Αρχική ημερομηνία δημοσίευσης: 13 Ιανουαρίου 2026
KB ID: 5073381
Λήξη πιστοποιητικού ασφαλούς εκκίνησης Windows
Σημαντικό: Τα πιστοποιητικά ασφαλούς εκκίνησης που χρησιμοποιούνται από τις περισσότερες συσκευές Windows έχουν προγραμματιστεί να λήξουν από τον Ιούνιο του 2026. Αυτό μπορεί να επηρεάσει τη δυνατότητα ασφαλούς εκκίνησης ορισμένων προσωπικών και επαγγελματικών συσκευών, αν δεν ενημερωθούν εγκαίρως. Για να αποφύγετε τυχόν διακοπή λειτουργίας, συνιστούμε να ελέγξετε τις οδηγίες και να λάβετε μέτρα για την εκ των προτέρων ενημέρωση των πιστοποιητικών. Για λεπτομέρειες και βήματα προετοιμασίας, ανατρέξτε στο θέμα Λήξη του πιστοποιητικού ασφαλούς εκκίνησης των Windows και ενημερώσεις CA.
Σε αυτό το άρθρο
Σύνοψη
Οι ενημερώσεις των Windows που κυκλοφόρησαν στις και μετά τις 13 Ιανουαρίου 2026, περιέχουν μέτρα προστασίας για μια ευπάθεια με το πρωτόκολλο ελέγχου ταυτότητας Kerberos. Οι ενημερώσεις των Windows αντιμετωπίζουν μια ευπάθεια αποκάλυψης πληροφοριών που μπορεί να επιτρέψει σε έναν εισβολέα να αποκτήσει δελτία υπηρεσίας με αδύναμους ή παλαιού τύπου τύπους κρυπτογράφησης, όπως RC4 και να εκτελέσει επιθέσεις χωρίς σύνδεση για να ανακτήσει έναν κωδικό πρόσβασης λογαριασμού υπηρεσίας.
Για να ασφαλίσετε και να σκληρύνετε το περιβάλλον σας, εγκαταστήστε την ενημέρωση των Windows που κυκλοφόρησε στις ή μετά τις 13 Ιανουαρίου 2026 σε όλους τους διακομιστές windows που αναφέρονται στην ενότητα "Ισχύει για" που εκτελείται ως ελεγκτής τομέα. Για να μάθετε περισσότερα σχετικά με τις ευπάθειες, ανατρέξτε στο θέμα CVE-2026-20833.
Για να μετριαστεί αυτή η ευπάθεια, αλλάζει η προεπιλεγμένη τιμή των DefaultDomainSupportedEncTypes (DDSET), έτσι ώστε όλοι οι ελεγκτές τομέα να υποστηρίζουν μόνο δελτία κρυπτογραφημένα με Σύνθετη κρυπτογράφηση Standard (AES-SHA1) για λογαριασμούς χωρίς ρητή ρύθμιση παραμέτρων τύπου κρυπτογράφησης Kerberos. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Υποστηριζόμενες σημαίες Bit τύπων κρυπτογράφησης.
Στους ελεγκτές τομέα με καθορισμένη τιμή μητρώου DefaultDomainSupportedEncTypes, η συμπεριφορά δεν θα επηρεαστεί λειτουργικά από αυτές τις αλλαγές. Ωστόσο, ένα συμβάν ελέγχου KDCSVC Αναγνωριστικό συμβάντος: 205 μπορεί να καταγραφεί στο αρχείο καταγραφής συμβάντων συστήματος, εάν η υπάρχουσα ρύθμιση παραμέτρων DefaultDomainSupportedEncTypes δεν είναι ασφαλής .
Αναλάβετε δράση
Για να προστατεύσετε το περιβάλλον σας και να αποφύγετε διακοπές λειτουργίας, συνιστάται να κάνετε τα εξής βήματα:
-
ΕΝΗΜΕΡΩΜΈΝΗ ΈΚΔΟΣΗ Οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory της Microsoft ξεκινούν με ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 13 Ιανουαρίου 2026.
-
ΠΑΡΑΚΟΛΟΥΘΉΣΤΕ το αρχείο καταγραφής συμβάντων συστήματος για οποιοδήποτε από τα 9 συμβάντα ελέγχου που καταγράφονται στο Windows Server 2012 και σε νεότερους ελεγκτές τομέα που εντοπίζουν κινδύνους με την ενεργοποίηση των προστατευμάτων RC4.
-
ΜΕΤΡΙΑΣΜΌ Συμβάντα KDCSVC που καταγράφονται στο αρχείο καταγραφής συμβάντων συστήματος και εμποδίζουν τη μη αυτόματη ή προγραμματιστική ενεργοποίηση των προστατευτικών RC4.
-
ΕΝΕΡΓΟΠΟΙΉΣΕΤΕ Λειτουργία επιβολής για την αντιμετώπιση των ευπαθειών που επιδιορθώνονται στο CVE-2026-20833 στο περιβάλλον σας όταν δεν καταγράφονται πλέον συμβάντα προειδοποίησης, αποκλεισμού ή πολιτικής.
ΣΗΜΑΝΤΙΚΌ Η εγκατάσταση των ενημερώσεων που κυκλοφόρησαν στις ή μετά τις 13 Ιανουαρίου 2026 ΔΕΝ θα αντιμετωπίσει τις ευπάθειες που περιγράφονται στο CVE-2026-20833 για τους ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory από προεπιλογή. Για να μετριάσετε πλήρως την ευπάθεια, πρέπει να μεταβείτε στην ισχύουσα λειτουργία (περιγράφεται στο βήμα 3) το συντομότερο δυνατό σε όλους τους ελεγκτές τομέα.
Από τον Απρίλιο του 2026, η λειτουργία επιβολής θα ενεργοποιείται σε όλους τους ελεγκτές τομέα των Windows και θα αποκλείει τις ευάλωτες συνδέσεις από μη συμβατές συσκευές. Εκείνη τη στιγμή, δεν θα μπορείτε να απενεργοποιήσετε τον έλεγχο, αλλά μπορεί να επιστρέψετε στη ρύθμιση Λειτουργία ελέγχου. Η λειτουργία ελέγχου θα καταργηθεί τον Ιούλιο του 2026, όπως περιγράφεται στην ενότητα "Χρονισμός ενημερώσεων ", ενώ η λειτουργία επιβολής θα ενεργοποιηθεί σε όλους τους ελεγκτές τομέα των Windows και θα αποκλείσει τις ευπαθείς συνδέσεις από μη συμβατές συσκευές.
Εάν πρέπει να αξιοποιήσετε το RC4 μετά τον Απρίλιο του 2026, συνιστάται να ενεργοποιήσετε ρητά το RC4 εντός της μάσκας bit msds-SupportedEncryptionTypes σε υπηρεσίες που θα πρέπει να αποδέχονται τη χρήση RC4.
Χρονισμός ενημερώσεων
13 Ιανουαρίου 2026 - Φάση αρχικής ανάπτυξης
Η αρχική φάση ανάπτυξης ξεκινά με τις ενημερώσεις που κυκλοφόρησαν στις και μετά τις 13 Ιανουαρίου 2026 και συνεχίζεται με μεταγενέστερες ενημερώσεις των Windows μέχρι τη φάση επιβολής . Αυτή η φάση είναι η προειδοποίηση των πελατών για νέες αρχές επιβολής της ασφάλειας που θα εισαχθούν στη δεύτερη φάση ανάπτυξης. Αυτή η ενημέρωση:
-
Παρέχει συμβάντα ελέγχου για την προειδοποίηση των πελατών που ενδέχεται να επηρεαστούν αρνητικά από την επερχόμενη σκλήρυνση ασφαλείας.
-
Εισάγει την τιμή μητρώου RC4DefaultDisablementPhase για να ενεργοποιήσει προληπτικά την αλλαγή, ορίζοντας την τιμή σε 2 στους ελεγκτές τομέα, όταν τα συμβάντα ελέγχου KDCSVC υποδεικνύουν ότι είναι ασφαλές να το κάνετε.
Απρίλιος 2026 - Δεύτερη φάση ανάπτυξης
Αυτή η ενημέρωση αλλάζει την προεπιλεγμένη τιμή DefaultDomainSupportedEncTypes για λειτουργίες KDC για να αξιοποιήσει το AES-SHA1 για λογαριασμούς που δεν έχουν ρητή τιμή msds-SupportedEncryptionTypes χαρακτηριστικού υπηρεσίας καταλόγου Active Directory που έχει οριστεί.
Αυτή η φάση αλλάζει την προεπιλεγμένη τιμή για το DefaultDomainSupportedEncTypes σε AES-SHA1 μόνο: 0x18.
Ιούλιος 2026 - Φάση επιβολής
Οι ενημερώσεις των Windows που κυκλοφόρησαν τον Ιούλιο του 2026 ή μετά θα καταργήσουν την υποστήριξη για το δευτερεύον κλειδί μητρώου RC4DefaultDisablementPhase.
Οδηγίες ανάπτυξης
Για να αναπτύξετε τις ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 13 Ιανουαρίου 2026, ακολουθήστε τα εξής βήματα:
-
ΕΝΗΜΕΡΏΣτε τους ελεγκτές τομέα σας με μια ενημέρωση των Windows που κυκλοφόρησε στις ή μετά τις 13 Ιανουαρίου 2026.
-
ΠΑΡΑΚΟΛΟΎΘΗΣΗ συμβάντων που καταγράφονται κατά τη διάρκεια της αρχικής φάσης ανάπτυξης για την προστασία του περιβάλλοντός σας.
-
Μετακινήστε τους ελεγκτές τομέα στη λειτουργία επιβολής , χρησιμοποιώντας την ενότητα ρυθμίσεων μητρώου.
Βήμα 1: ΕΝΗΜΕΡΩΣΗ
Αναπτύξτε την ενημέρωση των Windows που κυκλοφόρησε στις ή μετά τις 13 Ιανουαρίου 2026 σε όλες τις κατάλληλες εκδόσεις της υπηρεσίας καταλόγου Windows Active Directory που εκτελούνται ως ελεγκτής τομέα μετά την ανάπτυξη της ενημέρωσης.
-
Τα συμβάντα ελέγχου θα εμφανίζονται στα αρχεία καταγραφής συμβάντων συστήματος εάν ο ελεγκτής τομέα λαμβάνει αιτήσεις δελτίου υπηρεσίας Kerberos που απαιτούν τη χρήση κρυπτογράφησης RC4, αλλά ο λογαριασμός υπηρεσίας έχει προεπιλεγμένη ρύθμιση παραμέτρων κρυπτογράφησης.
-
Τα συμβάντα ελέγχου θα καταγράφονται στο αρχείο καταγραφής συμβάντων συστήματος εάν ο ελεγκτής τομέα σας έχει ρητή ρύθμιση παραμέτρων DefaultDomainSupportedEncTypes για να επιτρέπεται η κρυπτογράφηση RC4.
Βήμα 2: MONITOR
Μετά την ενημέρωση των ελεγκτών τομέα, αν δεν βλέπετε συμβάντα ελέγχου, μεταβείτε στη λειτουργία επιβολής αλλάζοντας την τιμή RC4DefaultDisablementPhase σε 2.
Εάν δημιουργούνται συμβάντα ελέγχου, θα πρέπει να καταργήσετε εξαρτήσεις RC4 ή να ρυθμίσετε ρητά τους λογαριασμούς που υποστηρίζονται από το Kerberos. Στη συνέχεια, θα μπορείτε να μεταβείτε στη λειτουργία επιβολής .
Για να μάθετε πώς μπορείτε να εντοπίσετε τη χρήση RC4 στον τομέα σας, να ελέγξετε τους λογαριασμούς συσκευών και χρηστών που εξακολουθούν να εξαρτώνται από το RC4 και να λάβετε μέτρα για να αποκαταστήσετε τη χρήση υπέρ ισχυρότερων τύπων κρυπτογράφησης ή να διαχειριστείτε εξαρτήσεις RC4, ανατρέξτε στο θέμα Εντοπισμός και αποκατάσταση της χρήσης RC4 στο Kerberos.
Βήμα 3: ΕΝΕΡΓΟΠΟΙΗΤΕ
Ενεργοποιήστε τη λειτουργία επιβολής για να αντιμετωπίσετε τις ευπάθειες CVE-2026-20833 στο περιβάλλον σας.
-
Εάν ζητηθεί KDC να παράσχει ένα δελτίο υπηρεσίας RC4 για ένα λογαριασμό με προεπιλεγμένες ρυθμίσεις παραμέτρων, θα καταγραφεί ένα συμβάν σφάλματος.
-
Θα εξακολουθείτε να βλέπετε ένα αναγνωριστικό συμβάντος: 205 καταγράφονται για τυχόν μη ασφαλείς ρυθμίσεις παραμέτρων defaultDomainSupportedEncTypes.
Ρυθμίσεις μητρώου
Μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις ή μετά τις 13 Ιανουαρίου 2026, είναι διαθέσιμο το ακόλουθο κλειδί μητρώου για το πρωτόκολλο Kerberos.
Αυτό το κλειδί μητρώου χρησιμοποιείται για την πύλη της ανάπτυξης των αλλαγών Kerberos. Αυτό το κλειδί μητρώου είναι προσωρινό και δεν θα διαβάζεται πλέον μετά την ημερομηνία ενεργοποίησης.
|
Κλειδί μητρώου |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Τύπος δεδομένων |
REG_DWORD |
|
Όνομα τιμής |
RC4DefaultDisablementPhase |
|
Τιμή δεδομένων |
0 – Δεν υπάρχει έλεγχος, καμία αλλαγή 1 - Τα προειδοποιητικά συμβάντα θα καταγράφονται στην προεπιλεγμένη χρήση RC4. (Προεπιλογή φάσης 1) 2 – Το Kerberos θα αρχίσει να υποθέτει ότι το RC4 δεν είναι ενεργοποιημένο από προεπιλογή. (Προεπιλογή φάσης 2) |
|
Απαιτείται επανεκκίνηση; |
Ναι |
Συμβάντα ελέγχου
Μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις ή μετά τις 13 Ιανουαρίου 2026, οι ακόλουθοι τύποι συμβάντων ελέγχου προστίθενται στο Windows Server 2012 και αργότερα εκτελούνται ως ελεγκτής τομέα.
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
201 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών εντόπισε <όνομα κρυπτογράφησης> χρήση που δεν θα υποστηρίζεται στη φάση επιβολής, επειδή η υπηρεσία msds-SupportedEncryptionTypes δεν έχει οριστεί και ο υπολογιστής-πελάτης υποστηρίζει μόνο μη ασφαλείς τύπους κρυπτογράφησης. Πληροφορίες λογαριασμού Όνομα λογαριασμού:> ονόματος λογαριασμού < Παρεχόμενο όνομα τομέα: <παρεχόμενο όνομα τομέα> msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <διαθέσιμα κλειδιά> Πληροφορίες υπηρεσίας: Όνομα υπηρεσίας:> ονόματος υπηρεσίας < Αναγνωριστικό υπηρεσίας:> SID υπηρεσίας < msds-SupportedEncryptionTypes: <υπηρεσία υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <υπηρεσία διαθέσιμων κλειδιών> Πληροφορίες ελεγκτή τομέα: msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης από ελεγκτή τομέα> DefaultDomainSupportedEncTypes: <> τιμής DefaultDomainSupportedEncTypes Διαθέσιμα κλειδιά: <> διαθέσιμων κλειδιών ελεγκτή τομέα Πληροφορίες δικτύου: Διεύθυνση υπολογιστή-πελάτη:> διεύθυνσης IP πελάτη < Θύρα υπολογιστή-πελάτη:> θύρας υπολογιστή-πελάτη < Τύποι διαφημίσεων: <τύποι κρυπτογράφησης Kerberos με διαφημίσεις> Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2344614 για να μάθετε περισσότερα. |
|
Σχόλια |
Αναγνωριστικό συμβάντος: Το 201 θα καταγραφεί εάν:
|
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
202 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών εντόπισε <όνομα κρυπτογράφησης> χρήση που δεν θα υποστηρίζεται στη φάση επιβολής, επειδή η υπηρεσία msds-SupportedEncryptionTypes δεν έχει οριστεί και ο λογαριασμός υπηρεσίας έχει μόνο μη ασφαλή κλειδιά. Πληροφορίες λογαριασμού Όνομα λογαριασμού:> ονόματος λογαριασμού < Παρεχόμενο όνομα τομέα: <παρεχόμενο όνομα τομέα> msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <διαθέσιμα κλειδιά> Πληροφορίες υπηρεσίας: Όνομα υπηρεσίας:> ονόματος υπηρεσίας < Αναγνωριστικό υπηρεσίας:> SID υπηρεσίας < msds-SupportedEncryptionTypes: <υπηρεσία υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <υπηρεσία διαθέσιμων κλειδιών> Πληροφορίες ελεγκτή τομέα: msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης από ελεγκτή τομέα> DefaultDomainSupportedEncTypes: <> τιμής DefaultDomainSupportedEncTypes Διαθέσιμα κλειδιά: <> διαθέσιμων κλειδιών ελεγκτή τομέα Πληροφορίες δικτύου: Διεύθυνση υπολογιστή-πελάτη:> διεύθυνσης IP πελάτη < Θύρα υπολογιστή-πελάτη:> θύρας υπολογιστή-πελάτη < Τύποι διαφημίσεων: <τύποι κρυπτογράφησης Kerberos με διαφημίσεις> Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2344614 για να μάθετε περισσότερα. |
|
Σχόλια |
Το προειδοποιητικό συμβάν 202 θα καταγραφεί εάν:
|
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
203 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών απέκλεισε τη χρήση κρυπτογράφησης, επειδή η υπηρεσία msds-SupportedEncryptionTypes δεν έχει οριστεί και ο υπολογιστής-πελάτης υποστηρίζει μόνο μη ασφαλείς τύπους κρυπτογράφησης. Πληροφορίες λογαριασμού Όνομα λογαριασμού:> ονόματος λογαριασμού < Παρεχόμενο όνομα τομέα: <παρεχόμενο όνομα τομέα> msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <διαθέσιμα κλειδιά> Πληροφορίες υπηρεσίας: Όνομα υπηρεσίας:> ονόματος υπηρεσίας < Αναγνωριστικό υπηρεσίας:> SID υπηρεσίας < msds-SupportedEncryptionTypes: <υπηρεσία υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <υπηρεσία διαθέσιμων κλειδιών> Πληροφορίες ελεγκτή τομέα: msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης από ελεγκτή τομέα> DefaultDomainSupportedEncTypes: <> τιμής DefaultDomainSupportedEncTypes Διαθέσιμα κλειδιά: <> διαθέσιμων κλειδιών ελεγκτή τομέα Πληροφορίες δικτύου: Διεύθυνση υπολογιστή-πελάτη:> διεύθυνσης IP πελάτη < Θύρα υπολογιστή-πελάτη:> θύρας υπολογιστή-πελάτη < Τύποι διαφημίσεων: <τύποι κρυπτογράφησης Kerberos με διαφημίσεις> Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2344614 για να μάθετε περισσότερα. |
|
Σχόλια |
Το συμβάν σφάλματος 203 θα καταγραφεί εάν:
|
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
204 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών απέκλεισε τη χρήση κρυπτογράφησης, επειδή η υπηρεσία msds-SupportedEncryptionTypes δεν έχει οριστεί και ο λογαριασμός υπηρεσίας έχει μόνο μη ασφαλή κλειδιά. Πληροφορίες λογαριασμού Όνομα λογαριασμού:> ονόματος λογαριασμού < Παρεχόμενο όνομα τομέα: <παρεχόμενο όνομα τομέα> msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <διαθέσιμα κλειδιά> Πληροφορίες υπηρεσίας: Όνομα υπηρεσίας:> ονόματος υπηρεσίας < Αναγνωριστικό υπηρεσίας:> SID υπηρεσίας < msds-SupportedEncryptionTypes: <υπηρεσία υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <υπηρεσία διαθέσιμων κλειδιών> Πληροφορίες ελεγκτή τομέα: msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης από ελεγκτή τομέα> DefaultDomainSupportedEncTypes: <> τιμής DefaultDomainSupportedEncTypes Διαθέσιμα κλειδιά: <> διαθέσιμων κλειδιών ελεγκτή τομέα Πληροφορίες δικτύου: Διεύθυνση υπολογιστή-πελάτη:> διεύθυνσης IP πελάτη < Θύρα υπολογιστή-πελάτη:> θύρας υπολογιστή-πελάτη < Τύποι διαφημίσεων: <τύποι κρυπτογράφησης Kerberos με διαφημίσεις> Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2344614 για να μάθετε περισσότερα. |
|
Σχόλια |
Το συμβάν σφάλματος 204 θα καταγραφεί εάν:
|
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
205 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών εντόπισε ρητή ενεργοποίηση κρυπτογράφησης στη ρύθμιση παραμέτρων πολιτικής Προεπιλεγμένοι τύποι κρυπτογράφησης που υποστηρίζονται από τομέα. Κρυπτογράφηση: <ενεργοποιημένων ανασφαλών κρυπτογραφιών> DefaultDomainSupportedEncTypes: <ρυθμισμένη τιμή DefaultDomainSupportedEncTypes> Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2344614 για να μάθετε περισσότερα. |
|
Σχόλια |
Προειδοποιητικό συμβάν 205 θα καταγραφεί εάν:
|
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
206 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών εντόπισε <όνομα κρυπτογράφησης> χρήση που δεν θα υποστηρίζεται στη φάση επιβολής, επειδή η υπηρεσία msds-SupportedEncryptionTypes έχει ρυθμιστεί ώστε να υποστηρίζει μόνο AES-SHA1, αλλά ο υπολογιστής-πελάτης δεν διαθέτει διαφημίσεις AES-SHA1 Πληροφορίες λογαριασμού Όνομα λογαριασμού:> ονόματος λογαριασμού < Παρεχόμενο όνομα τομέα: <παρεχόμενο όνομα τομέα> msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <διαθέσιμα κλειδιά> Πληροφορίες υπηρεσίας: Όνομα υπηρεσίας:> ονόματος υπηρεσίας < Αναγνωριστικό υπηρεσίας:> SID υπηρεσίας < msds-SupportedEncryptionTypes: <υπηρεσία υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <υπηρεσία διαθέσιμων κλειδιών> Πληροφορίες ελεγκτή τομέα: msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης από ελεγκτή τομέα> DefaultDomainSupportedEncTypes: <> τιμής DefaultDomainSupportedEncTypes Διαθέσιμα κλειδιά: <> διαθέσιμων κλειδιών ελεγκτή τομέα Πληροφορίες δικτύου: Διεύθυνση υπολογιστή-πελάτη:> διεύθυνσης IP πελάτη < Θύρα υπολογιστή-πελάτη:> θύρας υπολογιστή-πελάτη < Τύποι διαφημίσεων: <τύποι κρυπτογράφησης Kerberos με διαφημίσεις> Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2344614 για να μάθετε περισσότερα. |
|
Σχόλια |
Το προειδοποιητικό συμβάν 206 θα καταγραφεί εάν:
|
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
207 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών εντόπισε <όνομα κρυπτογράφησης> χρήση που δεν θα υποστηρίζεται στη φάση επιβολής, επειδή η υπηρεσία msds-SupportedEncryptionTypes έχει ρυθμιστεί ώστε να υποστηρίζει μόνο AES-SHA1, αλλά ο λογαριασμός υπηρεσίας δεν διαθέτει κλειδιά AES-SHA1. Πληροφορίες λογαριασμού Όνομα λογαριασμού:> ονόματος λογαριασμού < Παρεχόμενο όνομα τομέα: <παρεχόμενο όνομα τομέα> msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <διαθέσιμα κλειδιά> Πληροφορίες υπηρεσίας: Όνομα υπηρεσίας:> ονόματος υπηρεσίας < Αναγνωριστικό υπηρεσίας:> SID υπηρεσίας < msds-SupportedEncryptionTypes: <υπηρεσία υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <υπηρεσία διαθέσιμων κλειδιών> Πληροφορίες ελεγκτή τομέα: msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης από ελεγκτή τομέα> DefaultDomainSupportedEncTypes: <> τιμής DefaultDomainSupportedEncTypes Διαθέσιμα κλειδιά: <> διαθέσιμων κλειδιών ελεγκτή τομέα Πληροφορίες δικτύου: Διεύθυνση υπολογιστή-πελάτη:> διεύθυνσης IP πελάτη < Θύρα υπολογιστή-πελάτη:> θύρας υπολογιστή-πελάτη < Τύποι διαφημίσεων: <τύποι κρυπτογράφησης Kerberos με διαφημίσεις> Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2344614 για να μάθετε περισσότερα. |
|
Σχόλια |
Προειδοποιητικό συμβάν 207 θα καταγραφεί εάν:
|
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
208 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών σκόπιμα αρνήθηκε τη χρήση κρυπτογράφησης, επειδή οι παράμετροι της υπηρεσίας msds-supportedEncryptionTypes έχουν ρυθμιστεί ώστε να υποστηρίζουν μόνο AES-SHA1, αλλά ο υπολογιστής-πελάτης δεν διαφημίζει το AES-SHA1 Πληροφορίες λογαριασμού Όνομα λογαριασμού:> ονόματος λογαριασμού < Παρεχόμενο όνομα τομέα: <παρεχόμενο όνομα τομέα> msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <διαθέσιμα κλειδιά> Πληροφορίες υπηρεσίας: Όνομα υπηρεσίας:> ονόματος υπηρεσίας < Αναγνωριστικό υπηρεσίας:> SID υπηρεσίας < msds-SupportedEncryptionTypes: <υπηρεσία υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <υπηρεσία διαθέσιμων κλειδιών> Πληροφορίες ελεγκτή τομέα: msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης από ελεγκτή τομέα> DefaultDomainSupportedEncTypes: <> τιμής DefaultDomainSupportedEncTypes Διαθέσιμα κλειδιά: <> διαθέσιμων κλειδιών ελεγκτή τομέα Πληροφορίες δικτύου: Διεύθυνση υπολογιστή-πελάτη:> διεύθυνσης IP πελάτη < Θύρα υπολογιστή-πελάτη:> θύρας υπολογιστή-πελάτη < Τύποι διαφημίσεων: <τύποι κρυπτογράφησης Kerberos με διαφημίσεις> Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2344614 για να μάθετε περισσότερα. |
|
Σχόλια |
Το συμβάν σφάλματος 208 θα καταγραφεί εάν:
|
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
209 |
|
Κείμενο συμβάντος |
Το Κέντρο διανομής κλειδιών σκόπιμα αρνήθηκε τη χρήση κρυπτογράφησης, επειδή οι παράμετροι της υπηρεσίας msds-SupportedEncryptionTypes έχουν ρυθμιστεί ώστε να υποστηρίζουν μόνο AES-SHA1, αλλά ο λογαριασμός υπηρεσίας δεν διαθέτει κλειδιά AES-SHA1 Πληροφορίες λογαριασμού Όνομα λογαριασμού:> ονόματος λογαριασμού < Παρεχόμενο όνομα τομέα: <παρεχόμενο όνομα τομέα> msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <διαθέσιμα κλειδιά> Πληροφορίες υπηρεσίας: Όνομα υπηρεσίας:> ονόματος υπηρεσίας < Αναγνωριστικό υπηρεσίας:> SID υπηρεσίας < msds-SupportedEncryptionTypes: <υπηρεσία υποστηριζόμενοι τύποι κρυπτογράφησης> Διαθέσιμα κλειδιά: <υπηρεσία διαθέσιμων κλειδιών> Πληροφορίες ελεγκτή τομέα: msds-SupportedEncryptionTypes: <υποστηριζόμενοι τύποι κρυπτογράφησης από ελεγκτή τομέα> DefaultDomainSupportedEncTypes: <> τιμής DefaultDomainSupportedEncTypes Διαθέσιμα κλειδιά: <> διαθέσιμων κλειδιών ελεγκτή τομέα Πληροφορίες δικτύου: Διεύθυνση υπολογιστή-πελάτη:> διεύθυνσης IP πελάτη < Θύρα υπολογιστή-πελάτη:> θύρας υπολογιστή-πελάτη < Τύποι διαφημίσεων: <τύποι κρυπτογράφησης Kerberos με διαφημίσεις> Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2344614 για να μάθετε περισσότερα. |
|
Σχόλια |
Το συμβάν σφάλματος 209 θα καταγραφεί εάν:
|
Σημείωση
Αν διαπιστώσετε ότι κάποιο από αυτά τα προειδοποιητικά μηνύματα είναι συνδεδεμένο σε έναν ελεγκτή τομέα, είναι πιθανό όλοι οι ελεγκτές τομέα στον τομέα σας να μην είναι ενημερωμένοι με μια ενημέρωση των Windows που κυκλοφόρησε στις ή μετά τις 13 Ιανουαρίου 2026. Για να μετριάσετε την ευπάθεια, θα πρέπει να διερευνήσετε περαιτέρω τον τομέα σας για να βρείτε τους ελεγκτές τομέα που δεν είναι ενημερωμένοι.
Εάν δείτε ένα αναγνωριστικό συμβάντος: 0x8000002A συνδεδεμένος σε έναν ελεγκτή τομέα, ανατρέξτε στο KB5021131: Πώς μπορείτε να διαχειριστείτε τις αλλαγές πρωτοκόλλου Kerberos που σχετίζονται με το CVE-2022-37966.
Συνήθεις ερωτήσεις (Συνήθεις ερωτήσεις)
Αυτή η σκλήρυνση επηρεάζει τους ελεγκτές τομέα των Windows όταν εκδίδουν δελτία υπηρεσίας. Η ροή αξιοπιστίας και σύστασης Kerberos δεν επηρεάζεται.
Οι συσκευές τομέα τρίτων κατασκευαστών που δεν μπορούν να επεξεργαστούν το AES-SHA1 θα πρέπει να έχουν ήδη ρυθμιστεί ρητά ώστε να επιτρέπουν το AES-SHA1.
Όχι. Θα καταγράψουμε συμβάντα προειδοποίησης για μη ασφαλείς ρυθμίσεις παραμέτρων για defaultDomainSupportedEncTypes. Επιπλέον, δεν θα αγνοήσουμε καμία ρύθμιση παραμέτρων που έχει οριστεί ρητά από έναν πελάτη.
