Avaldamise algne kuupäev: 13. jaanuar 2026
KB ID: 5073381
Selle artikli teemad
Kokkuvõte
Windowsi värskendused, mis on välja antud 13. jaanuaril 2026 ja pärast seda, sisaldavad kaitset Kerberose autentimisprotokolli nõrkuste eest. Windowsi värskendused lahendavad teabe avaldamise nõrkuse versioonis CVE-2026-20833 , mis võib lubada ründajal hankida nõrkade või pärandkrüptimistüüpidega (nt RC4) teenusekonto parooli taastamiseks võrguühenduseta rünnakuid.
Selle nõrkuse leevendamiseks muudavad Windowsi värskendused, mis anti välja 14. aprillil 2026 ja pärast seda, Kerberose võtmelevituskeskuse (KDC) vaikeväärtust DefaultDomainSupportedEncTypes, välja arvatud juhul, kui administraatorid lubavad jõustamisrežiimi varem. Värskendatud domeenikontrollerid, mis töötavad jõustamisrežiimis, eeldavad täiustatud krüptimise Standard (AES) krüptimistüübi konfiguratsioonide tuge ainult juhul, kui konkreetset konfiguratsiooni pole määratud. Lisateavet leiate teemast Toetatud krüptimistüüpide bitilipud. Vaikeväärtus DefaultDomainSupportedEncTypes rakendub konkreetse väärtuse puudumisel.
Domeenikontrollerites, millel on määratletud registriväärtus DefaultDomainSupportedEncTypes, ei mõjuta need muudatused käitumist funktsionaalselt. Auditisündmuse KDCSVC sündmuse ID: 205 logitakse süsteemi sündmuselogisse, kui olemasolev konfiguratsiooni DefaultDomainSupportedEncTypes on ebaturvaline (näiteks RC4 šifri kasutamisel).
Olge aktiivne
Teie keskkonna kaitsmiseks ja katkestuste vältimiseks soovitame teha järgmist.
-
UPDATE Microsoft Active Directory domeenikontrollerid alates Windowsi värskendustest, mis on välja antud 13. jaanuaril 2026 või hiljem.
-
JÄLGIGE süsteemisündmuste logi üheksa KDCSVC 201 > 209 auditisündmuste jaoks, mis on logitud Windows Server 2012 ja uuemate domeenikontrolleritega, mis tuvastavad riske RC4 kaitse lubamisega.
-
LEEVENDADA Süsteemisündmuste logisse logitud KDCSVC-sündmused, mis takistavad RC4 kaitse käsitsi või programmiliselt lubamist.
-
LUBA Jõustamisrežiim CVE-2026-20833 haavatavuste lahendamiseks teie keskkonnas, kui hoiatus-, blokeerimis- või poliitikasündmusi enam ei logita.
OLULINE 13. jaanuaril 2026 või hiljem välja antud värskenduste installimine EI kõrvalda vaikimisi CVE-2026-20833 kirjeldatud nõrkusi Active Directory domeenikontrollerite jaoks. Nõrkuse täielikuks leevendamiseks peaksite jõustamisrežiimi (kirjeldatud 3. etapis: ENABLE) lubama käsitsi kõigil domeenikontrolleritel. 2026. aasta juulis ja pärast seda välja antud Windowsi Teabevärskendused installimine lubab programmiliselt jõustamisetapi.
Jõustamisrežiim lubatakse automaatselt, installides 2026. aasta aprillis või pärast seda välja antud Windowsi Teabevärskendused kõigisse Windowsi domeenikontrolleritesse ja blokeerib haavatavad ühendused nõuetele mittevastavate seadmete eest. Sel ajal ei saa te auditeerimist keelata, kuid võite minna tagasi auditirežiimi sättele. Auditirežiim eemaldatakse juulis 2026, nagu on kirjeldatud jaotises Värskenduste ajastus , ja jõustamisrežiim lubatakse kõigis Windowsi domeenikontrollerites ja see blokeerib haavatavad ühendused nõuetele mittevastavate seadmete eest.
Kui teil on vaja kasutada RC4 pärast aprilli 2026, soovitame RC4 selgesõnaliselt lubada msds-SupportedEncryptionTypesi bitimaski teenustes, mis peavad aktsepteerima RC4 kasutust.
Värskenduste ajastus
13. jaanuar 2026 – algne juurutamise etapp
Algne juurutusetapp algab värskendustega, mis on välja antud 13. jaanuaril 2026 ja mis kestab hilisemate Windowsi värskendustega kuni jõustamisetapini . See etapp hoiatab kliente uute turbemeetmete eest, mis võetakse kasutusele teises juurutamise etapis. See värskendus:
-
Pakub auditisündmusi, et hoiatada kliente, keda eelseisv turbekius võib negatiivselt mõjutada.
-
Tutvustab registriväärtuse RC4DefaultDisablementPhase tuge pärast seda, kui administraator lubab ennetavalt muudatuse, määrates domeenikontrollerite väärtuseks 2 , kui KDCSVC auditisündmused näitavad, et seda on ohutu teha.
14. aprill 2026 – jõustamise etapp koos käsitsi tagasipööramisega
See värskendus muudab KDC-toimingute vaikeväärtuse DefaultDomainSupportedEncTypes nii, et see kasutaks AES-SHA1 kontode puhul, millel pole määratletud otseseid msds-SupportedEncryptionTypesi Active Directory atribuute.
See faas muudab vaikeväärtuse DefaultDomainSupportedEncTypes väärtuseks ainult AES-SHA1: 0x18.
See faas lubab ka RC4DefaultDisablementPhase'i tagasipööramise väärtuse käsitsi konfigureerida kuni programmilise jõustamiseni juulis 2026.
2026. aasta juuli – jõustamise etapp
2026. aasta juulis või pärast seda välja antud Windowsi värskendused eemaldavad registri alamvõtme RC4DefaultDisablementPhase toe.
Juurutamisjuhised
13. jaanuaril 2026 või hiljem välja antud Windowsi värskenduste juurutamiseks tehke järgmist.
-
Värskendage oma domeenikontrollereid Windowsi värskendusega, mis on välja antud 13. jaanuaril 2026 või hiljem.
-
Jälgige esmase juurutamise etapis logitud sündmusi, mis aitavad teie keskkonda kaitsta.
-
Viige domeenikontrollerid jõustamisrežiimi , kasutades jaotist Registrisätted.
1. toiming: VÄRSKENDAMINE
Juurutage Windowsi värskendus, mis on välja antud 13. jaanuaril 2026 või hiljem, kõigile kohaldatavatele Windows Active Directoryle, mis töötab domeenikontrollerina pärast värskenduse juurutamist.
-
Auditisündmused kuvatakse süsteemi sündmuselogides, kui teie Windows Server 2012 või uuemad domeenikontrollerid võtavad vastu Kerberose teenusepiletitaotlusi, mis nõuavad RC4 šifri kasutamist, kuid teenusekontol on vaikekrüptimise konfiguratsioon.
-
Auditisündmus 205 logitakse süsteemi sündmuselogisse, kui teie domeenikontrolleril on RC4 krüptimise lubamiseks otsekonfiguratsioon DefaultDomainSupportedEncTypes .
2. juhis: JÄLGIMINE
Kui domeenikontrollerid on värskendatud ja te ei näe selles artiklis dokumenteeritud auditisündmusi, aktiveerige jõustamisrežiim , muutes registriväärtuse RC4DefaultDisablementPhase väärtuseks 2.
Kui genereeritakse auditisündmusi, peate kas RC4 sõltuvused eemaldama või selgesõnaliselt konfigureerima atribuudi accounts msds-SupportedEncryptionTypes, et toetada jõustamisrežiimi käsitsi või automaatset lubamist RC4 jätkuvat kasutamist.
Administraatoritele, kes on huvitatud RC4 kasutuse laiemalt lahendamisest, kui selles artiklis käsitletakse, soovitame lisateabe saamiseks läbi vaadata kerberoses RC4 kasutamise tuvastamine ja kõrvaldamine.
OLULINE Selle muudatusega seotud auditisündmused luuakse ainult siis, kui Active Directory ei saa AES-SHA1 teenusepileteid või seansivõtmeid väljastada. Auditisündmuste puudumine ei taga, et kõik mitte-Windowsi seadmed aktsepteerivad Pärast aprillikuu värskendust Edukalt Kerberose autentimist. Kliendid peaksid testimise teel valideerima testimise teel mitte-Windowsi koostalitlusvõime, enne kui nad seda üldiselt lubavad.
3. toiming: LUBAMINE
Jõustamisrežiimi lubamine CVE-2026-20833 nõrkuste lahendamiseks teie keskkonnas.
-
Kui KDC-d taotletakse vaikekonfiguratsioonidega kontole RC4 teenusepileti pakkumiseks, logitakse tõrkesündmus.
-
Kuvatakse jätkuvalt sündmuse ID: 205, mis on logitud mis tahes ebaturvalise konfiguratsiooni defaultDomainSupportedEncTypes jaoks.
Registrisätted
Pärast Windowsi värskenduste installimist 13. jaanuaril 2026 või pärast seda on installitud, on Kerberose protokolli jaoks saadaval järgmine registrivõti.
RC4DefaultDisablementPhase
Seda registrivõtit kasutatakse Kerberose muudatuste juurutamiseks. See registrivõti on ajutine ja seda ei loeta pärast jõustamiskuupäeva enam ette.
|
Registrivõti |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Andmetüüp |
REG_DWORD |
|
Väärtuse nimi |
RC4DefaultDisablementPhase |
|
Väärtuseandmed |
0 – auditit pole, muudatusi pole 1 – hoiatussündmused logitakse RC4 vaikekasutuses. (Vaikefaas 1) 2 – Kerberos hakkab eeldama, et RC4 pole vaikimisi lubatud. (Vaikefaas 2) |
|
Kas taaskäivitamine on nõutav? |
Jah |
Auditisündmused
Pärast Windowsi värskenduste installimist 13. jaanuaril 2026 või pärast seda lisatakse järgmised KSCSVC auditi sündmusetüübid Windows Server 2012 ja uuemate versioonide süsteemisündmuste logisse, mis töötavad domeenikontrollerina.
Selle jaotise teemad
Sündmuse ID: 201
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
201 |
|
Sündmuse tekst |
Võtmelevituskeskus tuvastas <šifrinime> kasutust, mida jõustamisfaasis ei toetata, kuna teenus msds-SupportedEncryptionTypes pole määratletud ja klient toetab ainult ebaturvalist krüptimistüüpi. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Sündmuse ID: 201 logitakse järgmistel juhtudel.
|
Sündmuse ID: 202
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
202 |
|
Sündmuse tekst |
Võtmelevituskeskus tuvastas <šifrinime> kasutust, mida jõustamisetapis ei toetata, kuna teenuse msds-SupportedEncryptionTypes pole määratletud ja teenusekontol on ainult ebaturvalised võtmed. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Hoiatussündmus 202 logitakse järgmistel juhtudel.
|
Sündmuse ID: 203
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
203 |
|
Sündmuse tekst |
Võtmelevituskeskus blokeeris šifrikasutuse, kuna service msds-SupportedEncryptionTypes pole määratletud ja klient toetab ainult ebaturvalist krüptimistüüpi. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Tõrkesündmus 203 logitakse järgmistel juhtudel.
|
Sündmuse ID: 204
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
204 |
|
Sündmuse tekst |
Võtmelevituskeskus blokeeris šifrikasutuse, kuna teenuse msds-SupportedEncryptionTypes pole määratletud ja teenusekontol on ainult ebaturvalised võtmed. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Tõrkesündmus 204 logitakse järgmistel juhtudel.
|
Sündmuse ID: 205
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
205 |
|
Sündmuse tekst |
Võtmelevituskeskus tuvastas domeeni toetatud vaikekrüptimistüüpide poliitikakonfiguratsioonis selgesõnalise šifri lubamise. Šifrid: <lubatud ebaturvaline šifrid> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Hoiatussündmus 205 logitakse järgmistel juhtudel.
|
Sündmuse ID: 206
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
206 |
|
Sündmuse tekst |
Võtmelevituskeskus tuvastas <šifrinime> kasutust, mida jõustamisetapis ei toetata, kuna teenus msds-SupportedEncryptionTypes on konfigureeritud toetama ainult AES-SHA1, kuid klient ei reklaami AES-SHA1 Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Hoiatussündmus 206 logitakse järgmistel juhtudel.
|
Sündmuse ID: 207
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
207 |
|
Sündmuse tekst |
Võtmelevituskeskus tuvastas <šifrinime> kasutust, mida jõustamisetapis ei toetata, kuna teenus msds-SupportedEncryptionTypes on konfigureeritud toetama ainult AES-SHA1, kuid teenusekontol pole AES-SHA1 võtmeid. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Hoiatussündmus 207 logitakse järgmistel juhtudel.
|
Sündmuse ID: 208
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
208 |
|
Sündmuse tekst |
Võtmelevituskeskus on tahtlikult keelatud šifrikasutuse, kuna teenus msds-SupportedEncryptionTypes on konfigureeritud toetama ainult AES-SHA1, kuid klient ei reklaami AES-SHA1 Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Tõrkesündmus 208 logitakse järgmistel juhtudel.
|
Sündmuse ID: 209
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
209 |
|
Sündmuse tekst |
Võtmelevituskeskus on šifrikasutuse tahtlikult keelanud, kuna service msds-SupportedEncryptionTypes on konfigureeritud toetama ainult AES-SHA1, kuid teenusekontol pole AES-SHA1 võtmeid. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Tõrkesündmus 209 logitakse järgmistel juhtudel.
|
Märkus.
Seoses teenusepileti krüptimise valiku kaudse muutusega on Microsoftil piiratud nähtavus põhjustesse, miks mitte-Windowsi seade ei pruugi pärast KDC-de rakendamist aprilli värskenduse rakendamist kerberose autentimist aktsepteerida ja määramata ajal aktiveerida AES-SHA1 vaikekäitumise. Soovitame need muudatused valideerida oma keskkonnas testimise teel, enne kui lubate selle käitumise üldjoontes.
Kõige levinum koht, kus see esineb, on seadmetes, kus on võimendatud Kerberose võtmetablood. Kui Kerberose võtmekaart on eksporditud ainult RC4 võtmetega, kuid sihtteenuse kontol on AES-SHA1 võtmed ja määratletud pole msds-SupportedEncryptionTypes, siis on võimalik, et nimetatud teenuse autentimine nurjub. Tõenäoliselt ilmneb see autentimistõrgete kujul sihtteenusest, mitte KDC-st.
Meie peamine soovitus on töötada mitte-Windowsi seadme tarnijaga. Üldiselt ei ole kerberose autentimise aktsepteerimise mitte-Windowsi seadmete tõrked aprillis tehtud muudatustega kordumatud ja võivad tuleneda seadmekohastest või rakenduskohastest piirangutest.
Kui Kerberose autentimisprobleemid ilmnevad pärast seda muudatust ka mitte-Windowsi seadmetes ja hankija kõrvaldamine ei ole teostatav, on meie soovitused järgmised.
-
Määratlege mõjutatud teenusekontol selgesõnaliselt msDS-SupportedEncryptionTypes , et kaasata RC4 AES-i seansivõtmetega (0x24).
-
Kui see ei ole võimalik, konfigureerige viimase võimalusena käsitsi kõigi asjakohaste KDCde registriväärtus DefaultDomainSupportedEncTypes , et kaasata RC4 koos AES-SHA1 seansivõtmetega (0x24). Pange tähele, et see jätab kõik domeeni kontod CVE-2026-20833 suhtes haavatavaks.
Oluline on märkida, et see konfiguratsioon on ebaturvaline ja meie pikaajaline soovitus on migreerida mitte-Windowsi seadmed versioonidesse, mis toetavad AES-SHA1 Kerberose piletikrüptimist.
Korduma kippuvad küsimused (KKK)
K1. Kuidas mõjutab see muudatus muude tootjate KDC-sid sisaldavaid domeene?
See tugevnev muudatus mõjutab ainult Windowsi domeenikontrollereid. See ei mõjuta Kerberose usaldus- ja viitamisvoogu teiste Windowsi domeenikontrollerite või muude tootjate KDCdega.
K2: Kuidas mõjutab see muudatus domeene, millel on mitte-Windowsi domeeniseadmed?
Kolmanda osapoole domeeniseadmed, mis ei saa AES-SHA1 krüptimist töödelda, peaksid olema RC4 krüptimise lubamiseks juba konkreetselt konfigureeritud. Teenused, mis ei saa AES-SHA1 pileteid töödelda, tuleb parandada või rc4-krüptimise pakkumiseks active Diretory'is konkreetselt konfigureerida, nagu eespool märgitud. Kinnitage need muudatused põhjalikult.
Küsimus 3. Kas Microsoft eemaldab funktsiooni DefaultDomainSupportedEncTypes konfigureerimise võimaluse?
Ei. Logime hoiatussündmused ebaturvaliste konfiguratsioonide defaultDomainSupportedEncTypes jaoks. Lisaks austame kõiki administraatori määratud konfiguratsioone.
Ressursid
Muudatuste logi
|
Muuda kuupäeva |
Muuda kirjeldust |
|
14. aprill 2026 |
|
|
7. aprill 2026 |
|
|
16. märts 2026 |
|
|
10. veebruar 2026 |
|
