Gælder for
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Oprindelig publiceringsdato: 13. januar 2026

KB-id: 5073381

Denne artikel indeholder

Resumé

Windows-opdateringer, der er udgivet den 13. januar 2026 og derefter, indeholder beskyttelse mod en sårbarhed med Kerberos-godkendelsesprotokollen. Windows-opdateringerne løser en sårbarhed i forbindelse med afsløring af oplysninger i CVE-2026-20833 , der kan gøre det muligt for en hacker at få servicebilletter med svage eller ældre krypteringstyper, f.eks. RC4, til at udføre offlineangreb for at gendanne en adgangskode til en tjenestekonto.

For at afhjælpe denne sikkerhedsrisiko, windows-opdateringer, der blev udgivet den 14. april 2026 og efter den 14. april 2026, skal du ændre Kerberos Key Distribution Center-standardværdien for DefaultDomainSupportedEncTypes, medmindre administratorer aktiverer gennemtvingelsestilstand tidligere. Opdaterede domænecontrollere, der kører i gennemtvingelsestilstand, antager kun understøttelse af konfigurationer af AES-krypteringstype (Advanced Encryption Standard), hvis der ikke er angivet nogen eksplicit konfiguration. Du kan få mere at vide under Understøttede krypteringstyper Bitflag. Standardværdien for DefaultDomainSupportedEncTypes gælder i fraværet af en eksplicit værdi.

På domænecontrollere med en defineret DefaultDomainSupportedEncTypes-registreringsdatabaseværdi påvirkes funktionsmåden ikke funktionelt af disse ændringer. Men et KDCSVC-hændelses-id for overvågningshændelsen: 205 logføres i systemhændelsesloggen, hvis den eksisterende DefaultDomainSupportedEncTypes-konfiguration er usikker (f.eks. når der bruges en RC4-kryptering).

tilbage til toppen

Tag affære

For at beskytte dit miljø og forhindre afbrydelser anbefaler vi, at du: 

  • OPDATERING Microsoft Active Directory-domænecontrollere, der starter med Windows-opdateringer, der er udgivet den 13. januar 2026 eller derefter.

  • OVERVÅG systemhændelsesloggen for en af de ni KDCSVC 201 > 209-overvågningshændelser, der er logget på Windows Server 2012 og nyere domænecontrollere, der identificerer risici med aktivering af RC4-beskyttelse.

  • AFBØDE KDCSVC-hændelser logført i systemhændelsesloggen, der forhindrer manuel eller programmeringsmæssig aktivering af RC4-beskyttelse.

  • AKTIVERER Håndhævelsestilstand til at løse de sårbarheder, der er løst i CVE-2026-20833 i dit miljø, når advarsels-, blokerings- eller politikhændelser ikke længere logføres.

VIGTIGT Installation af opdateringer, der er udgivet den 13. januar 2026 eller derefter, løser SOM standard IKKE de sårbarheder, der er beskrevet i CVE-2026-20833 til Active Directory-domænecontrollere. Hvis du vil afhjælpe sikkerhedsrisikoen fuldt ud, skal du manuelt aktivere gennemtvingelsestilstand (beskrevet i trin 3: ENABLE) på alle domænecontrollere. Installationen af Windows Opdateringer, der blev udgivet den og efter juli 2026, aktiverer automatisk håndhævelsesfasen.

Gennemtvingelsestilstand aktiveres automatisk ved at installere Windows Opdateringer udgivet den eller efter april 2026 på alle Windows-domænecontrollere og vil blokere sårbare forbindelser fra ikke-kompatible enheder.  På det tidspunkt vil du ikke kunne deaktivere overvågning, men kan gå tilbage til indstillingen Overvågningstilstand. Overvågningstilstand fjernes i juli 2026, som beskrevet i afsnittet Tidsindstilling for opdateringer , og gennemtvingelsestilstand vil være aktiveret på alle Windows-domænecontrollere og blokere sårbare forbindelser fra ikke-kompatible enheder.

Hvis du har brug for at udnytte RC4 efter april 2026, anbefaler vi, at du eksplicit aktiverer RC4 i bitmasken msds-SupportedEncryptionTypes på tjenester, der skal acceptere RC4-brug. 

tilbage til toppen 

Tidsindstilling for opdateringer

13. januar 2026 – indledende installationsfase 

Den indledende installationsfase starter med de opdateringer, der er udgivet den 13. januar 2026 og fortsætter med senere Windows-opdateringer indtil håndhævelsesfasen . Denne fase er at advare kunder om nye sikkerhedshåndhævelser, der introduceres i anden installationsfase. Denne opdatering: 

  • Indeholder overvågningshændelser, der advarer kunder, der kan blive negativt påvirket af den kommende sikkerhedshærdning.

  • Introducerer understøttelse af registreringsdatabaseværdien RC4DefaultDisablementPhase , når en administrator proaktivt aktiverer ændringen ved at indstille værdien til 2 på domænecontrollere, når KDCSVC-overvågningshændelser angiver, at det er sikkert at gøre det.

14. april 2026 - Håndhævelsesfase med manuel annullering af opdatering 

Denne opdatering ændrer standardværdien DefaultDomainSupportedEncTypes for KDC-handlinger for at udnytte AES-SHA1 til konti, der ikke har defineret en eksplicit msds-SupportedEncryptionTypes active directory-attribut. 

Denne fase ændrer standardværdien for DefaultDomainSupportedEncTypes til kun AES-SHA1: 0x18

Denne fase aktiverer også manuel konfiguration af værdien RC4DefaultDisablementPhase rollback indtil programmatisk gennemtvingelse i juli 2026.

Juli 2026 – håndhævelsesfase 

De Windows-opdateringer, der er udgivet i eller efter juli 2026, fjerner understøttelse af undernøglen RC4DefaultDisablementPhase i registreringsdatabasen. 

tilbage til toppen 

Retningslinjer for installation

Hvis du vil installere de Windows-opdateringer, der er udgivet den 13. januar 2026 eller derefter, skal du følge disse trin: 

  1. OPDATER dine domænecontrollere med en Windows-opdatering, der er udgivet den 13. januar 2026 eller derefter.

  2. MONITOR-hændelser logføres i den indledende installationsfase for at beskytte dit miljø.

  3. FLYT dine domænecontrollere til gennemtvingelsestilstand ved hjælp af sektionen Indstillinger for registreringsdatabase.

Trin 1: OPDATER  

Installér den Windows-opdatering, der blev udgivet den 13. januar 2026 eller derefter, på alle relevante Windows Active Directory-programmer, der kører som domænecontroller, når du har installeret opdateringen.

  • Overvågningshændelser vises i systemhændelseslogge, hvis dine Windows Server 2012 eller nyere domænecontrollere modtager Kerberos-serviceanmodninger, der kræver, at RC4-kryptering bruges, men tjenestekontoen har standardkrypteringskonfigurationen.

  • Overvågningshændelse 205 logføres i systemhændelsesloggen, hvis din domænecontroller har en eksplicit DefaultDomainSupportedEncTypes-konfiguration , der tillader RC4-kryptering.

Trin 2: SKÆRM

Når domænecontrollere er opdateret, og du ikke kan se overvågningshændelser, der er beskrevet i denne artikel, skal du skifte til Gennemtvingelsestilstand ved at ændre registreringsdatabaseværdien RC4DefaultDisablementPhase til 2.   

Hvis der genereres overvågningshændelser, skal du enten fjerne RC4-afhængigheder eller eksplicit konfigurere attributten accounts msds-SupportedEncryptionTypes til at understøtte fortsat brug af RC4 efter manuel eller automatisk aktivering af gennemtvingelsestilstand .

For administratorer, der er interesseret i at afhjælpe RC4-brug mere bredt end det, der beskrives i denne artikel, anbefaler vi, at du gennemser Registrer og afhjælp RC4-brug i Kerberos for at få flere oplysninger.

VIGTIGT Overvågningshændelser, der er relateret til denne ændring, genereres kun, når Active Directory ikke kan udstede AES-SHA1-tjenestebilletter eller sessionsnøgler. Fraværet af overvågningshændelser garanterer ikke, at alle enheder, der ikke er Windows-enheder, kan acceptere Kerberos-godkendelse efter aprilopdateringen. Kunderne skal validere interoperabilitet, der ikke er fra Windows, ved hjælp af test, før de aktiverer denne funktionsmåde bredt.

Trin 3: AKTIVÉR

Aktivér gennemtvingelsestilstand for at løse CVE-2026-20833-sikkerhedsrisiciene i dit miljø. 

  • Hvis der anmodes om en RC4-servicebillet til en konto med standardkonfigurationer, logføres en fejlhændelse.

  • Du vil fortsat få vist et hændelses-id: 205 logført for enhver usikker konfiguration af DefaultDomainSupportedEncTypes.

tilbage til toppen 

Indstillinger i registreringsdatabasen

Når de Windows-opdateringer, der er udgivet den 13. januar 2026 eller derefter, er installeret, er følgende registreringsdatabasenøgle tilgængelig for Kerberos-protokollen.

RC4DefaultDisablementPhase

Denne registreringsdatabasenøgle bruges til at benytte udrulningen af Kerberos-ændringerne. Denne registreringsdatabasenøgle er midlertidig og læses ikke længere efter gennemtvingelsesdatoen.

Registreringsdatabasenøgle

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Datatype

REG_DWORD

Værdiens navn

RC4DefaultDisablementPhase

Værdiens data

0 – Ingen overvågning, ingen ændring 

1 – Advarselshændelser logges på standardbrug af RC4. (Fase 1-standard) 

2 – Kerberos begynder at antage, at RC4 ikke er aktiveret som standard.  (Fase 2-standard) 

Skal du genstarte?

Ja

tilbage til toppen 

Overvågningshændelser

Når de Windows-opdateringer, der er udgivet den 13. januar 2026 eller derefter, er installeret, føjes følgende KSCSVC-overvågningshændelsestyper til systemhændelsesloggen i Windows Server 2012 og senere kører som en domænecontroller.

Dette afsnit indeholder

tilbage til toppen 

Hændelses-id: 201

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Kdcsvc

Hændelses-id

201

Hændelsestekst

Nøgledistributionscenteret registrerede <Cipher Name> brug, der ikke understøttes i gennemtvingelsesfasen, fordi tjeneste msds-SupportedEncryptionTypes ikke er defineret, og klienten understøtter kun usikre krypteringstyper. 

Kontooplysninger 

    Kontonavn: <kontonavn> 

    Angivet ressourcenavn: <angivet ressourcenavn> 

    msds-SupportedEncryptionTypes: <understøttede krypteringstyper> 

    Tilgængelige taster: <tilgængelige taster> 

Tjenesteoplysninger: 

    Tjenestenavn:> <tjenestenavn 

    Service-id:> <service-SID 

    msds-SupportedEncryptionTypes: <Tjeneste understøttede krypteringstyper> 

    Tilgængelige nøgler: tilgængelige nøgler> til <-tjenesten 

Oplysninger om domænecontroller: 

    msds-SupportedEncryptionTypes: <Understøttede krypteringstyper for domænecontroller> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tilgængelige nøgler: <tilgængelige nøgler til domænecontroller> 

Netværksoplysninger: 

    Klientadresse: <klient-IP-adresse> 

    Klientport:> <klientport 

    Adverterede Etypes: <Advertized Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for at få mere at vide. 

Kommentarer

Hændelses-id: 201 logføres, hvis:

  • Kunden er kun reklame RC4 som en reklame etypes

  • Destinationstjenesten har IKKE defineret en msds-SET

  • Domænecontrolleren har IKKE defineret DDSET

  • Registreringsdatabaseværdien RC4DefaultDisablementPhase er indstillet til 1

  • Advarsel Hændelse 201 overgange til fejlhændelse 203 i gennemtvingelsestilstand

  • Hændelsen logføres pr. anmodning

  • Advarsel Hændelse 201 logføres IKKE, hvis DefaultDomainSupportedEncTypes er defineret manuelt

tilbage til Overvågningshændelser 

Hændelses-id: 202

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Kdcsvc

Hændelses-id

202

Hændelsestekst

Nøgledistributionscenteret registrerede <Cipher Name> brug, der ikke understøttes i håndhævelsesfasen, fordi tjenesten msds-SupportedEncryptionTypes ikke er defineret, og tjenestekontoen kun har usikre nøgler.  

Kontooplysninger 

    Kontonavn: <kontonavn> 

    Angivet ressourcenavn: <angivet ressourcenavn> 

    msds-SupportedEncryptionTypes: <understøttede krypteringstyper> 

    Tilgængelige taster: <tilgængelige taster> 

Tjenesteoplysninger: 

    Tjenestenavn:> <tjenestenavn 

    Service-id:> <service-SID 

    msds-SupportedEncryptionTypes: <Tjeneste understøttede krypteringstyper> 

    Tilgængelige nøgler: tilgængelige nøgler> til <-tjenesten 

Oplysninger om domænecontroller: 

    msds-SupportedEncryptionTypes: <Understøttede krypteringstyper for domænecontroller> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tilgængelige nøgler: <tilgængelige nøgler til domænecontroller> 

Netværksoplysninger: 

    Klientadresse: <klient-IP-adresse> 

    Klientport:> <klientport 

    Adverterede Etypes: <Advertized Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for at få mere at vide. 

Kommentarer

Advarselshændelse 202 logføres, hvis:

  • Destinationstjenesten har ikke AES-nøgler

  • Destinationstjenesten har IKKE defineret en msds-SET

  • Domænecontrolleren har IKKE defineret DDSET

  • Registreringsdatabaseværdien RC4DefaultDisablementPhase er indstillet til 1

  • Fejlhændelse 202 overgange til fejl 204 i gennemtvingelsestilstand

  • Advarselshændelse 202 logges på pr. anmodning

  • Advarsel Hændelse 202 logføres IKKE, hvis DefaultDomainSupportedEncTypes er defineret manuelt

tilbage til Overvågningshændelser 

Hændelses-id: 203

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Kdcsvc

Hændelses-id

203

Hændelsestekst

Nøgledistributionscenteret blokerede brugen af kryptering, fordi tjenesten msds-SupportedEncryptionTypes ikke er defineret, og klienten understøtter kun usikre krypteringstyper. 

Kontooplysninger 

    Kontonavn: <kontonavn> 

    Angivet ressourcenavn: <angivet ressourcenavn> 

    msds-SupportedEncryptionTypes: <understøttede krypteringstyper> 

    Tilgængelige taster: <tilgængelige taster> 

Tjenesteoplysninger: 

    Tjenestenavn:> <tjenestenavn 

    Service-id:> <service-SID 

    msds-SupportedEncryptionTypes: <Tjeneste understøttede krypteringstyper> 

    Tilgængelige nøgler: tilgængelige nøgler> til <-tjenesten 

Oplysninger om domænecontroller: 

    msds-SupportedEncryptionTypes: <Understøttede krypteringstyper for domænecontroller> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tilgængelige nøgler: <tilgængelige nøgler til domænecontroller> 

Netværksoplysninger: 

    Klientadresse: <klient-IP-adresse> 

    Klientport:> <klientport 

    Adverterede Etypes: <Advertized Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for at få mere at vide. 

Kommentarer

Fejlhændelse 203 logføres, hvis:

  • Kunden er kun reklame RC4 som en reklame etypes

  • Destinationstjenesten har IKKE defineret en msds-SET

  • Domænecontrolleren har IKKE defineret DDSET

  • Registreringsdatabaseværdien RC4DefaultDisablementPhase er indstillet til 2

  • Pr. anmodning

tilbage til Overvågningshændelser 

Hændelses-id: 204

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Kdcsvc

Hændelses-id

204

Hændelsestekst

Nøgledistributionscenteret blokerede brugen af kryptering, fordi tjenesten msds-SupportedEncryptionTypes ikke er defineret, og tjenestekontoen kun har usikre nøgler.  

Kontooplysninger 

    Kontonavn: <kontonavn> 

    Angivet ressourcenavn: <angivet ressourcenavn> 

    msds-SupportedEncryptionTypes: <understøttede krypteringstyper> 

    Tilgængelige taster: <tilgængelige taster> 

Tjenesteoplysninger: 

    Tjenestenavn:> <tjenestenavn 

    Service-id:> <service-SID 

    msds-SupportedEncryptionTypes: <Tjeneste understøttede krypteringstyper> 

    Tilgængelige nøgler: tilgængelige nøgler> til <-tjenesten 

Oplysninger om domænecontroller: 

    msds-SupportedEncryptionTypes: <Understøttede krypteringstyper for domænecontroller> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tilgængelige nøgler: <tilgængelige nøgler til domænecontroller> 

Netværksoplysninger: 

    Klientadresse: <klient-IP-adresse> 

    Klientport:> <klientport 

    Adverterede Etypes: <Advertized Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for at få mere at vide. 

Kommentarer

Fejlhændelse 204 logføres, hvis:

  • Destinationstjenesten har ikke AES-nøgler

  • Destinationstjenesten har IKKE defineret en msds-SET

  • Domænecontrolleren har IKKE defineret DDSET

  • Registreringsdatabaseværdien RC4DefaultDisablementPhase er indstillet til 2

  • Pr. anmodning

tilbage til Overvågningshændelser 

Hændelses-id: 205

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Kdcsvc

Hændelses-id

205

Hændelsestekst

Nøgledistributionscenteret har registreret eksplicit krypteringsaktivering i politikkonfigurationen Standarddomænesupportkrypteringstyper. 

Kryptering(er): <aktiveret usikre ciphers> 

DefaultDomainSupportedEncTypes: <konfigureret værdi for DefaultDomainSupportedEncTypes> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for at få mere at vide.

Kommentarer

Advarselshændelse 205 logføres, hvis:

  • Domænecontrolleren HAR DDSET defineret til at medtage alt undtagen AES-SHA1.

  • Registreringsdatabaseværdien RC4DefaultDisablementPhase er indstillet til 1, 2

  • Dette vil ALDRIG blive til en fejl

  • Formålet er at gøre kunden opmærksom på usikker adfærd, som vi ikke vil ændre

  • Logført hver gang på starten af KDCSVC

tilbage til Overvågningshændelser 

Hændelses-id: 206

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Kdcsvc

Hændelses-id

206

Hændelsestekst

Nøgledistributionscenteret registrerede <Cipher Name> brug, der ikke understøttes i håndhævelsesfasen, fordi tjenesten msds-SupportedEncryptionTypes er konfigureret til kun at understøtte AES-SHA1, men klienten annoncerer ikke AES-SHA1 

Kontooplysninger 

    Kontonavn: <kontonavn> 

    Angivet ressourcenavn: <angivet ressourcenavn> 

    msds-SupportedEncryptionTypes: <understøttede krypteringstyper> 

    Tilgængelige taster: <tilgængelige taster> 

Tjenesteoplysninger: 

    Tjenestenavn:> <tjenestenavn 

    Service-id:> <service-SID 

    msds-SupportedEncryptionTypes: <Tjeneste understøttede krypteringstyper> 

    Tilgængelige nøgler: tilgængelige nøgler> til <-tjenesten 

Oplysninger om domænecontroller: 

    msds-SupportedEncryptionTypes: <Understøttede krypteringstyper for domænecontroller> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tilgængelige nøgler: <tilgængelige nøgler til domænecontroller> 

Netværksoplysninger: 

    Klientadresse: <klient-IP-adresse> 

    Klientport:> <klientport 

    Adverterede Etypes: <Advertized Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for at få mere at vide. 

Kommentarer

Advarselshændelse 206 logføres, hvis:

  • Kunden er kun reklame RC4 som en reklame etypes

  • Et af følgende sker:

    • Destinationstjenesten HAS msds-SET er kun defineret til AES-SHA1

    • Domænecontrolleren HAR DDSET defineret til kun AES-SHA1

  • Registreringsdatabaseværdien RC4DefaultDisablementPhase er indstillet til 1

  • Advarselshændelse 2016 overgange til fejlhændelse 2018 i gennemtvingelsestilstand

  • Logget på pr. anmodningsbasis

tilbage til Overvågningshændelser 

Hændelses-id: 207

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Kdcsvc

Hændelses-id

207

Hændelsestekst

Nøgledistributionscenteret registrerede <Cipher Name> brug, der ikke understøttes i håndhævelsesfasen, fordi tjeneste msds-SupportedEncryptionTypes er konfigureret til kun at understøtte AES-SHA1, men tjenestekontoen har ikke AES-SHA1-nøgler.  

Kontooplysninger 

    Kontonavn: <kontonavn> 

    Angivet ressourcenavn: <angivet ressourcenavn> 

    msds-SupportedEncryptionTypes: <understøttede krypteringstyper> 

    Tilgængelige taster: <tilgængelige taster> 

Tjenesteoplysninger: 

    Tjenestenavn:> <tjenestenavn 

    Service-id:> <service-SID 

    msds-SupportedEncryptionTypes: <Tjeneste understøttede krypteringstyper> 

    Tilgængelige nøgler: tilgængelige nøgler> til <-tjenesten 

Oplysninger om domænecontroller: 

    msds-SupportedEncryptionTypes: <Understøttede krypteringstyper for domænecontroller> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tilgængelige nøgler: <tilgængelige nøgler til domænecontroller> 

Netværksoplysninger: 

    Klientadresse: <klient-IP-adresse> 

    Klientport:> <klientport 

    Adverterede Etypes: <Advertized Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for at få mere at vide. 

Kommentarer

Advarselshændelse 207 logføres, hvis:

  • Destinationstjenesten har ikke AES-nøgler

  • Et af følgende sker:

    • Destinationstjenesten HAS msds-SET er kun defineret til AES-SHA1

    • Domænecontrolleren HAR DDSET defineret til kun AES-SHA1

  • Registreringsdatabaseværdien RC4DefaultDisablementPhase er indstillet til 1

  • Dette bliver til 209 (fejl) i gennemtvingelsestilstand

  • Pr. anmodning

tilbage til Overvågningshændelser 

Hændelses-id: 208

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Kdcsvc

Hændelses-id

208

Hændelsestekst

Nøgledistributionscenter afviste bevidst krypteringsbrug, fordi tjenesten msds-SupportedEncryptionTypes er konfigureret til kun at understøtte AES-SHA1, men klienten annoncerer ikke AES-SHA1 

Kontooplysninger 

    Kontonavn: <kontonavn> 

    Angivet ressourcenavn: <angivet ressourcenavn> 

    msds-SupportedEncryptionTypes: <understøttede krypteringstyper> 

    Tilgængelige taster: <tilgængelige taster> 

Tjenesteoplysninger: 

    Tjenestenavn:> <tjenestenavn 

    Service-id:> <service-SID 

    msds-SupportedEncryptionTypes: <Tjeneste understøttede krypteringstyper> 

    Tilgængelige nøgler: tilgængelige nøgler> til <-tjenesten 

Oplysninger om domænecontroller: 

    msds-SupportedEncryptionTypes: <Understøttede krypteringstyper for domænecontroller> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tilgængelige nøgler: <tilgængelige nøgler til domænecontroller> 

Netværksoplysninger: 

    Klientadresse: <klient-IP-adresse> 

    Klientport:> <klientport 

    Adverterede Etypes: <Advertized Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for at få mere at vide. 

Kommentarer

Fejlhændelsen 208 logføres, hvis:

  • Kunden er kun reklame RC4 som en reklame etypes

  • Der sker et af følgende:

    • Destinationstjenesten HAS msds-SET er kun defineret til AES-SHA1

    • Domænecontrolleren HAR DDSET defineret til kun AES-SHA1

  • Registreringsdatabaseværdien RC4DefaultDisablementPhase er indstillet til 2

  • Pr. anmodning

tilbage til Overvågningshændelser 

Hændelses-id: 209

Hændelseslog

System

Hændelsestype

Advarsel

Hændelseskilde

Kdcsvc

Hændelses-id

209

Hændelsestekst

Nøgledistributionscenter afviste bevidst krypteringsbrug, fordi tjenesten msds-SupportedEncryptionTypes er konfigureret til kun at understøtte AES-SHA1, men tjenestekontoen ikke har AES-SHA1-nøgler 

Kontooplysninger 

    Kontonavn: <kontonavn> 

    Angivet ressourcenavn: <angivet ressourcenavn> 

    msds-SupportedEncryptionTypes: <understøttede krypteringstyper> 

    Tilgængelige taster: <tilgængelige taster> 

Tjenesteoplysninger: 

    Tjenestenavn:> <tjenestenavn 

    Service-id:> <service-SID 

    msds-SupportedEncryptionTypes: <Tjeneste understøttede krypteringstyper> 

    Tilgængelige nøgler: tilgængelige nøgler> til <-tjenesten 

Oplysninger om domænecontroller: 

    msds-SupportedEncryptionTypes: <Understøttede krypteringstyper for domænecontroller> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tilgængelige nøgler: <tilgængelige nøgler til domænecontroller> 

Netværksoplysninger: 

    Klientadresse: <klient-IP-adresse> 

    Klientport:> <klientport 

    Adverterede Etypes: <Advertized Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for at få mere at vide. 

Kommentarer

Fejlhændelsen 209 logføres, hvis:

  • Destinationstjenesten har ikke AES-nøgler

  • Et af følgende sker:

    • Destinationstjenesten HAS msds-SET er kun defineret til AES-SHA1

    • Domænecontrolleren HAR DDSET defineret til kun AES-SHA1

  • Registreringsdatabaseværdien RC4DefaultDisablementPhase er indstillet til 2

  • Pr. anmodning

tilbage til Overvågningshændelser

Bemærk

Med hensyn til implicit ændring i valget af tjenestebilletkryptering har Microsoft begrænset indsigt i årsagerne til, at en enhed, der ikke er Windows, muligvis ikke kan acceptere Kerberos-godkendelse, når KDCs anvender aprilopdateringen og flytter til standardfunktionsmåden AES-SHA1, når den ikke er angivet. Vi anbefaler, at du validerer disse ændringer gennem test inden for dit eget miljø, før du aktiverer denne funktionsmåde bredt.

Det mest almindelige sted, hvor dette opstår, er med enheder, der udnytter Kerberos-tastetabuleringer. Hvis Kerberos-nøgletabulering kun er eksporteret med RC4-nøgler, men måltjenestekontoen har AES-SHA1-nøgler og ikke har defineret en msds-SupportedEncryptionTypes, er der mulighed for en godkendelsesfejl for den pågældende tjeneste. Dette vil højst sandsynligt manifestere i form af godkendelsesfejl fra måltjenesten i stedet for fra KDC. 

Vores primære anbefaling er at arbejde med leverandøren af den enhed, der ikke er Windows. Generelt er fejl i forbindelse med ikke-Windows-enheder, der ikke accepterer Kerberos-godkendelse, ikke unikke for aprilændringerne og kan skyldes enhedsspecifikke eller implementeringsspecifikke begrænsninger.

Hvis der observeres problemer med Kerberos-godkendelse for ikke-Windows-enheder efter denne ændring, og afhjælpning af leverandøren ikke er mulig, er vores anbefalinger som følger:

  • På den berørte tjenestekonto skal du eksplicit definere msDS-SupportedEncryptionTypes for at medtage RC4 med AES-sessionsnøgler (0x24).

  • Hvis dette ikke er muligt, skal du som en sidste udvej manuelt konfigurere registreringsdatabaseværdien DefaultDomainSupportedEncTypes på alle relevante KPI'er til at medtage RC4 med AES-SHA1-sessionsnøgler (0x24). Bemærk, at dette efterlader alle konti på domænet sårbare over for CVE-2026-20833.

Det er vigtigt at bemærke, at denne konfiguration er usikker, og vores langsigtede anbefaling er at overføre ikke-Windows-enheder til versioner, der understøtter AES-SHA1 Kerberos-billetkryptering.

tilbage til Overvågningshændelser

Ofte stillede spørgsmål (ofte stillede spørgsmål)

Sp1: Hvordan interagerer denne ændring med domæner, der har tredjeparts-kpi'er?

Denne hærdningsændring påvirker kun Windows-domænecontrollere. Kerberos-tillids- og henvisningsflowet med andre Windows-domænecontrollere eller tredjeparts-kpi'er påvirkes ikke.

Sp2: Hvordan interagerer denne ændring med domæner, der har ikke-Windows-domæneenheder?

Domæneenheder fra tredjepart, der ikke kan behandle AES-SHA1-kryptering, bør allerede være konfigureret eksplicit til at tillade RC4-kryptering. Tjenester, der ikke kan behandle AES-SHA1-billetter, skal være rettet eller eksplicit konfigureret i Active Diretory for at levere RC4-kryptering som nævnt ovenfor. Valider disse ændringer grundigt. 

Sp3: Vil Microsoft fjerne muligheden for at konfigurere DefaultDomainSupportedEncTypes?

Nej. Vi logfører advarselshændelser for usikre konfigurationer for DefaultDomainSupportedEncTypes. Desuden vil vi overholde enhver konfiguration, der udtrykkeligt er angivet af en administrator.

tilbage til toppen 

Ressourcer

tilbage til toppen 

Ændringslog

Rediger dato

Skift beskrivelse

14. april 2026

  • Opdaterede april 2026-datoen for at afspejle den faktiske dato for udgivelsen af "Håndhævelsesfasen med manuel annullering".

  • Definerede Kerberos KDC i den første sætning i det andet afsnit i afsnittet "Oversigt".Fra: For at afhjælpe denne sikkerhedsrisiko ændres standardværdien for DefaultDomainSupportedEncTypes af Windows Opdateringer udgivet den 14. april 2026 eller administratorer, der aktiverer gennemtvingelsestilstand tidligt.Til: For at afhjælpe denne sikkerhedsrisiko, windows-opdateringer, der blev udgivet den 14. april 2026 og efter den 14. april 2026, skal du ændre Kerberos Key Distribution Center-standardværdien for DefaultDomainSupportedEncTypes, medmindre administratorer aktiverer gennemtvingelsestilstand tidligere.

7. april 2026

  • Omformulerede det andet afsnit i afsnittet "Resumé" for klarhedens skyld.

  • Placer den VIGTIGE note i afsnittet "Trin 2: SKÆRM" for at fremhæve vigtigheden af den. Vær opmærksom på den vigtige note.

  • Der er føjet et nyt andet afsnit til noten over afsnittet Ofte stillede spørgsmål.

16. marts 2026

  • Omformuleret for klarhed "Trin 2: SKÆRM" i afsnittet "Retningslinjer for installation".

  • Omformuleret for at skabe klarhed i svaret på "Hvordan interagerer denne ændring med domæner, der ikke er Windows-domæneenheder?" Ofte stillede spørgsmål. Der er tilføjet en særlig note om, hvordan ikke-Windows-tjenester kan blive påvirket af disse ændringer.

10. februar 2026

  • Dokumentationslinket til forekomsterne af DefaultDomainSupportedEncTypes er tilføjet.

  • Rettede ordlyden af det andet punkttegn i afsnittet "Trin3: Aktivér".Fra: Introducerer registreringsdatabaseværdien RC4DefaultDisablementPhase for proaktivt at aktivere ændringen ved at indstille værdien til 2 på domænecontrollere, når KDCSVC-overvågningshændelser angiver, at det er sikkert at gøre det.Til: Introducerer understøttelse af registreringsdatabaseværdien RC4DefaultDisablementPhase, når en administrator proaktivt aktiverer ændringen ved at indstille værdien til 2 på domænecontrollere, når KDCSVC-overvågningshændelser angiver, at det er sikkert at gøre det.

  • Under noten Vigtig i afsnittet "Gør noget" har du ændret den første sætning i afsnittet for at angive omtrent, hvornår gennemtvingelsestilstand er aktiveret.Fra: Fra og med april 2026 vil gennemtvingelsestilstand være aktiveret på alle Windows-domænecontrollere og blokere sårbare forbindelser fra ikke-kompatible enheder.Til: Gennemtvingelsestilstand aktiveres automatisk ved at installere Windows Opdateringer udgivet den eller efter april 2026 på alle Windows-domænecontrollere og vil blokere sårbare forbindelser fra ikke-kompatible enheder.

  • Tilføjet ordlyd for at nævne denne ændring er foretaget af Windows Opdateringer udgivet den 13. januar 2026 og CVE-2026-20833.

tilbage til toppen 

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed