Date de publication d’origine : 13 janvier 2026
ID de la base de connaissances : 5073381
Dans cet article
Résumé
Les mises à jour Windows publiées à partir du 13 janvier 2026 contiennent des protections contre une vulnérabilité avec le protocole d’authentification Kerberos. Les mises à jour Windows traitent d’une vulnérabilité de divulgation d’informations dans CVE-2026-20833 qui peut permettre à un attaquant d’obtenir des tickets de service avec des types de chiffrement faibles ou hérités tels que RC4 pour effectuer des attaques hors connexion afin de récupérer un mot de passe de compte de service.
Pour atténuer cette vulnérabilité, les mises à jour Windows publiées le 14 avril 2026 et après, modifient la valeur par défaut du Centre de distribution de clés Kerberos (KDC) pour DefaultDomainSupportedEncTypes, sauf si les administrateurs activent le mode d’application précédemment. Les contrôleurs de domaine mis à jour s’exécutant en mode d’application supposent uniquement la prise en charge des configurations de type de chiffrement AES (Advanced Encryption Standard) si aucune configuration explicite n’est spécifiée. Pour plus d’informations, consultez Indicateurs de bits des types de chiffrement pris en charge. La valeur par défaut de DefaultDomainSupportedEncTypes s’applique en l’absence d’une valeur explicite.
Sur les contrôleurs de domaine avec une valeur de Registre DefaultDomainSupportedEncTypes définie, le comportement n’est pas affecté fonctionnellement par ces modifications. Toutefois, un ID d’événement KDCSVC d’événement d’audit : 205 sera journalisé dans le journal des événements système si la configuration DefaultDomainSupportedEncTypes existante n’est pas sécurisée (par exemple, lorsqu’un chiffrement RC4 est utilisé).
Gérez activement vos projets
Pour protéger votre environnement et éviter les pannes, nous vous recommandons d’effectuer les opérations suivantes :
-
METTRE À JOUR Contrôleurs de domaine Microsoft Active Directory à compter des mises à jour Windows publiées à partir du 13 janvier 2026.
-
SURVEILLEz le journal des événements système pour l’un des neuf événements d’audit KDCSVC 201 > 209 connectés sur Windows Server 2012 et les contrôleurs de domaine plus récents qui identifient les risques liés à l’activation des protections RC4.
-
ATTÉNUER Événements KDCSVC enregistrés dans le journal des événements système qui empêchent l’activation manuelle ou programmatique des protections RC4.
-
ACTIVER Mode d’application pour résoudre les vulnérabilités corrigées dans CVE-2026-20833 dans votre environnement lorsque les événements d’avertissement, de blocage ou de stratégie ne sont plus enregistrés.
IMPORTANT L’installation des mises à jour publiées le ou après le 13 janvier 2026 ne corrige PAS les vulnérabilités décrites dans CVE-2026-20833 pour les contrôleurs de domaine Active Directory par défaut. Pour atténuer entièrement la vulnérabilité, vous devez activer manuellement le mode d’application (décrit dans Étape 3 : ACTIVER) sur tous les contrôleurs de domaine. L’installation de Windows Mises à jour publiée le et après juillet 2026 active par programmation la phase d’application.
Le mode d’application sera automatiquement activé en installant Windows Mises à jour publié à partir d’avril 2026 sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables des appareils non conformes. À ce stade, vous ne serez pas en mesure de désactiver l’audit, mais vous pouvez revenir au paramètre Mode audit. Le mode Audit sera supprimé en juillet 2026, comme indiqué dans la section Minutage des mises à jour , et le mode d’application sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables des appareils non conformes.
Si vous devez tirer parti de RC4 après avril 2026, nous vous recommandons d’activer explicitement RC4 dans le masque de bits msds-SupportedEncryptionTypes sur les services qui devront accepter l’utilisation de RC4.
Calendrier des mises à jour
13 janvier 2026 - Phase de déploiement initiale
La phase de déploiement initiale commence avec les mises à jour publiées le 13 janvier 2026 et se poursuit avec les mises à jour Windows ultérieures jusqu’à la phase d’application . Cette phase a pour objectif d’avertir les clients des nouvelles mises en œuvre de sécurité qui seront introduites lors de la deuxième phase de déploiement. Cette mise à jour :
-
Fournit des événements d’audit pour avertir les clients susceptibles d’être affectés négativement par le renforcement de la sécurité à venir.
-
Introduit la prise en charge de la valeur de Registre RC4DefaultDisablementPhase après qu’un administrateur a activé la modification de manière proactive en définissant la valeur sur 2 sur les contrôleurs de domaine lorsque les événements d’audit KDCSVC indiquent qu’il est sûr de le faire.
14 avril 2026 - Phase de mise en application avec restauration manuelle
Cette mise à jour modifie la valeur par défaut DefaultDomainSupportedEncTypes pour les opérations KDC afin de tirer parti d’AES-SHA1 pour les comptes qui n’ont pas d’attribut active directory msds-SupportedEncryptionTypes explicite défini.
Cette phase remplace la valeur par défaut de DefaultDomainSupportedEncTypes par AES-SHA1 uniquement : 0x18.
Cette phase permet également la configuration manuelle de la valeur de restauration RC4DefaultDisablementPhase jusqu’à l’application programmatique en juillet 2026.
Juillet 2026 - Phase de mise en application
Les mises à jour Windows publiées dans ou après juillet 2026 suppriment la prise en charge de la sous-clé de Registre RC4DefaultDisablementPhase.
Instructions de déploiement
Pour déployer les mises à jour Windows publiées à partir du 13 janvier 2026, procédez comme suit :
-
METTEZ À JOUR vos contrôleurs de domaine avec une mise à jour Windows publiée le 13 janvier 2026 ou après cette date.
-
SURVEILLER les événements enregistrés pendant la phase de déploiement initiale pour sécuriser votre environnement.
-
DÉPLACEz vos contrôleurs de domaine en mode d’application à l’aide de la section Paramètres du Registre.
Étape 1 : METTRE À JOUR
Déployez la mise à jour Windows publiée le 13 janvier 2026 ou après cette date sur tous les services Windows Active Directory applicables s’exécutant en tant que contrôleur de domaine après le déploiement de la mise à jour.
-
Les événements d’audit s’affichent dans les journaux des événements système si vos contrôleurs de domaine Windows Server 2012 ou ultérieurs reçoivent des demandes de ticket de service Kerberos qui nécessitent l’utilisation du chiffrement RC4, mais que le compte de service a une configuration de chiffrement par défaut.
-
Audit Event 205 sera enregistré dans le journal des événements système si votre contrôleur de domaine dispose d’une configuration DefaultDomainSupportedEncTypes explicite pour autoriser le chiffrement RC4.
Étape 2 : SURVEILLER
Une fois les contrôleurs de domaine mis à jour, si vous ne voyez pas les événements d’audit documentés dans cet article, basculez vers le mode d’application en remplaçant la valeur de Registre RC4DefaultDisablementPhase par 2.
Si des événements d’audit sont générés, vous devez supprimer les dépendances RC4 ou configurer explicitement l’attribut accounts msds-SupportedEncryptionTypes pour prendre en charge l’utilisation continue de RC4 après l’activation manuelle ou automatique du mode d’application .
Pour les administrateurs qui souhaitent corriger l’utilisation de RC4 plus largement que ce qui est décrit dans cet article, nous vous recommandons de consulter Détecter et corriger l’utilisation de RC4 dans Kerberos pour plus d’informations.
IMPORTANT Les événements d’audit liés à cette modification sont générés uniquement quand Active Directory ne parvient pas à émettre des tickets de service AES-SHA1 ou des clés de session. L’absence d’événements d’audit ne garantit pas que tous les appareils non Windows acceptent correctement l’authentification Kerberos après la mise à jour d’avril. Les clients doivent valider l’interopérabilité non-Windows par le biais de tests avant d’activer largement ce comportement.
Étape 3 : ACTIVER
Activez le mode d’application pour résoudre les vulnérabilités CVE-2026-20833 dans votre environnement.
-
Si un KDC est invité à fournir un ticket de service RC4 pour un compte avec des configurations par défaut, un événement d’erreur est enregistré.
-
Vous continuerez à voir un ID d’événement : 205 journalisé pour toute configuration non sécurisée de DefaultDomainSupportedEncTypes.
Paramètres du Registre
Une fois les mises à jour Windows publiées le 13 janvier 2026 ou ultérieures, la clé de Registre suivante est disponible pour le protocole Kerberos.
RC4DefaultDisablementPhase
Cette clé de Registre est utilisée pour contrôler le déploiement des modifications Kerberos. Cette clé de Registre est temporaire et ne sera plus lue après la date d’application.
|
Clé de Registre |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Type de données |
REG_DWORD |
|
Nom de la valeur |
RC4DefaultDisablementPhase |
|
Données de la valeur |
0 – Aucun audit, aucune modification 1 - Les événements d’avertissement seront enregistrés sur l’utilisation de RC4 par défaut. (Valeur par défaut de la phase 1) 2 – Kerberos commence à supposer que RC4 n’est pas activé par défaut. (Phase 2 par défaut) |
|
Redémarrage requis ? |
Oui |
Événements d’audit
Une fois que les mises à jour Windows publiées le ou après le 13 janvier 2026 sont installées, les types d’événements D’audit KSCSVC suivants sont ajoutés au journal des événements système de Windows Server 2012 et ultérieurement exécutés en tant que contrôleur de domaine.
Dans cette section
ID d’événement : 201
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
201 |
|
Texte de l’événement |
Le centre de distribution de clés a détecté <nom de chiffrement> utilisation qui ne sera pas prise en charge dans la phase d’application, car service msds-SupportedEncryptionTypes n’est pas défini et le client prend uniquement en charge les types de chiffrement non sécurisés. Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
ID d’événement : 201 sera journalisé si :
|
ID d’événement : 202
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
202 |
|
Texte de l’événement |
Le centre de distribution de clés a détecté <nom de chiffrement> utilisation qui ne sera pas prise en charge dans la phase d’application, car le service msds-SupportedEncryptionTypes n’est pas défini et le compte de service ne possède que des clés non sécurisées. Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’avertissement 202 sera journalisé si :
|
ID d’événement : 203
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
203 |
|
Texte de l’événement |
Le centre de distribution de clés a bloqué l’utilisation du chiffrement, car service msds-SupportedEncryptionTypes n’est pas défini et le client prend uniquement en charge les types de chiffrement non sécurisés. Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’erreur 203 sera journalisé si :
|
ID d’événement : 204
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
204 |
|
Texte de l’événement |
Le centre de distribution de clés a bloqué l’utilisation du chiffrement, car le service msds-SupportedEncryptionTypes n’est pas défini et le compte de service a uniquement des clés non sécurisées. Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’erreur 204 sera journalisé si :
|
ID d’événement : 205
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
205 |
|
Texte de l’événement |
Le Centre de distribution de clés a détecté une activation explicite du chiffrement dans la configuration de stratégie Types de chiffrement pris en charge par le domaine par défaut. Chiffrement(s) : <chiffrements non sécurisés activés> DefaultDomainSupportedEncTypes : <valeur DefaultDomainSupportedEncTypes configurée> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’avertissement 205 sera journalisé si :
|
ID d’événement : 206
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
206 |
|
Texte de l’événement |
Le centre de distribution de clés a détecté <nom de chiffrement> utilisation qui ne sera pas prise en charge dans la phase d’application, car le service msds-SupportedEncryptionTypes est configuré pour prendre uniquement en charge AES-SHA1, mais le client n’annonce pas AES-SHA1 Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’avertissement 206 sera journalisé si :
|
ID d’événement : 207
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
207 |
|
Texte de l’événement |
Le Centre de distribution de clés a détecté <Nom de chiffrement> utilisation qui ne sera pas prise en charge dans la phase d’application, car service msds-SupportedEncryptionTypes est configuré pour prendre uniquement en charge AES-SHA1, mais le compte de service n’a pas de clés AES-SHA1. Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’avertissement 207 sera journalisé si :
|
ID d’événement : 208
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
208 |
|
Texte de l’événement |
Le Centre de distribution de clés a intentionnellement refusé l’utilisation du chiffrement, car service msds-SupportedEncryptionTypes est configuré pour prendre en charge uniquement AES-SHA1, mais le client ne fait pas de publicité sur AES-SHA1 Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’erreur 208 sera journalisé si :
|
ID d’événement : 209
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Kdcsvc |
|
ID d’événement |
209 |
|
Texte de l’événement |
Le centre de distribution de clés a intentionnellement refusé l’utilisation du chiffrement, car service msds-SupportedEncryptionTypes est configuré pour prendre en charge uniquement AES-SHA1, mais le compte de service n’a pas de clés AES-SHA1 Informations sur le compte Nom du compte : <Nom du compte> Nom du domaine fourni : <nom de domaine fourni> msds-SupportedEncryptionTypes : <types de chiffrement pris en charge> Clés disponibles : <clés disponibles> Informations sur le service : Nom du service : <nom du service> ID de service : <sid du service> msds-SupportedEncryptionTypes : types de chiffrement pris en charge par le service <> Clés disponibles : <service Clés disponibles> Informations sur le contrôleur de domaine : msds-SupportedEncryptionTypes : <types de chiffrement pris en charge par le contrôleur de domaine> DefaultDomainSupportedEncTypes : valeur <DefaultDomainSupportedEncTypes> Clés disponibles : <clés disponibles du contrôleur de domaine> Informations sur le réseau : Adresse du client : <> d’adresse IP du client Port client :> de port client < Etypes publicitaires : <types de chiffrement Kerberos publicitaires> Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commentaires |
L’événement d’erreur 209 sera journalisé si :
|
Remarque
En ce qui concerne la modification implicite de la sélection du chiffrement des tickets de service, Microsoft a une visibilité limitée sur les raisons pour lesquelles un appareil non-Windows peut ne pas être en mesure d’accepter l’authentification Kerberos après que les KDC ont appliqué la mise à jour d’avril et passé au comportement AES-SHA1 par défaut lorsqu’ils ne sont pas spécifiés. Nous vous suggérons de valider ces modifications par le biais de tests dans votre propre environnement avant d’activer ce comportement à grande échelle.
L’endroit le plus courant où cela se produit est avec les appareils qui tirent parti de Kerberos Keytabs. Si le keytab Kerberos a été exporté uniquement avec des clés RC4, mais que le compte de service cible a des clés AES-SHA1 et n’a pas de msds-SupportedEncryptionTypes défini, il existe un risque d’échec de l’authentification pour ce service. Cela se manifestera probablement sous la forme d’échecs d’authentification provenant du service cible plutôt que du KDC.
Notre principale recommandation est de travailler avec le fournisseur de l’appareil non-Windows. En général, les échecs d’acceptation de l’authentification Kerberos par des appareils non Windows ne sont pas propres aux modifications d’avril et peuvent être dus à des limitations spécifiques à l’appareil ou à l’implémentation.
Si des problèmes d’authentification Kerberos sont observés sur des appareils non Windows après cette modification et que la correction du fournisseur n’est pas réalisable, nos recommandations sont les suivantes :
-
Sur le compte de service affecté, définissez explicitement msDS-SupportedEncryptionTypes pour inclure RC4 avec des clés de session AES (0x24).
-
Si cela n’est pas possible, en dernier recours, configurez manuellement la valeur de Registre DefaultDomainSupportedEncTypes sur tous les KDC pertinents pour inclure RC4 avec les clés de session AES-SHA1 (0x24). Notez que cela rend tous les comptes du domaine vulnérables à CVE-2026-20833.
Il est important de noter que cette configuration n’est pas sécurisée et que notre recommandation à long terme est de migrer des appareils non Windows vers des versions qui prennent en charge le chiffrement de ticket Kerberos AES-SHA1.
Foire aux questions (FAQ)
Q1 : Comment cette modification interagit-elle avec les domaines qui ont des KDC tiers ?
Ce changement de renforcement a uniquement un impact sur les contrôleurs de domaine Windows. Le flux d’approbation Kerberos et de référence avec d’autres contrôleurs de domaine Windows ou des KDC tiers n’est pas affecté.
Q2 : Comment cette modification interagit-elle avec les domaines qui ont des appareils de domaine non Windows ?
Les appareils de domaine tiers qui ne peuvent pas traiter le chiffrement AES-SHA1 doivent avoir déjà été configurés explicitement pour autoriser le chiffrement RC4. Les services qui ne peuvent pas traiter les tickets AES-SHA1 doivent être corrigés ou configurés explicitement dans Active Diretory pour fournir le chiffrement RC4 comme indiqué ci-dessus. Validez soigneusement ces modifications.
Q3 : Microsoft va-t-il supprimer la possibilité de configurer DefaultDomainSupportedEncTypes ?
Non. Nous journaliserons les événements d’avertissement pour les configurations non sécurisées pour DefaultDomainSupportedEncTypes. En outre, nous respecterons toute configuration définie explicitement par un administrateur.
Ressources
Journal des modifications
|
Modifier la date |
Modifier la description |
|
14 avril 2026 |
|
|
7 avril 2026 |
|
|
16 mars 2026 |
|
|
10 février 2026 |
|
