Avaldamise algne kuupäev: 13. jaanuar 2026
KB ID: 5073381
Windowsi turvalise algkäivituse sertifikaadi aegumine
Tähtis. Enamikus Windowsi seadmetes kasutatavad turvalise algkäivituse serdid aeguvad 2026. aasta juunis. See võib mõjutada teatud isiklike ja äriseadmete võimet turvaliselt käivituda, kui neid aja jooksul ei värskendata. Häirete vältimiseks soovitame juhised läbi vaadata ja võtta meetmeid, et serte eelnevalt värskendada. Üksikasjalikku teavet ja ettevalmistusjuhised leiate teemast Windowsi turvalise algkäivituse sertifikaadi aegumine ja CA värskendused.
Selle artikli teemad
Kokkuvõte
Windowsi värskendused, mis on välja antud 13. jaanuaril 2026 ja pärast seda, sisaldavad kaitset Kerberose autentimisprotokolli nõrkuste eest. Windowsi värskendused lahendavad teabe avaldamise nõrkuse, mis võib lubada ründajal hankida nõrkade või pärandkrüptimistüüpidega (nt RC4) teenusepileteid ja teha teenusekonto parooli taastamiseks ühenduseta rünneid.
Keskkonna turvalisuse ja turvalisuse tagamiseks installige 13. jaanuaril 2026 või hiljem välja antud Windowsi värskendus kõigisse Windowsi serveritesse, mis on loetletud domeenikontrollerina töötavas jaotises Rakenduskohad. Lisateavet nõrkuste kohta leiate teemast CVE-2026-20833.
Selle nõrkuse leevendamiseks muudetakse defaultDomainSupportedEncTypes (DDSET) vaikeväärtust nii, et kõik domeenikontrollerid toetavad ainult täiustatud krüptimise Standard (AES-SHA1) krüptitud piletid kontodele ilma konkreetse Kerberose krüptimistüübi konfigureerimiseta. Lisateavet leiate teemast Toetatud krüptimistüüpide bitilipud.
Domeenikontrollerites, millel on määratletud registriväärtus DefaultDomainSupportedEncTypes, ei mõjuta need muudatused käitumist funktsionaalselt. Auditisündmuse KDCSVC sündmuse ID: 205 võidakse logida süsteemi sündmuselogis, kui olemasolev DefaultDomainSupportedEncTypesi konfiguratsioon on ebaturvaline.
Olge aktiivne
Teie keskkonna kaitsmiseks ja katkestuste vältimiseks soovitame teha järgmist.
-
UPDATE Microsoft Active Directory domeenikontrollerid alates Windowsi värskendustest, mis on välja antud 13. jaanuaril 2026 või hiljem.
-
JÄLGIGE süsteemisündmuste logi mis tahes 9 auditisündmuse puhul, mis on sisse logitud Windows Server 2012 ja uuemate domeenikontrollerite puhul, mis tuvastavad riske RC4 kaitse lubamisega.
-
LEEVENDADA Süsteemisündmuste logisse logitud KDCSVC-sündmused, mis takistavad RC4 kaitse käsitsi või programmiliselt lubamist.
-
LUBA Jõustamisrežiim CVE-2026-20833 haavatavuste lahendamiseks teie keskkonnas, kui hoiatus-, blokeerimis- või poliitikasündmusi enam ei logita.
OLULINE 13. jaanuaril 2026 või hiljem välja antud värskenduste installimine EI kõrvalda vaikimisi CVE-2026-20833 kirjeldatud nõrkusi Active Directory domeenikontrollerite jaoks. Nõrkuse täielikuks leevendamiseks peate kõigi domeenikontrollerite puhul võimalikult kiiresti üle minema jõustatud režiimile (kirjeldatud 3. juhises).
Alates aprillist 2026 on jõustamisrežiim lubatud kõigis Windowsi domeenikontrollerites ja see blokeerib haavatavad ühendused nõuetele mittevastavate seadmete eest. Sel ajal ei saa te auditeerimist keelata, kuid võite minna tagasi auditirežiimi sättele. Auditirežiim eemaldatakse juulis 2026, nagu on kirjeldatud jaotises Värskenduste ajastus , ja jõustamisrežiim lubatakse kõigis Windowsi domeenikontrollerites ja see blokeerib haavatavad ühendused nõuetele mittevastavate seadmete eest.
Kui teil on vaja kasutada RC4 pärast aprilli 2026, soovitame RC4 selgesõnaliselt lubada msds-SupportedEncryptionTypesi bitimaski teenustes, mis peavad aktsepteerima RC4 kasutust.
Värskenduste ajastus
13. jaanuar 2026 – algne juurutamise etapp
Algne juurutusetapp algab värskendustega, mis on välja antud 13. jaanuaril 2026 ja mis kestab hilisemate Windowsi värskendustega kuni jõustamisetapini . See etapp hoiatab kliente uute turbemeetmete eest, mis võetakse kasutusele teises juurutamise etapis. See värskendus:
-
Pakub auditisündmusi, et hoiatada kliente, keda eelseisv turbekius võib negatiivselt mõjutada.
-
Tutvustab registriväärtust RC4DefaultDisablementPhase, et ennetavalt lubada muudatus, määrates domeenikontrollerite väärtuseks 2 , kui KDCSVC auditisündmused näitavad, et seda on ohutu teha.
Aprill 2026 – teine juurutamise etapp
See värskendus muudab KDC-toimingute vaikeväärtuse DefaultDomainSupportedEncTypes nii, et see kasutaks AES-SHA1 kontode puhul, millel pole määratletud otseseid msds-SupportedEncryptionTypesi Active Directory atribuute.
See faas muudab vaikeväärtuse DefaultDomainSupportedEncTypes väärtuseks ainult AES-SHA1: 0x18.
2026. aasta juuli – jõustamise etapp
2026. aasta juulis või pärast seda välja antud Windowsi värskendused eemaldavad registri alamvõtme RC4DefaultDisablementPhase toe.
Juurutamisjuhised
13. jaanuaril 2026 või hiljem välja antud Windowsi värskenduste juurutamiseks tehke järgmist.
-
Värskendage oma domeenikontrollereid Windowsi värskendusega, mis on välja antud 13. jaanuaril 2026 või hiljem.
-
Jälgige esmase juurutamise etapis logitud sündmusi, mis aitavad teie keskkonda kaitsta.
-
Viige domeenikontrollerid jõustamisrežiimi , kasutades jaotist Registrisätted.
1. toiming: VÄRSKENDAMINE
Juurutage Windowsi värskendus, mis on välja antud 13. jaanuaril 2026 või hiljem, kõigile kohaldatavatele Windows Active Directoryle, mis töötab domeenikontrollerina pärast värskenduse juurutamist.
-
Auditisündmused kuvatakse süsteemi sündmuselogides, kui teie domeenikontroller võtab vastu Kerberose teenuse piletitaotlusi, mis nõuavad RC4 šifri kasutamist, kuid teenusekontol on vaikimisi krüptimise konfiguratsioon.
-
Auditisündmused logitakse süsteemi sündmuselogisse, kui teie domeenikontrolleril on RC4 krüptimise lubamiseks konfiguratsiooni DefaultDomainSupportedEncTypes .
2. juhis: JÄLGIMINE
Kui domeenikontrollerid on värskendatud ja te ei näe ühtegi auditisündmust, aktiveerige jõustamisrežiim , muutes väärtuse RC4DefaultDisablementPhase väärtuseks 2.
Kui genereeritakse auditisündmusi, peate kas eemaldama RC4 sõltuvused või konfigureerima selgesõnaliselt kerberose toetatud krüptimistüübid. Seejärel saate üle minna jõustamisrežiimile .
Teavet selle kohta, kuidas tuvastada oma domeenis RC4 kasutust, auditeerida RC4-st sõltuvaid seadme- ja kasutajakontosid ning kuidas parandada kasutust tugevamate krüptimistüüpide kasuks või hallata RC4-sõltuvusi, leiate teemast RC4 kasutuse tuvastamine ja parandamine Kerberoses.
3. toiming: LUBAMINE
Jõustamisrežiimi lubamine CVE-2026-20833 nõrkuste lahendamiseks teie keskkonnas.
-
Kui KDC-d taotletakse vaikekonfiguratsioonidega kontole RC4 teenusepileti pakkumiseks, logitakse tõrkesündmus.
-
Kuvatakse endiselt sündmuse ID: 205, mis on logitud mis tahes ebaturvalise konfiguratsiooni defaultDomainSupportedEncTypes jaoks.
Registrisätted
Pärast Windowsi värskenduste installimist 13. jaanuaril 2026 või pärast seda on installitud, on Kerberose protokolli jaoks saadaval järgmine registrivõti.
Seda registrivõtit kasutatakse Kerberose muudatuste juurutamiseks. See registrivõti on ajutine ja seda ei loeta pärast jõustamiskuupäeva enam ette.
|
Registrivõti |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Andmetüüp |
REG_DWORD |
|
Väärtuse nimi |
RC4DefaultDisablementPhase |
|
Väärtuseandmed |
0 – auditit pole, muudatusi pole 1 – hoiatussündmused logitakse RC4 vaikekasutuses. (Vaikefaas 1) 2 – Kerberos hakkab eeldama, et RC4 pole vaikimisi lubatud. (Vaikefaas 2) |
|
Kas taaskäivitamine on nõutav? |
Jah |
Auditisündmused
Pärast Windowsi värskenduste installimist 13. jaanuaril 2026 või pärast seda lisatakse järgmised sündmusetüübid Windows Server 2012 ja uuemad versioonid töötavad domeenikontrollerina.
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
201 |
|
Sündmuse tekst |
Võtmelevituskeskus tuvastas <šifrinime> kasutust, mida jõustamisfaasis ei toetata, kuna teenus msds-SupportedEncryptionTypes pole määratletud ja klient toetab ainult ebaturvalist krüptimistüüpi. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Sündmuse ID: 201 logitakse järgmistel juhtudel.
|
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
202 |
|
Sündmuse tekst |
Võtmelevituskeskus tuvastas <šifrinime> kasutust, mida jõustamisetapis ei toetata, kuna teenuse msds-SupportedEncryptionTypes pole määratletud ja teenusekontol on ainult ebaturvalised võtmed. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Hoiatussündmus 202 logitakse järgmistel juhtudel.
|
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
203 |
|
Sündmuse tekst |
Võtmelevituskeskus blokeeris šifrikasutuse, kuna service msds-SupportedEncryptionTypes pole määratletud ja klient toetab ainult ebaturvalist krüptimistüüpi. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Tõrkesündmus 203 logitakse järgmistel juhtudel.
|
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
204 |
|
Sündmuse tekst |
Võtmelevituskeskus blokeeris šifrikasutuse, kuna teenuse msds-SupportedEncryptionTypes pole määratletud ja teenusekontol on ainult ebaturvalised võtmed. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Tõrkesündmus 204 logitakse järgmistel juhtudel.
|
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
205 |
|
Sündmuse tekst |
Võtmelevituskeskus tuvastas domeeni toetatud vaikekrüptimistüüpide poliitikakonfiguratsioonis selgesõnalise šifri lubamise. Šifrid: <lubatud ebaturvaline šifrid> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Hoiatussündmus 205 logitakse järgmistel juhtudel.
|
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
206 |
|
Sündmuse tekst |
Võtmelevituskeskus tuvastas <šifrinime> kasutust, mida jõustamisetapis ei toetata, kuna teenus msds-SupportedEncryptionTypes on konfigureeritud toetama ainult AES-SHA1, kuid klient ei reklaami AES-SHA1 Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Hoiatussündmus 206 logitakse järgmistel juhtudel.
|
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
207 |
|
Sündmuse tekst |
Võtmelevituskeskus tuvastas <šifrinime> kasutust, mida jõustamisetapis ei toetata, kuna teenus msds-SupportedEncryptionTypes on konfigureeritud toetama ainult AES-SHA1, kuid teenusekontol pole AES-SHA1 võtmeid. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Hoiatussündmus 207 logitakse järgmistel juhtudel.
|
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
208 |
|
Sündmuse tekst |
Võtmelevituskeskus on tahtlikult keelatud šifrikasutuse, kuna teenus msds-SupportedEncryptionTypes on konfigureeritud toetama ainult AES-SHA1, kuid klient ei reklaami AES-SHA1 Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Tõrkesündmus 208 logitakse järgmistel juhtudel.
|
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
209 |
|
Sündmuse tekst |
Võtmelevituskeskus on šifrikasutuse tahtlikult keelanud, kuna service msds-SupportedEncryptionTypes on konfigureeritud toetama ainult AES-SHA1, kuid teenusekontol pole AES-SHA1 võtmeid. Kontoteave Konto nimi: <kontonime> Esitatud valdkonda nimi: <esitatud ala nimi> msds-SupportedEncryptionTypes: <toetatud krüptimistüübid> Saadaolevad klahvid: <saadaolevad klahvid> Teenuseteave: Teenuse nimi: <teenusenime> Teenuse ID: teenuse SID> < msds-SupportedEncryptionTypes: <teenuse toetatud krüptimistüübid> Saadaolevad võtmed: <teenuse saadaolevad võtmed> Domeenikontrolleri teave: msds-SupportedEncryptionTypes: <domeenikontrolleri toetatud krüptimistüübid> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes – väärtus> Saadaolevad võtmed: <domeenikontrolleri saadaolevad võtmed> Võrguteave: Kliendi aadress: <kliendi IP-aadressi> Kliendi port: <kliendipordi> Advertiseeritud tüübid: <advertiseeritud Kerberose krüptimistüübid> Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentaarid |
Tõrkesündmus 209 logitakse järgmistel juhtudel.
|
Märkus.
Kui mõni neist hoiatusteadetest on domeenikontrollerisse sisse logitud, on tõenäoline, et kõik teie domeeni domeenikontrollerid pole ajakohased 13. jaanuaril 2026 või hiljem välja antud Windowsi värskendusega. Nõrkuse leevendamiseks peate oma domeeni veel uurima, et leida domeenikontrollerid, mis pole ajakohased.
Kui kuvatakse sündmuse ID: 0x8000002A domeenikontrollerisse sisse logitud, lugege teemat KB5021131: CVE-2022-37966 seotud Kerberose protokolli muudatuste haldamine.
Korduma kippuvad küsimused (KKK)
See karastamine mõjutab Windowsi domeenikontrollereid, kui nad väljastavad teenusepileteid. Kerberose usaldus- ja viitamisvoogu see ei mõjuta.
Kolmanda osapoole domeeniseadmed, mis ei saa AES-SHA1 töödelda, peaksid olema AES-SHA1 lubamiseks juba konkreetselt konfigureeritud.
Ei. Logime hoiatussündmused ebaturvaliste konfiguratsioonide defaultDomainSupportedEncTypes jaoks. Lisaks ei ignoreeri me ühtegi kliendi konkreetselt määratud konfiguratsiooni.
Ressursid
KB5020805: Kuidas hallata Kerberose protokolli muudatusi, mis on seotud CVE-2022-37967
KB5021131: Kuidas hallata Kerberose protokolli muudatusi, mis on seotud CVE-2022-37966
