Ursprüngliches Veröffentlichungsdatum: 13. Januar 2026
KB-ID: 5073381
Ablauf des Windows Secure Boot-Zertifikats
Wichtig: Die von den meisten Windows-Geräten verwendeten Secure Boot-Zertifikate laufen ab Juni 2026 ab. Dies kann sich auf die Fähigkeit bestimmter persönlicher und geschäftlicher Geräte auswirken, sicher zu starten, wenn sie nicht rechtzeitig aktualisiert werden. Um Unterbrechungen zu vermeiden, empfiehlt es sich, den Leitfaden zu lesen und Maßnahmen zu ergreifen, um Zertifikate im Voraus zu aktualisieren. Details und Vorbereitungsschritte finden Sie unter Ablauf des Windows Secure Boot-Zertifikats und CA-Updates.
In diesem Artikel
Zusammenfassung
Windows-Updates, die am und nach dem 13. Januar 2026 veröffentlicht wurden, enthalten Schutzmaßnahmen für ein Sicherheitsrisiko mit dem Kerberos-Authentifizierungsprotokoll. Die Windows-Updates beheben ein Sicherheitsrisiko bei der Offenlegung von Informationen, das es einem Angreifer ermöglichen kann, Diensttickets mit schwachen oder älteren Verschlüsselungstypen wie RC4 zu erhalten und Offlineangriffe auszuführen, um ein Dienstkontokennwort wiederherzustellen.
Um Ihre Umgebung zu schützen und zu härten, installieren Sie das windows-Update, das am oder nach dem 13. Januar 2026 veröffentlicht wurde, auf allen Windows-Servern, die im Abschnitt "Gilt für" aufgeführt sind, die als Domänencontroller ausgeführt werden. Weitere Informationen zu den Sicherheitsrisiken finden Sie unter CVE-2026-20833.
Um dieses Sicherheitsrisiko zu beheben, wird der Standardwert von DefaultDomainSupportedEncTypes (DDSET) geändert, sodass alle Domänencontroller nur AES-SHA1-verschlüsselte Tickets (Advanced Encryption Standard) für Konten ohne explizite Kerberos-Verschlüsselungstypkonfiguration unterstützen. Weitere Informationen finden Sie unter Bitflags für unterstützte Verschlüsselungstypen.
Auf Domänencontrollern mit einem definierten DefaultDomainSupportedEncTypes-Registrierungswert wird das Verhalten von diesen Änderungen nicht funktionell beeinflusst. Ein Audit-Ereignis KDCSVC-Ereignis-ID: 205 kann jedoch im Systemereignisprotokoll protokolliert werden, wenn die vorhandene DefaultDomainSupportedEncTypes-Konfiguration unsicher ist.
In Aktion treten
Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, empfehlen wir Ihnen, die folgenden Schritte auszuführen:
-
AKTUALISIEREN Microsoft Active Directory-Domänencontroller ab Windows-Updates, die am oder nach dem 13. Januar 2026 veröffentlicht wurden.
-
ÜBERWACHEN Sie das Systemereignisprotokoll auf alle 9 Überwachungsereignisse, die auf Windows Server 2012 und neueren Domänencontrollern angemeldet sind, die Risiken mit der Aktivierung von RC4-Schutz identifizieren.
-
MILDERN Im Systemereignisprotokoll protokollierte KDCSVC-Ereignisse, die die manuelle oder programmgesteuerte Aktivierung von RC4-Schutzen verhindern.
-
AKTIVIEREN Erzwingungsmodus, um die in CVE-2026-20833 behobenen Sicherheitsrisiken in Ihrer Umgebung zu beheben, wenn Warnungen, Blockierungen oder Richtlinienereignisse nicht mehr protokolliert werden.
WICHTIG Durch die Installation von Updates, die am oder nach dem 13. Januar 2026 veröffentlicht wurden, werden die in CVE-2026-20833 für Active Directory-Domänencontroller beschriebenen Sicherheitsanfälligkeiten standardmäßig NICHT behoben. Um die Sicherheitsanfälligkeit vollständig zu entschärfen, müssen Sie auf allen Domänencontrollern so bald wie möglich in den erzwungenen Modus (siehe Schritt 3) wechseln.
Ab April 2026 wird der Erzwingungsmodus auf allen Windows-Domänencontrollern aktiviert und blockiert anfällige Verbindungen von nicht konformen Geräten. Zu diesem Zeitpunkt können Sie die Überwachung nicht deaktivieren, aber möglicherweise zur Einstellung Überwachungsmodus zurückkehren. Der Überwachungsmodus wird im Juli 2026 entfernt, wie im Abschnitt Timing von Updates beschrieben, und der Erzwingungsmodus wird auf allen Windows-Domänencontrollern aktiviert und blockiert anfällige Verbindungen von nicht konformen Geräten.
Wenn Sie RC4 nach April 2026 nutzen müssen, empfehlen wir, RC4 explizit in der Bitmaske msds-SupportedEncryptionTypes für Dienste zu aktivieren, die die RC4-Verwendung akzeptieren müssen.
Zeitplan für die Updates
13. Januar 2026: Erste Bereitstellungsphase
Die erste Bereitstellungsphase beginnt mit den Updates, die am und nach dem 13. Januar 2026 veröffentlicht wurden, und wird mit späteren Windows-Updates bis zur Erzwingungsphase fortgesetzt. In dieser Phase werden Kunden vor neuen Sicherheitserzwingungen gewarnt, die in der zweiten Bereitstellungsphase eingeführt werden. Dieses Update:
-
Stellt Überwachungsereignisse bereit, um Kunden zu warnen, die von der bevorstehenden Sicherheitshärtung möglicherweise negativ betroffen sind.
-
Führt den Registrierungswert RC4DefaultDisablementPhase ein, um die Änderung proaktiv zu aktivieren, indem der Wert auf Domänencontrollern auf 2 festgelegt wird, wenn KDCSVC-Überwachungsereignisse angeben, dass dies sicher ist.
April 2026 – Zweite Bereitstellungsphase
Mit diesem Update wird der Standardwert DefaultDomainSupportedEncTypes für KDC-Vorgänge so geändert, dass AES-SHA1 für Konten genutzt wird, für die kein explizites Active Directory-Attribut msds-SupportedEncryptionTypes definiert ist.
In dieser Phase wird der Standardwert für DefaultDomainSupportedEncTypes in nur AES-SHA1 geändert: 0x18.
Juli 2026 – Durchsetzungsphase
Die Windows-Updates, die im oder nach Juli 2026 veröffentlicht wurden, entfernen die Unterstützung für den Registrierungsunterschlüssel RC4DefaultDisablementPhase.
Bereitstellungsrichtlinien
Führen Sie die folgenden Schritte aus, um die am oder nach dem 13. Januar 2026 veröffentlichten Windows-Updates bereitzustellen:
-
AKTUALISIEREN Sie Ihre Domänencontroller mit einem Windows-Update, das am oder nach dem 13. Januar 2026 veröffentlicht wurde.
-
ÜBERWACHEN Sie Ereignisse, die während der ersten Bereitstellungsphase protokolliert werden, um Ihre Umgebung zu schützen.
-
VERSCHIEBEN Sie Ihre Domänencontroller mithilfe des Abschnitts Registrierungseinstellungen in den Erzwingungsmodus.
Schritt 1: UPDATE
Stellen Sie das windows-Update bereit, das am oder nach dem 13. Januar 2026 veröffentlicht wurde, für alle anwendbaren Windows Active Directory-Instanzen, die nach der Bereitstellung des Updates als Domänencontroller ausgeführt werden.
-
Überwachungsereignisse werden in Systemereignisprotokollen angezeigt, wenn Ihr Domänencontroller Kerberos-Dienstticketanforderungen empfängt, die die Verwendung von RC4-Verschlüsselung erfordern, das Dienstkonto jedoch über die Standardverschlüsselungskonfiguration verfügt.
-
Überwachungsereignisse werden im Systemereignisprotokoll protokolliert, wenn Ihr Domänencontroller über eine explizite DefaultDomainSupportedEncTypes-Konfiguration verfügt, um die RC4-Verschlüsselung zuzulassen.
Schritt 2: ÜBERWACHEN
Wenn nach der Aktualisierung der Domänencontroller keine Überwachungsereignisse angezeigt werden, wechseln Sie in den Erzwingungsmodus , indem Sie den Rc4DefaultDisablementPhase-Wert in 2 ändern.
Wenn Überwachungsereignisse generiert werden, müssen Sie entweder RC4-Abhängigkeiten entfernen oder die von Kerberos unterstützten Konten explizit konfigurieren. Anschließend können Sie in den Erzwingungsmodus wechseln.
Informationen dazu, wie Sie die RC4-Nutzung in Ihrer Domäne erkennen, Geräte- und Benutzerkonten überwachen, die noch von RC4 abhängig sind, und Schritte zur Wiederherstellung der Nutzung zugunsten von stärkeren Verschlüsselungstypen oder zum Verwalten von RC4-Abhängigkeiten finden Sie unter Erkennen und Korrigieren der RC4-Verwendung in Kerberos.
Schritt 3: AKTIVIEREN
Aktivieren Sie den Erzwingungsmodus , um die Sicherheitsrisiken cve-2026-20833 in Ihrer Umgebung zu beheben.
-
Wenn ein KDC angefordert wird, um ein RC4-Dienstticket für ein Konto mit Standardkonfigurationen bereitzustellen, wird ein Fehlerereignis protokolliert.
-
Für jede unsichere Konfiguration von DefaultDomainSupportedEncTypes wird weiterhin die Ereignis-ID 205 protokolliert.
Registrierungseinstellungen
Nachdem die am oder nach dem 13. Januar 2026 veröffentlichten Windows-Updates installiert wurden, ist der folgende Registrierungsschlüssel für das Kerberos-Protokoll verfügbar.
Dieser Registrierungsschlüssel wird verwendet, um die Bereitstellung der Kerberos-Änderungen zu sperren. Dieser Registrierungsschlüssel ist temporär und wird nach dem Erzwingungsdatum nicht mehr gelesen.
|
Registrierungsschlüssel |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Datentyp |
REG_DWORD |
|
Wertname |
RC4DefaultDisablementPhase |
|
Wertdaten |
0 – Keine Überwachung, keine Änderung 1 – Warnereignisse werden bei der RC4-Standardverwendung protokolliert. (Standard für Phase 1) 2 – Kerberos wird gestartet, wenn RC4 nicht standardmäßig aktiviert ist. (Standard für Phase 2) |
|
Neustart erforderlich? |
Ja |
Überwachungsereignisse
Nachdem die am oder nach dem 13. Januar 2026 veröffentlichten Windows-Updates installiert wurden, werden die folgenden Überwachungsereignistypen Windows Server 2012 hinzugefügt und später als Domänencontroller ausgeführt.
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
201 |
|
Ereignistext |
Das Schlüsselverteilungscenter hat <Verschlüsselungsnamen> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und der Client nur unsichere Verschlüsselungstypen unterstützt. Kontoinformationen Kontoname: <Kontoname> Angegebener Bereichsname: <angegebenen Bereichsname> msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <verfügbare Schlüssel> Dienstinformationen: Dienstname: <Dienstname> Dienst-ID: <Dienst-SID-> msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> Domänencontrollerinformationen: msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> Netzwerkinformationen: Clientadresse: <Client-IP-Adresse> Clientport: <Clientport> Advertized Etypes: <Advertized Kerberos Encryption Types> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentare |
Ereignis-ID: 201 wird protokolliert, wenn:
|
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
202 |
|
Ereignistext |
Das Schlüsselverteilungscenter hat <Verschlüsselungsname> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und das Dienstkonto nur über unsichere Schlüssel verfügt. Kontoinformationen Kontoname: <Kontoname> Angegebener Bereichsname: <angegebenen Bereichsname> msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <verfügbare Schlüssel> Dienstinformationen: Dienstname: <Dienstname> Dienst-ID: <Dienst-SID-> msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> Domänencontrollerinformationen: msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> Netzwerkinformationen: Clientadresse: <Client-IP-Adresse> Clientport: <Clientport> Advertized Etypes: <Advertized Kerberos Encryption Types> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentare |
Das Warnungsereignis 202 wird protokolliert, wenn:
|
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
203 |
|
Ereignistext |
Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung blockiert, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und der Client nur unsichere Verschlüsselungstypen unterstützt. Kontoinformationen Kontoname: <Kontoname> Angegebener Bereichsname: <angegebenen Bereichsname> msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <verfügbare Schlüssel> Dienstinformationen: Dienstname: <Dienstname> Dienst-ID: <Dienst-SID-> msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> Domänencontrollerinformationen: msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> Netzwerkinformationen: Clientadresse: <Client-IP-Adresse> Clientport: <Clientport> Advertized Etypes: <Advertized Kerberos Encryption Types> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentare |
Fehlerereignis 203 wird protokolliert, wenn:
|
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
204 |
|
Ereignistext |
Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung blockiert, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und das Dienstkonto nur über unsichere Schlüssel verfügt. Kontoinformationen Kontoname: <Kontoname> Angegebener Bereichsname: <angegebenen Bereichsname> msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <verfügbare Schlüssel> Dienstinformationen: Dienstname: <Dienstname> Dienst-ID: <Dienst-SID-> msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> Domänencontrollerinformationen: msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> Netzwerkinformationen: Clientadresse: <Client-IP-Adresse> Clientport: <Clientport> Advertized Etypes: <Advertized Kerberos Encryption Types> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentare |
Fehlerereignis 204 wird protokolliert, wenn:
|
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
205 |
|
Ereignistext |
Das Schlüsselverteilungscenter hat eine explizite Verschlüsselungsaktivierung in der Richtlinienkonfiguration Der Standarddomäne unterstützte Verschlüsselungstypen erkannt. Verschlüsselung(en): <aktivierte unsichere Verschlüsselungen> DefaultDomainSupportedEncTypes: <Konfigurierter DefaultDomainSupportedEncTypes-Wert> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentare |
Das Warnungsereignis 205 wird protokolliert, wenn:
|
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
206 |
|
Ereignistext |
Das Schlüsselverteilungscenter hat <Verschlüsselungsnamen> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes so konfiguriert ist, dass er nur AES-SHA1 unterstützt, aber der Client AES-SHA1 nicht angibt. Kontoinformationen Kontoname: <Kontoname> Angegebener Bereichsname: <angegebenen Bereichsname> msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <verfügbare Schlüssel> Dienstinformationen: Dienstname: <Dienstname> Dienst-ID: <Dienst-SID-> msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> Domänencontrollerinformationen: msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> Netzwerkinformationen: Clientadresse: <Client-IP-Adresse> Clientport: <Clientport> Advertized Etypes: <Advertized Kerberos Encryption Types> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentare |
Das Warnungsereignis 206 wird protokolliert, wenn:
|
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
207 |
|
Ereignistext |
Das Schlüsselverteilungscenter hat <Verschlüsselungsnamen> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes nur für die Unterstützung von AES-SHA1 konfiguriert ist, das Dienstkonto jedoch keine AES-SHA1-Schlüssel aufweist. Kontoinformationen Kontoname: <Kontoname> Angegebener Bereichsname: <angegebenen Bereichsname> msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <verfügbare Schlüssel> Dienstinformationen: Dienstname: <Dienstname> Dienst-ID: <Dienst-SID-> msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> Domänencontrollerinformationen: msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> Netzwerkinformationen: Clientadresse: <Client-IP-Adresse> Clientport: <Clientport> Advertized Etypes: <Advertized Kerberos Encryption Types> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentare |
Das Warnungsereignis 207 wird protokolliert, wenn:
|
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
208 |
|
Ereignistext |
Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung absichtlich verweigert, da der Dienst msds-SupportedEncryptionTypes nur für die Unterstützung von AES-SHA1 konfiguriert ist, aber der Client AES-SHA1 nicht angibt. Kontoinformationen Kontoname: <Kontoname> Angegebener Bereichsname: <angegebenen Bereichsname> msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <verfügbare Schlüssel> Dienstinformationen: Dienstname: <Dienstname> Dienst-ID: <Dienst-SID-> msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> Domänencontrollerinformationen: msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> Netzwerkinformationen: Clientadresse: <Client-IP-Adresse> Clientport: <Clientport> Advertized Etypes: <Advertized Kerberos Encryption Types> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentare |
Fehlerereignis 208 wird protokolliert, wenn:
|
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
209 |
|
Ereignistext |
Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung absichtlich verweigert, da der Dienst msds-SupportedEncryptionTypes nur für die Unterstützung von AES-SHA1 konfiguriert ist, das Dienstkonto jedoch keine AES-SHA1-Schlüssel aufweist. Kontoinformationen Kontoname: <Kontoname> Angegebener Bereichsname: <angegebenen Bereichsname> msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <verfügbare Schlüssel> Dienstinformationen: Dienstname: <Dienstname> Dienst-ID: <Dienst-SID-> msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> Domänencontrollerinformationen: msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> Netzwerkinformationen: Clientadresse: <Client-IP-Adresse> Clientport: <Clientport> Advertized Etypes: <Advertized Kerberos Encryption Types> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentare |
Fehlerereignis 209 wird protokolliert, wenn:
|
Hinweis
Wenn Sie feststellen, dass eine dieser Warnmeldungen auf einem Domänencontroller protokolliert wird, ist es wahrscheinlich, dass alle Domänencontroller in Ihrer Domäne mit einem Windows-Update, das am oder nach dem 13. Januar 2026 veröffentlicht wurde, nicht auf dem neuesten Stand sind. Um die Sicherheitsanfälligkeit zu minimieren, müssen Sie Ihre Domäne weiter untersuchen, um die Domänencontroller zu finden, die nicht auf dem neuesten Stand sind.
Wenn eine Ereignis-ID angezeigt wird: 0x8000002A auf einem Domänencontroller angemeldet ist, lesen Sie KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966.
Häufig gestellte Fragen (FAQ)
Diese Härtung wirkt sich auf Windows-Domänencontroller aus, wenn sie Diensttickets ausstellen. Der Kerberos-Vertrauensstellungs- und Empfehlungsflow ist nicht betroffen.
Domänengeräte von Drittanbietern, die AES-SHA1 nicht verarbeiten können, sollten bereits explizit konfiguriert worden sein, um AES-SHA1 zuzulassen.
Nein. Wir protokollieren Warnungsereignisse für unsichere Konfigurationen für DefaultDomainSupportedEncTypes. Darüber hinaus ignorieren wir keine konfiguration, die explizit von einem Kunden festgelegt wurde.
Ressourcen
KB5020805: Verwalten von Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37967
KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966
