Původní datum publikování: úterý 13. ledna 2026
ID znalostní báze: 5073381
Vypršení platnosti certifikátu zabezpečeného spouštění systému Windows
Důležité: Platnost certifikátů zabezpečeného spouštění používaných většinou zařízení s Windows vyprší od června 2026. To může mít vliv na schopnost určitých osobních a firemních zařízení bezpečně se spouštět, pokud se neaktualizují včas. Pokud se chcete vyhnout přerušení služeb, doporučujeme projít si pokyny a podniknout kroky k aktualizaci certifikátů předem. Podrobnosti a přípravné kroky najdete v tématu Vypršení platnosti certifikátu zabezpečeného spouštění systému Windows a aktualizace certifikační autority
V tomto článku
Souhrn
Aktualizace Windows vydané 13. ledna 2026 a po nich obsahují ochranu před ohrožením zabezpečení pomocí ověřovacího protokolu Kerberos. Aktualizace Systému Windows řeší ohrožení zabezpečení spočívající ve zpřístupnění informací, které by útočníkovi mohlo umožnit získat lístky služeb se slabými nebo staršími typy šifrování, jako je rc4, a provádět offline útoky za účelem obnovení hesla účtu služby.
Pokud chcete pomoct zabezpečit a posílit vaše prostředí, nainstalujte aktualizaci Windows vydané 13. ledna 2026 nebo později na všechny servery Windows uvedené v části Platí pro, které běží jako řadič domény. Další informace o chybách zabezpečení najdete v cve-2026-20833.
Za účelem zmírnění tohoto ohrožení zabezpečení se výchozí hodnota DefaultDomainSupportedEncTypes (DDSET) mění tak, aby všechny řadiče domény podporovaly pouze lístky šifrované standardem Advanced Encryption Standard (AES-SHA1) pro účty bez explicitní konfigurace typu šifrování Kerberos. Další informace najdete v tématu Podporované typy šifrování – bitové příznaky.
Na řadičích domény s definovanou hodnotou registru DefaultDomainSupportedEncTypes nebudou tyto změny na chování funkčně ovlivněny. Pokud je však existující konfigurace DefaultDomainSupportedEncTypes nezabezpečená, může být v protokolu událostí systému zaznamenána událost auditu KDCSVC ID události 205.
Akční přístup
Pokud chcete chránit své prostředí a zabránit výpadkům, doporučujeme provést následující kroky:
-
AKTUALIZACE Řadiče domény Microsoft Active Directory počínaje aktualizacemi Windows vydanými 13. ledna 2026 nebo později.
-
V protokolu událostí systému sledujte všechny z 9 událostí auditu přihlášených Windows Server 2012 a novějších řadičích domény, které identifikují rizika související s povolením ochrany RC4.
-
ZMÍRNĚNÍ Události KDCSVC protokolované v protokolu událostí systému, které brání ručnímu nebo programovému povolení ochrany RC4.
-
POVOLIT Režim vynucování, který řeší ohrožení zabezpečení vyřešená v cve-2026-20833 ve vašem prostředí, když se už protokolují události upozornění, blokování nebo zásad.
DŮLEŽITÉ Instalace aktualizací vydaných 13. ledna 2026 nebo později neřeší ve výchozím nastavení chyby zabezpečení popsané v cve-2026-20833 pro řadiče domény služby Active Directory. Pokud chcete toto ohrožení zabezpečení zcela zmírnit, musíte co nejdříve přejít do režimu vynuceného (popsaného v kroku 3) na všech řadičích domény.
Od dubna 2026 bude režim vynucení povolený na všech řadičích domény s Windows a bude blokovat zranitelná připojení ze zařízení, která nedodržují předpisy. V takovém okamžiku nebudete moct auditování zakázat, ale můžete přejít zpět do nastavení Režim auditování. Režim auditování se odebere v červenci 2026, jak je uvedeno v části Časování aktualizací , a režim vynucení bude povolený na všech řadičích domény s Windows a bude blokovat ohrožená připojení ze zařízení, která nedodržují předpisy.
Pokud potřebujete využít rc4 po dubnu 2026, doporučujeme explicitně povolit RC4 v rámci msds-SupportedEncryptionTypes bitové masky pro služby, které budou muset přijmout využití RC4.
Načasování aktualizací
13. ledna 2026 – Počáteční fáze nasazení
Počáteční fáze nasazení začíná aktualizacemi vydanými 13. ledna 2026 a později a pokračuje s pozdějšími aktualizacemi Windows až do fáze vynucení . Tato fáze má zákazníky upozornit na nové vynucování zabezpečení, které bude zavedeno v druhé fázi nasazení. Tato aktualizace:
-
Poskytuje události auditu, které varují zákazníky, kteří můžou být chystaným posílením zabezpečení negativně ovlivněni.
-
Zavádí hodnotu registru RC4DefaultDisablementPhase, která proaktivně povolí změnu nastavením hodnoty na 2 na řadičích domény, když události auditu KDCSVC indikují, že je to bezpečné.
Duben 2026 – druhá fáze nasazení
Tato aktualizace změní výchozí hodnotu DefaultDomainSupportedEncTypes pro operace KDC tak, aby využívala AES-SHA1 pro účty, které nemají definovaný explicitní atribut služby Active Directory msds-SupportedEncryptionTypes.
Tato fáze změní výchozí hodnotu DefaultDomainSupportedEncTypes pouze na AES-SHA1: 0x18.
Červenec 2026 – fáze vynucování
Aktualizace Windows vydané v červenci 2026 nebo později odeberou podporu pro podklíč registru RC4DefaultDisablementPhase.
Pokyny k nasazení
Pokud chcete nasadit aktualizace Windows vydané 13. ledna 2026 nebo později, postupujte takto:
-
AKTUALIZUJTE řadiče domény pomocí aktualizace Windows vydané 13. ledna 2026 nebo později.
-
MONITOROVÁNÍ událostí protokolovaných během počáteční fáze nasazení za účelem lepšího zabezpečení vašeho prostředí
-
Přesuňte řadiče domény do režimu vynucení pomocí části Nastavení registru.
Krok 1: AKTUALIZACE
Po nasazení aktualizace nasaďte aktualizaci Windows vydané 13. ledna 2026 nebo později do všech příslušných windows active directory spuštěných jako řadič domény.
-
Události auditu se zobrazí v protokolech událostí systému, pokud řadič domény přijímá žádosti o lístek služby Kerberos, které vyžadují použití šifry RC4, ale účet služby má výchozí konfiguraci šifrování.
-
Pokud má váš řadič domény explicitní konfiguraci DefaultDomainSupportedEncTypes umožňující šifrování RC4, zaprotokolují se události auditu do protokolu událostí systému.
Krok 2: MONITOROVÁNÍ
Pokud se po aktualizaci řadičů domény nezobrazí žádné události auditu, přepněte do režimu vynucení změnou hodnoty RC4DefaultDisablementPhase na 2.
Pokud se vygenerují události auditu, budete muset buď odebrat závislosti RC4, nebo explicitně nakonfigurovat účty podporované typy šifrování protokolem Kerberos. Pak budete moct přejít do režimu vynucení .
Informace o tom, jak zjistit využití rc4 ve vaší doméně, auditovat účty zařízení a uživatelů, které jsou stále závislé na verzi RC4, a podniknout kroky k nápravě využití ve prospěch silnějších typů šifrování nebo spravovat závislosti RC4, najdete v tématu Zjištění a náprava využití rc4 v protokolu Kerberos.
Krok 3: POVOLIT
Povolením režimu vynucování vyřešíte ohrožení zabezpečení CVE-2026-20833 ve vašem prostředí.
-
Pokud je služba KDC požádána o poskytnutí lístku služby RC4 pro účet s výchozími konfiguracemi, zaprotokoluje se chybová událost.
-
Pro každou nezabezpečenou konfiguraci DefaultDomainSupportedEncTypes se stále zobrazí ID události 205.
Nastavení registru
Po instalaci aktualizací Windows vydaných 13. ledna 2026 nebo později je pro protokol Kerberos k dispozici následující klíč registru.
Tento klíč registru slouží k bráně nasazení změn protokolu Kerberos. Tento klíč registru je dočasný a po datu vynucení se už nebude číst.
|
Klíč registru |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Datový typ |
REG_DWORD |
|
Název hodnoty |
RC4DefaultDisablementPhase |
|
Údaj hodnoty |
0 – Žádný audit, žádná změna 1 – Události upozornění se zaprotokolují při výchozím využití RC4. (Výchozí nastavení fáze 1) 2 – Kerberos se spustí za předpokladu, že rc4 není ve výchozím nastavení povolená. (Výchozí nastavení fáze 2) |
|
Vyžaduje se restartování? |
Ano |
Události auditu
Po instalaci aktualizací Windows vydaných 13. ledna 2026 nebo později se do Windows Server 2012 přidají následující typy událostí auditu a později se spustí jako řadič domény.
|
Protokol událostí |
Systém |
|
Typ události |
Varování |
|
Zdroj události |
Kdcsvc |
|
ID události |
201 |
|
Text události |
Centrum distribuce klíčů zjistilo <název šifry> použití, které nebude ve fázi vynucení podporováno, protože služba msds-SupportedEncryptionTypes není definována a klient podporuje pouze nezabezpečené typy šifrování. Informace o účtu Název účtu: <název účtu> Zadaný název sféry: <Zadaný název sféry> msds-SupportedEncryptionTypes: <Podporované typy šifrování> Dostupné klíče: <dostupné klíče> Informace o službě: Název služby: <název služby> ID služby: <sid služby> msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> Dostupné klíče: dostupné klíče služby <> Informace o řadiči domény: msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes Dostupné klíče: <dostupné klíče řadiče domény> Informace o síti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Advertized Etypes: <Advertized Kerberos Encryption Types> Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáře |
ID události: 201 se zaprotokoluje, pokud:
|
|
Protokol událostí |
Systém |
|
Typ události |
Varování |
|
Zdroj události |
Kdcsvc |
|
ID události |
202 |
|
Text události |
Centrum distribuce klíčů zjistilo <název šifry> použití, které nebude ve fázi vynucení podporováno, protože služba msds-SupportedEncryptionTypes není definovaná a účet služby má pouze nezabezpečené klíče. Informace o účtu Název účtu: <název účtu> Zadaný název sféry: <Zadaný název sféry> msds-SupportedEncryptionTypes: <Podporované typy šifrování> Dostupné klíče: <dostupné klíče> Informace o službě: Název služby: <název služby> ID služby: <sid služby> msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> Dostupné klíče: dostupné klíče služby <> Informace o řadiči domény: msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes Dostupné klíče: <dostupné klíče řadiče domény> Informace o síti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Advertized Etypes: <Advertized Kerberos Encryption Types> Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáře |
Událost upozornění 202 se zaprotokoluje, pokud:
|
|
Protokol událostí |
Systém |
|
Typ události |
Varování |
|
Zdroj události |
Kdcsvc |
|
ID události |
203 |
|
Text události |
Centrum distribuce klíčů zablokovalo použití šifry, protože služba msds-SupportedEncryptionTypes není definována a klient podporuje pouze nezabezpečené typy šifrování. Informace o účtu Název účtu: <název účtu> Zadaný název sféry: <Zadaný název sféry> msds-SupportedEncryptionTypes: <Podporované typy šifrování> Dostupné klíče: <dostupné klíče> Informace o službě: Název služby: <název služby> ID služby: <sid služby> msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> Dostupné klíče: dostupné klíče služby <> Informace o řadiči domény: msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes Dostupné klíče: <dostupné klíče řadiče domény> Informace o síti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Advertized Etypes: <Advertized Kerberos Encryption Types> Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáře |
Událost chyby 203 se zaprotokoluje v následujících případech:
|
|
Protokol událostí |
Systém |
|
Typ události |
Varování |
|
Zdroj události |
Kdcsvc |
|
ID události |
204 |
|
Text události |
Centrum distribuce klíčů zablokovalo použití šifry, protože služba msds-SupportedEncryptionTypes není definovaná a účet služby má pouze nezabezpečené klíče. Informace o účtu Název účtu: <název účtu> Zadaný název sféry: <Zadaný název sféry> msds-SupportedEncryptionTypes: <Podporované typy šifrování> Dostupné klíče: <dostupné klíče> Informace o službě: Název služby: <název služby> ID služby: <sid služby> msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> Dostupné klíče: dostupné klíče služby <> Informace o řadiči domény: msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes Dostupné klíče: <dostupné klíče řadiče domény> Informace o síti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Advertized Etypes: <Advertized Kerberos Encryption Types> Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáře |
Událost chyby 204 se zaprotokoluje v následujících případech:
|
|
Protokol událostí |
Systém |
|
Typ události |
Varování |
|
Zdroj události |
Kdcsvc |
|
ID události |
205 |
|
Text události |
Centrum distribuce klíčů zjistilo explicitní povolení šifry v konfiguraci zásad Podporované typy šifrování výchozí domény. Šifry: <povolené nezabezpečené šifry> DefaultDomainSupportedEncTypes: <Nakonfigurovaná hodnota DefaultDomainSupportedEncTypes> Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáře |
Událost upozornění 205 se zaprotokoluje v následujících případech:
|
|
Protokol událostí |
Systém |
|
Typ události |
Varování |
|
Zdroj události |
Kdcsvc |
|
ID události |
206 |
|
Text události |
Centrum distribuce klíčů zjistilo <název šifry> využití, které nebude ve fázi vynucení podporováno, protože služba msds-SupportedEncryptionTypes je nakonfigurovaná tak, aby podporovala pouze AES-SHA1, ale klient AES-SHA1 nereklamuje. Informace o účtu Název účtu: <název účtu> Zadaný název sféry: <Zadaný název sféry> msds-SupportedEncryptionTypes: <Podporované typy šifrování> Dostupné klíče: <dostupné klíče> Informace o službě: Název služby: <název služby> ID služby: <sid služby> msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> Dostupné klíče: dostupné klíče služby <> Informace o řadiči domény: msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes Dostupné klíče: <dostupné klíče řadiče domény> Informace o síti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Advertized Etypes: <Advertized Kerberos Encryption Types> Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáře |
Událost upozornění 206 se zaprotokoluje v následujících případech:
|
|
Protokol událostí |
Systém |
|
Typ události |
Varování |
|
Zdroj události |
Kdcsvc |
|
ID události |
207 |
|
Text události |
Centrum distribuce klíčů zjistilo <název šifry> použití, které nebude ve fázi vynucení podporováno, protože služba msds-SupportedEncryptionTypes je nakonfigurovaná tak, aby podporovala jenom AES-SHA1, ale účet služby nemá klíče AES-SHA1. Informace o účtu Název účtu: <název účtu> Zadaný název sféry: <Zadaný název sféry> msds-SupportedEncryptionTypes: <Podporované typy šifrování> Dostupné klíče: <dostupné klíče> Informace o službě: Název služby: <název služby> ID služby: <sid služby> msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> Dostupné klíče: dostupné klíče služby <> Informace o řadiči domény: msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes Dostupné klíče: <dostupné klíče řadiče domény> Informace o síti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Advertized Etypes: <Advertized Kerberos Encryption Types> Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáře |
Událost upozornění 207 se zaprotokoluje v následujících případech:
|
|
Protokol událostí |
Systém |
|
Typ události |
Varování |
|
Zdroj události |
Kdcsvc |
|
ID události |
208 |
|
Text události |
Centrum distribuce klíčů záměrně zamítlo použití šifry, protože služba msds-SupportedEncryptionTypes je nakonfigurovaná tak, aby podporovala jenom AES-SHA1, ale klient AES-SHA1 nereklamuje. Informace o účtu Název účtu: <název účtu> Zadaný název sféry: <Zadaný název sféry> msds-SupportedEncryptionTypes: <Podporované typy šifrování> Dostupné klíče: <dostupné klíče> Informace o službě: Název služby: <název služby> ID služby: <sid služby> msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> Dostupné klíče: dostupné klíče služby <> Informace o řadiči domény: msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes Dostupné klíče: <dostupné klíče řadiče domény> Informace o síti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Advertized Etypes: <Advertized Kerberos Encryption Types> Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáře |
Událost chyby 208 se zaprotokoluje v následujících případech:
|
|
Protokol událostí |
Systém |
|
Typ události |
Varování |
|
Zdroj události |
Kdcsvc |
|
ID události |
209 |
|
Text události |
Centrum distribuce klíčů záměrně zamítlo použití šifry, protože služba msds-SupportedEncryptionTypes je nakonfigurovaná tak, aby podporovala jenom AES-SHA1, ale účet služby nemá klíče AES-SHA1. Informace o účtu Název účtu: <název účtu> Zadaný název sféry: <Zadaný název sféry> msds-SupportedEncryptionTypes: <Podporované typy šifrování> Dostupné klíče: <dostupné klíče> Informace o službě: Název služby: <název služby> ID služby: <sid služby> msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> Dostupné klíče: dostupné klíče služby <> Informace o řadiči domény: msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes Dostupné klíče: <dostupné klíče řadiče domény> Informace o síti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Advertized Etypes: <Advertized Kerberos Encryption Types> Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáře |
Událost chyby 209 se zaprotokoluje v následujících případech:
|
Poznámka
Pokud zjistíte, že některé z těchto zpráv upozornění jsou protokolované na řadiči domény, je pravděpodobné, že všechny řadiče domény ve vaší doméně nejsou aktuální pomocí aktualizace Windows vydané 13. ledna 2026 nebo později. Pokud chcete toto ohrožení zabezpečení zmírnit, budete muset svou doménu dále prozkoumat, abyste našli řadiče domény, které nejsou aktuální.
Pokud se zobrazí ID události: 0x8000002A přihlášeni k řadiči domény, přečtěte si KB5021131: Správa změn protokolu Kerberos souvisejících s CVE-2022-37966.
Nejčastější dotazy
Toto posílení zabezpečení má vliv na řadiče domény Windows, když vydávají lístky služeb. Tok důvěryhodnosti protokolu Kerberos a toku referenčních seznamů není ovlivněno.
Doménová zařízení třetích stran, která nemůžou zpracovat AES-SHA1, by už měla být explicitně nakonfigurovaná tak, aby umožňovala AES-SHA1.
Ne. Události upozornění pro nezabezpečené konfigurace pro DefaultDomainSupportedEncTypes budeme protokolovat. Kromě toho nebudeme ignorovat žádnou konfiguraci explicitně nastavenou zákazníkem.
Zdroje
KB5020805: Správa změn protokolu Kerberos souvisejících s CVE-2022-37967
KB5021131: Správa změn protokolu Kerberos souvisejících s CVE-2022-37966
