Fecha de publicación original: 13 de enero de 2026
KB ID: 5073381
Expiración del certificado de arranque seguro de Windows
Importante: Los certificados de arranque seguro utilizados por la mayoría de los dispositivos Windows están configurados para expirar a partir de junio de 2026. Esto puede afectar la capacidad de ciertos dispositivos personales y empresariales para arrancar de forma segura si no se actualizan a tiempo. Para evitar interrupciones, se recomienda revisar las instrucciones y tomar medidas para actualizar los certificados de antemano. Para obtener detalles y pasos de preparación, consulte Expiración del certificado de arranque seguro de Windows y actualizaciones de CA
En este artículo
Resumen
Las actualizaciones de Windows publicadas el 13 de enero de 2026 y después contienen protecciones para una vulnerabilidad con el protocolo de autenticación Kerberos. Las actualizaciones de Windows solucionan una vulnerabilidad de divulgación de información que podría permitir a un atacante obtener vales de servicio con tipos de cifrado débiles o heredados, como RC4, y realizar ataques sin conexión para recuperar la contraseña de una cuenta de servicio.
Para ayudar a proteger y proteger tu entorno, instala la actualización de Windows publicada el 13 de enero de 2026 o después en todos los servidores de Windows enumerados en la sección "Se aplica a" que se ejecuta como controlador de dominio. Para obtener más información sobre las vulnerabilidades, consulta CVE-2026-20833.
Para mitigar esta vulnerabilidad, se cambia el valor predeterminado de DefaultDomainSupportedEncTypes (DDSET) para que todos los controladores de dominio solo admitan vales cifrados con cifrado de cifrado avanzado de Standard (AES-SHA1) para cuentas sin una configuración explícita de tipo de cifrado Kerberos. Para obtener más información, vea Marcas de bits de tipos de cifrado compatibles.
En controladores de dominio con un valor de registro Definido DefaultDomainSupportedEncTypes, el comportamiento no se verá afectado funcionalmente por estos cambios. Sin embargo, un evento de auditoría KDCSVC Id. de evento: 205 se puede registrar en el registro de eventos system si la configuración existente DefaultDomainSupportedEncTypes es insegura.
Tomar la iniciativa
Para ayudar a proteger el entorno y evitar interrupciones, se recomienda realizar los pasos siguientes:
-
ACTUALIZAR Controladores de dominio de Microsoft Active Directory a partir de las actualizaciones de Windows publicadas el 13 de enero de 2026 o después.
-
SUPERVISA el registro de eventos del sistema para cualquiera de los 9 eventos de auditoría registrados en Windows Server 2012 y controladores de dominio más recientes que identifiquen riesgos con la habilitación de protecciones RC4.
-
MITIGAR Eventos KDCSVC registrados en el registro de eventos del sistema que impiden la habilitación manual o programática de las protecciones RC4.
-
HABILITAR Modo de obligatoriedad para solucionar las vulnerabilidades a las que se ha dirigido CVE-2026-20833 en su entorno cuando ya no se registran eventos de advertencia, bloqueo o directiva.
IMPORTANTE Instalar actualizaciones publicadas el 13 de enero de 2026 o después NO solucionará las vulnerabilidades descritas en CVE-2026-20833 para controladores de dominio de Active Directory de forma predeterminada. Para mitigar completamente la vulnerabilidad, debes pasar al modo obligatorio (descrito en el paso 3) tan pronto como sea posible en todos los controladores de dominio.
A partir de abril de 2026, el modo de obligatoriedad se habilitará en todos los controladores de dominio de Windows y bloqueará las conexiones vulnerables de dispositivos no compatibles. En ese momento, no podrá deshabilitar la auditoría, pero puede volver a la configuración modo auditoría. El modo auditoría se quitará en julio de 2026, como se describe en la sección Intervalos de actualizaciones , y el modo de obligatoriedad se habilitará en todos los controladores de dominio de Windows y bloqueará las conexiones vulnerables de dispositivos no compatibles.
Si necesitas aprovechar RC4 después de abril de 2026, te recomendamos que habilites explícitamente RC4 en el bitmask msds-SupportedEncryptionTypes en los servicios que tendrán que aceptar el uso de RC4.
Cronograma de las actualizaciones
13 de enero de 2026: fase de implementación inicial
La fase de implementación inicial comienza con las actualizaciones publicadas el 13 de enero de 2026 y continúa con las actualizaciones posteriores de Windows hasta la fase de obligatoriedad . Esta fase es para advertir a los clientes de nuevas implementaciones de seguridad que se introducirán en la segunda fase de implementación. Esta actualización:
-
Proporciona eventos de auditoría para advertir a los clientes que podrían verse afectados negativamente por el próximo refuerzo de la seguridad.
-
Introduce el valor del Registro RC4DefaultDisablementPhase para habilitar el cambio de forma proactiva estableciendo el valor en 2 en controladores de dominio cuando los eventos de auditoría KDCSVC indican que es seguro hacerlo.
Abril de 2026: segunda fase de implementación
Esta actualización cambia el valor default DefaultDomainSupportedEncTypes de las operaciones de KDC para aprovechar AES-SHA1 para cuentas que no tienen un atributo de active directory msds-SupportedEncryptionTypes explícito definido.
Esta fase cambia el valor predeterminado de DefaultDomainSupportedEncTypes a AES-SHA1 solo: 0x18.
Julio de 2026: fase de cumplimiento
Las actualizaciones de Windows publicadas en julio de 2026 o después quitarán la compatibilidad con la subclave del Registro RC4DefaultDisablementPhase.
Guías de implementación
Para implementar las actualizaciones de Windows publicadas el 13 de enero de 2026 o después, sigue estos pasos:
-
ACTUALIZAR los controladores de dominio con una actualización de Windows publicada el 13 de enero de 2026 o después.
-
Supervise los eventos registrados durante la fase de implementación inicial para ayudar a proteger su entorno.
-
MUEVA los controladores de dominio al modo de obligatoriedad mediante la sección Configuración del Registro.
Paso 1: ACTUALIZAR
Implementa la actualización de Windows publicada el 13 de enero de 2026 o después en todos los Windows Active Directory que se ejecuten como controlador de dominio después de implementar la actualización.
-
Los eventos de auditoría aparecerán en los registros de eventos del sistema si el controlador de dominio recibe solicitudes de vale de servicio Kerberos que requieren que se use el cifrado RC4, pero la cuenta de servicio tiene la configuración de cifrado predeterminada.
-
Los eventos de auditoría se registrarán en el registro de eventos system si el controlador de dominio tiene una configuración explícita DefaultDomainSupportedEncTypes para permitir el cifrado RC4.
Paso 2: MONITOR
Una vez que se actualicen los controladores de dominio, si no ves ningún evento de auditoría, cambia el valor de RC4DefaultDisablementPhase al modo de obligatoriedad a 2.
Si se generan eventos de auditoría, deberá quitar las dependencias de RC4 o configurar explícitamente los tipos de cifrado admitidos por Kerberos. A continuación, podrás pasar al modo de obligatoriedad .
Para obtener información sobre cómo detectar el uso de RC4 en su dominio, auditar cuentas de usuario y dispositivos que aún dependen de RC4 y tomar medidas para corregir el uso a favor de tipos de cifrado más fuertes o administrar dependencias de RC4, consulte Detectar y corregir el uso de RC4 en Kerberos.
Paso 3: HABILITAR
Habilite el modo de obligatoriedad para solucionar las vulnerabilidades de CVE-2026-20833 en su entorno.
-
Si se solicita a un KDC que proporcione un vale de servicio RC4 para una cuenta con configuraciones predeterminadas, se registrará un evento de error.
-
Seguirá viendo un Id. de evento: 205 registrado para cualquier configuración insegura de DefaultDomainSupportedEncTypes.
Configuración del Registro
Después de instalar las actualizaciones de Windows publicadas el 13 de enero de 2026 o después, la siguiente clave del Registro está disponible para el protocolo Kerberos.
Esta clave del Registro se utiliza para gatear la implementación de los cambios de Kerberos. Esta clave del Registro es temporal y ya no se leerá después de la fecha de aplicación.
|
Clave del registro |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Tipo de datos |
REG_DWORD |
|
Nombre de valor |
RC4DefaultDisablementPhase |
|
Datos del valor |
0 : sin auditoría, sin cambios 1 - Los eventos de advertencia se registrarán en el uso predeterminado de RC4. (Fase 1 predeterminada) 2 – Kerberos comenzará suponiendo que RC4 no está habilitado de forma predeterminada. (Fase 2 predeterminada) |
|
¿Es necesario reiniciar ? |
Sí |
Eventos de auditoría
Después de instalar las actualizaciones de Windows publicadas el 13 de enero de 2026 o después, los siguientes tipos de eventos de auditoría se agregan a Windows Server 2012 y se ejecutan posteriormente como controlador de dominio.
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
201 |
|
Texto del evento |
El Centro de distribución de claves ha detectado <nombre de cifrado> uso que no será compatible en la fase de aplicación, ya que el servicio msds-SupportedEncryptionTypes no está definido y el cliente solo admite tipos de cifrado inseguros. Información de la cuenta Nombre de cuenta: <nombre de cuenta> Nombre de dominio suministrado: <nombre de dominio suministrado> msds-SupportedEncryptionTypes: <tipos de cifrado compatibles> Teclas disponibles: <teclas disponibles> Información de servicio: Nombre del servicio: <nombre del servicio> Id. de servicio:> <SID de servicio msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el servicio> Claves disponibles: <servicio de claves disponibles> Información del controlador de dominio: msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el controlador de dominio> DefaultDomainSupportedEncTypes: <valor DefaultDomainSupportedEncTypes> Claves disponibles: <claves disponibles del controlador de dominio> Información de red: Dirección del cliente:> dirección IP del cliente < Puerto de cliente: puerto de cliente <> Tipos de Etypes advertizados: <tipos de cifrado De Kerberos advertizados> Consulta https://go.microsoft.com/fwlink/?linkid=2344614 para obtener más información. |
|
Comentarios |
Id. de evento: 201 se registrará si:
|
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
202 |
|
Texto del evento |
El Centro de distribución de claves ha detectado <nombre de cifrado> uso que no será compatible en la fase de aplicación porque el servicio msds-SupportedEncryptionTypes no está definido y la cuenta de servicio solo tiene claves inseguras. Información de la cuenta Nombre de cuenta: <nombre de cuenta> Nombre de dominio suministrado: <nombre de dominio suministrado> msds-SupportedEncryptionTypes: <tipos de cifrado compatibles> Teclas disponibles: <teclas disponibles> Información de servicio: Nombre del servicio: <nombre del servicio> Id. de servicio:> <SID de servicio msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el servicio> Claves disponibles: <servicio de claves disponibles> Información del controlador de dominio: msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el controlador de dominio> DefaultDomainSupportedEncTypes: <valor DefaultDomainSupportedEncTypes> Claves disponibles: <claves disponibles del controlador de dominio> Información de red: Dirección del cliente:> dirección IP del cliente < Puerto de cliente: puerto de cliente <> Tipos de Etypes advertizados: <tipos de cifrado De Kerberos advertizados> Consulta https://go.microsoft.com/fwlink/?linkid=2344614 para obtener más información. |
|
Comentarios |
El evento de advertencia 202 se registrará si:
|
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
203 |
|
Texto del evento |
El Centro de distribución de claves bloqueó el uso de cifrado porque el servicio msds-SupportedEncryptionTypes no está definido y el cliente solo admite tipos de cifrado inseguro. Información de la cuenta Nombre de cuenta: <nombre de cuenta> Nombre de dominio suministrado: <nombre de dominio suministrado> msds-SupportedEncryptionTypes: <tipos de cifrado compatibles> Teclas disponibles: <teclas disponibles> Información de servicio: Nombre del servicio: <nombre del servicio> Id. de servicio:> <SID de servicio msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el servicio> Claves disponibles: <servicio de claves disponibles> Información del controlador de dominio: msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el controlador de dominio> DefaultDomainSupportedEncTypes: <valor DefaultDomainSupportedEncTypes> Claves disponibles: <claves disponibles del controlador de dominio> Información de red: Dirección del cliente:> dirección IP del cliente < Puerto de cliente: puerto de cliente <> Tipos de Etypes advertizados: <tipos de cifrado De Kerberos advertizados> Consulta https://go.microsoft.com/fwlink/?linkid=2344614 para obtener más información. |
|
Comentarios |
El evento de error 203 se registrará si:
|
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
204 |
|
Texto del evento |
El Centro de distribución de claves bloqueó el uso de cifrado porque el servicio msds-SupportedEncryptionTypes no está definido y la cuenta de servicio solo tiene claves inseguras. Información de la cuenta Nombre de cuenta: <nombre de cuenta> Nombre de dominio suministrado: <nombre de dominio suministrado> msds-SupportedEncryptionTypes: <tipos de cifrado compatibles> Teclas disponibles: <teclas disponibles> Información de servicio: Nombre del servicio: <nombre del servicio> Id. de servicio:> <SID de servicio msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el servicio> Claves disponibles: <servicio de claves disponibles> Información del controlador de dominio: msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el controlador de dominio> DefaultDomainSupportedEncTypes: <valor DefaultDomainSupportedEncTypes> Claves disponibles: <claves disponibles del controlador de dominio> Información de red: Dirección del cliente:> dirección IP del cliente < Puerto de cliente: puerto de cliente <> Tipos de Etypes advertizados: <tipos de cifrado De Kerberos advertizados> Consulta https://go.microsoft.com/fwlink/?linkid=2344614 para obtener más información. |
|
Comentarios |
El evento de error 204 se registrará si:
|
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
205 |
|
Texto del evento |
El Centro de distribución de claves ha detectado habilitación explícita de cifrado en la configuración de directiva de tipos de cifrado compatibles con el dominio predeterminado. Cifra(s): <cifrados inseguros habilitados> DefaultDomainSupportedEncTypes: <valor Configured DefaultDomainSupportedEncTypes> Consulta https://go.microsoft.com/fwlink/?linkid=2344614 para obtener más información. |
|
Comentarios |
El evento de advertencia 205 se registrará si:
|
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
206 |
|
Texto del evento |
El Centro de distribución de claves ha detectado <nombre de cifrado> uso que no se admitirá en la fase de aplicación porque msds-SupportedEncryptionTypes de servicio está configurado para admitir solo AES-SHA1 pero el cliente no anuncia AES-SHA1 Información de la cuenta Nombre de cuenta: <nombre de cuenta> Nombre de dominio suministrado: <nombre de dominio suministrado> msds-SupportedEncryptionTypes: <tipos de cifrado compatibles> Teclas disponibles: <teclas disponibles> Información de servicio: Nombre del servicio: <nombre del servicio> Id. de servicio:> <SID de servicio msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el servicio> Claves disponibles: <servicio de claves disponibles> Información del controlador de dominio: msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el controlador de dominio> DefaultDomainSupportedEncTypes: <valor DefaultDomainSupportedEncTypes> Claves disponibles: <claves disponibles del controlador de dominio> Información de red: Dirección del cliente:> dirección IP del cliente < Puerto de cliente: puerto de cliente <> Tipos de Etypes advertizados: <tipos de cifrado De Kerberos advertizados> Consulta https://go.microsoft.com/fwlink/?linkid=2344614 para obtener más información. |
|
Comentarios |
El evento de advertencia 206 se registrará si:
|
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
207 |
|
Texto del evento |
El Centro de distribución de claves ha detectado <nombre de cifrado> uso que no se admitirá en la fase de aplicación porque msds-SupportedEncryptionTypes de servicio está configurado para admitir solo AES-SHA1 pero la cuenta de servicio no tiene claves AES-SHA1. Información de la cuenta Nombre de cuenta: <nombre de cuenta> Nombre de dominio suministrado: <nombre de dominio suministrado> msds-SupportedEncryptionTypes: <tipos de cifrado compatibles> Teclas disponibles: <teclas disponibles> Información de servicio: Nombre del servicio: <nombre del servicio> Id. de servicio:> <SID de servicio msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el servicio> Claves disponibles: <servicio de claves disponibles> Información del controlador de dominio: msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el controlador de dominio> DefaultDomainSupportedEncTypes: <valor DefaultDomainSupportedEncTypes> Claves disponibles: <claves disponibles del controlador de dominio> Información de red: Dirección del cliente:> dirección IP del cliente < Puerto de cliente: puerto de cliente <> Tipos de Etypes advertizados: <tipos de cifrado De Kerberos advertizados> Consulta https://go.microsoft.com/fwlink/?linkid=2344614 para obtener más información. |
|
Comentarios |
El evento de advertencia 207 se registrará si:
|
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
208 |
|
Texto del evento |
El Centro de distribución de claves deniega intencionadamente el uso de cifrado porque el servicio msds-SupportedEncryptionTypes está configurado para admitir solo AES-SHA1 pero el cliente no anuncia AES-SHA1 Información de la cuenta Nombre de cuenta: <nombre de cuenta> Nombre de dominio suministrado: <nombre de dominio suministrado> msds-SupportedEncryptionTypes: <tipos de cifrado compatibles> Teclas disponibles: <teclas disponibles> Información de servicio: Nombre del servicio: <nombre del servicio> Id. de servicio:> <SID de servicio msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el servicio> Claves disponibles: <servicio de claves disponibles> Información del controlador de dominio: msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el controlador de dominio> DefaultDomainSupportedEncTypes: <valor DefaultDomainSupportedEncTypes> Claves disponibles: <claves disponibles del controlador de dominio> Información de red: Dirección del cliente:> dirección IP del cliente < Puerto de cliente: puerto de cliente <> Tipos de Etypes advertizados: <tipos de cifrado De Kerberos advertizados> Consulta https://go.microsoft.com/fwlink/?linkid=2344614 para obtener más información. |
|
Comentarios |
El evento de error 208 se registrará si:
|
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
209 |
|
Texto del evento |
El Centro de distribución de claves deniega intencionadamente el uso de cifrado porque el servicio msds-SupportedEncryptionTypes está configurado para admitir solo AES-SHA1, pero la cuenta de servicio no tiene claves AES-SHA1 Información de la cuenta Nombre de cuenta: <nombre de cuenta> Nombre de dominio suministrado: <nombre de dominio suministrado> msds-SupportedEncryptionTypes: <tipos de cifrado compatibles> Teclas disponibles: <teclas disponibles> Información de servicio: Nombre del servicio: <nombre del servicio> Id. de servicio:> <SID de servicio msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el servicio> Claves disponibles: <servicio de claves disponibles> Información del controlador de dominio: msds-SupportedEncryptionTypes: <tipos de cifrado compatibles con el controlador de dominio> DefaultDomainSupportedEncTypes: <valor DefaultDomainSupportedEncTypes> Claves disponibles: <claves disponibles del controlador de dominio> Información de red: Dirección del cliente:> dirección IP del cliente < Puerto de cliente: puerto de cliente <> Tipos de Etypes advertizados: <tipos de cifrado De Kerberos advertizados> Consulta https://go.microsoft.com/fwlink/?linkid=2344614 para obtener más información. |
|
Comentarios |
El evento de error 209 se registrará si:
|
Nota
Si encuentra que alguno de estos mensajes de advertencia se registran en un controlador de dominio, es probable que todos los controladores de dominio de su dominio no estén actualizados con una actualización de Windows publicada el 13 de enero de 2026 o después. Para mitigar la vulnerabilidad, tendrá que investigar más el dominio para encontrar los controladores de dominio que no están actualizados.
Si ve un Id. de evento: 0x8000002A ha iniciado sesión en un controlador de dominio, consulte KB5021131: Cómo administrar los cambios del protocolo Kerberos relacionados con CVE-2022-37966.
Preguntas más frecuentes (P+F)
Este endurecimiento afecta a los controladores de dominio de Windows cuando emiten vales de servicio. El flujo de referencia y confianza de Kerberos no se ve afectado.
Los dispositivos de dominio de terceros que no pueden procesar AES-SHA1 ya deberían haberse configurado explícitamente para permitir AES-SHA1.
No. Registraremos eventos de advertencia para configuraciones inseguras para DefaultDomainSupportedEncTypes. Además, no omitiremos ninguna configuración establecida explícitamente por un cliente.
Recursos
KB5020805: Cómo administrar los cambios de protocolo Kerberos relacionados con CVE-2022-37967
KB5021131: Cómo administrar los cambios de protocolo Kerberos relacionados con CVE-2022-37966
