Käytetään kohteeseen
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Alkuperäinen julkaisupäivä: 13. tammikuuta 2026

KB-tunnus: 5073381

Artikkelin sisältö

Yhteenveto

13. tammikuuta 2026 ja sen jälkeen julkaistut Windows-päivitykset sisältävät suojauksia Kerberos-todennusprotokollan haavoittuvuudelle. Windows-päivitykset korjaavat CVE-2026-20833 :n tietojen paljastumishaavoittuvuuden, jonka avulla hyökkääjä voi hankkia palvelupyyntöjä, joissa on heikkoja tai vanhoja salaustyyppejä, kuten RC4, suorittamaan offline-hyökkäyksiä palvelutilin salasanan palauttamiseksi.

Voit lieventää tätä haavoittuvuutta muuttamalla 14. huhtikuuta 2026 ja sen jälkeen julkaistujen Windows-päivitysten Kerberos Key Distribution Center (KDC) - oletusarvon DefaultDomainSupportedEncTypes-tyypille, elleivät järjestelmänvalvojat ota pakotustilaa käyttöön aiemmin. Pakotustilassa toimivat päivitetyt toimialueen ohjauskoneet saavat tukea advanced encryption Standard (AES) -salauksen tyypin määrityksille vain, jos eksplisiittistä määritystä ei ole määritetty. Lisätietoja on artikkelissa Tuetut salaustyypit -bittiliput. DefaultDomainSupportedEncTypes -oletusarvoa käytetään, jos eksplisiittistä arvoa ei ole.

Nämä muutokset eivät vaikuta toimialueen ohjauskoneisiin, joilla on määritetty DefaultDomainSupportedEncTypes-rekisteriarvo. Valvontatapahtuman KDCSVC-tapahtumatunnus 205 kirjataan kuitenkin Järjestelmän tapahtumalokiin, jos olemassa oleva DefaultDomainSupportedEncTypes-määritys on epävarma (esimerkiksi silloin, kun käytetään RC4-salakirjoitusta).

alkuun

Toimi

Suosittelemme, että suojaat ympäristöäsi ja estät käyttökatkot: 

  • PÄIVITYS Microsoft Active Directory -toimialueen ohjauskoneet alkaen Windows-päivityksistä, jotka on julkaistu 13. tammikuuta 2026 tai sen jälkeen.

  • VALVO järjestelmän tapahtumalokia missä tahansa yhdeksästä KDCSVC 201 > 209 Audit -tapahtumasta, jotka on kirjattu Windows Server 2012: een, ja uudemmat toimialueen ohjauskoneet, jotka tunnistavat riskit, jotka mahdollistavat RC4-suojaukset.

  • LIEVENTÄÄ KDCSVC-tapahtumat kirjautuneena Järjestelmän tapahtumalokiin, jotka estävät RC4-suojausten manuaalisen tai ohjelmallisen käyttöönoton.

  • OTA KÄYTTÖÖN Pakotustila CVE-2026-20833 -päivityksessä korjattujen haavoittuvuuksien korjaamiseksi ympäristössäsi, kun varoitus-, esto- tai käytäntötapahtumia ei enää kirjata.

TÄRKEÄÄ 13. tammikuuta 2026 tai sen jälkeen julkaistujen päivitysten asentaminen EI korjaa active directory -toimialueen ohjauskoneiden CVE-2026-20833 -versiossa kuvattuja tietoturva-aukkoja oletusarvoisesti. Voit lieventää haavoittuvuutta ottamalla pakotustilan käyttöön manuaalisesti (kuvattu vaiheessa 3: ENABLE) kaikissa toimialueen ohjauskoneissa. Heinäkuussa 2026 ja sen jälkeen julkaistun Windows Päivitykset asennus ottaa pakotusvaiheen käyttöön ohjelmallisesti.

Pakotustila otetaan automaattisesti käyttöön asentamalla Windows Päivitykset, joka on julkaistu huhtikuussa 2026 tai sen jälkeen kaikissa Windowsin toimialueen ohjauskoneissa, ja se estää haitalliset yhteydet muista kuin yhteensopivista laitteista.  Tällä hetkellä et voi poistaa valvontatoimintoa käytöstä, mutta voit siirtyä takaisin Valvontatila-asetukseen. Valvontatila poistetaan heinäkuussa 2026 päivitysten ajoitus -osiossa kuvatulla tavalla, ja valvontatila otetaan käyttöön kaikissa Windowsin toimialueen ohjauskoneissa, ja se estää haitalliset yhteydet ei-yhteensopivista laitteista.

Jos haluat hyödyntää RC4:ää huhtikuun 2026 jälkeen, suosittelemme ottamaan RC4:n nimenomaisesti käyttöön msds-SupportedEncryptionTypes-bittimaskissa palveluissa, joiden on hyväksyttävä RC4-käyttö. 

alkuun 

Päivitysten ajoitus

13. tammikuuta 2026 – ensimmäinen käyttöönottovaihe 

Ensimmäinen käyttöönottovaihe alkaa 13. tammikuuta 2026 ja sen jälkeen julkaistuilla päivityksillä, ja se jatkuu myöhemmin Windows-päivityksillä pakotusvaiheeseen asti. Tässä vaiheessa varoitetaan asiakkaita uusista tietoturvavalvonnasta, joka otetaan käyttöön toisessa käyttöönottovaiheessa. Tämä päivitys: 

  • Tarjoaa valvontatapahtumia varoittaakseen asiakkaita, joihin tuleva tietoturvan tiivistyminen saattaa vaikuttaa kielteisesti.

  • Ottaa käyttöön rekisteriarvon RC4DefaultDisablementPhase tuen sen jälkeen, kun järjestelmänvalvoja ottaa muutoksen ennakoivasti käyttöön määrittämällä arvoksi 2 toimialueen ohjauskoneissa, kun KDCSVC-valvontatapahtumat osoittavat, että se on turvallista.

14. huhtikuuta 2026 – Toimeenpanovaihe ja manuaalinen peruuttaminen 

Tämä päivitys muuttaa oletusarvoisen DefaultDomainSupportedEncTypes-arvon KDC-toiminnoille, jotta AES-SHA1: tä voidaan hyödyntää tileissä, joilla ei ole eksplisiittistä msds-SupportedEncryptionTypes active directory -määritettä. 

Tämä vaihe muuttaa DefaultDomainSupportedEncTypes-oletusarvoksi vain AES-SHA1: 0x18

Tämä vaihe mahdollistaa myös RC4DefaultDisablementPhase-palautusarvon manuaalisen määrittämisen ohjelmalliseen toimeenpanoon asti heinäkuussa 2026.

Heinäkuu 2026 – Täytäntöönpanovaihe 

Heinäkuussa 2026 tai sen jälkeen julkaistut Windows-päivitykset poistavat rekisterin aliavaimen RC4DefaultDisablementPhase tuen. 

alkuun 

Käyttöönotto-ohjeet

Jos haluat ottaa käyttöön 13. tammikuuta 2026 tai sen jälkeen julkaistut Windows-päivitykset, toimi seuraavasti: 

  1. PÄIVITÄ toimialueen ohjauskoneet 13. tammikuuta 2026 tai sen jälkeen julkaistulla Windows-päivityksellä.

  2. Ensimmäisen käyttöönottovaiheen aikana kirjatut MONITOR-tapahtumat ympäristön suojaamiseksi.

  3. Siirrä toimialueen ohjauskoneet pakotustilaanRekisteriasetukset-osion avulla.

Vaihe 1: PÄIVITYS  

Ota käyttöön 13. tammikuuta 2026 tai sen jälkeen julkaistu Windows-päivitys kaikkiin sovellettaviin Windows Active Directory -hakemistoihin, jotka toimivat toimialueen ohjauskoneena päivityksen käyttöönoton jälkeen.

  • Valvontatapahtumat näkyvät järjestelmän tapahtumalokeissa, jos Windows Server 2012 tai uudemmat toimialueen ohjauskoneet saavat Kerberos-palvelupyyntöpyyntöjä, jotka edellyttävät RC4-salauksen käyttämistä, mutta palvelutilillä on oletussalausmääritys.

  • Valvontatapahtuma 205 kirjataan järjestelmän tapahtumalokiin, jos toimialueen ohjauskoneessa on eksplisiittinen DefaultDomainSupportedEncTypes-määritys , joka sallii RC4-salauksen.

Vaihe 2: NÄYTTÖ

Kun toimialueen ohjauskoneet on päivitetty, jos tässä artikkelissa ei näy valvontatapahtumia, vaihda pakotustilaan muuttamalla RC4DefaultDisablementPhase-rekisteriarvoksi2.   

Jos valvontatapahtumia luodaan, sinun on joko poistettava RC4-riippuvuudet tai määritettävä erikseen tilit msds-SupportedEncryptionTypes-määrite tukemaan RC4:n käytön jatkamista pakotustilan manuaalisen tai automaattisen käyttöönoton jälkeen.

Järjestelmänvalvojille, jotka ovat kiinnostuneita RC4-käytön korjaamisesta laajemmin kuin tässä artikkelissa käsitellään, suosittelemme tarkistamaan RC4-käytön tunnistaminen ja korjaaminen Kerberosissa saadaksemme lisätietoja.

TÄRKEÄÄ Tähän muutokseen liittyvät valvontatapahtumat luodaan vain, jos Active Directory ei pysty antamaan AES-SHA1-palvelupyyntöjä tai istuntoavaimia. Valvontatapahtumien puuttuminen ei takaa, että kaikki muut kuin Windows-laitteet hyväksyvät Kerberos-todennuksen onnistuneesti huhtikuun päivityksen jälkeen. Asiakkaiden tulee vahvistaa windowsin ulkopuolinen yhteentoimivuus testaamalla, ennen kuin he voivat ottaa tämän toiminnan käyttöön laajasti.

Vaihe 3: OTA KÄYTTÖÖN

Ota pakotustila käyttöön, jos haluat korjata ympäristösi CVE-2026-20833-haavoittuvuuksia. 

alkuun 

Rekisteriasetukset

Kun 13. tammikuuta 2026 tai sen jälkeen julkaistut Windows-päivitykset on asennettu, kerberos-protokollalle on saatavilla seuraava rekisteriavain.

RC4DefaultDisablementPhase

Tätä rekisteriavainta käytetään Kerberos-muutosten käyttöönoton portissa. Tämä rekisteriavain on tilapäinen, eikä sitä enää lueta pakotuspäivän jälkeen.

Rekisteriavain

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Tietotyyppi

REG_DWORD

Arvon nimi

RC4DefaultDisablementPhase

Arvon tiedot

0 – Ei valvontaa, ei muutosta 

1 - Varoitustapahtumat kirjataan oletusarvoiseen RC4-käyttöön. (Vaiheen 1 oletus) 

2 – Kerberos käynnistyy olettaen, että RC4 ei ole oletusarvoisesti käytössä.  (Vaiheen 2 oletus) 

Tarvitaanko uudelleenkäynnistystä?

Kyllä

alkuun 

Tapahtumien valvonta

Kun 13. tammikuuta 2026 tai sen jälkeen julkaistut Windows-päivitykset on asennettu, seuraavat KSCSVC Audit -tapahtumatyypit lisätään Windows Server 2012:n järjestelmän tapahtumalokiin ja suoritetaan myöhemmin toimialueen ohjauskoneena.

Sisältö

alkuun 

Tapahtumatunnus: 201

Tapahtumaloki

Järjestelmä

Tapahtumalaji

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

201

Tapahtuman teksti

Avaimen jakelukeskus havaitsi <Salauksen nimi -> käyttöä, jota ei tueta pakotusvaiheessa, koska palvelun msds-SupportedEncryptionTypes ei ole määritetty ja asiakas tukee vain epävarmoja salaustyyppejä. 

Tilitiedot 

    Tilin nimi: <tilin nimi> 

    Toimitettu realm nimi: <toimitettu realm nimi> 

    msds-SupportedEncryptionTypes: <tuetut salaustyypit> 

    Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> 

Palvelutiedot: 

    Palvelun nimi: <palvelun nimi> 

    Palvelutunnus: <Palvelun SID-> 

    msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> 

    Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> 

Toimialueen ohjauskoneen tiedot: 

    msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> 

Verkon tiedot: 

    Asiakasosoite: <asiakkaan IP-osoite> 

    Asiakasportti: <asiakasportti> 

    Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> 

Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentit

Tapahtumatunnus: 201 kirjataan lokiin, jos:

  • Asiakas mainostaa RC4:tä vain mainostettuina Etypeinä

  • Kohdepalvelulla EI ole määritettyä msds-SET-määritystä

  • Toimialueen ohjauskone ei ole määrittänyt DDSET:iä

  • Rekisteriarvon RC4DefaultDisablementPhase arvo on 1

  • Varoitustapahtuma 201 siirtyy pakotustilassa virhetapahtumaan 203

  • Tämä tapahtuma kirjataan kirjaan pyyntöä kohti

  • Varoitustapahtuma 201:tä EI kirjata, jos DefaultDomainSupportedEncTypes on määritetty manuaalisesti

takaisin valvontatapahtumiin 

Tapahtumatunnus: 202

Tapahtumaloki

Järjestelmä

Tapahtumalaji

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

202

Tapahtuman teksti

Tunnistetun avaimen jakelukeskuksen <Salauksen nimi> käyttö, jota ei tueta pakotusvaiheessa, koska palvelun msds-SupportedEncryptionTypes ei ole määritetty ja palvelutilillä on vain epävarmat avaimet.  

Tilitiedot 

    Tilin nimi: <tilin nimi> 

    Toimitettu realm nimi: <toimitettu realm nimi> 

    msds-SupportedEncryptionTypes: <tuetut salaustyypit> 

    Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> 

Palvelutiedot: 

    Palvelun nimi: <palvelun nimi> 

    Palvelutunnus: <Palvelun SID-> 

    msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> 

    Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> 

Toimialueen ohjauskoneen tiedot: 

    msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> 

Verkon tiedot: 

    Asiakasosoite: <asiakkaan IP-osoite> 

    Asiakasportti: <asiakasportti> 

    Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> 

Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentit

Varoitustapahtuma 202 kirjataan lokiin, jos:

  • Kohdepalvelussa ei ole AES-avaimia

  • Kohdepalvelulla EI ole määritettyä msds-SET-määritystä

  • Toimialueen ohjauskone ei ole määrittänyt DDSET:iä

  • Rekisteriarvon RC4DefaultDisablementPhase arvo on 1

  • Virhetapahtuma 202 siirtyy virheeseen 204 pakotustilassa

  • Varoitustapahtuma 202 kirjataan sisään pyyntöä kohden

  • Varoitustapahtuma 202 EI lokiin kirjaa, jos DefaultDomainSupportedEncTypes on määritetty manuaalisesti

takaisin valvontatapahtumiin 

Tapahtumatunnus: 203

Tapahtumaloki

Järjestelmä

Tapahtumalaji

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

203

Tapahtuman teksti

Avainten jakelukeskus esti salauksen käytön, koska palvelun msds-SupportedEncryptionTypes-tyyppejä ei ole määritetty ja asiakas tukee vain epävarmoja salaustyyppejä. 

Tilitiedot 

    Tilin nimi: <tilin nimi> 

    Toimitettu realm nimi: <toimitettu realm nimi> 

    msds-SupportedEncryptionTypes: <tuetut salaustyypit> 

    Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> 

Palvelutiedot: 

    Palvelun nimi: <palvelun nimi> 

    Palvelutunnus: <Palvelun SID-> 

    msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> 

    Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> 

Toimialueen ohjauskoneen tiedot: 

    msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> 

Verkon tiedot: 

    Asiakasosoite: <asiakkaan IP-osoite> 

    Asiakasportti: <asiakasportti> 

    Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> 

Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentit

Virhetapahtuma 203 kirjataan lokiin, jos:

  • Asiakas mainostaa RC4:tä vain mainostettuina Etypeinä

  • Kohdepalvelulla EI ole määritettyä msds-SET-määritystä

  • Toimialueen ohjauskone ei ole määrittänyt DDSET:iä

  • Rekisteriarvon RC4DefaultDisablementPhase arvo on 2

  • Pyyntöä kohden

takaisin valvontatapahtumiin 

Tapahtumatunnus: 204

Tapahtumaloki

Järjestelmä

Tapahtumalaji

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

204

Tapahtuman teksti

Avainten jakelukeskus esti salakirjoituksen käytön, koska palvelun msds-SupportedEncryptionTypes ei ole määritetty ja palvelutilillä on vain epävarmat avaimet.  

Tilitiedot 

    Tilin nimi: <tilin nimi> 

    Toimitettu realm nimi: <toimitettu realm nimi> 

    msds-SupportedEncryptionTypes: <tuetut salaustyypit> 

    Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> 

Palvelutiedot: 

    Palvelun nimi: <palvelun nimi> 

    Palvelutunnus: <Palvelun SID-> 

    msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> 

    Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> 

Toimialueen ohjauskoneen tiedot: 

    msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> 

Verkon tiedot: 

    Asiakasosoite: <asiakkaan IP-osoite> 

    Asiakasportti: <asiakasportti> 

    Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> 

Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentit

Virhetapahtuma 204 kirjataan lokiin, jos:

  • Kohdepalvelussa ei ole AES-avaimia

  • Kohdepalvelulla EI ole määritettyä msds-SET-määritystä

  • Toimialueen ohjauskone ei ole määrittänyt DDSET:iä

  • Rekisteriarvon RC4DefaultDisablementPhase arvo on 2

  • Pyyntöä kohden

takaisin valvontatapahtumiin 

Tapahtumatunnus: 205

Tapahtumaloki

Järjestelmä

Tapahtumalaji

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

205

Tapahtuman teksti

Avaimen jakelukeskus havaitsi eksplisiittisen salaustoiminnon oletustoimialueen tuetut salaustyypit -käytäntökokoonpanossa. 

Salaus: <käytössä olevat epävarmat salausmerkit> 

DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> 

Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614.

Kommentit

Varoitustapahtuma 205 kirjataan lokiin, jos:

  • Toimialueen ohjauskoneessa on DDSET määritetty sisältämään kaikki muu kuin AES-SHA1.

  • Rekisteriarvon RC4DefaultDisablementPhase arvo on 1, 2

  • Tämä ei koskaan muutu virheeksi

  • Tarkoitus on saada asiakas tietoiseksi epävarmasta käyttäytymisestä, jota emme aio muuttaa

  • Kirjataan lokiin joka kerta KDCSVC:n alussa

takaisin valvontatapahtumiin 

Tapahtumatunnus: 206

Tapahtumaloki

Järjestelmä

Tapahtumalaji

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

206

Tapahtuman teksti

Avaimen jakelukeskus havaitsi <salauksen nimen> käyttöä, jota ei tueta pakotusvaiheessa, koska palvelun msds-SupportedEncryptionTypes on määritetty tukemaan vain AES-SHA1:a, mutta asiakas ei mainosta AES-SHA1:ää 

Tilitiedot 

    Tilin nimi: <tilin nimi> 

    Toimitettu realm nimi: <toimitettu realm nimi> 

    msds-SupportedEncryptionTypes: <tuetut salaustyypit> 

    Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> 

Palvelutiedot: 

    Palvelun nimi: <palvelun nimi> 

    Palvelutunnus: <Palvelun SID-> 

    msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> 

    Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> 

Toimialueen ohjauskoneen tiedot: 

    msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> 

Verkon tiedot: 

    Asiakasosoite: <asiakkaan IP-osoite> 

    Asiakasportti: <asiakasportti> 

    Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> 

Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentit

Varoitustapahtuma 206 kirjataan lokiin, jos:

  • Asiakas mainostaa RC4:tä vain mainostettuna Etypeinä

  • Jompikumpi seuraavista tapahtuu:

    • Kohdepalvelussa on msds-SET määritetty vain AES-SHA1:een

    • Toimialueen ohjauskoneeseen on määritetty vain AES-SHA1

  • Rekisteriarvon RC4DefaultDisablementPhase arvo on 1

  • Varoitustapahtuma 2016 siirtyy pakotustilassa virhetapahtumaan 2018

  • Kirjautuneena pyyntökohtaisesti

takaisin valvontatapahtumiin 

Tapahtumatunnus: 207

Tapahtumaloki

Järjestelmä

Tapahtumalaji

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

207

Tapahtuman teksti

Avaimen jakelukeskus havaitsi, <Salauksen nimi> käyttöä, jota ei tueta pakotusvaiheessa, koska palvelun msds-SupportedEncryptionTypes on määritetty tukemaan vain AES-SHA1:ää, mutta palvelutilillä ei ole AES-SHA1-näppäimiä.  

Tilitiedot 

    Tilin nimi: <tilin nimi> 

    Toimitettu realm nimi: <toimitettu realm nimi> 

    msds-SupportedEncryptionTypes: <tuetut salaustyypit> 

    Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> 

Palvelutiedot: 

    Palvelun nimi: <palvelun nimi> 

    Palvelutunnus: <Palvelun SID-> 

    msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> 

    Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> 

Toimialueen ohjauskoneen tiedot: 

    msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> 

Verkon tiedot: 

    Asiakasosoite: <asiakkaan IP-osoite> 

    Asiakasportti: <asiakasportti> 

    Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> 

Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentit

Varoitustapahtuma 207 kirjataan lokiin, jos:

  • Kohdepalvelussa ei ole AES-avaimia

  • Jompikumpi seuraavista tapahtuu:

    • Kohdepalvelussa on msds-SET määritetty vain AES-SHA1:een

    • Toimialueen ohjauskoneeseen on määritetty vain AES-SHA1

  • Rekisteriarvon RC4DefaultDisablementPhase arvo on 1

  • Tämä muuttuu 209:ksi (virhe) pakotustilassa

  • Pyyntöä kohden

takaisin valvontatapahtumiin 

Tapahtumatunnus: 208

Tapahtumaloki

Järjestelmä

Tapahtumalaji

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

208

Tapahtuman teksti

Avainten jakelukeskus on tarkoituksellisesti kieltänyt salakirjoituksen käytön, koska palvelun msds-SupportedEncryptionTypes on määritetty tukemaan vain AES-SHA1:ää, mutta asiakas ei mainosta AES-SHA1:ää 

Tilitiedot 

    Tilin nimi: <tilin nimi> 

    Toimitettu realm nimi: <toimitettu realm nimi> 

    msds-SupportedEncryptionTypes: <tuetut salaustyypit> 

    Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> 

Palvelutiedot: 

    Palvelun nimi: <palvelun nimi> 

    Palvelutunnus: <Palvelun SID-> 

    msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> 

    Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> 

Toimialueen ohjauskoneen tiedot: 

    msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> 

Verkon tiedot: 

    Asiakasosoite: <asiakkaan IP-osoite> 

    Asiakasportti: <asiakasportti> 

    Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> 

Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentit

Virhetapahtuma 208 kirjataan lokiin, jos:

  • Asiakas mainostaa RC4:tä vain mainostettuina Etypeinä

  • Seuraavan eIther tapahtuu:

    • Kohdepalvelussa on msds-SET määritetty vain AES-SHA1:een

    • Toimialueen ohjauskoneeseen on määritetty vain AES-SHA1

  • Rekisteriarvon RC4DefaultDisablementPhase arvo on 2

  • Pyyntöä kohden

takaisin valvontatapahtumiin 

Tapahtumatunnus: 209

Tapahtumaloki

Järjestelmä

Tapahtumalaji

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

209

Tapahtuman teksti

Avainten jakelukeskus on tarkoituksellisesti kieltänyt salaustoiminnon käytön, koska palvelun msds-SupportedEncryptionTypes on määritetty tukemaan vain AES-SHA1:ää, mutta palvelutilillä ei ole AES-SHA1-näppäimiä 

Tilitiedot 

    Tilin nimi: <tilin nimi> 

    Toimitettu realm nimi: <toimitettu realm nimi> 

    msds-SupportedEncryptionTypes: <tuetut salaustyypit> 

    Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> 

Palvelutiedot: 

    Palvelun nimi: <palvelun nimi> 

    Palvelutunnus: <Palvelun SID-> 

    msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> 

    Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> 

Toimialueen ohjauskoneen tiedot: 

    msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> 

Verkon tiedot: 

    Asiakasosoite: <asiakkaan IP-osoite> 

    Asiakasportti: <asiakasportti> 

    Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> 

Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentit

Virhetapahtuma 209 kirjataan lokiin, jos:

  • Kohdepalvelussa ei ole AES-avaimia

  • Jompikumpi seuraavista tapahtuu:

    • Kohdepalvelussa on msds-SET määritetty vain AES-SHA1:een

    • Toimialueen ohjauskoneeseen on määritetty vain AES-SHA1

  • Rekisteriarvon RC4DefaultDisablementPhase arvo on 2

  • Pyyntöä kohden

takaisin valvontatapahtumiin

Huomautus

Palvelulippujen salauksen valinnan implisiittisen muutoksen osalta Microsoftilla on rajallinen näkyvyys syihin, miksi muu kuin Windows-laite ei ehkä voi hyväksyä Kerberos-todennusta sen jälkeen, kun KDC-tietokoneet ovat soveltaneet huhtikuun päivitystä ja siirtyvät oletusarvoiseen AES-SHA1-toimintaan määrittämättöminä. Suosittelemme, että vahvistat nämä muutokset testaamalla omassa ympäristössäsi, ennen kuin otat tämän toiminnon yleisesti käyttöön.

Yleisin paikka, jossa tämä tapahtuu, on Kerberos Keytabs -laitteita hyödyntävät laitteet. Jos Kerberos Keytab on viety vain RC4-avaimilla, mutta kohdepalvelutilillä on AES-SHA1-näppäimet eikä msds-SupportedEncryptionTypes-tyyppejä ole määritetty, kyseisen palvelun todennusvirhe voi epäonnistua. Tämä ilmenee todennäköisesti kohdepalvelun todennusvirheinä KDC:n sijaan. 

Ensisijainen suosituksemme on tehdä yhteistyötä muun kuin Windows-laitteen toimittajan kanssa. Yleisesti ottaen muiden kuin Windows-laitteiden kerberos-todennuksen hyväksyminen ei koske vain huhtikuun muutoksia, ja ne voivat johtua laitekohtaisista tai käyttöönottokohtaisista rajoituksista.

Jos kerberos-todennusongelmia havaitaan muissa kuin Windows-laitteissa tämän muutoksen jälkeen ja toimittajan korjaus ei ole mahdollista, suosituksemme ovat seuraavat:

  • Määritä palvelutilillä erikseen msDS-SupportedEncryptionTypes , jotta RC4 sisällytetään AES-istuntoavaimiin (0x24).

  • Jos tämä ei ole mahdollista, määritä viimeiseksi keinoksi manuaalisesti DefaultDomainSupportedEncTypes-rekisteriarvo kaikkiin asianmukaisiin KDC-tietokoneisiin, jotta RC4 sisällytetään AES-SHA1-istuntoavaimiin (0x24). Huomaa, että tämä jättää kaikki toimialueen tilit alttiiksi CVE-2026-20833:lle.

On tärkeää huomata, että tämä määritys on epävarma, ja pitkän aikavälin suosituksemme on siirtää muut kuin Windows-laitteet versioihin, jotka tukevat AES-SHA1 Kerberos -lipun salausta.

takaisin valvontatapahtumiin

Usein kysytyt kysymykset (usein kysytyt kysymykset)

Q1: Miten tämä muutos on vuorovaikutuksessa toimialueiden kanssa, joilla on kolmannen osapuolen KDC-tietokoneita?

Tämä kovettuttava muutos vaikuttaa vain Windowsin toimialueen ohjauskoneisiin. Tämä ei vaikuta Kerberos-luottamus- ja suositusvirtaan muiden Windows-toimialueen ohjauskoneiden tai kolmannen osapuolen KDC-tietokoneiden kanssa.

Q2: Miten tämä muutos vaikuttaa toimialueisiin, joissa on muita kuin Windows-toimialuelaitteita?

Kolmannen osapuolen toimialueen laitteet, jotka eivät pysty käsittelemään AES-SHA1-salausta, olisi pitänyt jo erikseen määrittää sallimaan RC4-salaus. Palvelut, jotka eivät pysty käsittelemään AES-SHA1-lippuja, on korjattava tai määritettävä eksplisiittisesti Active Diretoryssa, jotta RC4-salaus voidaan tarjota yllä kuvatulla tavalla. Vahvista nämä muutokset perusteellisesti. 

Q3: Poistaako Microsoft mahdollisuuden määrittää DefaultDomainSupportedEncTypes?

Ei. Kirjaamme suojausmääritysten varoitustapahtumat DefaultDomainSupportedEncTypes-määritykseen. Lisäksi kunnioitamme kaikkia järjestelmänvalvojan määrittämiä määrityksiä.

alkuun 

Resurssit

alkuun 

Muuta lokia

Päivämäärän muuttaminen

Muuta kuvausta

14.4.2026

  • Päivitetty huhtikuun 2026 päivämäärä vastaamaan "Pakotusvaihe ja manuaalinen palautus" -julkaisun todellista päivämäärää.

  • Määritetty Kerberos KDC Yhteenveto-osan toisen kappaleen ensimmäisessä virkkeessä.Lähettäjä: Tämän haavoittuvuuden lieventämiseksi Windows Päivitykset, joka julkaistiin 14. huhtikuuta 2026 tai sen jälkeen, tai järjestelmänvalvojat, jotka ovat mahdollistaneet pakotustilan aikaisin, muuttaa DefaultDomainSupportedEncTypes -oletusarvoa.Kohteeseen: Voit lieventää tätä haavoittuvuutta muuttamalla 14. huhtikuuta 2026 ja sen jälkeen julkaistujen Windows-päivitysten Kerberos Key Distribution Center (KDC) - oletusarvon DefaultDomainSupportedEncTypes-tyypille, elleivät järjestelmänvalvojat ota pakotustilaa käyttöön aiemmin.

7. huhtikuuta 2026

  • Selkeyden vuoksi muotoilla yhteenveto-osan toista kappaletta uudelleen.

  • Lisää TÄRKEÄ-huomautus Vaihe 2: NÄYTTÖ -osioon korostaaksesi sen tärkeyttä. Merkitse TÄRKEÄ-huomautus muistiin.

  • Lisäsit uuden toisen kappaleen Usein kysytyt kysymykset -osan yläpuolella olevaan Huomautus-kohtaan .

16. maaliskuuta 2026

  • Uudelleen muotoiltu selkeyden vuoksi "Vaihe 2: MONITOR" "Käyttöönotto-ohjeet" -osassa.

  • Selkeyden vuoksi uudelleen muotoiltu vastaus kohtaan "Miten tämä muutos vaikuttaa toimialueisiin, jotka eivät ole Windows-toimialueen laitteita?" Usein kysyttyjä kysymyksiä. Lisätty erityinen huomautus siitä, miten muutokset voivat vaikuttaa muihin kuin Windows-palveluihin.

10. helmikuuta 2026

  • Lisätty dokumentaatiolinkki DefaultDomainSupportedEncTypes-esiintymiin.

  • Korjattu toisen luettelomerkkikohdan sanamuoto Vaihe3: Ota käyttöön -osassa.Lähettäjä: Ottaa käyttöön rekisteriarvon RC4DefaultDisablementPhase, jotta muutos voidaan ottaa ennakoivasti käyttöön määrittämällä arvoksi 2 toimialueen ohjauskoneissa, kun KDCSVC-valvontatapahtumat osoittavat, että se on turvallista.Kohteeseen: Ottaa käyttöön rekisteriarvon RC4DefaultDisablementPhase tuen sen jälkeen, kun järjestelmänvalvoja ottaa muutoksen ennakoivasti käyttöön määrittämällä arvoksi 2 toimialueen ohjauskoneissa, kun KDCSVC-valvontatapahtumat osoittavat, että se on turvallista.

  • Muuta kappaleen ensimmäistä virkeä niin, että se ilmaisee suunnilleen, milloin pakotustila otetaan käyttöön, toimi toimimalla tärkeän huomautuksen alla.Lähettäjä: Huhtikuusta 2026 alkaen pakotustila otetaan käyttöön kaikissa Windowsin toimialueen ohjauskoneissa, ja se estää haitalliset yhteydet muista kuin yhteensopivista laitteista.Kohteeseen: Pakotustila otetaan automaattisesti käyttöön asentamalla Windows Päivitykset, joka on julkaistu huhtikuussa 2026 tai sen jälkeen kaikissa Windowsin toimialueen ohjauskoneissa, ja se estää haitalliset yhteydet muista kuin yhteensopivista laitteista.

  • Windows Päivitykset julkaisi 13. tammikuuta 2026 ja sen jälkeen sekä CVE-2026-20833 sanamuotoja tämän muutoksen mainitsemiseksi.

alkuun 

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus