Gilt für
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 13. Januar 2026

KB-ID: 5073381

In diesem Artikel

Zusammenfassung

Windows-Updates, die am und nach dem 13. Januar 2026 veröffentlicht wurden, enthalten Schutzmaßnahmen für ein Sicherheitsrisiko mit dem Kerberos-Authentifizierungsprotokoll. Die Windows-Updates beheben eine Sicherheitsanfälligkeit in CVE-2026-20833 , die es einem Angreifer ermöglichen könnte, Diensttickets mit schwachen oder älteren Verschlüsselungstypen wie RC4 zu erhalten, um Offlineangriffe zur Wiederherstellung eines Dienstkontokennworts auszuführen.

Um dieses Sicherheitsrisiko zu beheben, ändern Windows-Updates, die am und nach dem 14. April 2026 veröffentlicht wurden, den Standardwert des Kerberos Key Distribution Center (KDC) für DefaultDomainSupportedEncTypes, es sei denn, Administratoren aktivieren den Erzwingungsmodus zuvor. Aktualisierte Domänencontroller, die im Erzwingungsmodus ausgeführt werden, setzen nur dann unterstützung für AES-Verschlüsselungstypkonfigurationen (Advanced Encryption Standard) voraus, wenn keine explizite Konfiguration angegeben ist. Weitere Informationen finden Sie unter Bitflags für unterstützte Verschlüsselungstypen. Der Standardwert für DefaultDomainSupportedEncTypes gilt, wenn kein expliziter Wert vorhanden ist.

Auf Domänencontrollern mit einem definierten DefaultDomainSupportedEncTypes-Registrierungswert wird das Verhalten von diesen Änderungen nicht funktionell beeinflusst. Ein Audit-Ereignis KDCSVC-Ereignis-ID: 205 wird jedoch im Systemereignisprotokoll protokolliert, wenn die vorhandene DefaultDomainSupportedEncTypes-Konfiguration unsicher ist (z. B. wenn eine RC4-Verschlüsselung verwendet wird).

zurück zum Anfang

In Aktion treten

Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, empfehlen wir Folgendes: 

  • AKTUALISIEREN Microsoft Active Directory-Domänencontroller ab Windows-Updates, die am oder nach dem 13. Januar 2026 veröffentlicht wurden.

  • ÜBERWACHEN Sie das Systemereignisprotokoll für jedes der neun KDCSVC 201 > 209 Überwachungsereignisse, die auf Windows Server 2012 und neueren Domänencontrollern protokolliert werden, die Risiken bei der Aktivierung von RC4-Schutzen identifizieren.

  • MILDERN Im Systemereignisprotokoll protokollierte KDCSVC-Ereignisse, die die manuelle oder programmgesteuerte Aktivierung von RC4-Schutzen verhindern.

  • AKTIVIEREN Erzwingungsmodus, um die in CVE-2026-20833 behobenen Sicherheitsrisiken in Ihrer Umgebung zu beheben, wenn Warnungen, Blockierungen oder Richtlinienereignisse nicht mehr protokolliert werden.

WICHTIG Durch die Installation von Updates, die am oder nach dem 13. Januar 2026 veröffentlicht wurden, werden die in CVE-2026-20833 für Active Directory-Domänencontroller beschriebenen Sicherheitsanfälligkeiten standardmäßig NICHT behoben. Um die Sicherheitsanfälligkeit vollständig zu beheben, sollten Sie den Erzwingungsmodus (siehe Schritt 3: AKTIVIEREN) auf allen Domänencontrollern manuell aktivieren. Die Installation von Windows Updates veröffentlicht am und nach Juli 2026 wird programmgesteuert die Erzwingungsphase aktivieren.

Der Erzwingungsmodus wird automatisch aktiviert, indem Windows Updates installiert wird, das am oder nach April 2026 auf allen Windows-Domänencontrollern veröffentlicht wurde, und gefährdete Verbindungen von nicht konformen Geräten blockiert.  Zu diesem Zeitpunkt können Sie die Überwachung nicht deaktivieren, aber möglicherweise zur Einstellung Überwachungsmodus zurückkehren. Der Überwachungsmodus wird im Juli 2026 entfernt, wie im Abschnitt Timing von Updates beschrieben, und der Erzwingungsmodus wird auf allen Windows-Domänencontrollern aktiviert und blockiert anfällige Verbindungen von nicht konformen Geräten.

Wenn Sie RC4 nach April 2026 nutzen müssen, empfehlen wir, RC4 explizit in der Bitmaske msds-SupportedEncryptionTypes für Dienste zu aktivieren, die die RC4-Verwendung akzeptieren müssen. 

zurück zum Anfang 

Zeitplan für die Updates

13. Januar 2026: Erste Bereitstellungsphase 

Die erste Bereitstellungsphase beginnt mit den Updates, die am und nach dem 13. Januar 2026 veröffentlicht wurden, und wird mit späteren Windows-Updates bis zur Erzwingungsphase fortgesetzt. In dieser Phase werden Kunden vor neuen Sicherheitserzwingungen gewarnt, die in der zweiten Bereitstellungsphase eingeführt werden. Dieses Update: 

  • Stellt Überwachungsereignisse bereit, um Kunden zu warnen, die von der bevorstehenden Sicherheitshärtung möglicherweise negativ betroffen sind.

  • Führt unterstützung für den Registrierungswert RC4DefaultDisablementPhase ein, nachdem ein Administrator die Änderung proaktiv aktiviert hat, indem er den Wert auf Domänencontrollern auf 2 festlegt, wenn KDCSVC-Überwachungsereignisse angeben, dass dies sicher ist.

14. April 2026: Erzwingungsphase mit manuellem Rollback 

Mit diesem Update wird der Standardwert DefaultDomainSupportedEncTypes für KDC-Vorgänge so geändert, dass AES-SHA1 für Konten genutzt wird, für die kein explizites Active Directory-Attribut msds-SupportedEncryptionTypes definiert ist. 

In dieser Phase wird der Standardwert für DefaultDomainSupportedEncTypes in nur AES-SHA1 geändert: 0x18

Diese Phase ermöglicht auch die manuelle Konfiguration des RC4DefaultDisablementPhase-Rollbackwerts bis zur programmgesteuerten Erzwingung im Juli 2026.

Juli 2026 – Durchsetzungsphase 

Die Windows-Updates, die im oder nach Juli 2026 veröffentlicht wurden, entfernen die Unterstützung für den Registrierungsunterschlüssel RC4DefaultDisablementPhase

zurück zum Anfang 

Bereitstellungsrichtlinien

Führen Sie die folgenden Schritte aus, um die am oder nach dem 13. Januar 2026 veröffentlichten Windows-Updates bereitzustellen: 

  1. AKTUALISIEREN Sie Ihre Domänencontroller mit einem Windows-Update, das am oder nach dem 13. Januar 2026 veröffentlicht wurde.

  2. ÜBERWACHEN Sie Ereignisse, die während der ersten Bereitstellungsphase protokolliert werden, um Ihre Umgebung zu schützen.

  3. VERSCHIEBEN Sie Ihre Domänencontroller mithilfe des Abschnitts Registrierungseinstellungen in den Erzwingungsmodus.

Schritt 1: UPDATE  

Stellen Sie das windows-Update bereit, das am oder nach dem 13. Januar 2026 veröffentlicht wurde, für alle anwendbaren Windows Active Directory-Instanzen, die nach der Bereitstellung des Updates als Domänencontroller ausgeführt werden.

  • Überwachungsereignisse werden in Systemereignisprotokollen angezeigt, wenn Ihre Windows Server 2012 oder höher Domänencontroller Kerberos-Dienstticketanforderungen empfangen, für die die Verwendung der RC4-Verschlüsselung erforderlich ist, das Dienstkonto jedoch über die Standardverschlüsselungskonfiguration verfügt.

  • Audit Event 205 wird im Systemereignisprotokoll protokolliert, wenn Ihr Domänencontroller über eine explizite DefaultDomainSupportedEncTypes-Konfiguration verfügt, um die RC4-Verschlüsselung zuzulassen.

Schritt 2: ÜBERWACHEN

Wenn nach der Aktualisierung von Domänencontrollern keine Überwachungsereignisse angezeigt werden, die in diesem Artikel dokumentiert sind, wechseln Sie zum Erzwingungsmodus , indem Sie den Registrierungswert RC4DefaultDisablementPhase in 2 ändern.   

Wenn Überwachungsereignisse generiert werden, müssen Sie entweder RC4-Abhängigkeiten entfernen oder das Konto-Attribut msds-SupportedEncryptionTypes explizit konfigurieren, um die fortgesetzte Verwendung von RC4 nach der manuellen oder automatischen Aktivierung des Erzwingungsmodus zu unterstützen.

Administratoren, die an der Behebung der RC4-Verwendung interessiert sind, die in diesem Artikel behandelt wird, empfehlen wir, die Rc4-Verwendung in Kerberos zu erkennen und zu korrigieren.

WICHTIG Überwachungsereignisse im Zusammenhang mit dieser Änderung werden nur generiert, wenn Active Directory keine AES-SHA1-Diensttickets oder Sitzungsschlüssel ausstellen kann. Das Fehlen von Überwachungsereignissen garantiert nicht , dass alle Nicht-Windows-Geräte die Kerberos-Authentifizierung nach dem April-Update erfolgreich akzeptieren. Kunden sollten die Nicht-Windows-Interoperabilität durch Tests überprüfen, bevor sie dieses Verhalten allgemein aktivieren.

Schritt 3: AKTIVIEREN

Aktivieren Sie den Erzwingungsmodus , um die Sicherheitsrisiken cve-2026-20833 in Ihrer Umgebung zu beheben. 

  • Wenn ein KDC angefordert wird, um ein RC4-Dienstticket für ein Konto mit Standardkonfigurationen bereitzustellen, wird ein Fehlerereignis protokolliert.

  • Für jede unsichere Konfiguration von DefaultDomainSupportedEncTypes wird weiterhin die Ereignis-ID 205 protokolliert.

zurück zum Anfang 

Registrierungseinstellungen

Nachdem die am oder nach dem 13. Januar 2026 veröffentlichten Windows-Updates installiert wurden, ist der folgende Registrierungsschlüssel für das Kerberos-Protokoll verfügbar.

RC4DefaultDisablementPhase

Dieser Registrierungsschlüssel wird verwendet, um die Bereitstellung der Kerberos-Änderungen zu sperren. Dieser Registrierungsschlüssel ist temporär und wird nach dem Erzwingungsdatum nicht mehr gelesen.

Registrierungsschlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Datentyp

REG_DWORD

Wertname

RC4DefaultDisablementPhase

Wertdaten

0 – Keine Überwachung, keine Änderung 

1 – Warnereignisse werden bei der RC4-Standardverwendung protokolliert. (Standard für Phase 1) 

2 – Kerberos wird gestartet, wenn RC4 nicht standardmäßig aktiviert ist.  (Standard für Phase 2) 

Neustart erforderlich?

Ja

zurück zum Anfang 

Überwachungsereignisse

Nachdem die am oder nach dem 13. Januar 2026 veröffentlichten Windows-Updates installiert wurden, werden die folgenden KSCSVC-Überwachungsereignistypen dem Systemereignisprotokoll von Windows Server 2012 hinzugefügt und später als Domänencontroller ausgeführt.

In diesem Abschnitt

zurück zum Anfang 

Ereignis-ID: 201

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

201

Ereignistext

Das Schlüsselverteilungscenter hat <Verschlüsselungsnamen> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und der Client nur unsichere Verschlüsselungstypen unterstützt. 

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Ereignis-ID: 201 wird protokolliert, wenn:

  • Der Client wirbt nur RC4 als werbefinanzierte Etypes

  • Für den Zieldienst ist KEIN msds-SET definiert.

  • Auf dem Domänencontroller ist DDSET NICHT definiert.

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 1 festgelegt.

  • Warnungsereignis 201 geht im Erzwingungsmodus in Fehlerereignis 203 über

  • Dieses Ereignis wird pro Anforderung protokolliert.

  • Das Warnungsereignis 201 wird NICHT protokolliert, wenn DefaultDomainSupportedEncTypes manuell definiert ist.

zurück zu Überwachungsereignisse 

Ereignis-ID: 202

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

202

Ereignistext

Das Schlüsselverteilungscenter hat <Verschlüsselungsname> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und das Dienstkonto nur über unsichere Schlüssel verfügt.  

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Das Warnungsereignis 202 wird protokolliert, wenn:

  • Der Zieldienst verfügt nicht über AES-Schlüssel.

  • Für den Zieldienst ist KEIN msds-SET definiert.

  • Auf dem Domänencontroller ist DDSET NICHT definiert.

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 1 festgelegt.

  • Fehlerereignis 202 geht im Erzwingungsmodus in Fehler 204 über

  • Das Warnungsereignis 202 wird pro Anforderung protokolliert.

  • Warnungsereignis 202 wird NICHT protokolliert, wenn DefaultDomainSupportedEncTypes manuell definiert ist

zurück zu Überwachungsereignisse 

Ereignis-ID: 203

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

203

Ereignistext

Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung blockiert, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und der Client nur unsichere Verschlüsselungstypen unterstützt. 

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Fehlerereignis 203 wird protokolliert, wenn:

  • Der Client wirbt nur RC4 als werbefinanzierte Etypes

  • Für den Zieldienst ist KEIN msds-SET definiert.

  • Auf dem Domänencontroller ist DDSET NICHT definiert.

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 2 festgelegt.

  • Pro Anforderung

zurück zu Überwachungsereignisse 

Ereignis-ID: 204

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

204

Ereignistext

Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung blockiert, da der Dienst msds-SupportedEncryptionTypes nicht definiert ist und das Dienstkonto nur über unsichere Schlüssel verfügt.  

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Fehlerereignis 204 wird protokolliert, wenn:

  • Der Zieldienst verfügt nicht über AES-Schlüssel.

  • Für den Zieldienst ist KEIN msds-SET definiert.

  • Auf dem Domänencontroller ist DDSET NICHT definiert.

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 2 festgelegt.

  • Pro Anforderung

zurück zu Überwachungsereignisse 

Ereignis-ID: 205

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

205

Ereignistext

Das Schlüsselverteilungscenter hat eine explizite Verschlüsselungsaktivierung in der Richtlinienkonfiguration Der Standarddomäne unterstützte Verschlüsselungstypen erkannt. 

Verschlüsselung(en): <aktivierte unsichere Verschlüsselungen> 

DefaultDomainSupportedEncTypes: <Konfigurierter DefaultDomainSupportedEncTypes-Wert> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614.

Kommentare

Das Warnungsereignis 205 wird protokolliert, wenn:

  • Der Domänencontroller HAS DDSET ist so definiert, dass er alles außer AES-SHA1 enthält.

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 1, 2 festgelegt.

  • Dies wird NIE zu einem Fehler

  • Zweck ist es, den Kunden auf unsicheres Verhalten aufmerksam zu machen, das wir nicht ändern werden.

  • Jedes Mal beim Start des KDCSVC protokolliert

zurück zu Überwachungsereignisse 

Ereignis-ID: 206

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

206

Ereignistext

Das Schlüsselverteilungscenter hat <Verschlüsselungsnamen> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes so konfiguriert ist, dass er nur AES-SHA1 unterstützt, aber der Client AES-SHA1 nicht angibt. 

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Das Warnungsereignis 206 wird protokolliert, wenn:

  • Der Client wirbt nur RC4 als werbefinanzierte Etypes

  • Eine der folgenden Aktionen tritt auf:

    • Der Zieldienst HAS msds-SET ist nur für AES-SHA1 definiert.

    • Der Domänencontroller HAS DDSET, der nur für AES-SHA1 definiert ist

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 1 festgelegt.

  • Warnungsereignis 2016 wechselt zu Fehlerereignis 2018 im Erzwingungsmodus

  • Pro Anforderung protokolliert

zurück zu Überwachungsereignisse 

Ereignis-ID: 207

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

207

Ereignistext

Das Schlüsselverteilungscenter hat <Verschlüsselungsnamen> Verwendung erkannt, die in der Erzwingungsphase nicht unterstützt wird, da der Dienst msds-SupportedEncryptionTypes nur für die Unterstützung von AES-SHA1 konfiguriert ist, das Dienstkonto jedoch keine AES-SHA1-Schlüssel aufweist.  

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Das Warnungsereignis 207 wird protokolliert, wenn:

  • Der Zieldienst verfügt nicht über AES-Schlüssel.

  • Eine der folgenden Aktionen tritt auf:

    • Der Zieldienst HAS msds-SET ist nur für AES-SHA1 definiert.

    • Der Domänencontroller HAS DDSET, der nur für AES-SHA1 definiert ist

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 1 festgelegt.

  • Dies wird in 209 (Fehler) im Erzwingungsmodus umgewandelt.

  • Pro Anforderung

zurück zu Überwachungsereignisse 

Ereignis-ID: 208

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

208

Ereignistext

Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung absichtlich verweigert, da der Dienst msds-SupportedEncryptionTypes nur für die Unterstützung von AES-SHA1 konfiguriert ist, aber der Client AES-SHA1 nicht angibt. 

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Fehlerereignis 208 wird protokolliert, wenn:

  • Der Client wirbt nur RC4 als werbefinanzierte Etypes

  • EIther der folgenden Auftritte:

    • Der Zieldienst HAS msds-SET ist nur für AES-SHA1 definiert.

    • Der Domänencontroller HAS DDSET, der nur für AES-SHA1 definiert ist

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 2 festgelegt.

  • Pro Anforderung

zurück zu Überwachungsereignisse 

Ereignis-ID: 209

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

Kdcsvc

Ereigniskennung

209

Ereignistext

Das Schlüsselverteilungscenter hat die Verschlüsselungsverwendung absichtlich verweigert, da der Dienst msds-SupportedEncryptionTypes nur für die Unterstützung von AES-SHA1 konfiguriert ist, das Dienstkonto jedoch keine AES-SHA1-Schlüssel aufweist. 

Kontoinformationen 

    Kontoname: <Kontoname> 

    Angegebener Bereichsname: <angegebenen Bereichsname> 

    msds-SupportedEncryptionTypes: <Unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <verfügbare Schlüssel> 

Dienstinformationen: 

    Dienstname: <Dienstname> 

    Dienst-ID: <Dienst-SID-> 

    msds-SupportedEncryptionTypes: vom <-Dienst unterstützte Verschlüsselungstypen> 

    Verfügbare Schlüssel: <Dienst verfügbare Schlüssel> 

Domänencontrollerinformationen: 

    msds-SupportedEncryptionTypes: <Domänencontroller unterstützte Verschlüsselungstypen> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-Wert> 

    Verfügbare Schlüssel: <Domänencontroller verfügbare Schlüssel> 

Netzwerkinformationen: 

    Clientadresse: <Client-IP-Adresse> 

    Clientport: <Clientport> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentare

Fehlerereignis 209 wird protokolliert, wenn:

  • Der Zieldienst verfügt nicht über AES-Schlüssel.

  • Eine der folgenden Aktionen tritt auf:

    • Der Zieldienst HAS msds-SET ist nur für AES-SHA1 definiert.

    • Der Domänencontroller HAS DDSET, der nur für AES-SHA1 definiert ist

  • Der Registrierungswert RC4DefaultDisablementPhase ist auf 2 festgelegt.

  • Pro Anforderung

zurück zu Überwachungsereignisse

Hinweis

In Bezug auf implizite Änderungen bei der Auswahl der Dienstticketverschlüsselung hat Microsoft eingeschränkten Einblick in die Gründe, warum ein Nicht-Windows-Gerät die Kerberos-Authentifizierung möglicherweise nicht akzeptieren kann, nachdem KDCs das April-Update angewendet und zum Standardverhalten von AES-SHA1 wechseln, wenn es nicht angegeben ist. Es wird empfohlen, diese Änderungen durch Tests in Ihrer eigenen Umgebung zu überprüfen, bevor Sie dieses Verhalten allgemein aktivieren.

Der häufigste Ort, an dem dies auftritt, ist bei Geräten, die Kerberos-Schlüsseltabellen verwenden. Wenn die Kerberos-Schlüsseltabelle nur mit RC4-Schlüsseln exportiert wurde, das Zieldienstkonto jedoch über AES-SHA1-Schlüssel verfügt und kein msds-SupportedEncryptionTypes definiert ist, besteht die Möglichkeit eines Authentifizierungsfehlers für diesen Dienst. Dies tritt höchstwahrscheinlich in Form von Authentifizierungsfehlern vom Zieldienst und nicht vom KDC aus auf. 

Unsere primäre Empfehlung besteht darin, mit dem Anbieter des Nicht-Windows-Geräts zusammenzuarbeiten. Im Allgemeinen sind Fehler von Nicht-Windows-Geräten, die die Kerberos-Authentifizierung akzeptieren, nicht eindeutig für die April-Änderungen und können auf gerätespezifische oder implementierungsspezifische Einschränkungen zurückzuführen sein.

Wenn nach dieser Änderung Probleme mit der Kerberos-Authentifizierung bei Nicht-Windows-Geräten auftreten und eine Korrektur durch anbieter nicht möglich ist, werden folgende Empfehlungen empfohlen:

  • Definieren Sie für das betroffene Dienstkonto explizit msDS-SupportedEncryptionTypes , um RC4 mit AES-Sitzungsschlüsseln (0x24) einzuschließen.

  • Wenn dies nicht möglich ist, konfigurieren Sie als letztes Mittel den Registrierungswert DefaultDomainSupportedEncTypes auf allen relevanten KDCs manuell so, dass RC4 mit AES-SHA1-Sitzungsschlüsseln (0x24) eingeschlossen wird. Beachten Sie, dass dadurch alle Konten in der Domäne anfällig für CVE-2026-20833 bleiben.

Es ist wichtig zu beachten, dass diese Konfiguration unsicher ist, und unsere langfristige Empfehlung lautet, Nicht-Windows-Geräte zu Versionen zu migrieren, die AES-SHA1 Kerberos-Ticketverschlüsselung unterstützen.

zurück zu Überwachungsereignisse

Häufig gestellte Fragen (FAQ)

F1: Wie interagiert diese Änderung mit Domänen mit Drittanbieter-KDCs?

Diese Härtungsänderung wirkt sich nur auf Windows-Domänencontroller aus. Der Kerberos-Vertrauens- und Empfehlungsflow mit anderen Windows-Domänencontrollern oder Drittanbieter-KDCs ist davon nicht betroffen.

F2: Wie interagiert diese Änderung mit Domänen, die Nicht-Windows-Domänengeräte haben?

Domänengeräte von Drittanbietern, die die AES-SHA1-Verschlüsselung nicht verarbeiten können, sollten bereits explizit für die RC4-Verschlüsselung konfiguriert worden sein. Dienste, die keine AES-SHA1-Tickets verarbeiten können, müssen in Active Diretory korrigiert oder explizit konfiguriert werden, um die RC4-Verschlüsselung wie oben beschrieben bereitzustellen. Überprüfen Sie diese Änderungen sorgfältig. 

F3: Entfernt Microsoft die Möglichkeit, DefaultDomainSupportedEncTypes zu konfigurieren?

Nein. Wir protokollieren Warnungsereignisse für unsichere Konfigurationen für DefaultDomainSupportedEncTypes. Darüber hinaus berücksichtigen wir alle Konfigurationen, die explizit von einem Administrator festgelegt wurden.

zurück zum Anfang 

Ressourcen

zurück zum Anfang 

Änderungsprotokoll

Datum ändern

Beschreibung ändern

14. April 2026

  • Das Datum vom April 2026 wurde aktualisiert, um das tatsächliche Datum der Veröffentlichung für die "Erzwingungsphase mit manuellem Rollback" widerzuspiegeln.

  • Kerberos KDC wurde im ersten Satz des zweiten Absatzes des Abschnitts "Zusammenfassung" definiert.Von: Um dieses Sicherheitsrisiko zu beheben, wird der Standardwert defaultDomainSupportedEncTypes von Windows Updates am und nach dem 14. April 2026 veröffentlicht oder Administratoren, die den Erzwingungsmodus frühzeitig aktivieren, geändert.An: Um dieses Sicherheitsrisiko zu beheben, ändern Windows-Updates, die am und nach dem 14. April 2026 veröffentlicht wurden, den Standardwert des Kerberos Key Distribution Center (KDC) für DefaultDomainSupportedEncTypes, es sei denn, Administratoren aktivieren den Erzwingungsmodus zuvor.

7. April 2026

  • Der zweite Absatz im Abschnitt "Zusammenfassung" wurde aus Gründen der Übersichtlichkeit umformuliert.

  • Fügen Sie den WICHTIG-Hinweis in den Abschnitt "Schritt 2: MONITOR" ein, um die Wichtigkeit hervorzuheben. Bitte beachten Sie den WICHTIGen Hinweis.

  • Der Notiz oberhalb des Abschnitts HÄUFIG GESTELLTE Fragen wurde ein neuer zweiter Absatz hinzugefügt.

16. März 2026

  • Der Übersichtlichkeit halber wurde im Abschnitt "Bereitstellungsrichtlinien" "Schritt 2: MONITOR" umformuliert.

  • Umformulierung der Antwort auf die "Wie interagiert diese Änderung mit Domänen, die Nicht-Windows-Domänengeräte sind?" Häufig gestellte Fragen. Es wurde ein spezieller Hinweis hinzugefügt, der beschreibt, wie sich diese Änderungen auf Nicht-Windows-Dienste auswirken können.

10. Februar 2026

  • Der Dokumentationslink wurde zu den Vorkommen von DefaultDomainSupportedEncTypes hinzugefügt.

  • Der Wortlaut des zweiten Aufzählungszeichens im Abschnitt "Schritt 3: Aktivieren" wurde korrigiert.Von: Führt den Registrierungswert RC4DefaultDisablementPhase ein, um die Änderung proaktiv zu aktivieren, indem der Wert auf Domänencontrollern auf 2 festgelegt wird, wenn KDCSVC-Überwachungsereignisse angeben, dass dies sicher ist.An: Führt unterstützung für den Registrierungswert RC4DefaultDisablementPhase ein, nachdem ein Administrator die Änderung proaktiv aktiviert hat, indem er den Wert auf Domänencontrollern auf 2 festlegt, wenn KDCSVC-Überwachungsereignisse angeben, dass dies sicher ist.

  • Unter dem Wichtigen Hinweis im Abschnitt "Aktion ergreifen" wurde der erste Satz des Absatzes so geändert, dass ungefähr angegeben wird, wann der Erzwingungsmodus aktiviert wird.Von: Ab April 2026 wird der Erzwingungsmodus auf allen Windows-Domänencontrollern aktiviert und blockiert anfällige Verbindungen von nicht konformen Geräten.An: Der Erzwingungsmodus wird automatisch aktiviert, indem Windows Updates installiert wird, das am oder nach April 2026 auf allen Windows-Domänencontrollern veröffentlicht wurde, und gefährdete Verbindungen von nicht konformen Geräten blockiert.

  • Formulierungen zu Erwähnung diese Änderung von Windows Updates veröffentlicht am und nach dem 13. Januar 2026 und CVE-2026-20833.

Zurück zum Anfang 

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter