Първоначална дата на публикуване: 13 януари 2026 г.
ИД на КБ: 5073381
В тази статия
Резюме
Актуализациите на Windows, издадени на и след 13 януари 2026 г., съдържат защити за уязвимост с протокола за удостоверяване Kerberos. Актуализациите на Windows адресират уязвимост при разкриване на информация в CVE-2026-20833 , която може да позволи на хакер да получава билети за услуги със слаби или наследени типове шифроване, като например RC4, за да извършва офлайн атаки за възстановяване на парола за акаунт на услуга.
За да намалите тази уязвимост, актуализации на Windows, издадени на и след 14 април 2026 г., променете стойността по подразбиране на центъра за разпространение на ключове на Kerberos (KDC) за DefaultDomainSupportedEncTypes, освен ако администраторите не разрешат режима на изпълнение по-рано. Актуализираните домейнови контролери, които се изпълняват в режим на изпълнение, ще приемат поддръжка само за конфигурации с тип шифроване за разширено шифроване Standard (AES), ако не е зададена изрична конфигурация. За повече информация вижте Битови флагове за поддържани типове шифроване. Стойността по подразбиране за DefaultDomainSupportedEncTypes се прилага при липса на явна стойност.
На домейнови контролери с дефинирана стойност на системния регистър DefaultDomainSupportedEncTypes поведението няма да бъде функционално повлияно от тези промени. Обаче събитие за проверка ИД на събитие KDCSVC: 205 ще бъде регистрирано в регистъра на системните събития, ако съществуващата конфигурация DefaultDomainSupportedEncTypes е незащита (например когато се използва шифър RC4).
Предприемане на действие
За да защитите вашата среда и да предотвратите прекъсване на тока, ви препоръчваме:
-
АКТУАЛИЗАЦИЯ Домейнови контролери на Microsoft Active Directory, започващи с актуализации на Windows, издадени на или след 13 януари 2026 г.
-
НАБЛЮДАВАйте регистъра на събитията на системата за всеки от деветте KDCSVC 201 > 209 Събития за проверка, регистрирани в Windows Server 2012 и по-нови домейнови контролери, които идентифицират рискове с разрешаване на защити на RC4.
-
СМЕКЧАВАНЕ KDCSVC събития, регистрирани в регистъра на системните събития, които предотвратяват ръчно или програмно разрешаване на защити на RC4.
-
РАЗРЕШИТЕ Режим на изпълнение за справяне с уязвимостите, адресирани в CVE-2026-20833 във вашата среда, когато предупреждението, блокирането или събитията от правилата вече не са регистрирани.
ВАЖНО Инсталирането на актуализации, издадени на или след 13 януари 2026 г., НЯМА да адресира уязвимостите, описани в CVE-2026-20833 за домейнови контролери на Active Directory по подразбиране. За да смекчите напълно уязвимостта, трябва ръчно да разрешите режима на изпълнение (описан в стъпка 3: РАЗРЕШАВАНЕ) на всички домейнови контролери. Инсталирането на Windows Актуализации издаден на и след юли 2026 г., програмно ще разреши фазата на изпълнение.
Режимът на прилагане ще бъде автоматично разрешен чрез инсталиране на Windows Актуализации, издаден на или след април 2026 г. на всички домейнови контролери на Windows, и ще блокира уязвимите връзки от несъвместими устройства. В този момент няма да можете да забраните проверката, но можете да се върнете обратно към настройката режим на проверка. Режимът на проверка ще бъде премахнат през юли 2026 г., както е описано в раздела "Време за актуализации ", а режимът на изпълнение ще бъде разрешен за всички домейнови контролери на Windows и ще блокира уязвимите връзки от несъвместими устройства.
Ако трябва да използвате RC4 след април 2026 г., препоръчваме изрично да разрешите RC4 в рамките на bitmask msds-SupportedEncryptionTypes за услуги, които ще трябва да приемат използването на RC4.
Време на актуализациите
13 януари 2026 г. – първоначална фаза на разполагане
Началната фаза на разполагане започва с актуализациите, издадени на и след 13 януари 2026 г., и продължава с по-късните актуализации на Windows до фазата на изпълнение . Тази фаза е да предупредите клиентите за нови мерки за защита, които ще бъдат въведени във втората фаза на разполагане. Тази актуализация:
-
Предоставя събития за проверка, за да предупреди клиентите, които може да бъдат негативно засегнати от предстоящото подсилване на защитата.
-
Въвежда поддръжка за стойността на системния регистър RC4DefaultDisablementPhase , след като администраторът активира проактивно промяната чрез задаване на стойността на 2 на домейнови контролери, когато събитията за проверка на KDCSVC показват, че е безопасно да направите това.
14 април 2026 г. - Фаза на прилагане с ръчно връщане в предишно стабилно състояние
Тази актуализация променя стойността по подразбиране DefaultDomainSupportedEncTypes за KDC операции, за да използва AES-SHA1 за акаунти, които нямат дефиниран атрибут msds-SupportedEncryptionTypes на Active Directory.
Тази фаза променя стойността по подразбиране за DefaultDomainSupportedEncTypes само на AES-SHA1: 0x18.
Тази фаза също така позволява ръчно конфигуриране на RC4DefaultDisablementPhase стойност за връщане към стабилно състояние до програмно прилагане през юли 2026 г.
Юли 2026 г. — Фаза на прилагане
Актуализациите на Windows, издадени през или след юли 2026 г., ще премахнат поддръжката за подключа на системния регистър RC4DefaultDisablementPhase.
Указания за разполагане
За да разположите актуализациите на Windows, издадени на или след 13 януари 2026 г., изпълнете следните стъпки:
-
АКТУАЛИЗИРАЙТЕ вашите домейнови контролери с актуализация на Windows, издадена на или след 13 януари 2026 г.
-
НАБЛЮДАВАйте събитията, регистрирани по време на началната фаза на разполагане, за да помогнете за защитата на вашата среда.
-
ПРЕМЕСТЕТЕ домейнови контролери в режим на изпълнение с помощта на раздела Настройки на системния регистър.
Стъпка 1: АКТУАЛИЗИРАНЕ
Разположете актуализацията на Windows, издадена на или след 13 януари 2026 г., за всички приложими Windows Active Directory, изпълнявани като домейнов контролер, след разполагането на актуализацията.
-
Събития за проверка ще се появят в регистрите на системните събития, ако вашите Windows Server 2012 или по-нови домейнови контролери получават искания за билет за услугата Kerberos, които изискват да се използва шифър RC4, но акаунтът на услугата има конфигурация за шифроване по подразбиране.
-
Събитие за проверка 205 ще бъде регистрирано в регистъра на системните събития, ако вашият домейнов контролер има явна конфигурация DefaultDomainSupportedEncTypes , за да позволи шифроване на RC4.
Стъпка 2: МОНИТОР
След като домейнови контролери бъдат актуализирани, ако не виждате събития за проверка, документирани в тази статия, превключете в режим на изпълнение , като промените стойността на системния регистър RC4DefaultDisablementPhase на 2.
Ако има генерирани събития за проверка, ще трябва или да премахнете зависимостите на RC4, или изрично да конфигурирате атрибута акаунти msds-SupportedEncryptionTypes, за да поддържате продължителната употреба на RC4, следвайки ръчното или автоматичното разрешаване на режима на изпълнение .
За администратори, които се интересуват по-общо от отстраняването на употребата на RC4, отколкото е обсъдено в тази статия, ви препоръчваме да прегледате Откриване и отстраняване на използването на RC4 в Kerberos за повече информация.
ВАЖНО Събития за проверка, свързани с тази промяна, се генерират само когато Active Directory не може да издаде билети за услуги на AES-SHA1 или ключове от сесия. Липсата на събития за проверка не гарантира, че всички устройства, които не са с Windows, ще приемат успешно удостоверяване Kerberos след актуализацията от април. Клиентите трябва да проверяват оперативната съвместимост, която не е на Windows, чрез тестване, преди да позволят широко това поведение.
Стъпка 3: РАЗРЕШАВАНЕ
Разрешете режима на изпълнение , за да адресирате уязвимостите CVE-2026-20833 във вашата среда.
-
Ако от KDC се изисква да предостави билет за обслужване на RC4 за акаунт с конфигурации по подразбиране, ще бъде регистрирано събитие за грешка.
-
Ще продължите да виждате ИД на събитие: 205, регистриран за всяка незащита конфигурация на DefaultDomainSupportedEncTypes.
Настройки на системния регистър
След като актуализациите на Windows, издадени на или след 13 януари 2026 г., са инсталирани, следният ключ от системния регистър е наличен за протокола Kerberos.
RC4DefaultDisablementPhase
Този ключ от системния регистър се използва за затваряне на разполагането на промените в Kerberos. Този ключ от системния регистър е временен и повече няма да се чете след датата на изпълнение.
|
Ключ от системния регистър |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Тип данни |
REG_DWORD |
|
Име на стойност |
RC4DefaultDisablementPhase |
|
Данни на стойност |
0 – Без проверка, без промяна 1 – Предупредителните събития ще бъдат регистрирани в употребата по подразбиране на RC4. (Фаза 1 по подразбиране) 2 – Kerberos ще започне да приема, че RC4 не е разрешен по подразбиране. (Фаза 2 по подразбиране) |
|
Изисква ли се рестартиране? |
Да |
Събития за проверка
След като актуализациите на Windows, издадени на или след 13 януари 2026 г., са инсталирани, следните типове събития KSCSVC Audit се добавят към регистъра на системните събития на Windows Server 2012 и по-късно, изпълнявани като домейнов контролер.
В този раздел
ИД на събитие: 201
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
201 |
|
Текст на събитие |
Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes не е дефинирана и клиентът поддържа само несигурни типове шифроване. Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
ИД на събитие: 201 ще бъде регистриран, ако:
|
ИД на събитие: 202
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
202 |
|
Текст на събитие |
Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes не е дефинирана и акаунтът на услугата има само несигурни ключове. Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Предупредително събитие 202 ще бъде регистрирано, ако:
|
ИД на събитие: 203
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
203 |
|
Текст на събитие |
Центърът за разпространение на ключове блокира използването на шифър, защото услугата msds-SupportedEncryptionTypes не е дефинирана и клиентът поддържа само незащитени типове шифроване. Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Събитие на грешка 203 ще бъде регистрирано, ако:
|
ИД на събитие: 204
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
204 |
|
Текст на събитие |
Центърът за разпространение на ключове блокира използването на шифър, тъй като услугата msds-SupportedEncryptionTypes не е дефинирана и акаунтът на услугата има само незащитени ключове. Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Събитие за грешка 204 ще бъде регистрирано, ако:
|
ИД на събитие: 205
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
205 |
|
Текст на събитие |
Центърът за разпространение на ключове откри изрично разрешаване на шифроването в конфигурацията на правилата по подразбиране за поддържани типове шифроване на домейни. Шифър(и): <разрешени несигурни шифъри> DefaultDomainSupportedEncTypes: <конфигурирана стойност DefaultDomainSupportedEncTypes> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Предупредително събитие 205 ще бъде регистрирано, ако:
|
ИД на събитие: 206
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
206 |
|
Текст на събитие |
Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но клиентът не рекламира AES-SHA1 Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Предупредително събитие 206 ще бъде регистрирано, ако:
|
ИД на събитие: 207
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
207 |
|
Текст на събитие |
Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но акаунтът на услугата няма ключове AES-SHA1. Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Предупредително събитие 207 ще бъде регистрирано, ако:
|
ИД на събитие: 208
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
208 |
|
Текст на събитие |
Центърът за разпространение на ключове нарочно отказа използването на шифър, защото услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но клиентът не рекламира AES-SHA1 Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Събитие на грешка 208 ще бъде регистрирано, ако:
|
ИД на събитие: 209
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
209 |
|
Текст на събитие |
Центърът за разпространение на ключове нарочно отказа използването на шифър, защото услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но акаунтът на услугата няма ключове за AES-SHA1 Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Събитие на грешка 209 ще бъде регистрирано, ако:
|
Забележка
По отношение на неявната промяна в избора за шифроване на билет за услуга, Microsoft има ограничена видимост в причините, поради които устройство, което не е с Windows, може да не може да приеме удостоверяване Kerberos, след като KDCs приложат актуализацията от април и преминете към поведението по подразбиране на AES-SHA1, когато не е указан. Препоръчваме да валидирате тези промени чрез тестване във вашата собствена среда, преди да разрешите това поведение като цяло.
Най-често срещаното място, където ще се сблъскате с това, е с устройства, използващи kerberos Keytabs. Ако kerberos Keytab е експортиран само с RC4 ключове, но акаунтът на целевата услуга има ключове AES-SHA1 и няма дефинирани msds-SupportedEncryptionTypes, тогава има възможност за неуспешно удостоверяване за тази услуга. Най-вероятно това ще се проявява под формата на неуспешни удостоверявания от целевата услуга, а не от KDC.
Нашата основна препоръка е да работите с доставчика на устройството, което не е с Windows. По принцип неуспехите на устройства, които не са на Windows, да приемат kerberos удостоверяване, не са уникални за промените от април и може да се дължат на специфични за устройството или специфични за внедряването ограничения.
Ако след тази промяна се наблюдават проблеми с удостоверяването на Kerberos с устройства, които не са с Windows, а отстраняването на проблеми с доставчици не е възможно, нашите препоръки са следните:
-
На засегнатия акаунт на услуга изрично дефинирайте msDS-SupportedEncryptionTypes , за да включите RC4 с AES ключове от сесия (0x24).
-
Ако това не е възможно, в краен случай конфигурирайте ръчно стойността от системния регистър DefaultDomainSupportedEncTypes на всички съответни KDCs, за да включите RC4 с ключове от сесия на AES-SHA1 (0x24). Имайте предвид, че това оставя всички акаунти в домейна уязвими за CVE-2026-20833.
Важно е да се отбележи, че тази конфигурация е незащитена, а нашата дългосрочна препоръка е да мигрираме устройства, които не са с Windows, към версии, които поддържат AES-SHA1 Kerberos шифроване на картони.
Често задавани въпроси (ЧЗВ)
В1: Как тази промяна взаимодейства с домейни, които имат KDCs на трети лица?
Тази промяна в подсилването влияе само върху домейнови контролери на Windows. Потокът за сигурност и препращане на Kerberos с други домейнови контролери на Windows или KDCs на други разработчици не е засегнат.
В2: Как тази промяна взаимодейства с домейни, които имат устройства, които не са с домейн на Windows?
Устройства с домейн на други разработчици, които не могат да обработват AES-SHA1 шифроване, трябва вече да са конфигурирани изрично, за да позволяват RC4 шифроване. Услугите, които не могат да обработват билети на AES-SHA1, трябва да бъдат фиксирани или изрично конфигурирани в Active Diretory, за да се осигури шифроване на RC4, както е отбелязано по-горе. Проверете внимателно тези промени.
В3: Microsoft ще премахне ли възможността за конфигуриране на DefaultDomainSupportedEncTypes?
Не. Ще регистрираме предупредителни събития за незащитните конфигурации за DefaultDomainSupportedEncTypes. Освен това ще счетем всяка конфигурация, която изрично е зададена от администратор.
Ресурси
Регистрационен файл на промените
|
Промяна на датата |
Промяна на описанието |
|
14 април 2026 г. |
|
|
7 април 2026 г. |
|
|
16 март 2026 г. |
|
|
10 февруари 2026 г. |
|
