Date de publication d’origine : 13 janvier 2026
ID de la base de connaissances : 5073381
Expiration du certificat de démarrage sécurisé Windows
Important : Les certificats de démarrage sécurisé utilisés par la plupart des appareils Windows sont configurés pour expirer à partir du mois de juin 2026. Cela peut affecter la capacité de certains appareils personnels et professionnels à démarrer en toute sécurité s’ils ne sont pas mis à jour à temps. Pour éviter toute interruption, nous vous recommandons de consulter l’aide et de prendre des mesures pour mettre à jour les certificats à l’avance. Pour plus de détails et les étapes de préparation, consultez Expiration du certificat de démarrage sécurisé Windows et mises à jour de l'autorité de certification.
Dans cet article
Résumé
Les mises à jour Windows publiées à partir du 13 janvier 2026 contiennent des protections contre une vulnérabilité avec le protocole d’authentification Kerberos. Les mises à jour Windows traitent d’une vulnérabilité de divulgation d’informations qui peut permettre à un attaquant d’obtenir des tickets de service avec des types de chiffrement faibles ou hérités tels que RC4 et d’effectuer des attaques hors connexion pour récupérer un mot de passe de compte de service.
Pour sécuriser et renforcer votre environnement, installez la mise à jour Windows publiée le ou après le 13 janvier 2026 sur tous les serveurs Windows répertoriés dans la section « S’applique à » s’exécutant en tant que contrôleur de domaine. Pour en savoir plus sur les vulnérabilités, consultez CVE-2026-20833.
Pour atténuer cette vulnérabilité, la valeur par défaut de DefaultDomainSupportedEncTypes (DDSET) est modifiée de sorte que tous les contrôleurs de domaine prennent uniquement en charge les tickets chiffrés par advanced encryption Standard (AES-SHA1) pour les comptes sans configuration de type de chiffrement Kerberos explicite. Pour plus d’informations, consultez Indicateurs de bits des types de chiffrement pris en charge.
Sur les contrôleurs de domaine avec une valeur de Registre DefaultDomainSupportedEncTypes définie, le comportement n’est pas affecté fonctionnellement par ces modifications. Toutefois, un ID d’événement KDCSVC d’événement d’audit : 205 peut être enregistré dans le journal des événements système si la configuration DefaultDomainSupportedEncTypes existante n’est pas sécurisée.
Gérez activement vos projets
Pour protéger votre environnement et éviter les pannes, nous vous recommandons de suivre les étapes suivantes :
-
METTRE À JOUR Contrôleurs de domaine Microsoft Active Directory à compter des mises à jour Windows publiées à partir du 13 janvier 2026.
-
SURVEILLEz le journal des événements système pour l’un des 9 événements d’audit connectés sur Windows Server 2012 et les contrôleurs de domaine plus récents qui identifient les risques liés à l’activation des protections RC4.
-
ATTÉNUER Événements KDCSVC enregistrés dans le journal des événements système qui empêchent l’activation manuelle ou programmatique des protections RC4.
-
ACTIVER Mode d’application pour résoudre les vulnérabilités corrigées dans CVE-2026-20833 dans votre environnement lorsque les événements d’avertissement, de blocage ou de stratégie ne sont plus enregistrés.
IMPORTANT L’installation des mises à jour publiées le ou après le 13 janvier 2026 ne corrige PAS les vulnérabilités décrites dans CVE-2026-20833 pour les contrôleurs de domaine Active Directory par défaut. Pour atténuer entièrement la vulnérabilité, vous devez passer au mode Appliqué (décrit à l’étape 3) dès que possible sur tous les contrôleurs de domaine.
À compter d’avril 2026, le mode d’application sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables des appareils non conformes. À ce stade, vous ne serez pas en mesure de désactiver l’audit, mais vous pouvez revenir au paramètre Mode audit. Le mode Audit sera supprimé en juillet 2026, comme indiqué dans la section Minutage des mises à jour , et le mode d’application sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables des appareils non conformes.
Si vous devez tirer parti de RC4 après avril 2026, nous vous recommandons d’activer explicitement RC4 dans le masque de bits msds-SupportedEncryptionTypes sur les services qui devront accepter l’utilisation de RC4.
Calendrier des mises à jour
13 janvier 2026 - Phase de déploiement initiale
La phase de déploiement initiale commence avec les mises à jour publiées le 13 janvier 2026 et se poursuit avec les mises à jour Windows ultérieures jusqu’à la phase d’application . Cette phase a pour objectif d’avertir les clients des nouvelles mises en œuvre de sécurité qui seront introduites lors de la deuxième phase de déploiement. Cette mise à jour :
-
Fournit des événements d’audit pour avertir les clients susceptibles d’être affectés négativement par le renforcement de la sécurité à venir.
-
Introduit la valeur de Registre RC4DefaultDisablementPhase pour activer de manière proactive la modification en définissant la valeur sur 2 sur les contrôleurs de domaine lorsque les événements d’audit KDCSVC indiquent qu’il est sûr de le faire.
Avril 2026 - Deuxième phase de déploiement
Cette mise à jour modifie la valeur par défaut DefaultDomainSupportedEncTypes pour les opérations KDC afin de tirer parti d’AES-SHA1 pour les comptes qui n’ont pas d’attribut active directory msds-SupportedEncryptionTypes explicite défini.
Cette phase remplace la valeur par défaut de DefaultDomainSupportedEncTypes par AES-SHA1 uniquement : 0x18.
Juillet 2026 - Phase de mise en application
Les mises à jour Windows publiées dans ou après juillet 2026 suppriment la prise en charge de la sous-clé de Registre RC4DefaultDisablementPhase.
Instructions de déploiement
Pour déployer les mises à jour Windows publiées à partir du 13 janvier 2026, procédez comme suit :
-
METTEZ À JOUR vos contrôleurs de domaine avec une mise à jour Windows publiée le 13 janvier 2026 ou après cette date.
-
SURVEILLER les événements enregistrés pendant la phase de déploiement initiale pour sécuriser votre environnement.
-
DÉPLACEz vos contrôleurs de domaine en mode d’application à l’aide de la section Paramètres du Registre.
Étape 1 : METTRE À JOUR
Déployez la mise à jour Windows publiée le 13 janvier 2026 ou après cette date sur tous les services Windows Active Directory applicables s’exécutant en tant que contrôleur de domaine après le déploiement de la mise à jour.
-
Les événements d’audit s’affichent dans les journaux des événements système si votre contrôleur de domaine reçoit des demandes de ticket de service Kerberos qui nécessitent l’utilisation du chiffrement RC4, mais que le compte de service a une configuration de chiffrement par défaut.
-
Les événements d’audit sont enregistrés dans le journal des événements système si votre contrôleur de domaine dispose d’une configuration DefaultDomainSupportedEncTypes explicite pour autoriser le chiffrement RC4.
Étape 2 : SURVEILLER
Une fois les contrôleurs de domaine mis à jour, si vous ne voyez aucun événement d’audit, basculez en mode d’application en remplaçant la valeur RC4DefaultDisablementPhase par 2.
Si des événements d’audit sont générés, vous devez supprimer les dépendances RC4 ou configurer explicitement les types de chiffrement Kerberos pris en charge par les comptes. Ensuite, vous serez en mesure de passer en mode Application .
Pour savoir comment détecter l’utilisation de RC4 dans votre domaine, auditer les comptes d’appareil et d’utilisateur qui dépendent toujours de RC4, et prendre des mesures pour corriger l’utilisation en faveur de types de chiffrement plus forts ou gérer les dépendances RC4, consultez Détecter et corriger l’utilisation de RC4 dans Kerberos.
Étape 3 : ACTIVER
Activez le mode d’application pour résoudre les vulnérabilités CVE-2026-20833 dans votre environnement.
-
Si un KDC est invité à fournir un ticket de service RC4 pour un compte avec des configurations par défaut, un événement d’erreur est enregistré.
-
Vous verrez toujours un ID d’événement : 205 journalisé pour toute configuration non sécurisée de DefaultDomainSupportedEncTypes.
Paramètres du Registre
Une fois les mises à jour Windows publiées le 13 janvier 2026 ou ultérieures, la clé de Registre suivante est disponible pour le protocole Kerberos.
Cette clé de Registre est utilisée pour contrôler le déploiement des modifications Kerberos. Cette clé de Registre est temporaire et ne sera plus lue après la date d’application.
|
Clé de Registre |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Type de données |
REG_DWORD |
|
Nom de la valeur |
RC4DefaultDisablementPhase |
|
Données de la valeur |
0 – Aucun audit, aucune modification 1 - Les événements d’avertissement seront enregistrés sur l’utilisation de RC4 par défaut. (Valeur par défaut de la phase 1) 2 – Kerberos commence à supposer que RC4 n’est pas activé par défaut. (Phase 2 par défaut) |
|
Redémarrage requis ? |
Oui |
Événements d’audit
Une fois les mises à jour Windows publiées le 13 janvier 2026 ou ultérieures installées, les types d’événements Audit suivants sont ajoutés à Windows Server 2012 et ultérieurement exécutés en tant que contrôleur de domaine.
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
201 |
|
Texte de l’événement |
Le centre de distribution de clés a détecté <nom de chiffrement> utilisation qui ne sera pas prise en charge dans la phase d’application, car service msds-SupportedEncryptionTypes n’est pas défini et le client prend uniquement en charge les types de chiffrement non sécurisés. Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
ID d’événement : 201 sera journalisé si :
|
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
202 |
|
Texte de l’événement |
Le centre de distribution de clés a détecté <nom de chiffrement> utilisation qui ne sera pas prise en charge dans la phase d’application, car le service msds-SupportedEncryptionTypes n’est pas défini et le compte de service ne possède que des clés non sécurisées. Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’avertissement 202 sera journalisé si :
|
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
203 |
|
Texte de l’événement |
Le centre de distribution de clés a bloqué l’utilisation du chiffrement, car service msds-SupportedEncryptionTypes n’est pas défini et le client prend uniquement en charge les types de chiffrement non sécurisés. Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’erreur 203 sera journalisé si :
|
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
204 |
|
Texte de l’événement |
Le centre de distribution de clés a bloqué l’utilisation du chiffrement, car le service msds-SupportedEncryptionTypes n’est pas défini et le compte de service a uniquement des clés non sécurisées. Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’erreur 204 sera journalisé si :
|
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
205 |
|
Texte de l’événement |
Le Centre de distribution de clés a détecté une activation explicite du chiffrement dans la configuration de stratégie Types de chiffrement pris en charge par le domaine par défaut. Chiffrement(s) : <chiffrements non sécurisés activés> DefaultDomainSupportedEncTypes : <valeur DefaultDomainSupportedEncTypes configurée> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’avertissement 205 sera journalisé si :
|
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
206 |
|
Texte de l’événement |
Le centre de distribution de clés a détecté <nom de chiffrement> utilisation qui ne sera pas prise en charge dans la phase d’application, car le service msds-SupportedEncryptionTypes est configuré pour prendre uniquement en charge AES-SHA1, mais le client n’annonce pas AES-SHA1 Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’avertissement 206 sera journalisé si :
|
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
207 |
|
Texte de l’événement |
Le Centre de distribution de clés a détecté <Nom de chiffrement> utilisation qui ne sera pas prise en charge dans la phase d’application, car service msds-SupportedEncryptionTypes est configuré pour prendre uniquement en charge AES-SHA1, mais le compte de service n’a pas de clés AES-SHA1. Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’avertissement 207 sera journalisé si :
|
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
208 |
|
Texte de l’événement |
Le Centre de distribution de clés a intentionnellement refusé l’utilisation du chiffrement, car service msds-SupportedEncryptionTypes est configuré pour prendre en charge uniquement AES-SHA1, mais le client ne fait pas de publicité sur AES-SHA1 Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’erreur 208 sera journalisé si :
|
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
209 |
|
Texte de l’événement |
Le centre de distribution de clés a intentionnellement refusé l’utilisation du chiffrement, car service msds-SupportedEncryptionTypes est configuré pour prendre en charge uniquement AES-SHA1, mais le compte de service n’a pas de clés AES-SHA1 Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’erreur 209 sera journalisé si :
|
Remarque
Si vous constatez que l’un de ces messages d’avertissement est enregistré sur un contrôleur de domaine, il est probable que tous les contrôleurs de domaine de votre domaine ne soient pas à jour avec une mise à jour Windows publiée à partir du 13 janvier 2026. Pour atténuer la vulnérabilité, vous devez examiner votre domaine plus en détail afin de trouver les contrôleurs de domaine qui ne sont pas à jour.
Si vous voyez un ID d’événement : 0x8000002A connecté à un contrôleur de domaine, consultez KB5021131 : Comment gérer les modifications de protocole Kerberos liées à CVE-2022-37966.
Foire aux questions (FAQ)
Ce renforcement a un impact sur les contrôleurs de domaine Windows lorsqu’ils émettent des tickets de service. Le flux de référence et d’approbation Kerberos n’est pas affecté.
Les appareils de domaine tiers qui ne peuvent pas traiter AES-SHA1 doivent déjà avoir été configurés explicitement pour autoriser AES-SHA1.
Non. Nous journaliserons les événements d’avertissement pour les configurations non sécurisées pour DefaultDomainSupportedEncTypes. En outre, nous n’ignorerons aucune configuration explicitement définie par un client.
Ressources
KB5020805 : Comment gérer les modifications de protocole Kerberos liées à CVE-2022-37967
KB5021131 : Comment gérer les modifications du protocole Kerberos liées à CVE-2022-37966
