Първоначална дата на публикуване: 13 януари 2026 г.
ИД на КБ: 5073381
|
Промяна на датата |
Промяна на описанието |
|
10 февруари 2026 г. |
|
В тази статия
Резюме
Актуализациите на Windows, издадени на и след 13 януари 2026 г., съдържат защити за уязвимост с протокола за удостоверяване Kerberos. Актуализациите на Windows адресират уязвимост при разкриване на информация в CVE-2026-20833 , която може да позволи на хакер да получава билети за услуги със слаби или наследени типове шифроване, като например RC4, за да извършва офлайн атаки за възстановяване на парола за акаунт на услуга.
За да се противодейства на тази уязвимост, стойността по подразбиране на DefaultDomainSupportedEncTypes е променена чрез разрешаване на режима на прилагане. Актуализираните домейнови контролери, които се изпълняват в режим на изпълнение, ще поддържат само конфигурации на типове шифроване с разширено шифроване Standard (AES). За повече информация вижте Битови флагове за поддържани типове шифроване. Стойността по подразбиране за DefaultDomainSupportedEncTypes се прилага при липса на явна стойност
На домейнови контролери с дефинирана стойност на системния регистър DefaultDomainSupportedEncTypes поведението няма да бъде функционално повлияно от тези промени. Обаче събитие за проверка ИД на събитие KDCSVC: 205 ще бъде регистрирано в регистъра на системните събития, ако съществуващата конфигурация DefaultDomainSupportedEncTypes е незащита (например когато се използва шифър RC4).
Предприемане на действие
За да защитите вашата среда и да предотвратите прекъсване на тока, ви препоръчваме:
-
АКТУАЛИЗАЦИЯ Домейнови контролери на Microsoft Active Directory, започващи с актуализации на Windows, издадени на или след 13 януари 2026 г.
-
НАБЛЮДАВАйте регистъра на събитията на системата за всеки от деветте KDCSVC 201 > 209 Събития за проверка, регистрирани в Windows Server 2012 и по-нови домейнови контролери, които идентифицират рискове с разрешаване на защити на RC4.
-
СМЕКЧАВАНЕ KDCSVC събития, регистрирани в регистъра на системните събития, които предотвратяват ръчно или програмно разрешаване на защити на RC4.
-
РАЗРЕШИТЕ Режим на изпълнение за справяне с уязвимостите, адресирани в CVE-2026-20833 във вашата среда, когато предупреждението, блокирането или събитията от правилата вече не са регистрирани.
ВАЖНО Инсталирането на актуализации, издадени на или след 13 януари 2026 г., НЯМА да адресира уязвимостите, описани в CVE-2026-20833 за домейнови контролери на Active Directory по подразбиране. За да смекчите напълно уязвимостта, трябва ръчно да разрешите режима на изпълнение (описан в стъпка 3: РАЗРЕШАВАНЕ) на всички домейнови контролери. Инсталирането на Windows Актуализации издаден на и след юли 2026 г., програмно ще разреши фазата на изпълнение.
Режимът на прилагане ще бъде автоматично разрешен чрез инсталиране на Windows Актуализации, издаден на или след април 2026 г. на всички домейнови контролери на Windows, и ще блокира уязвимите връзки от несъвместими устройства. В този момент няма да можете да забраните проверката, но можете да се върнете обратно към настройката режим на проверка. Режимът на проверка ще бъде премахнат през юли 2026 г., както е описано в раздела "Време за актуализации ", а режимът на изпълнение ще бъде разрешен за всички домейнови контролери на Windows и ще блокира уязвимите връзки от несъвместими устройства.
Ако трябва да използвате RC4 след април 2026 г., препоръчваме изрично да разрешите RC4 в рамките на bitmask msds-SupportedEncryptionTypes за услуги, които ще трябва да приемат използването на RC4.
Време на актуализациите
13 януари 2026 г. – първоначална фаза на разполагане
Началната фаза на разполагане започва с актуализациите, издадени на и след 13 януари 2026 г., и продължава с по-късните актуализации на Windows до фазата на изпълнение . Тази фаза е да предупредите клиентите за нови мерки за защита, които ще бъдат въведени във втората фаза на разполагане. Тази актуализация:
-
Предоставя събития за проверка, за да предупреди клиентите, които може да бъдат негативно засегнати от предстоящото подсилване на защитата.
-
Въвежда поддръжка за стойността на системния регистърR C4DefaultDisablementPhase , след като администраторът активира проактивно промяната чрез задаване на стойността на 2 на домейнови контролери, когато събитията за проверка на KDCSVC показват, че е безопасно да направите това.
Април 2026 г. – Фаза на прилагане с ръчно връщане към стабилно състояние
Тази актуализация променя стойността по подразбиране DefaultDomainSupportedEncTypes за KDC операции, за да използва AES-SHA1 за акаунти, които нямат дефиниран атрибут msds-SupportedEncryptionTypes на Active Directory.
Тази фаза променя стойността по подразбиране за DefaultDomainSupportedEncTypes само на AES-SHA1: 0x18.
Тази фаза също така позволява ръчно конфигуриране на RC4DefaultDisablementPhase стойност за връщане към стабилно състояние до програмно прилагане през юли 2026 г.
Юли 2026 г. — Фаза на прилагане
Актуализациите на Windows, издадени през или след юли 2026 г., ще премахнат поддръжката за подключа на системния регистър RC4DefaultDisablementPhase.
Указания за разполагане
За да разположите актуализациите на Windows, издадени на или след 13 януари 2026 г., изпълнете следните стъпки:
-
АКТУАЛИЗИРАЙТЕ вашите домейнови контролери с актуализация на Windows, издадена на или след 13 януари 2026 г.
-
НАБЛЮДАВАйте събитията, регистрирани по време на началната фаза на разполагане, за да помогнете за защитата на вашата среда.
-
ПРЕМЕСТЕТЕ домейнови контролери в режим на изпълнение с помощта на раздела Настройки на системния регистър.
Стъпка 1: АКТУАЛИЗИРАНЕ
Разположете актуализацията на Windows, издадена на или след 13 януари 2026 г., за всички приложими Windows Active Directory, изпълнявани като домейнов контролер, след разполагането на актуализацията.
-
Събития за проверка ще се появят в регистрите на системните събития, ако вашите Windows Server 2012 или по-нови домейнови контролери получават искания за билет за услугата Kerberos, които изискват да се използва шифър RC4, но акаунтът на услугата има конфигурация за шифроване по подразбиране.
-
Събитие за проверка 205 ще бъде регистрирано в регистъра на системните събития, ако вашият домейнов контролер има явна конфигурация DefaultDomainSupportedEncTypes , за да позволи шифроване на RC4.
Стъпка 2: МОНИТОР
След като домейнови контролери бъдат актуализирани, ако не виждате събития за проверка, превключете в режим на изпълнение , като промените стойността RC4DefaultDisablementPhase на 2.
Ако има генерирани събития за проверка, ще трябва или да премахнете зависимостите на RC4, или изрично да конфигурирате акаунтите, поддържани от Kerberos, типове шифроване, за да поддържате продължителната употреба на RC4, следвайки ръчното или автоматичното разрешаване на режима на изпълнение .
За да научите как да откривате използването на RC4 във вашия домейн, проверката ще идентифицира устройствата и потребителските акаунти, които все още зависят от RC4. Администраторите трябва да предприемат стъпки, за да коригират използването в полза на по-силни типове шифроване или да управляват зависимостите на RC4. За повече информация вижте Откриване и отстраняване на използването на RC4 в Kerberos.
Стъпка 3: РАЗРЕШАВАНЕ
Разрешете режима на изпълнение , за да адресирате уязвимостите CVE-2026-20833 във вашата среда.
-
Ако от KDC се изисква да предостави билет за обслужване на RC4 за акаунт с конфигурации по подразбиране, ще бъде регистрирано събитие за грешка.
-
Ще продължите да виждате ИД на събитие: 205, регистриран за всяка незащита конфигурация на DefaultDomainSupportedEncTypes.
Настройки на системния регистър
След като актуализациите на Windows, издадени на или след 13 януари 2026 г., са инсталирани, следният ключ от системния регистър е наличен за протокола Kerberos.
Този ключ от системния регистър се използва за затваряне на разполагането на промените в Kerberos. Този ключ от системния регистър е временен и повече няма да се чете след датата на изпълнение.
|
Ключ от системния регистър |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Тип данни |
REG_DWORD |
|
Име на стойност |
RC4DefaultDisablementPhase |
|
Данни на стойност |
0 – Без проверка, без промяна 1 – Предупредителните събития ще бъдат регистрирани в употребата по подразбиране на RC4. (Фаза 1 по подразбиране) 2 – Kerberos ще започне да приема, че RC4 не е разрешен по подразбиране. (Фаза 2 по подразбиране) |
|
Изисква ли се рестартиране? |
Да |
Събития за проверка
След като актуализациите на Windows, издадени на или след 13 януари 2026 г., са инсталирани, следните типове събития KSCSVC Audit се добавят към регистъра на системните събития на Windows Server 2012 и по-късно, изпълнявани като домейнов контролер.
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
201 |
|
Текст на събитие |
Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes не е дефинирана и клиентът поддържа само несигурни типове шифроване. Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
ИД на събитие: 201 ще бъде регистриран, ако:
|
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
202 |
|
Текст на събитие |
Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes не е дефинирана и акаунтът на услугата има само несигурни ключове. Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Предупредително събитие 202 ще бъде регистрирано, ако:
|
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
203 |
|
Текст на събитие |
Центърът за разпространение на ключове блокира използването на шифър, защото услугата msds-SupportedEncryptionTypes не е дефинирана и клиентът поддържа само незащитени типове шифроване. Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Събитие на грешка 203 ще бъде регистрирано, ако:
|
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
204 |
|
Текст на събитие |
Центърът за разпространение на ключове блокира използването на шифър, тъй като услугата msds-SupportedEncryptionTypes не е дефинирана и акаунтът на услугата има само незащитени ключове. Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Събитие за грешка 204 ще бъде регистрирано, ако:
|
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
205 |
|
Текст на събитие |
Центърът за разпространение на ключове откри изрично разрешаване на шифроването в конфигурацията на правилата по подразбиране за поддържани типове шифроване на домейни. Шифър(и): <разрешени несигурни шифъри> DefaultDomainSupportedEncTypes: <конфигурирана стойност DefaultDomainSupportedEncTypes> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Предупредително събитие 205 ще бъде регистрирано, ако:
|
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
206 |
|
Текст на събитие |
Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но клиентът не рекламира AES-SHA1 Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Предупредително събитие 206 ще бъде регистрирано, ако:
|
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
207 |
|
Текст на събитие |
Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но акаунтът на услугата няма ключове AES-SHA1. Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Предупредително събитие 207 ще бъде регистрирано, ако:
|
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
208 |
|
Текст на събитие |
Центърът за разпространение на ключове нарочно отказа използването на шифър, защото услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но клиентът не рекламира AES-SHA1 Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Събитие на грешка 208 ще бъде регистрирано, ако:
|
|
Регистър на събитията |
Система |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
Kdcsvc |
|
ИД на събитие |
209 |
|
Текст на събитие |
Центърът за разпространение на ключове нарочно отказа използването на шифър, защото услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но акаунтът на услугата няма ключове за AES-SHA1 Информация за акаунта Име на акаунт:> <име на акаунт Предоставено име на област: <предоставено име на област> msds-SupportedEncryptionTypes: поддържани <типове шифроване> Налични клавиши: <налични клавиши> Информация за услугата: Име на услуга: <име на услуга> ИД на услуга: SID <услуга> msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> Налични ключове: <наличните ключове за услугата> Информация за домейнов контролер: msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> Налични ключове: <налични ключове на домейнов контролер> Информация за мрежата: Адрес на клиента:> на IP адреса на <клиента Порт на клиент: <порт на клиента> Advertized Etypes: <Advertized Kerberos Encryption Types> Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. |
|
Коментари |
Събитие на грешка 209 ще бъде регистрирано, ако:
|
Забележка
Ако откриете някое от тези предупредителни съобщения, регистрирани в домейнов контролер, вероятно всички домейнови контролери във вашия домейн не са актуални с актуализация на Windows, издадена на или след 13 януари 2026 г. За да намалите уязвимостта, ще трябва да проучите допълнително домейна си, за да намерите домейнови контролери, които не са актуални.
Ако виждате ИД на събитие: 0x8000002A влязъл в домейнов контролер, вижте KB5021131: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37966.
Често задавани въпроси (ЧЗВ)
Тази промяна в подсилването влияе само върху домейнови контролери на Windows. Потокът за сигурност и препращане на Kerberos с други домейнови контролери на Windows или KDCs на други разработчици не е засегнат.
Устройства с домейн на други разработчици, които не могат да обработват AES-SHA1 шифроване, трябва вече да са изрично конфигурирани да позволяват AES-SHA1 шифроване.
Не. Ще регистрираме предупредителни събития за незащитните конфигурации за DefaultDomainSupportedEncTypes. Освен това ще счетем всяка конфигурация, която изрично е зададена от администратор.
Ресурси
KB5020805: Как се управляват промените в протокола Kerberos, свързани с CVE-2022-37967
KB5021131: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37966
