Отнася се за
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Първоначална дата на публикуване: 13 януари 2026 г.

ИД на КБ: 5073381

Изтичане на сертификата за защитено стартиране на Windows и актуализации на CA 

Важно: Сертификатите за защитено стартиране, използвани от повечето устройства с Windows, изтичат от юни 2026 г. Това може да засегне способността на определени лични и бизнес устройства да се стартират защитено, ако не се актуализират навреме. За да избегнете прекъсване на работата, ви препоръчваме да прегледате указанията и да предприемете действия за предварително актуализиране на сертификатите. За подробности и стъпки за подготовка вижте Изтичане на сертификата за защитено стартиране на Windows и актуализации на CA.

В тази статия

Резюме

Актуализациите на Windows, издадени на и след 13 януари 2026 г., съдържат защити за уязвимост с протокола за удостоверяване Kerberos. Актуализациите на Windows адресират уязвимост при разкриване на информация, която може да позволи на атакуващ да получава билети за услуги със слаби или наследени типове шифроване, като например RC4, и извършва офлайн атаки за възстановяване на парола за акаунт на услуга.

За да защитите и втвърдите вашата среда, инсталирайте актуализацията на Windows, издадена на или след 13 януари 2026 г., за всички сървъри на Windows, изброени в раздела "Отнася се за", който се изпълнява като домейнов контролер. За да научите повече за уязвимостите, вижте CVE-2026-20833

За да се противодейства на тази уязвимост, стойността по подразбиране на DefaultDomainSupportedEncTypes (DDSET) се променя, така че всички домейнови контролери поддържат само разширено шифроване Standard (AES-SHA1) шифровани билети за акаунти без изрична конфигурация на kerberos шифроване от тип. За повече информация вижте Битови флагове за поддържани типове шифроване.

На домейнови контролери с дефинирана стойност на системния регистър DefaultDomainSupportedEncTypes поведението няма да бъде функционално повлияно от тези промени. Обаче събитие за проверка ИД на събитие KDCSVC: 205 може да се регистрира в регистъра на системните събития, ако съществуващата конфигурация DefaultDomainSupportedEncTypes е незащита.

Предприемане на действие

За да защитите вашата среда и да предотвратите прекъсване на тока, ви препоръчваме да изпълните следните стъпки: 

  • АКТУАЛИЗАЦИЯ Домейнови контролери на Microsoft Active Directory, започващи с актуализации на Windows, издадени на или след 13 януари 2026 г.

  • НАБЛЮДАВАйте регистъра на системните събития за всяко от 9-те събития за проверка, влезли в Windows Server 2012, и по-новите домейнови контролери, които идентифицират рисковете с разрешаването на защити на RC4.

  • СМЕКЧАВАНЕ KDCSVC събития, регистрирани в регистъра на системните събития, които предотвратяват ръчно или програмно разрешаване на защити на RC4.

  • РАЗРЕШИТЕ Режим на изпълнение за справяне с уязвимостите, адресирани в CVE-2026-20833 във вашата среда, когато предупреждението, блокирането или събитията от правилата вече не са регистрирани.

ВАЖНО Инсталирането на актуализации, издадени на или след 13 януари 2026 г., НЯМА да адресира уязвимостите, описани в CVE-2026-20833 за домейнови контролери на Active Directory по подразбиране. За да смекчите напълно уязвимостта, трябва да преминете към Наложен режим (описан в стъпка 3) възможно най-скоро на всички домейнови контролери. 

От април 2026 г. режимът на прилагане ще бъде разрешен за всички домейнови контролери на Windows и ще блокира уязвимите връзки от несъвместими устройства.  В този момент няма да можете да забраните проверката, но можете да се върнете обратно към настройката режим на проверка. Режимът на проверка ще бъде премахнат през юли 2026 г., както е описано в раздела "Време за актуализации ", а режимът на изпълнение ще бъде разрешен за всички домейнови контролери на Windows и ще блокира уязвимите връзки от несъвместими устройства.

Ако трябва да използвате RC4 след април 2026 г., препоръчваме изрично да разрешите RC4 в рамките на bitmask msds-SupportedEncryptionTypes за услуги, които ще трябва да приемат използването на RC4. 

Време на актуализациите

13 януари 2026 г. – първоначална фаза на разполагане 

Началната фаза на разполагане започва с актуализациите, издадени на и след 13 януари 2026 г., и продължава с по-късните актуализации на Windows до фазата на изпълнение . Тази фаза е да предупредите клиентите за нови мерки за защита, които ще бъдат въведени във втората фаза на разполагане. Тази актуализация: 

  • Предоставя събития за проверка, за да предупреди клиентите, които може да бъдат негативно засегнати от предстоящото подсилване на защитата.

  • Въвежда стойността в системния регистър RC4DefaultDisablementPhase за проактивно разрешаване на промяната чрез задаване на стойността на 2 на домейнови контролери, когато събитията за проверка на KDCSVC показват, че е безопасно да направите това.

Април 2026 г. – Втора фаза на разполагане 

Тази актуализация променя стойността по подразбиране DefaultDomainSupportedEncTypes за KDC операции, за да използва AES-SHA1 за акаунти, които нямат дефиниран атрибут msds-SupportedEncryptionTypes на Active Directory. 

Тази фаза променя стойността по подразбиране за DefaultDomainSupportedEncTypes само на AES-SHA1: 0x18

Юли 2026 г. — Фаза на прилагане 

Актуализациите на Windows, издадени през или след юли 2026 г., ще премахнат поддръжката за подключа на системния регистър RC4DefaultDisablementPhase

Указания за разполагане

За да разположите актуализациите на Windows, издадени на или след 13 януари 2026 г., изпълнете следните стъпки: 

  1. АКТУАЛИЗИРАЙТЕ вашите домейнови контролери с актуализация на Windows, издадена на или след 13 януари 2026 г.

  2. НАБЛЮДАВАйте събитията, регистрирани по време на началната фаза на разполагане, за да помогнете за защитата на вашата среда.

  3. ПРЕМЕСТЕТЕ домейнови контролери в режим на изпълнение с помощта на раздела Настройки на системния регистър.

Стъпка 1: АКТУАЛИЗИРАНЕ  

Разположете актуализацията на Windows, издадена на или след 13 януари 2026 г., за всички приложими Windows Active Directory, изпълнявани като домейнов контролер, след разполагането на актуализацията.

  • Събития за проверка ще се появят в регистрите на системните събития, ако вашият домейнов контролер получава искания за билет за услугата Kerberos, които изискват да се използва шифър RC4, но акаунтът на услугата има конфигурация на шифроване по подразбиране.

  • Събития за проверка ще бъдат регистрирани в регистъра на системните събития, ако вашият домейнов контролер има явна конфигурация DefaultDomainSupportedEncTypes , за да позволи шифроване на RC4.

Стъпка 2: МОНИТОР

След като домейнови контролери бъдат актуализирани, ако не виждате събития за проверка, превключете в режим на изпълнение , като промените стойността RC4DefaultDisablementPhase на 2.   

Ако има генерирани събития за проверка, ще трябва или да премахнете зависимостите на RC4, или изрично да конфигурирате акаунтите, поддържани от Kerberos типове шифроване. След това ще можете да преминете към режим на изпълнение .

За да научите как да откривате използването на RC4 във вашия домейн, устройството за проверка и потребителските акаунти, които все още зависят от RC4, и да предприемете стъпки за отстраняване на използването в полза на по-силни типове шифроване или да управлявате зависимостите на RC4, вижте Откриване и отстраняване на използването на RC4 в Kerberos.

Стъпка 3: РАЗРЕШАВАНЕ  

Разрешете режима на изпълнение , за да адресирате уязвимостите CVE-2026-20833 във вашата среда. 

  • Ако от KDC се изисква да предостави билет за обслужване на RC4 за акаунт с конфигурации по подразбиране, ще бъде регистрирано събитие за грешка.

  • Все още ще виждате ИД на събитие: 205 е регистриран за всяка незащита конфигурация на DefaultDomainSupportedEncTypes.

Настройки на системния регистър

След като актуализациите на Windows, издадени на или след 13 януари 2026 г., са инсталирани, следният ключ от системния регистър е наличен за протокола Kerberos.

Този ключ от системния регистър се използва за затваряне на разполагането на промените в Kerberos. Този ключ от системния регистър е временен и повече няма да се чете след датата на изпълнение.

Ключ от системния регистър

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Тип данни

REG_DWORD

Име на стойност

RC4DefaultDisablementPhase

Данни на стойност

0 – Без проверка, без промяна 

1 – Предупредителните събития ще бъдат регистрирани в употребата по подразбиране на RC4. (Фаза 1 по подразбиране) 

2 – Kerberos ще започне да приема, че RC4 не е разрешен по подразбиране.  (Фаза 2 по подразбиране) 

Изисква ли се рестартиране?

Да

Събития за проверка

След като актуализациите на Windows, издадени на или след 13 януари 2026 г., са инсталирани, следните типове събития за проверка се добавят към Windows Server 2012 и по-късно се изпълняват като домейнов контролер.

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Kdcsvc

ИД на събитие

201

Текст на събитие

Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes не е дефинирана и клиентът поддържа само несигурни типове шифроване. 

Информация за акаунта 

    Име на акаунт:> <име на акаунт 

    Предоставено име на област: <предоставено име на област> 

    msds-SupportedEncryptionTypes: поддържани <типове шифроване> 

    Налични клавиши: <налични клавиши> 

Информация за услугата: 

    Име на услуга: <име на услуга> 

    ИД на услуга: SID <услуга> 

    msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> 

    Налични ключове: <наличните ключове за услугата> 

Информация за домейнов контролер: 

    msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> 

    Налични ключове: <налични ключове на домейнов контролер> 

Информация за мрежата: 

    Адрес на клиента:> на IP адреса на <клиента 

    Порт на клиент: <порт на клиента> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. 

Коментари

ИД на събитие: 201 ще бъде регистриран, ако:

  • Клиентът рекламира само RC4 като адвертирани типове

  • Целевата услуга НЕ разполага с дефиниран msds-SET

  • Домейн контролерът НЕ разполага с дефиниран DDSET

  • Стойността в системния регистър RC4DefaultDisablementPhase е зададена на 1

  • Warning Event 201 transitions into Error event 203 in Enforcement mode

  • Това събитие се регистрира за всяка заявка

  • Предупредително събитие 201 НЕ е регистрирано, ако DefaultDomainSupportedEncTypes е дефинирано ръчно

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Kdcsvc

ИД на събитие

202

Текст на събитие

Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes не е дефинирана и акаунтът на услугата има само несигурни ключове.  

Информация за акаунта 

    Име на акаунт:> <име на акаунт 

    Предоставено име на област: <предоставено име на област> 

    msds-SupportedEncryptionTypes: поддържани <типове шифроване> 

    Налични клавиши: <налични клавиши> 

Информация за услугата: 

    Име на услуга: <име на услуга> 

    ИД на услуга: SID <услуга> 

    msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> 

    Налични ключове: <наличните ключове за услугата> 

Информация за домейнов контролер: 

    msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> 

    Налични ключове: <налични ключове на домейнов контролер> 

Информация за мрежата: 

    Адрес на клиента:> на IP адреса на <клиента 

    Порт на клиент: <порт на клиента> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. 

Коментари

Предупредително събитие 202 ще бъде регистрирано, ако:

  • Целевата услуга няма AES ключове

  • Целевата услуга НЕ разполага с дефиниран msds-SET

  • Домейн контролерът НЕ разполага с дефиниран DDSET

  • Стойността в системния регистър RC4DefaultDisablementPhase е зададена на 1

  • Събитие за грешка 202 преходи в грешка 204 в режим на изпълнение

  • Предупредително събитие 202 се регистрира в заявка

  • Предупреждение Събитие 202 НЕ е регистрирано, ако DefaultDomainSupportedEncTypes е дефинирано ръчно

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Kdcsvc

ИД на събитие

203

Текст на събитие

Центърът за разпространение на ключове блокира използването на шифър, защото услугата msds-SupportedEncryptionTypes не е дефинирана и клиентът поддържа само незащитени типове шифроване. 

Информация за акаунта 

    Име на акаунт:> <име на акаунт 

    Предоставено име на област: <предоставено име на област> 

    msds-SupportedEncryptionTypes: поддържани <типове шифроване> 

    Налични клавиши: <налични клавиши> 

Информация за услугата: 

    Име на услуга: <име на услуга> 

    ИД на услуга: SID <услуга> 

    msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> 

    Налични ключове: <наличните ключове за услугата> 

Информация за домейнов контролер: 

    msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> 

    Налични ключове: <налични ключове на домейнов контролер> 

Информация за мрежата: 

    Адрес на клиента:> на IP адреса на <клиента 

    Порт на клиент: <порт на клиента> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. 

Коментари

Събитие на грешка 203 ще бъде регистрирано, ако:

  • Клиентът рекламира само RC4 като адвертирани типове

  • Целевата услуга НЕ разполага с дефиниран msds-SET

  • Домейн контролерът НЕ разполага с дефиниран DDSET

  • Стойността в системния регистър RC4DefaultDisablementPhase е зададена на 2

  • По заявка

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Kdcsvc

ИД на събитие

204

Текст на събитие

Центърът за разпространение на ключове блокира използването на шифър, тъй като услугата msds-SupportedEncryptionTypes не е дефинирана и акаунтът на услугата има само незащитени ключове.  

Информация за акаунта 

    Име на акаунт:> <име на акаунт 

    Предоставено име на област: <предоставено име на област> 

    msds-SupportedEncryptionTypes: поддържани <типове шифроване> 

    Налични клавиши: <налични клавиши> 

Информация за услугата: 

    Име на услуга: <име на услуга> 

    ИД на услуга: SID <услуга> 

    msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> 

    Налични ключове: <наличните ключове за услугата> 

Информация за домейнов контролер: 

    msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> 

    Налични ключове: <налични ключове на домейнов контролер> 

Информация за мрежата: 

    Адрес на клиента:> на IP адреса на <клиента 

    Порт на клиент: <порт на клиента> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. 

Коментари

Събитие за грешка 204 ще бъде регистрирано, ако:

  • Целевата услуга няма AES ключове

  • Целевата услуга НЕ разполага с дефиниран msds-SET

  • Домейн контролерът НЕ разполага с дефиниран DDSET

  • Стойността в системния регистър RC4DefaultDisablementPhase е зададена на 2

  • По заявка

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Kdcsvc

ИД на събитие

205

Текст на събитие

Центърът за разпространение на ключове откри изрично разрешаване на шифроването в конфигурацията на правилата по подразбиране за поддържани типове шифроване на домейни. 

Шифър(и): <разрешени несигурни шифъри> 

DefaultDomainSupportedEncTypes: <конфигурирана стойност DefaultDomainSupportedEncTypes> 

Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече.

Коментари

Предупредително събитие 205 ще бъде регистрирано, ако:

  • Домейн контролерът HAS DDSET е дефиниран да включва всичко освен AES-SHA1.

  • Стойността в системния регистър RC4DefaultDisablementPhase е зададена на 1, 2

  • Това НИКОГА няма да се превърне в грешка

  • Целта е да информираме клиента за несигурното поведение, което няма да променим

  • Записва се всеки път в началото на KDCSVC

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Kdcsvc

ИД на събитие

206

Текст на събитие

Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но клиентът не рекламира AES-SHA1 

Информация за акаунта 

    Име на акаунт:> <име на акаунт 

    Предоставено име на област: <предоставено име на област> 

    msds-SupportedEncryptionTypes: поддържани <типове шифроване> 

    Налични клавиши: <налични клавиши> 

Информация за услугата: 

    Име на услуга: <име на услуга> 

    ИД на услуга: SID <услуга> 

    msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> 

    Налични ключове: <наличните ключове за услугата> 

Информация за домейнов контролер: 

    msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> 

    Налични ключове: <налични ключове на домейнов контролер> 

Информация за мрежата: 

    Адрес на клиента:> на IP адреса на <клиента 

    Порт на клиент: <порт на клиента> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. 

Коментари

Предупредително събитие 206 ще бъде регистрирано, ако:

  • Клиентът рекламира само RC4 като адвертирани типове

  • Случва се едно от следните неща:

    • Целевата услуга HAS msds-SET, дефинирана само за AES-SHA1

    • Домейн контролерът ИМА DDSET, дефиниран само в AES-SHA1

  • Стойността в системния регистър RC4DefaultDisablementPhase е зададена на 1

  • Предупредително събитие 2016 преходи към събитие за грешка 2018 в режим на изпълнение

  • Влязъл на базата на заявка

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Kdcsvc

ИД на събитие

207

Текст на събитие

Центърът за разпространение на ключове откри <име на шифър> използване, което ще бъде неподдържано във фазата на изпълнение, тъй като услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но акаунтът на услугата няма ключове AES-SHA1.  

Информация за акаунта 

    Име на акаунт:> <име на акаунт 

    Предоставено име на област: <предоставено име на област> 

    msds-SupportedEncryptionTypes: поддържани <типове шифроване> 

    Налични клавиши: <налични клавиши> 

Информация за услугата: 

    Име на услуга: <име на услуга> 

    ИД на услуга: SID <услуга> 

    msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> 

    Налични ключове: <наличните ключове за услугата> 

Информация за домейнов контролер: 

    msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> 

    Налични ключове: <налични ключове на домейнов контролер> 

Информация за мрежата: 

    Адрес на клиента:> на IP адреса на <клиента 

    Порт на клиент: <порт на клиента> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. 

Коментари

Предупредително събитие 207 ще бъде регистрирано, ако:

  • Целевата услуга няма AES ключове

  • Случва се едно от следните неща:

    • Целевата услуга HAS msds-SET, дефинирана само за AES-SHA1

    • Домейн контролерът ИМА DDSET, дефиниран само в AES-SHA1

  • Стойността в системния регистър RC4DefaultDisablementPhase е зададена на 1

  • Това ще се превърне в 209 (грешка) в режим на изпълнение

  • По заявка

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Kdcsvc

ИД на събитие

208

Текст на събитие

Центърът за разпространение на ключове нарочно отказа използването на шифър, защото услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но клиентът не рекламира AES-SHA1 

Информация за акаунта 

    Име на акаунт:> <име на акаунт 

    Предоставено име на област: <предоставено име на област> 

    msds-SupportedEncryptionTypes: поддържани <типове шифроване> 

    Налични клавиши: <налични клавиши> 

Информация за услугата: 

    Име на услуга: <име на услуга> 

    ИД на услуга: SID <услуга> 

    msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> 

    Налични ключове: <наличните ключове за услугата> 

Информация за домейнов контролер: 

    msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> 

    Налични ключове: <налични ключове на домейнов контролер> 

Информация за мрежата: 

    Адрес на клиента:> на IP адреса на <клиента 

    Порт на клиент: <порт на клиента> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. 

Коментари

Събитие на грешка 208 ще бъде регистрирано, ако:

  • Клиентът рекламира само RC4 като адвертирани типове

  • Случва се още едно от следните неща:

    • Целевата услуга HAS msds-SET, дефинирана само за AES-SHA1

    • Домейн контролерът ИМА DDSET, дефиниран само в AES-SHA1

  • Стойността в системния регистър RC4DefaultDisablementPhase е зададена на 2

  • По заявка

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Kdcsvc

ИД на събитие

209

Текст на събитие

Центърът за разпространение на ключове нарочно отказа използването на шифър, защото услугата msds-SupportedEncryptionTypes е конфигурирана да поддържа само AES-SHA1, но акаунтът на услугата няма ключове за AES-SHA1 

Информация за акаунта 

    Име на акаунт:> <име на акаунт 

    Предоставено име на област: <предоставено име на област> 

    msds-SupportedEncryptionTypes: поддържани <типове шифроване> 

    Налични клавиши: <налични клавиши> 

Информация за услугата: 

    Име на услуга: <име на услуга> 

    ИД на услуга: SID <услуга> 

    msds-SupportedEncryptionTypes: Поддържани от услугата <типове шифроване> 

    Налични ключове: <наличните ключове за услугата> 

Информация за домейнов контролер: 

    msds-SupportedEncryptionTypes: поддържани от <домейнов контролер типове шифроване> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Стойност> 

    Налични ключове: <налични ключове на домейнов контролер> 

Информация за мрежата: 

    Адрес на клиента:> на IP адреса на <клиента 

    Порт на клиент: <порт на клиента> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Вижте https://go.microsoft.com/fwlink/?linkid=2344614, за да научите повече. 

Коментари

Събитие на грешка 209 ще бъде регистрирано, ако:

  • Целевата услуга няма AES ключове

  • Случва се едно от следните неща:

    • Целевата услуга HAS msds-SET, дефинирана само за AES-SHA1

    • Домейн контролерът ИМА DDSET, дефиниран само в AES-SHA1

  • Стойността в системния регистър RC4DefaultDisablementPhase е зададена на 2

  • По заявка

Забележка

Ако откриете някое от тези предупредителни съобщения, регистрирани в домейнов контролер, вероятно всички домейнови контролери във вашия домейн не са актуални с актуализация на Windows, издадена на или след 13 януари 2026 г. За да намалите уязвимостта, ще трябва да проучите допълнително домейна си, за да намерите домейнови контролери, които не са актуални.  

Ако виждате ИД на събитие: 0x8000002A влязъл в домейнов контролер, вижте KB5021131: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37966.

Често задавани въпроси (ЧЗВ)

Това втвърдяване влияе върху домейнови контролери на Windows, когато те издават билети за услуги. Потокът за сигурност и препращане на Kerberos не се засяга.

Устройства с домейн на други разработчици, които не могат да обработят AES-SHA1, трябва вече да са изрично конфигурирани да позволяват AES-SHA1.

Не. Ще регистрираме предупредителни събития за незащитните конфигурации за DefaultDomainSupportedEncTypes. Освен това няма да игнорираме никоя конфигурация, изрично зададена от клиент.

Ресурси

KB5020805: Как се управляват промените в протокола Kerberos, свързани с CVE-2022-37967

KB5021131: Как да управлявате промените в протокола Kerberos, свързани с CVE-2022-37966

Поддържани типове шифроване: битови флагове

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност