Alkuperäinen julkaisupäivä: 13. tammikuuta 2026
KB-tunnus: 5073381
Windowsin Secure Boot -sertifikaatin vanheneminen
Tärkeää: Useimpien Windows-laitteiden käyttämät suojatun käynnistyksen varmenteet vanhenevat kesäkuusta 2026 alkaen. Tämä voi vaikuttaa tiettyjen henkilökohtaisten ja yrityslaitteiden mahdollisuuteen käynnistyä turvallisesti, jos sitä ei päivitetä ajoissa. Häiriöiden välttämiseksi suosittelemme tarkistamaan ohjeet ja ryhtymään toimenpiteisiin varmenteiden päivittämiseksi etukäteen. Lisätietoja ja valmisteluvaiheita on ohjeaiheessa Windowsin suojatun käynnistyksen varmenteen vanhentuminen ja varmenteiden myöntäjän päivitykset.
Artikkelin sisältö
Yhteenveto
13. tammikuuta 2026 ja sen jälkeen julkaistut Windows-päivitykset sisältävät suojauksia Kerberos-todennusprotokollan haavoittuvuudelle. Windows-päivitykset korjaavat tietojen paljastumisen haavoittuvuuden, jonka avulla hyökkääjä voi hankkia palvelulippuja, joissa on heikkoja tai vanhoja salaustyyppejä, kuten RC4, ja suorittaa offline-hyökkäyksiä palvelutilin salasanan palauttamiseksi.
Voit suojata ja koventaa ympäristöä asentamalla 13. tammikuuta 2026 tai sen jälkeen julkaistun Windows-päivityksen kaikkiin Toimialueen ohjauskoneena toimivan "Koskee seuraavia" -osiossa lueteltuihin Windows-palvelimiin. Lisätietoja haavoittuvuuksista on artikkelissa CVE-2026-20833.
Tämän haavoittuvuuden lieventämiseksi DefaultDomainSupportedEncTypes (DDSET) -oletusarvoa muutetaan niin, että kaikki toimialueen ohjauskoneet tukevat vain laajennettua salausta Standard (AES-SHA1) salattuja lippuja tileille, joilla ei ole eksplisiittistä Kerberos-salaustyyppimääritystä. Lisätietoja on artikkelissa Tuetut salaustyypit -bittiliput.
Nämä muutokset eivät vaikuta toimialueen ohjauskoneisiin, joilla on määritetty DefaultDomainSupportedEncTypes-rekisteriarvo. Valvontatapahtuman KDCSVC-tapahtumatunnus 205 voidaan kuitenkin kirjata järjestelmän tapahtumalokiin, jos olemassa oleva DefaultDomainSupportedEncTypes-määritys on epävarma.
Toimi
Ympäristön suojaamiseksi ja käyttökatkojen estämiseksi suosittelemme, että toimit seuraavasti:
-
PÄIVITYS Microsoft Active Directory -toimialueen ohjauskoneet alkaen Windows-päivityksistä, jotka on julkaistu 13. tammikuuta 2026 tai sen jälkeen.
-
VALVO järjestelmän tapahtumalokia 9 valvontatapahtumalle, jotka on kirjattu Windows Server 2012:een, ja uudemmat toimialueen ohjauskoneet, jotka tunnistavat riskit RC4-suojausten käyttöönoton yhteydessä.
-
LIEVENTÄÄ KDCSVC-tapahtumat kirjautuneena Järjestelmän tapahtumalokiin, jotka estävät RC4-suojausten manuaalisen tai ohjelmallisen käyttöönoton.
-
OTA KÄYTTÖÖN Pakotustila CVE-2026-20833 -päivityksessä korjattujen haavoittuvuuksien korjaamiseksi ympäristössäsi, kun varoitus-, esto- tai käytäntötapahtumia ei enää kirjata.
TÄRKEÄÄ 13. tammikuuta 2026 tai sen jälkeen julkaistujen päivitysten asentaminen EI korjaa active directory -toimialueen ohjauskoneiden CVE-2026-20833 -versiossa kuvattuja tietoturva-aukkoja oletusarvoisesti. Jotta voit lieventää haavoittuvuutta kokonaan, sinun on siirryttävä pakotettuun tilaan (kuvattu vaiheessa 3) mahdollisimman pian kaikissa toimialueen ohjauskoneissa.
Huhtikuusta 2026 alkaen pakotustila otetaan käyttöön kaikissa Windowsin toimialueen ohjauskoneissa, ja se estää haitalliset yhteydet muista kuin yhteensopivista laitteista. Tällä hetkellä et voi poistaa valvontatoimintoa käytöstä, mutta voit siirtyä takaisin Valvontatila-asetukseen. Valvontatila poistetaan heinäkuussa 2026 päivitysten ajoitus -osiossa kuvatulla tavalla, ja valvontatila otetaan käyttöön kaikissa Windowsin toimialueen ohjauskoneissa, ja se estää haitalliset yhteydet ei-yhteensopivista laitteista.
Jos haluat hyödyntää RC4:ää huhtikuun 2026 jälkeen, suosittelemme ottamaan RC4:n nimenomaisesti käyttöön msds-SupportedEncryptionTypes-bittimaskissa palveluissa, joiden on hyväksyttävä RC4-käyttö.
Päivitysten ajoitus
13. tammikuuta 2026 – ensimmäinen käyttöönottovaihe
Ensimmäinen käyttöönottovaihe alkaa 13. tammikuuta 2026 ja sen jälkeen julkaistuilla päivityksillä, ja se jatkuu myöhemmin Windows-päivityksillä pakotusvaiheeseen asti. Tässä vaiheessa varoitetaan asiakkaita uusista tietoturvavalvonnasta, joka otetaan käyttöön toisessa käyttöönottovaiheessa. Tämä päivitys:
-
Tarjoaa valvontatapahtumia varoittaakseen asiakkaita, joihin tuleva tietoturvan tiivistyminen saattaa vaikuttaa kielteisesti.
-
Ottaa käyttöön rekisteriarvon RC4DefaultDisablementPhase, jotta muutos voidaan ottaa ennakoivasti käyttöön määrittämällä arvoksi 2 toimialueen ohjauskoneissa, kun KDCSVC-valvontatapahtumat osoittavat, että se on turvallista.
Huhtikuu 2026 – Toinen käyttöönottovaihe
Tämä päivitys muuttaa oletusarvoisen DefaultDomainSupportedEncTypes-arvon KDC-toiminnoille, jotta AES-SHA1: tä voidaan hyödyntää tileissä, joilla ei ole eksplisiittistä msds-SupportedEncryptionTypes active directory -määritettä.
Tämä vaihe muuttaa DefaultDomainSupportedEncTypes-oletusarvoksi vain AES-SHA1: 0x18.
Heinäkuu 2026 – Täytäntöönpanovaihe
Heinäkuussa 2026 tai sen jälkeen julkaistut Windows-päivitykset poistavat rekisterin aliavaimen RC4DefaultDisablementPhase tuen.
Käyttöönotto-ohjeet
Jos haluat ottaa käyttöön 13. tammikuuta 2026 tai sen jälkeen julkaistut Windows-päivitykset, toimi seuraavasti:
-
PÄIVITÄ toimialueen ohjauskoneet 13. tammikuuta 2026 tai sen jälkeen julkaistulla Windows-päivityksellä.
-
Ensimmäisen käyttöönottovaiheen aikana kirjatut MONITOR-tapahtumat ympäristön suojaamiseksi.
-
Siirrä toimialueen ohjauskoneet pakotustilaanRekisteriasetukset-osion avulla.
Vaihe 1: PÄIVITYS
Ota käyttöön 13. tammikuuta 2026 tai sen jälkeen julkaistu Windows-päivitys kaikkiin sovellettaviin Windows Active Directory -hakemistoihin, jotka toimivat toimialueen ohjauskoneena päivityksen käyttöönoton jälkeen.
-
Valvontatapahtumat näkyvät järjestelmän tapahtumalokeissa, jos toimialueen ohjauskone vastaanottaa Kerberos-palvelupyyntöpyyntöjä, jotka edellyttävät RC4-salauksen käyttämistä, mutta palvelutilillä on oletussalausmääritys.
-
Valvontatapahtumat kirjataan järjestelmän tapahtumalokiin, jos toimialueen ohjauskoneessa on eksplisiittinen DefaultDomainSupportedEncTypes-määritys , joka sallii RC4-salauksen.
Vaihe 2: NÄYTTÖ
Kun toimialueen ohjauskoneet on päivitetty ja valvontatapahtumia ei näy, siirry pakotustilaan muuttamalla RC4DefaultDisablementPhase-arvoksi2.
Jos valvontatapahtumia luodaan, sinun on joko poistettava RC4-riippuvuudet tai määritettävä erikseen Kerberosin tukemat salaustyypit. Sen jälkeen voit siirtyä pakotustilaan .
Lisätietoja RC4-käytön havaitsemisesta toimialueella, RC4:stä edelleen riippuvaisten laitteiden ja käyttäjätilien valvonnasta ja käytön korjaamisesta vahvempien salaustyyppien hyväksi tai RC4-riippuvuuksien hallinnasta on artikkelissa RC4-käytön havaitseminen ja korjaaminen Kerberosissa.
Vaihe 3: OTA KÄYTTÖÖN
Ota pakotustila käyttöön, jos haluat korjata ympäristösi CVE-2026-20833-haavoittuvuuksia.
-
Jos KDC:tä pyydetään antamaan RC4-palvelupyyntö tilille, jolla on oletusmääritykset, virhetapahtuma kirjataan lokiin.
-
Näet edelleen tapahtumatunnuksen: 205 kirjattuna mihin tahansa DefaultDomainSupportedEncTypes-määrityksen epävarmaan määritykseen.
Rekisteriasetukset
Kun 13. tammikuuta 2026 tai sen jälkeen julkaistut Windows-päivitykset on asennettu, kerberos-protokollalle on saatavilla seuraava rekisteriavain.
Tätä rekisteriavainta käytetään Kerberos-muutosten käyttöönoton portissa. Tämä rekisteriavain on tilapäinen, eikä sitä enää lueta pakotuspäivän jälkeen.
|
Rekisteriavain |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Tietotyyppi |
REG_DWORD |
|
Arvon nimi |
RC4DefaultDisablementPhase |
|
Arvon tiedot |
0 – Ei valvontaa, ei muutosta 1 - Varoitustapahtumat kirjataan oletusarvoiseen RC4-käyttöön. (Vaiheen 1 oletus) 2 – Kerberos käynnistyy olettaen, että RC4 ei ole oletusarvoisesti käytössä. (Vaiheen 2 oletus) |
|
Tarvitaanko uudelleenkäynnistystä? |
Kyllä |
Tapahtumien valvonta
Kun 13. tammikuuta 2026 tai sen jälkeen julkaistut Windows-päivitykset on asennettu, seuraavat Valvonta-tapahtumatyypit lisätään Windows Server 2012:een ja myöhemmin toimialueen ohjauskoneeseen.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
201 |
|
Tapahtuman teksti |
Avaimen jakelukeskus havaitsi <Salauksen nimi -> käyttöä, jota ei tueta pakotusvaiheessa, koska palvelun msds-SupportedEncryptionTypes ei ole määritetty ja asiakas tukee vain epävarmoja salaustyyppejä. Tilitiedot Tilin nimi: <tilin nimi> Toimitettu realm nimi: <toimitettu realm nimi> msds-SupportedEncryptionTypes: <tuetut salaustyypit> Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> Palvelutiedot: Palvelun nimi: <palvelun nimi> Palvelutunnus: <Palvelun SID-> msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> Toimialueen ohjauskoneen tiedot: msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> Verkon tiedot: Asiakasosoite: <asiakkaan IP-osoite> Asiakasportti: <asiakasportti> Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentit |
Tapahtumatunnus: 201 kirjataan lokiin, jos:
|
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
202 |
|
Tapahtuman teksti |
Tunnistetun avaimen jakelukeskuksen <Salauksen nimi> käyttö, jota ei tueta pakotusvaiheessa, koska palvelun msds-SupportedEncryptionTypes ei ole määritetty ja palvelutilillä on vain epävarmat avaimet. Tilitiedot Tilin nimi: <tilin nimi> Toimitettu realm nimi: <toimitettu realm nimi> msds-SupportedEncryptionTypes: <tuetut salaustyypit> Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> Palvelutiedot: Palvelun nimi: <palvelun nimi> Palvelutunnus: <Palvelun SID-> msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> Toimialueen ohjauskoneen tiedot: msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> Verkon tiedot: Asiakasosoite: <asiakkaan IP-osoite> Asiakasportti: <asiakasportti> Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentit |
Varoitustapahtuma 202 kirjataan lokiin, jos:
|
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
203 |
|
Tapahtuman teksti |
Avainten jakelukeskus esti salauksen käytön, koska palvelun msds-SupportedEncryptionTypes-tyyppejä ei ole määritetty ja asiakas tukee vain epävarmoja salaustyyppejä. Tilitiedot Tilin nimi: <tilin nimi> Toimitettu realm nimi: <toimitettu realm nimi> msds-SupportedEncryptionTypes: <tuetut salaustyypit> Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> Palvelutiedot: Palvelun nimi: <palvelun nimi> Palvelutunnus: <Palvelun SID-> msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> Toimialueen ohjauskoneen tiedot: msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> Verkon tiedot: Asiakasosoite: <asiakkaan IP-osoite> Asiakasportti: <asiakasportti> Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentit |
Virhetapahtuma 203 kirjataan lokiin, jos:
|
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
204 |
|
Tapahtuman teksti |
Avainten jakelukeskus esti salakirjoituksen käytön, koska palvelun msds-SupportedEncryptionTypes ei ole määritetty ja palvelutilillä on vain epävarmat avaimet. Tilitiedot Tilin nimi: <tilin nimi> Toimitettu realm nimi: <toimitettu realm nimi> msds-SupportedEncryptionTypes: <tuetut salaustyypit> Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> Palvelutiedot: Palvelun nimi: <palvelun nimi> Palvelutunnus: <Palvelun SID-> msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> Toimialueen ohjauskoneen tiedot: msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> Verkon tiedot: Asiakasosoite: <asiakkaan IP-osoite> Asiakasportti: <asiakasportti> Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentit |
Virhetapahtuma 204 kirjataan lokiin, jos:
|
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
205 |
|
Tapahtuman teksti |
Avaimen jakelukeskus havaitsi eksplisiittisen salaustoiminnon oletustoimialueen tuetut salaustyypit -käytäntökokoonpanossa. Salaus: <käytössä olevat epävarmat salausmerkit> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentit |
Varoitustapahtuma 205 kirjataan lokiin, jos:
|
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
206 |
|
Tapahtuman teksti |
Avaimen jakelukeskus havaitsi <salauksen nimen> käyttöä, jota ei tueta pakotusvaiheessa, koska palvelun msds-SupportedEncryptionTypes on määritetty tukemaan vain AES-SHA1:a, mutta asiakas ei mainosta AES-SHA1:ää Tilitiedot Tilin nimi: <tilin nimi> Toimitettu realm nimi: <toimitettu realm nimi> msds-SupportedEncryptionTypes: <tuetut salaustyypit> Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> Palvelutiedot: Palvelun nimi: <palvelun nimi> Palvelutunnus: <Palvelun SID-> msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> Toimialueen ohjauskoneen tiedot: msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> Verkon tiedot: Asiakasosoite: <asiakkaan IP-osoite> Asiakasportti: <asiakasportti> Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentit |
Varoitustapahtuma 206 kirjataan lokiin, jos:
|
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
207 |
|
Tapahtuman teksti |
Avaimen jakelukeskus havaitsi, <Salauksen nimi> käyttöä, jota ei tueta pakotusvaiheessa, koska palvelun msds-SupportedEncryptionTypes on määritetty tukemaan vain AES-SHA1:ää, mutta palvelutilillä ei ole AES-SHA1-näppäimiä. Tilitiedot Tilin nimi: <tilin nimi> Toimitettu realm nimi: <toimitettu realm nimi> msds-SupportedEncryptionTypes: <tuetut salaustyypit> Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> Palvelutiedot: Palvelun nimi: <palvelun nimi> Palvelutunnus: <Palvelun SID-> msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> Toimialueen ohjauskoneen tiedot: msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> Verkon tiedot: Asiakasosoite: <asiakkaan IP-osoite> Asiakasportti: <asiakasportti> Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentit |
Varoitustapahtuma 207 kirjataan lokiin, jos:
|
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
208 |
|
Tapahtuman teksti |
Avainten jakelukeskus on tarkoituksellisesti kieltänyt salakirjoituksen käytön, koska palvelun msds-SupportedEncryptionTypes on määritetty tukemaan vain AES-SHA1:ää, mutta asiakas ei mainosta AES-SHA1:ää Tilitiedot Tilin nimi: <tilin nimi> Toimitettu realm nimi: <toimitettu realm nimi> msds-SupportedEncryptionTypes: <tuetut salaustyypit> Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> Palvelutiedot: Palvelun nimi: <palvelun nimi> Palvelutunnus: <Palvelun SID-> msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> Toimialueen ohjauskoneen tiedot: msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> Verkon tiedot: Asiakasosoite: <asiakkaan IP-osoite> Asiakasportti: <asiakasportti> Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentit |
Virhetapahtuma 208 kirjataan lokiin, jos:
|
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
209 |
|
Tapahtuman teksti |
Avainten jakelukeskus on tarkoituksellisesti kieltänyt salaustoiminnon käytön, koska palvelun msds-SupportedEncryptionTypes on määritetty tukemaan vain AES-SHA1:ää, mutta palvelutilillä ei ole AES-SHA1-näppäimiä Tilitiedot Tilin nimi: <tilin nimi> Toimitettu realm nimi: <toimitettu realm nimi> msds-SupportedEncryptionTypes: <tuetut salaustyypit> Käytettävissä olevat näppäimet: <käytettävissä olevat näppäimet> Palvelutiedot: Palvelun nimi: <palvelun nimi> Palvelutunnus: <Palvelun SID-> msds-SupportedEncryptionTypes: <palvelun tukemat salaustyypit> Käytettävissä olevat avaimet: <käytettävissä olevat huoltoavaimet> Toimialueen ohjauskoneen tiedot: msds-SupportedEncryptionTypes: <toimialueen ohjauskoneen tuetut salaustyypit> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Käytettävissä olevat näppäimet: <toimialueen ohjauskoneen käytettävissä olevat näppäimet> Verkon tiedot: Asiakasosoite: <asiakkaan IP-osoite> Asiakasportti: <asiakasportti> Mainostetut Etypet: <mainostetut Kerberos-salaustyypit> Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentit |
Virhetapahtuma 209 kirjataan lokiin, jos:
|
Huomautus
Jos huomaat, että jokin näistä varoitusviesteistä on kirjattu toimialueen ohjauskoneeseen, on todennäköistä, että kaikki toimialueen ohjauskoneet eivät ole ajan tasalla 13. tammikuuta 2026 tai sen jälkeen julkaistun Windows-päivityksen kanssa. Haavoittuvuuden lieventämiseksi sinun on tutkittava toimialueesi edelleen löytääksesi toimialueen ohjauskoneet, jotka eivät ole ajan tasalla.
Jos näet tapahtumatunnuksen: 0x8000002A kirjautuneena toimialueen ohjauskoneeseen, katso KB5021131: CVE-2022-37966:een liittyvien Kerberos-protokollamuutosten hallinta.
Usein kysytyt kysymykset (usein kysytyt kysymykset)
Tämä karkeus vaikuttaa Windowsin toimialueen ohjauskoneisiin, kun ne myöntävät palvelupyyntöjä. Tämä ei vaikuta Kerberos-luottamus- ja suositusvirtaan.
Kolmannen osapuolen toimialuelaitteet, jotka eivät pysty käsittelemään AES-SHA1:a, olisi pitänyt jo erikseen määrittää sallimaan AES-SHA1.
Ei. Kirjaamme suojausmääritysten varoitustapahtumat DefaultDomainSupportedEncTypes-määritykseen. Lisäksi emme ohita asiakkaan erikseen määrittämiä määrityksiä.
Resurssit
KB5020805: CVE-2022-37967 :een liittyvien Kerberos-protokollamuutosten hallinta
KB5021131: CVE-2022-37966:een liittyvien Kerberos-protokollamuutosten hallinta
