Gilt für
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 13. Januar 2026

KB-ID: 5073381

Datum ändern

Beschreibung ändern

10. Februar 2026

  • Der Dokumentationslink wurde zu den Vorkommen von DefaultDomainSupportedEncTypes hinzugefügt.

  • Der Wortlaut des zweiten Aufzählungszeichens im Abschnitt "Schritt 3: Aktivieren" wurde korrigiert.Von: Führt den Registrierungswert RC4DefaultDisablementPhase ein, um die Änderung proaktiv zu aktivieren, indem der Wert auf Domänencontrollern auf 2 festgelegt wird, wenn KDCSVC-Überwachungsereignisse angeben, dass dies sicher ist.An: Führt unterstützung für den Registrierungswert RC4DefaultDisablementPhase ein, nachdem ein Administrator die Änderung proaktiv aktiviert hat, indem er den Wert auf Domänencontrollern auf 2 festlegt, wenn KDCSVC-Überwachungsereignisse angeben, dass dies sicher ist.

  • Unter dem Wichtigen Hinweis im Abschnitt "Aktion ergreifen" wurde der erste Satz des Absatzes so geändert, dass ungefähr angegeben wird, wann der Erzwingungsmodus aktiviert wird.Von: Ab April 2026 wird der Erzwingungsmodus auf allen Windows-Domänencontrollern aktiviert und blockiert anfällige Verbindungen von nicht konformen Geräten.An: Der Erzwingungsmodus wird automatisch aktiviert, indem Windows Updates installiert wird, das am oder nach April 2026 auf allen Windows-Domänencontrollern veröffentlicht wurde, und gefährdete Verbindungen von nicht konformen Geräten blockiert.

  • Formulierungen zu Erwähnung diese Änderung von Windows Updates veröffentlicht am und nach dem 13. Januar 2026 und CVE-2026-20833.

In diesem Artikel

Zusammenfassung

Windows-Updates, die am und nach dem 13. Januar 2026 veröffentlicht wurden, enthalten Schutzmaßnahmen für ein Sicherheitsrisiko mit dem Kerberos-Authentifizierungsprotokoll. Die Windows-Updates beheben eine Sicherheitsanfälligkeit in CVE-2026-20833 , die es einem Angreifer ermöglichen könnte, Diensttickets mit schwachen oder älteren Verschlüsselungstypen wie RC4 zu erhalten, um Offlineangriffe zur Wiederherstellung eines Dienstkontokennworts auszuführen.

Um dieses Sicherheitsrisiko zu beheben, wird der Standardwert von DefaultDomainSupportedEncTypes durch Aktivieren des Erzwingungsmodus geändert. Aktualisierte Domänencontroller, die im Erzwingungsmodus ausgeführt werden, unterstützen nur AES-Verschlüsselungstypkonfigurationen (Advanced Encryption Standard). Weitere Informationen finden Sie unter Bitflags für unterstützte Verschlüsselungstypen. Der Standardwert für DefaultDomainSupportedEncTypes gilt, wenn kein expliziter Wert vorhanden ist.

Auf Domänencontrollern mit einem definierten DefaultDomainSupportedEncTypes-Registrierungswert wird das Verhalten von diesen Änderungen nicht funktionell beeinflusst. Ein Audit-Ereignis KDCSVC-Ereignis-ID: 205 wird jedoch im Systemereignisprotokoll protokolliert, wenn die vorhandene DefaultDomainSupportedEncTypes-Konfiguration unsicher ist (z. B. wenn eine RC4-Verschlüsselung verwendet wird).

In Aktion treten

Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, empfehlen wir Folgendes: 

  • AKTUALISIEREN Microsoft Active Directory-Domänencontroller ab Windows-Updates, die am oder nach dem 13. Januar 2026 veröffentlicht wurden.

  • ÜBERWACHEN Sie das Systemereignisprotokoll für jedes der neun KDCSVC 201 > 209 Überwachungsereignisse, die auf Windows Server 2012 und neueren Domänencontrollern protokolliert werden, die Risiken bei der Aktivierung von RC4-Schutzen identifizieren.

  • MILDERN Im Systemereignisprotokoll protokollierte KDCSVC-Ereignisse, die die manuelle oder programmgesteuerte Aktivierung von RC4-Schutzen verhindern.

  • AKTIVIEREN Erzwingungsmodus, um die in CVE-2026-20833 behobenen Sicherheitsrisiken in Ihrer Umgebung zu beheben, wenn Warnungen, Blockierungen oder Richtlinienereignisse nicht mehr protokolliert werden.

WICHTIG Durch die Installation von Updates, die am oder nach dem 13. Januar 2026 veröffentlicht wurden, werden die in CVE-2026-20833 für Active Directory-Domänencontroller beschriebenen Sicherheitsanfälligkeiten standardmäßig NICHT behoben. Um die Sicherheitsanfälligkeit vollständig zu beheben, sollten Sie den Erzwingungsmodus (siehe Schritt 3: AKTIVIEREN) auf allen Domänencontrollern manuell aktivieren. Die Installation von Windows Updates veröffentlicht am und nach Juli 2026 wird programmgesteuert die Erzwingungsphase aktivieren.

Der Erzwingungsmodus wird automatisch aktiviert, indem Windows Updates installiert wird, das am oder nach April 2026 auf allen Windows-Domänencontrollern veröffentlicht wurde, und gefährdete Verbindungen von nicht konformen Geräten blockiert.  Zu diesem Zeitpunkt können Sie die Überwachung nicht deaktivieren, aber möglicherweise zur Einstellung Überwachungsmodus zurückkehren. Der Überwachungsmodus wird im Juli 2026 entfernt, wie im Abschnitt Timing von Updates beschrieben, und der Erzwingungsmodus wird auf allen Windows-Domänencontrollern aktiviert und blockiert anfällige Verbindungen von nicht konformen Geräten.

Wenn Sie RC4 nach April 2026 nutzen müssen, empfehlen wir, RC4 explizit in der Bitmaske msds-SupportedEncryptionTypes für Dienste zu aktivieren, die die RC4-Verwendung akzeptieren müssen. 

Zeitplan für die Updates

13. Januar 2026: Erste Bereitstellungsphase 

Die erste Bereitstellungsphase beginnt mit den Updates, die am und nach dem 13. Januar 2026 veröffentlicht wurden, und wird mit späteren Windows-Updates bis zur Erzwingungsphase fortgesetzt. In dieser Phase werden Kunden vor neuen Sicherheitserzwingungen gewarnt, die in der zweiten Bereitstellungsphase eingeführt werden. Dieses Update: 

  • Stellt Überwachungsereignisse bereit, um Kunden zu warnen, die von der bevorstehenden Sicherheitshärtung möglicherweise negativ betroffen sind.

  • Führt unterstützung für den Registrierungswert RC4DefaultDisablementPhase ein, nachdem ein Administrator die Änderung proaktiv aktiviert hat, indem er den Wert auf Domänencontrollern auf 2 festlegt, wenn KDCSVC-Überwachungsereignisse angeben, dass dies sicher ist.

April 2026: Erzwingungsphase mit manuellem Rollback 

Mit diesem Update wird der Standardwert DefaultDomainSupportedEncTypes für KDC-Vorgänge so geändert, dass AES-SHA1 für Konten genutzt wird, für die kein explizites Active Directory-Attribut msds-SupportedEncryptionTypes definiert ist. 

In dieser Phase wird der Standardwert für DefaultDomainSupportedEncTypes in nur AES-SHA1 geändert: 0x18

Diese Phase ermöglicht auch die manuelle Konfiguration des RC4DefaultDisablementPhase-Rollbackwerts bis zur programmgesteuerten Erzwingung im Juli 2026.

Juli 2026 – Durchsetzungsphase 

Die Windows-Updates, die im oder nach Juli 2026 veröffentlicht wurden, entfernen die Unterstützung für den Registrierungsunterschlüssel RC4DefaultDisablementPhase

Bereitstellungsrichtlinien

Führen Sie die folgenden Schritte aus, um die am oder nach dem 13. Januar 2026 veröffentlichten Windows-Updates bereitzustellen: 

  1. AKTUALISIEREN Sie Ihre Domänencontroller mit einem Windows-Update, das am oder nach dem 13. Januar 2026 veröffentlicht wurde.

  2. ÜBERWACHEN Sie Ereignisse, die während der ersten Bereitstellungsphase protokolliert werden, um Ihre Umgebung zu schützen.

  3. VERSCHIEBEN Sie Ihre Domänencontroller mithilfe des Abschnitts Registrierungseinstellungen in den Erzwingungsmodus.

Schritt 1: UPDATE  

Stellen Sie das windows-Update bereit, das am oder nach dem 13. Januar 2026 veröffentlicht wurde, für alle anwendbaren Windows Active Directory-Instanzen, die nach der Bereitstellung des Updates als Domänencontroller ausgeführt werden.

  • Überwachungsereignisse werden in Systemereignisprotokollen angezeigt, wenn Ihre Windows Server 2012 oder höher Domänencontroller Kerberos-Dienstticketanforderungen empfangen, für die die Verwendung der RC4-Verschlüsselung erforderlich ist, das Dienstkonto jedoch über die Standardverschlüsselungskonfiguration verfügt.

  • Audit Event 205 wird im Systemereignisprotokoll protokolliert, wenn Ihr Domänencontroller über eine explizite DefaultDomainSupportedEncTypes-Konfiguration verfügt, um die RC4-Verschlüsselung zuzulassen.

Schritt 2: ÜBERWACHEN

Wenn nach der Aktualisierung der Domänencontroller keine Überwachungsereignisse angezeigt werden, wechseln Sie in den Erzwingungsmodus , indem Sie den Rc4DefaultDisablementPhase-Wert in 2 ändern.   

Wenn Überwachungsereignisse generiert werden, müssen Sie entweder RC4-Abhängigkeiten entfernen oder die von Kerberos unterstützten Verschlüsselungstypen explizit konfigurieren, um die fortgesetzte Verwendung von RC4 nach der manuellen oder automatischen Aktivierung des Erzwingungsmodus zu unterstützen.

Um zu erfahren, wie Sie die RC4-Nutzung in Ihrer Domäne erkennen, identifiziert audit Geräte- und Benutzerkonten, die noch von RC4 abhängig sind. Administratoren sollten Maßnahmen ergreifen, um die Nutzung zugunsten stärkerer Verschlüsselungstypen zu korrigieren oder RC4-Abhängigkeiten zu verwalten. Weitere Informationen finden Sie unter Erkennen und Beheben der RC4-Verwendung in Kerberos.

Schritt 3: AKTIVIEREN  

Aktivieren Sie den Erzwingungsmodus , um die Sicherheitsrisiken cve-2026-20833 in Ihrer Umgebung zu beheben. 

  • Wenn ein KDC angefordert wird, um ein RC4-Dienstticket für ein Konto mit Standardkonfigurationen bereitzustellen, wird ein Fehlerereignis protokolliert.

  • Für jede unsichere Konfiguration von DefaultDomainSupportedEncTypes wird weiterhin die Ereignis-ID 205 protokolliert.

Registrierungseinstellungen

Nachdem die am oder nach dem 13. Januar 2026 veröffentlichten Windows-Updates installiert wurden, ist der folgende Registrierungsschlüssel für das Kerberos-Protokoll verfügbar.

Dieser Registrierungsschlüssel wird verwendet, um die Bereitstellung der Kerberos-Änderungen zu sperren. Dieser Registrierungsschlüssel ist temporär und wird nach dem Erzwingungsdatum nicht mehr gelesen.

Registrierungsschlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Datentyp

REG_DWORD

Wertname

RC4DefaultDisablementPhase

Wertdaten

0 – Keine Überwachung, keine Änderung 

1 – Warnereignisse werden bei der RC4-Standardverwendung protokolliert. (Standard für Phase 1) 

2 – Kerberos wird gestartet, wenn RC4 nicht standardmäßig aktiviert ist.  (Standard für Phase 2) 

Neustart erforderlich?

Ja

Überwachungsereignisse

Nachdem die am oder nach dem 13. Januar 2026 veröffentlichten Windows-Updates installiert wurden, werden die folgenden KSCSVC-Überwachungsereignistypen dem Systemereignisprotokoll von Windows Server 2012 hinzugefügt und später als Domänencontroller ausgeführt.

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

201

Ereignistext

Das Schlüsselverteilungscenter hat <Verschlüsselungsnamen> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und der Client nur unsichere Verschlüsselungstypen unterstützt. 

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Ereignis-ID: 201 wird protokolliert, wenn:

  • Der Client wirbt nur RC4 als werbefinanzierte Etypes

  • Für den Zieldienst ist KEIN msds-SET definiert.

  • Auf dem Domänencontroller ist DDSET NICHT definiert.

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 1 festgelegt.

  • Warnungsereignis 201 geht im Erzwingungsmodus in Fehlerereignis 203 über

  • Dieses Ereignis wird pro Anforderung protokolliert.

  • Das Warnungsereignis 201 wird NICHT protokolliert, wenn DefaultDomainSupportedEncTypes manuell definiert ist.

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

202

Ereignistext

Das Schlüsselverteilungscenter hat <Verschlüsselungsname> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und das Dienstkonto nur über unsichere Schlüssel verfügt.  

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Das Warnungsereignis 202 wird protokolliert, wenn:

  • Der Zieldienst verfügt nicht über AES-Schlüssel.

  • Für den Zieldienst ist KEIN msds-SET definiert.

  • Auf dem Domänencontroller ist DDSET NICHT definiert.

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 1 festgelegt.

  • Fehlerereignis 202 geht im Erzwingungsmodus in Fehler 204 über

  • Das Warnungsereignis 202 wird pro Anforderung protokolliert.

  • Warnungsereignis 202 wird NICHT protokolliert, wenn DefaultDomainSupportedEncTypes manuell definiert ist

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

203

Ereignistext

Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung blockiert, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und der Client nur unsichere Verschlüsselungstypen unterstützt. 

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Fehlerereignis 203 wird protokolliert, wenn:

  • Der Client wirbt nur RC4 als werbefinanzierte Etypes

  • Für den Zieldienst ist KEIN msds-SET definiert.

  • Auf dem Domänencontroller ist DDSET NICHT definiert.

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 2 festgelegt.

  • Pro Anforderung

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

204

Ereignistext

Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung blockiert, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und das Dienstkonto nur über unsichere Schlüssel verfügt.  

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Fehlerereignis 204 wird protokolliert, wenn:

  • Der Zieldienst verfügt nicht über AES-Schlüssel.

  • Für den Zieldienst ist KEIN msds-SET definiert.

  • Auf dem Domänencontroller ist DDSET NICHT definiert.

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 2 festgelegt.

  • Pro Anforderung

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

205

Ereignistext

Das Schlüsselverteilungscenter hat eine explizite Verschlüsselungsaktivierung in der Richtlinienkonfiguration Der Standarddomäne unterstützte Verschlüsselungstypen erkannt. 

Verschlüsselung(en): <aktivierte unsichere Verschlüsselungen> 

DefaultDomainSupportedEncTypes: <Konfigurierter DefaultDomainSupportedEncTypes-Wert> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614.

Kommentare

Das Warnungsereignis 205 wird protokolliert, wenn:

  • Der Domänencontroller HAS DDSET ist so definiert, dass er alles außer AES-SHA1 enthält.

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 1, 2 festgelegt.

  • Dies wird NIE zu einem Fehler

  • Zweck ist es, den Kunden auf unsicheres Verhalten aufmerksam zu machen, das wir nicht ändern werden.

  • Jedes Mal beim Start des KDCSVC protokolliert

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

206

Ereignistext

Das Schlüsselverteilungscenter hat <Verschlüsselungsnamen> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes so konfiguriert ist, dass er nur AES-SHA1 unterstützt, aber der Client AES-SHA1 nicht angibt. 

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Das Warnungsereignis 206 wird protokolliert, wenn:

  • Der Client wirbt nur RC4 als werbefinanzierte Etypes

  • Eine der folgenden Aktionen tritt auf:

    • Der Zieldienst HAS msds-SET ist nur für AES-SHA1 definiert.

    • Der Domänencontroller HAS DDSET, der nur für AES-SHA1 definiert ist

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 1 festgelegt.

  • Warnungsereignis 2016 wechselt zu Fehlerereignis 2018 im Erzwingungsmodus

  • Pro Anforderung protokolliert

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

207

Ereignistext

Das Schlüsselverteilungscenter hat <Verschlüsselungsnamen> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes nur für die Unterstützung von AES-SHA1 konfiguriert ist, das Dienstkonto jedoch keine AES-SHA1-Schlüssel aufweist.  

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Das Warnungsereignis 207 wird protokolliert, wenn:

  • Der Zieldienst verfügt nicht über AES-Schlüssel.

  • Eine der folgenden Aktionen tritt auf:

    • Der Zieldienst HAS msds-SET ist nur für AES-SHA1 definiert.

    • Der Domänencontroller HAS DDSET, der nur für AES-SHA1 definiert ist

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 1 festgelegt.

  • Dies wird in 209 (Fehler) im Erzwingungsmodus umgewandelt.

  • Pro Anforderung

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

208

Ereignistext

Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung absichtlich verweigert, da der Dienst msds-SupportedEncryptionTypes nur für die Unterstützung von AES-SHA1 konfiguriert ist, aber der Client AES-SHA1 nicht angibt. 

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Fehlerereignis 208 wird protokolliert, wenn:

  • Der Client wirbt nur RC4 als werbefinanzierte Etypes

  • EIther der folgenden Auftritte:

    • Der Zieldienst HAS msds-SET ist nur für AES-SHA1 definiert.

    • Der Domänencontroller HAS DDSET, der nur für AES-SHA1 definiert ist

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 2 festgelegt.

  • Pro Anforderung

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

209

Ereignistext

Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung absichtlich verweigert, da der Dienst msds-SupportedEncryptionTypes nur für die Unterstützung von AES-SHA1 konfiguriert ist, das Dienstkonto jedoch keine AES-SHA1-Schlüssel aufweist. 

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Fehlerereignis 209 wird protokolliert, wenn:

  • Der Zieldienst verfügt nicht über AES-Schlüssel.

  • Eine der folgenden Aktionen tritt auf:

    • Der Zieldienst HAS msds-SET ist nur für AES-SHA1 definiert.

    • Der Domänencontroller HAS DDSET, der nur für AES-SHA1 definiert ist

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 2 festgelegt.

  • Pro Anforderung

Hinweis

Wenn Sie feststellen, dass eine dieser Warnmeldungen auf einem Domänencontroller protokolliert wird, ist es wahrscheinlich, dass alle Domänencontroller in Ihrer Domäne mit einem Windows-Update, das am oder nach dem 13. Januar 2026 veröffentlicht wurde, nicht auf dem neuesten Stand sind. Um die Sicherheitsanfälligkeit zu minimieren, müssen Sie Ihre Domäne weiter untersuchen, um die Domänencontroller zu finden, die nicht auf dem neuesten Stand sind.  

Wenn eine Ereignis-ID angezeigt wird: 0x8000002A auf einem Domänencontroller angemeldet ist, lesen Sie KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966.

Häufig gestellte Fragen (FAQ)

Diese Härtungsänderung wirkt sich nur auf Windows-Domänencontroller aus. Der Kerberos-Vertrauens- und Empfehlungsflow mit anderen Windows-Domänencontrollern oder Drittanbieter-KDCs ist davon nicht betroffen.

Domänengeräte von Drittanbietern, die die AES-SHA1-Verschlüsselung nicht verarbeiten können, sollten bereits explizit für die AES-SHA1-Verschlüsselung konfiguriert worden sein.

Nein. Wir protokollieren Warnungsereignisse für unsichere Konfigurationen für DefaultDomainSupportedEncTypes. Darüber hinaus berücksichtigen wir alle Konfigurationen, die explizit von einem Administrator festgelegt wurden.

Ressourcen

KB5020805: Verwalten von Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37967

KB5021131: Verwalten der Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37966

Bitflags für unterstützte Verschlüsselungstypen

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter