Platí pro
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Původní datum publikování: úterý 13. ledna 2026

ID znalostní báze: 5073381

V tomto článku

Shrnutí

Aktualizace Windows vydané 13. ledna 2026 a po nich obsahují ochranu před ohrožením zabezpečení pomocí ověřovacího protokolu Kerberos. Aktualizace Systému Windows řeší chybu zabezpečení spočívající ve zpřístupnění informací v cve-2026-20833 , která by mohla útočníkovi umožnit získat lístky služby se slabými nebo staršími typy šifrování, jako je rc4, za účelem provedení offline útoků na obnovení hesla účtu služby.

Pokud správci nepovolí režim vynucení dříve, změňte výchozí hodnotu Centra distribuce klíčů protokolu Kerberos (KDC) a zmírnit tak, že aktualizace Windows vydané 14. dubna 2026 a po nich. Aktualizované řadiče domény spuštěné v režimu vynucení budou předpokládat podporu konfigurace typu šifrování AES (Advanced Encryption Standard), pouze pokud není zadána žádná explicitní konfigurace. Další informace najdete v tématu Podporované typy šifrování – bitové příznaky. Výchozí hodnota DefaultDomainSupportedEncTypes platí v případě, že neexistuje explicitní hodnota.

Na řadičích domény s definovanou hodnotou registru DefaultDomainSupportedEncTypes nebudou tyto změny na chování funkčně ovlivněny. Pokud je však stávající konfigurace DefaultDomainSupportedEncTypes nezabezpečená (například při použití šifry RC4), událost auditu ID události KDCSVC: 205 se do protokolu událostí systému zaprotokoluje.

zpět na začátek

Akční přístup

V zájmu ochrany vašeho prostředí a zabránění výpadkům doporučujeme: 

  • AKTUALIZACE Řadiče domény Microsoft Active Directory počínaje aktualizacemi Windows vydanými 13. ledna 2026 nebo později.

  • MONITORUJTE protokol událostí systému pro některé z devíti událostí auditu KDCSVC 201 > 209, které jsou přihlášené na řadičích domény Windows Server 2012 a novějších, které identifikují rizika související s povolením ochrany RC4.

  • ZMÍRNĚNÍ Události KDCSVC protokolované v protokolu událostí systému, které brání ručnímu nebo programovému povolení ochrany RC4.

  • POVOLIT Režim vynucování, který řeší ohrožení zabezpečení vyřešená v cve-2026-20833 ve vašem prostředí, když se už protokolují události upozornění, blokování nebo zásad.

DŮLEŽITÉ Instalace aktualizací vydaných 13. ledna 2026 nebo později neřeší ve výchozím nastavení chyby zabezpečení popsané v cve-2026-20833 pro řadiče domény služby Active Directory. Pokud chcete tuto chybu zabezpečení plně zmírnit, měli byste režim vynucení (popsaný v kroku 3: POVOLENÍ) povolit ručně na všech řadičích domény. Instalace Windows Aktualizace vydaná v červenci 2026 a po jeho uplynutí programově povolí fázi vynucení.

Režim vynucování se automaticky povolí instalací windows Aktualizace vydané v dubnu 2026 nebo později na všech řadičích domény s Windows a zablokuje zranitelná připojení ze zařízení, která nedodržují předpisy.  V takovém okamžiku nebudete moct auditování zakázat, ale můžete přejít zpět do nastavení Režim auditování. Režim auditování se odebere v červenci 2026, jak je uvedeno v části Časování aktualizací , a režim vynucení bude povolený na všech řadičích domény s Windows a bude blokovat ohrožená připojení ze zařízení, která nedodržují předpisy.

Pokud potřebujete využít rc4 po dubnu 2026, doporučujeme explicitně povolit RC4 v rámci msds-SupportedEncryptionTypes bitové masky pro služby, které budou muset přijmout využití RC4. 

zpět na začátek 

Načasování aktualizací

13. ledna 2026 – Počáteční fáze nasazení 

Počáteční fáze nasazení začíná aktualizacemi vydanými 13. ledna 2026 a později a pokračuje s pozdějšími aktualizacemi Windows až do fáze vynucení . Tato fáze má zákazníky upozornit na nové vynucování zabezpečení, které bude zavedeno v druhé fázi nasazení. Tato aktualizace: 

  • Poskytuje události auditu, které varují zákazníky, kteří můžou být chystaným posílením zabezpečení negativně ovlivněni.

  • Zavádí podporu pro hodnotu registru RC4DefaultDisablementPhase poté, co správce proaktivně povolí změnu nastavením hodnoty na 2 na řadičích domény, když události auditu KDCSVC indikují, že je to bezpečné.

14. dubna 2026 – Fáze vynucení s ručním vrácením zpět 

Tato aktualizace změní výchozí hodnotu DefaultDomainSupportedEncTypes pro operace KDC tak, aby využívala AES-SHA1 pro účty, které nemají definovaný explicitní atribut služby Active Directory msds-SupportedEncryptionTypes

Tato fáze změní výchozí hodnotu DefaultDomainSupportedEncTypes pouze na AES-SHA1: 0x18

Tato fáze také umožňuje ruční konfiguraci hodnoty vrácení zpět RC4DefaultDisablementPhase až do programového vynucení v červenci 2026.

Červenec 2026 – fáze vynucování 

Aktualizace Windows vydané v červenci 2026 nebo později odeberou podporu pro podklíč registru RC4DefaultDisablementPhase

zpět na začátek 

Pokyny k nasazení

Pokud chcete nasadit aktualizace Windows vydané 13. ledna 2026 nebo později, postupujte takto: 

  1. AKTUALIZUJTE řadiče domény pomocí aktualizace Windows vydané 13. ledna 2026 nebo později.

  2. MONITOROVÁNÍ událostí protokolovaných během počáteční fáze nasazení za účelem lepšího zabezpečení vašeho prostředí

  3. Přesuňte řadiče domény do režimu vynucení pomocí části Nastavení registru.

Krok 1: AKTUALIZACE  

Po nasazení aktualizace nasaďte aktualizaci Windows vydané 13. ledna 2026 nebo později do všech příslušných windows active directory spuštěných jako řadič domény.

  • Události auditu se zobrazí v protokolech událostí systému, pokud vaše Windows Server 2012 nebo novější řadiče domény přijímají žádosti o lístek služby Kerberos, které vyžadují použití šifry RC4, ale účet služby má výchozí konfiguraci šifrování.

  • Pokud má váš řadič domény explicitní konfiguraci DefaultDomainSupportedEncTypes umožňující šifrování RC4, zaprotokoluje se do protokolu událostí auditu 205.

Krok 2: MONITOROVÁNÍ

Pokud se po aktualizaci řadičů domény nezobrazí události auditu popsané v tomto článku, přepněte do režimu vynucení změnou hodnoty registru RC4DefaultDisablementPhase na 2.   

Pokud se vygenerují události auditu, budete muset buď odebrat závislosti RC4, nebo explicitně nakonfigurovat atribut účty msds-SupportedEncryptionTypes tak, aby podporoval další používání rc4 po ručním nebo automatickém povolení režimu vynucení .

Správcům, kteří mají zájem o nápravu využití rc4 v širším měřítku, než je popsáno v tomto článku, doporučujeme přečíst si další informace v tématu Zjištění a náprava využití rc4 v protokolu Kerberos.

DŮLEŽITÉ Události auditu související s touto změnou se generují pouze v případě, že služba Active Directory nemůže vystavit lístky služby AES-SHA1 nebo klíče relace. Absence událostí auditu nezaručuje , že po dubnové aktualizaci budou všechna zařízení bez Windows úspěšně přijímat ověřování protokolem Kerberos. Zákazníci by měli ověřit interoperabilitu jiných systémů než Windows prostřednictvím testování, než toto chování povolí.

Krok 3: POVOLIT

Povolením režimu vynucování vyřešíte ohrožení zabezpečení CVE-2026-20833 ve vašem prostředí. 

  • Pokud je služba KDC požádána o poskytnutí lístku služby RC4 pro účet s výchozími konfiguracemi, zaprotokoluje se chybová událost.

  • Pro každou nezabezpečenou konfiguraci DefaultDomainSupportedEncTypes se bude dál zobrazovat id události 205.

zpět na začátek 

Nastavení registru

Po instalaci aktualizací Windows vydaných 13. ledna 2026 nebo později je pro protokol Kerberos k dispozici následující klíč registru.

RC4DefaultDisablementPhase

Tento klíč registru slouží k bráně nasazení změn protokolu Kerberos. Tento klíč registru je dočasný a po datu vynucení se už nebude číst.

Klíč registru

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Datový typ

REG_DWORD

Název hodnoty

RC4DefaultDisablementPhase

Údaj hodnoty

0 – Žádný audit, žádná změna 

1 – Události upozornění se zaprotokolují při výchozím využití RC4. (Výchozí nastavení fáze 1) 

2 – Kerberos se spustí za předpokladu, že rc4 není ve výchozím nastavení povolená.  (Výchozí nastavení fáze 2) 

Vyžaduje se restartování?

Ano

zpět na začátek 

Události auditu

Po instalaci aktualizací Windows vydaných 13. ledna 2026 nebo později se do protokolu událostí systému Windows Server 2012 a později spuštěného jako řadič domény přidají následující typy událostí auditu KSCSVC.

V této části

zpět na začátek 

ID události: 201

Protokol událostí

Systém

Typ události

Varování

Zdroj události

Kdcsvc

ID události

201

Text události

Centrum distribuce klíčů zjistilo <název šifry> použití, které nebude ve fázi vynucení podporováno, protože služba msds-SupportedEncryptionTypes není definována a klient podporuje pouze nezabezpečené typy šifrování. 

Informace o účtu 

    Název účtu: <název účtu> 

    Zadaný název sféry: <Zadaný název sféry> 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování> 

    Dostupné klíče: <dostupné klíče> 

Informace o službě: 

    Název služby: <název služby> 

    ID služby: <sid služby> 

    msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> 

    Dostupné klíče: dostupné klíče služby <> 

Informace o řadiči domény: 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> 

    DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes 

    Dostupné klíče: <dostupné klíče řadiče domény> 

Informace o síti: 

    Adresa klienta: <IP adresa klienta> 

    Port klienta: <port klienta> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentáře

ID události: 201 se zaprotokoluje, pokud:

  • Klient inzeruje pouze rc4 jako reklamní typ Etypes.

  • Cílová služba NEMÁ definovanou sadu msds-SET.

  • Řadič domény NEMÁ definovanou sadu DDSET.

  • Hodnota registru RC4DefaultDisablementPhase je nastavená na 1

  • Upozornění – Událost 201 přejde na chybovou událost 203 v režimu vynucení

  • Tato událost se protokoluje pro každý požadavek.

  • Upozornění– Událost 201 se NEZAPROTOKOLUJE, pokud je ručně definovaná hodnota DefaultDomainSupportedEncTypes

zpět na události auditu 

ID události: 202

Protokol událostí

Systém

Typ události

Varování

Zdroj události

Kdcsvc

ID události

202

Text události

Centrum distribuce klíčů zjistilo <název šifry> použití, které nebude ve fázi vynucení podporováno, protože služba msds-SupportedEncryptionTypes není definovaná a účet služby má pouze nezabezpečené klíče.  

Informace o účtu 

    Název účtu: <název účtu> 

    Zadaný název sféry: <Zadaný název sféry> 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování> 

    Dostupné klíče: <dostupné klíče> 

Informace o službě: 

    Název služby: <název služby> 

    ID služby: <sid služby> 

    msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> 

    Dostupné klíče: dostupné klíče služby <> 

Informace o řadiči domény: 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> 

    DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes 

    Dostupné klíče: <dostupné klíče řadiče domény> 

Informace o síti: 

    Adresa klienta: <IP adresa klienta> 

    Port klienta: <port klienta> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentáře

Událost upozornění 202 se zaprotokoluje, pokud:

  • Cílová služba nemá klíče AES.

  • Cílová služba NEMÁ definovanou sadu msds-SET.

  • Řadič domény NEMÁ definovanou sadu DDSET.

  • Hodnota registru RC4DefaultDisablementPhase je nastavená na 1

  • Událost chyby 202 přejde na chybu 204 v režimu vynucení .

  • Událost upozornění 202 se protokoluje pro každou žádost.

  • Upozornění– Událost 202 se NEZAPROTOKOLUJE, pokud je ručně definovaná hodnota DefaultDomainSupportedEncTypes

zpět na události auditu 

ID události: 203

Protokol událostí

Systém

Typ události

Varování

Zdroj události

Kdcsvc

ID události

203

Text události

Centrum distribuce klíčů zablokovalo použití šifry, protože služba msds-SupportedEncryptionTypes není definována a klient podporuje pouze nezabezpečené typy šifrování. 

Informace o účtu 

    Název účtu: <název účtu> 

    Zadaný název sféry: <Zadaný název sféry> 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování> 

    Dostupné klíče: <dostupné klíče> 

Informace o službě: 

    Název služby: <název služby> 

    ID služby: <sid služby> 

    msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> 

    Dostupné klíče: dostupné klíče služby <> 

Informace o řadiči domény: 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> 

    DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes 

    Dostupné klíče: <dostupné klíče řadiče domény> 

Informace o síti: 

    Adresa klienta: <IP adresa klienta> 

    Port klienta: <port klienta> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentáře

Událost chyby 203 se zaprotokoluje v následujících případech:

  • Klient inzeruje pouze rc4 jako reklamní typ Etypes.

  • Cílová služba NEMÁ definovanou sadu msds-SET.

  • Řadič domény NEMÁ definovanou sadu DDSET.

  • Hodnota registru RC4DefaultDisablementPhase je nastavená na 2.

  • Na žádost

zpět na události auditu 

ID události: 204

Protokol událostí

Systém

Typ události

Varování

Zdroj události

Kdcsvc

ID události

204

Text události

Centrum distribuce klíčů zablokovalo použití šifry, protože služba msds-SupportedEncryptionTypes není definovaná a účet služby má pouze nezabezpečené klíče.  

Informace o účtu 

    Název účtu: <název účtu> 

    Zadaný název sféry: <Zadaný název sféry> 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování> 

    Dostupné klíče: <dostupné klíče> 

Informace o službě: 

    Název služby: <název služby> 

    ID služby: <sid služby> 

    msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> 

    Dostupné klíče: dostupné klíče služby <> 

Informace o řadiči domény: 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> 

    DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes 

    Dostupné klíče: <dostupné klíče řadiče domény> 

Informace o síti: 

    Adresa klienta: <IP adresa klienta> 

    Port klienta: <port klienta> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentáře

Událost chyby 204 se zaprotokoluje v následujících případech:

  • Cílová služba nemá klíče AES.

  • Cílová služba NEMÁ definovanou sadu msds-SET.

  • Řadič domény NEMÁ definovanou sadu DDSET.

  • Hodnota registru RC4DefaultDisablementPhase je nastavená na 2.

  • Na žádost

zpět na události auditu 

ID události: 205

Protokol událostí

Systém

Typ události

Varování

Zdroj události

Kdcsvc

ID události

205

Text události

Centrum distribuce klíčů zjistilo explicitní povolení šifry v konfiguraci zásad Podporované typy šifrování výchozí domény. 

Šifry: <povolené nezabezpečené šifry> 

DefaultDomainSupportedEncTypes: <Nakonfigurovaná hodnota DefaultDomainSupportedEncTypes> 

Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614.

Komentáře

Událost upozornění 205 se zaprotokoluje v následujících případech:

  • Řadič domény má definovaný DDSET tak, aby zahrnoval cokoli kromě AES-SHA1.

  • Hodnota registru RC4DefaultDisablementPhase je nastavená na 1, 2.

  • To se NIKDY nepromění v chybu.

  • Účelem je upozornit zákazníka na nezabezpečené chování, které nebudeme měnit.

  • Protokoluje se pokaždé při spuštění KDCSVC.

zpět na události auditu 

ID události: 206

Protokol událostí

Systém

Typ události

Varování

Zdroj události

Kdcsvc

ID události

206

Text události

Centrum distribuce klíčů zjistilo <název šifry> využití, které nebude ve fázi vynucení podporováno, protože služba msds-SupportedEncryptionTypes je nakonfigurovaná tak, aby podporovala pouze AES-SHA1, ale klient AES-SHA1 nereklamuje. 

Informace o účtu 

    Název účtu: <název účtu> 

    Zadaný název sféry: <Zadaný název sféry> 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování> 

    Dostupné klíče: <dostupné klíče> 

Informace o službě: 

    Název služby: <název služby> 

    ID služby: <sid služby> 

    msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> 

    Dostupné klíče: dostupné klíče služby <> 

Informace o řadiči domény: 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> 

    DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes 

    Dostupné klíče: <dostupné klíče řadiče domény> 

Informace o síti: 

    Adresa klienta: <IP adresa klienta> 

    Port klienta: <port klienta> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentáře

Událost upozornění 206 se zaprotokoluje v následujících případech:

  • Klient inzeruje pouze RC4 jako reklamní Etypes.

  • Nastane některý z následujících kroků:

    • Cílová služba má msds-SET definovanou pouze pro AES-SHA1.

    • Řadič domény MÁ DDSET definovaný jenom pro AES-SHA1.

  • Hodnota registru RC4DefaultDisablementPhase je nastavená na 1

  • Upozornění události 2016 přejde na událost chyby 2018 v režimu vynucení

  • Protokolováno na základě žádosti

zpět na události auditu 

ID události: 207

Protokol událostí

Systém

Typ události

Varování

Zdroj události

Kdcsvc

ID události

207

Text události

Centrum distribuce klíčů zjistilo <název šifry> použití, které nebude ve fázi vynucení podporováno, protože služba msds-SupportedEncryptionTypes je nakonfigurovaná tak, aby podporovala jenom AES-SHA1, ale účet služby nemá klíče AES-SHA1.  

Informace o účtu 

    Název účtu: <název účtu> 

    Zadaný název sféry: <Zadaný název sféry> 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování> 

    Dostupné klíče: <dostupné klíče> 

Informace o službě: 

    Název služby: <název služby> 

    ID služby: <sid služby> 

    msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> 

    Dostupné klíče: dostupné klíče služby <> 

Informace o řadiči domény: 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> 

    DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes 

    Dostupné klíče: <dostupné klíče řadiče domény> 

Informace o síti: 

    Adresa klienta: <IP adresa klienta> 

    Port klienta: <port klienta> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentáře

Událost upozornění 207 se zaprotokoluje v následujících případech:

  • Cílová služba nemá klíče AES.

  • Nastane některý z následujících kroků:

    • Cílová služba má msds-SET definovanou pouze pro AES-SHA1.

    • Řadič domény MÁ DDSET definovaný jenom pro AES-SHA1.

  • Hodnota registru RC4DefaultDisablementPhase je nastavená na 1

  • V režimu vynucení se tím změní na 209 (Chyba).

  • Na žádost

zpět na události auditu 

ID události: 208

Protokol událostí

Systém

Typ události

Varování

Zdroj události

Kdcsvc

ID události

208

Text události

Centrum distribuce klíčů záměrně zamítlo použití šifry, protože služba msds-SupportedEncryptionTypes je nakonfigurovaná tak, aby podporovala jenom AES-SHA1, ale klient AES-SHA1 nereklamuje. 

Informace o účtu 

    Název účtu: <název účtu> 

    Zadaný název sféry: <Zadaný název sféry> 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování> 

    Dostupné klíče: <dostupné klíče> 

Informace o službě: 

    Název služby: <název služby> 

    ID služby: <sid služby> 

    msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> 

    Dostupné klíče: dostupné klíče služby <> 

Informace o řadiči domény: 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> 

    DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes 

    Dostupné klíče: <dostupné klíče řadiče domény> 

Informace o síti: 

    Adresa klienta: <IP adresa klienta> 

    Port klienta: <port klienta> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentáře

Událost chyby 208 se zaprotokoluje v následujících případech:

  • Klient inzeruje pouze rc4 jako reklamní typ Etypes.

  • Dochází k následujícímu:

    • Cílová služba má msds-SET definovanou pouze pro AES-SHA1.

    • Řadič domény MÁ DDSET definovaný jenom pro AES-SHA1.

  • Hodnota registru RC4DefaultDisablementPhase je nastavená na 2.

  • Na žádost

zpět na události auditu 

ID události: 209

Protokol událostí

Systém

Typ události

Varování

Zdroj události

Kdcsvc

ID události

209

Text události

Centrum distribuce klíčů záměrně zamítlo použití šifry, protože služba msds-SupportedEncryptionTypes je nakonfigurovaná tak, aby podporovala jenom AES-SHA1, ale účet služby nemá klíče AES-SHA1. 

Informace o účtu 

    Název účtu: <název účtu> 

    Zadaný název sféry: <Zadaný název sféry> 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování> 

    Dostupné klíče: <dostupné klíče> 

Informace o službě: 

    Název služby: <název služby> 

    ID služby: <sid služby> 

    msds-SupportedEncryptionTypes: Podporované typy šifrování služby <> 

    Dostupné klíče: dostupné klíče služby <> 

Informace o řadiči domény: 

    msds-SupportedEncryptionTypes: <Podporované typy šifrování řadiče domény> 

    DefaultDomainSupportedEncTypes: <> hodnoty DefaultDomainSupportedEncTypes 

    Dostupné klíče: <dostupné klíče řadiče domény> 

Informace o síti: 

    Adresa klienta: <IP adresa klienta> 

    Port klienta: <port klienta> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Další informace najdete v https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentáře

Událost chyby 209 se zaprotokoluje v následujících případech:

  • Cílová služba nemá klíče AES.

  • Nastane některý z následujících kroků:

    • Cílová služba má msds-SET definovanou pouze pro AES-SHA1.

    • Řadič domény MÁ DDSET definovaný jenom pro AES-SHA1.

  • Hodnota registru RC4DefaultDisablementPhase je nastavená na 2.

  • Na žádost

zpět na události auditu

Poznámka

Pokud jde o implicitní změnu ve výběru šifrování lístku služby, má Společnost Microsoft omezený přehled o důvodech, proč zařízení, které není systémem Windows, nemůže přijmout ověřování protokolem Kerberos poté, co KDC použijí dubnovou aktualizaci a v případě neurčeného stavu přejdou na výchozí chování AES-SHA1. Než toto chování povolíte obecně, doporučujeme tyto změny ověřovat prostřednictvím testování ve vašem vlastním prostředí.

Nejběžnějším místem, kde k tomu dochází, jsou zařízení využívající klávesové zkratky Kerberos. Pokud se karta s klíči Kerberos exportovala jenom s klíči RC4, ale účet cílové služby má klíče AES-SHA1 a nemá definovaný parametr msds-SupportedEncryptionTypes, může dojít k selhání ověřování uvedené služby. To se s největší pravděpodobností projeví ve formě selhání ověřování z cílové služby, nikoli z KDC. 

Naším primárním doporučením je spolupracovat s dodavatelem zařízení, které není windows. Obecně platí, že selhání jiných zařízení než Windows při přijetí ověřování protokolem Kerberos nejsou jedinečná pro dubnové změny a můžou být způsobená omezeními specifickými pro konkrétní zařízení nebo implementaci.

Pokud po této změně dojde u zařízení, která nejsou systémem Windows, k problémům s ověřováním protokolu Kerberos a náprava dodavatele není možná, naše doporučení jsou následující:

  • U ovlivněného účtu služby explicitně definujte msDS-SupportedEncryptionTypes tak, aby zahrnovaly rc4 s klíči relace AES (0x24).

  • Pokud to není možné, jako poslední možnost ručně nakonfigurujte hodnotu registru DefaultDomainSupportedEncTypes pro všechny relevantní řadiče domény tak, aby zahrnovala rc4 s klíči relace AES-SHA1 (0x24). Upozorňujeme, že všechny účty v doméně tak budou ohroženy cve-2026-20833.

Je důležité si uvědomit, že tato konfigurace je nezabezpečená a naším dlouhodobým doporučením je migrovat zařízení bez Windows na verze, které podporují šifrování lístku Kerberos AES-SHA1.

zpět na události auditu

Nejčastější dotazy

Otázka 1: Jak tato změna interaguje s doménami, které mají KDC třetích stran?

Tato změna posílení zabezpečení se týká jenom řadičů domény s Windows. Tok důvěryhodnosti protokolu Kerberos a referenčních seznamů s jinými řadiči domény Windows nebo řadiči KDC třetích stran není ovlivněn.

Otázka 2: Jak tato změna komunikuje s doménami, které mají zařízení s doménou mimo Windows?

Zařízení domény třetích stran, která nemůžou zpracovat šifrování AES-SHA1, by už měla být explicitně nakonfigurovaná tak, aby umožňovala šifrování RC4. Služby, které nemůžou zpracovat lístky AES-SHA1, musí být opravené nebo explicitně nakonfigurované v aktivní diretory, aby poskytovaly šifrování RC4, jak je uvedeno výše. Tyto změny důkladně ověřte. 

Otázka č. 3: Odebere Microsoft možnost konfigurace DefaultDomainSupportedEncTypes?

Ne. Události upozornění pro nezabezpečené konfigurace pro DefaultDomainSupportedEncTypes budeme protokolovat. Kromě toho budeme respektovat jakoukoli konfiguraci, kterou výslovně nastavil správce.

zpět na začátek 

Zdroje

zpět na začátek 

Protokol změn

Změnit datum

Změnit popis

14. dubna 2026

  • Datum dubna 2026 bylo aktualizováno tak, aby odráželo skutečné datum vydání "Fáze vynucení s ručním vrácením zpět".

  • Služba Kerberos KDC byla definována v první větě druhého odstavce oddílu Souhrn.Z: Za účelem zmírnění tohoto ohrožení zabezpečení změní výchozí hodnotu DefaultDomainSupportedEncTypes systém Windows Aktualizace vydaný 14. dubna 2026 a později nebo správci povolí režim vynucení včas.Postup: Pokud správci nepovolí režim vynucení dříve, změňte výchozí hodnotu Centra distribuce klíčů protokolu Kerberos (KDC) a zmírnit tak, že aktualizace Windows vydané 14. dubna 2026 a po nich.

úterý 7. dubna 2026

  • Pro přehlednost přeformuloval druhý odstavec v oddílu "Souhrn".

  • Do části Krok 2: MONITOROVÁNÍ vložte poznámku DŮLEŽITÉ, abyste zvýraznili její důležitost. Poznamenejte si prosím důležitou poznámku.

  • Do poznámky nad oddílem Nejčastější dotazy byl přidán nový druhý odstavec.

úterý 16. března 2026

  • Pro přehlednost jsme přeformulovali "Krok 2: MONITOROVÁNÍ" v části "Pokyny pro nasazení".

  • Pro přehlednost jsme přeformulovali odpověď na "Jak tato změna interaguje s doménami, které nejsou doménovými zařízeními s Windows?" Nejčastější dotazy Přidání zvláštní poznámky k tomu, jak můžou být tyto změny ovlivněny službami jiných systémů než Windows.

středa 10. února 2026

  • Přidání odkazu na dokumentaci k výskytům DefaultDomainSupportedEncTypes.

  • Opravili jsme znění druhé odrážky v části Krok 3: Povolení.Z: Zavádí hodnotu registru RC4DefaultDisablementPhase, která proaktivně povolí změnu nastavením hodnoty na 2 na řadičích domény, když události auditu KDCSVC indikují, že je to bezpečné.Postup: Zavádí podporu pro hodnotu registru RC4DefaultDisablementPhase poté, co správce proaktivně povolí změnu nastavením hodnoty na 2 na řadičích domény, když události auditu KDCSVC indikují, že je to bezpečné.

  • Pod důležitou poznámkou v části Provést akci změnili první větu odstavce tak, aby přibližně naznačovala, kdy bude režim vynucení povolený.Z: Od dubna 2026 bude režim vynucení povolený na všech řadičích domény s Windows a bude blokovat zranitelná připojení ze zařízení, která nedodržují předpisy.Postup: Režim vynucování se automaticky povolí instalací windows Aktualizace vydané v dubnu 2026 nebo později na všech řadičích domény s Windows a zablokuje zranitelná připojení ze zařízení, která nedodržují předpisy.

  • Přidání formulace pro zmínku o této změně je provedena systémem Windows Aktualizace vydaných 13. ledna 2026 a po tomto dni a CVE-2026-20833.

zpět na začátek 

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti