التحكم بالمجال لديها DDSET محددة إلى AES-SHA1 فقط

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 1

  • انتقال حدث التحذير 2016 إلى حدث الخطأ 2018 في وضع الإنفاذ

  • تم التسجيل على أساس كل طلب

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

207

نص الحدث

كشف مركز توزيع المفاتيح <استخدام اسم التشفير> الذي سيكون غير مدعوم في مرحلة الإنفاذ لأنه تم تكوين service msds-SupportedEncryptionTypes لدعم AES-SHA1 فقط ولكن حساب الخدمة لا يحتوي على مفاتيح AES-SHA1.  

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث التحذير 207 إذا:

  • لا تحتوي الخدمة المستهدفة على مفاتيح AES

  • يحدث أي مما يلي:

    • تم تعريف الخدمة الهدف msds-SET إلى AES-SHA1 فقط

    • وحدة التحكم بالمجال لديها DDSET محددة إلى AES-SHA1 فقط

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 1

  • سيتحول هذا إلى 209 (خطأ) في وضع الإنفاذ

  • لكل طلب

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

208

نص الحدث

رفض مركز توزيع المفاتيح عمدا استخدام التشفير لأن الخدمة msds-SupportedEncryptionTypes تم تكوينها لدعم AES-SHA1 فقط ولكن العميل لا يحرف AES-SHA1 

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث الخطأ 208 إذا:

  • العميل هو فقط الإعلان عن RC4 ك Etypes الإعلانية

  • يحدث EIther مما يلي:

    • تم تعريف الخدمة الهدف msds-SET إلى AES-SHA1 فقط

    • وحدة التحكم بالمجال لديها DDSET محددة إلى AES-SHA1 فقط

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 2

  • لكل طلب

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

209

نص الحدث

رفض مركز توزيع المفاتيح عمدا استخدام التشفير لأنه تم تكوين service msds-SupportedEncryptionTypes لدعم AES-SHA1 فقط ولكن حساب الخدمة لا يحتوي على مفاتيح AES-SHA1 

معلومات الحساب 

    اسم الحساب:> اسم حساب < 

    اسم النطاق المتوفر: <اسم النطاق المتوفر> 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة < 

معلومات الخدمة: 

    اسم الخدمة:> اسم خدمة < 

    معرف الخدمة:> معرف الخدمة < 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة من الخدمة> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لخدمة < 

معلومات وحدة التحكم بالمجال: 

    msds-SupportedEncryptionTypes: <أنواع التشفير المدعومة لوحدة تحكم المجال> 

    DefaultDomainSupportedEncTypes: <قيمة DefaultDomainSupportedEncTypes> 

    المفاتيح المتوفرة:> المفاتيح المتوفرة لوحدة تحكم المجال < 

معلومات الشبكة: 

    عنوان العميل:> عنوان IP للعميل < 

    منفذ العميل:> منفذ العميل < 

    Advertized Etypes: <أنواع تشفير Kerberos المعاد تحويلها> 

راجع https://go.microsoft.com/fwlink/?linkid=2344614 لمعرفة المزيد. 

التعليقات

سيتم تسجيل حدث الخطأ 209 إذا:

  • لا تحتوي الخدمة المستهدفة على مفاتيح AES

  • يحدث أي مما يلي:

    • تم تعريف الخدمة الهدف msds-SET إلى AES-SHA1 فقط

    • وحدة التحكم بالمجال لديها DDSET محددة إلى AES-SHA1 فقط

  • يتم تعيين قيمة التسجيل RC4DefaultDisablementPhase إلى 2

  • لكل طلب

ملاحظة

إذا وجدت أن أيا من رسائل التحذير هذه مسجلة على وحدة تحكم بالمجال، فمن المحتمل أن جميع وحدات التحكم بالمجال في مجالك ليست محدثة مع تحديث Windows الذي تم إصداره في 13 يناير 2026 أو بعده. للتخفيف من الثغرة الأمنية، ستحتاج إلى التحقيق في مجالك بشكل أكبر للعثور على وحدات التحكم بالمجال غير المحدثة.  

إذا رأيت معرف حدث: 0x8000002A تسجيل الدخول إلى وحدة تحكم مجال، فيرجى مراجعة KB5021131: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37966.

الأسئلة المتداولة (FAQ)

يؤثر هذا التصلب على وحدات تحكم مجال Windows عند إصدار تذاكر الخدمة. لا يتأثر تدفق Kerberos Trust and referral.

يجب أن تكون أجهزة المجال التابعة لجهة خارجية غير قادرة على معالجة AES-SHA1 قد تم تكوينها بالفعل بشكل صريح للسماح ب AES-SHA1.

لا. سنقوم بتسجيل أحداث التحذير للتكوينات غير الآمنة ل DefaultDomainSupportedEncTypes. بالإضافة إلى ذلك، لن نتجاهل أي تكوين تم تعيينه بشكل صريح من قبل العميل.

الموارد

KB5020805: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37967

KB5021131: كيفية إدارة تغييرات بروتوكول Kerberos المتعلقة ب CVE-2022-37966

علامات بت أنواع التشفير المدعومة

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة