חל על
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

תאריך פרסום מקורי: ה-13 בינואר 2026

מזהה KB: 5073381

שנה תאריך

שינוי תיאור

(יום שלישי 10 פברואר 2026)

  • נוסף קישור התיעוד למופעים של DefaultDomainSupportedEncTypes.

  • תוקן הנתון של נקודת התבליט השניה במקטע "Step3: Enable".מ: מציג את ערך הרישום RC4DefaultDisablementPhase כדי לאפשר באופן יזום את השינוי על-ידי הגדרת הערך ל- 2 בבקרי תחום כאשר אירועי ביקורת של KDCSVC מציינים כי ניתן לעשות זאת בצורה בטוחה.אל: מציג תמיכה בערך הרישום RC4DefaultDisablementPhase לאחר שמנהל מערכת הופך את השינוי לזמין באופן יזום על-ידי הגדרת הערך ל- 2 בבקרי תחום כאשר אירועי ביקורת של KDCSVC מציינים כי ניתן לעשות זאת בצורה בטוחה.

  • מתחת להערה חשובה במקטע "בצע פעולה", שינית את המשפט הראשון של הפיסקה כדי לציין בערך מתי מצב אכיפה יהיה זמין.מ: החל מאפריל 2026, מצב אכיפה יהיה זמין בכל בקרי התחום של Windows ויחסום חיבורים פגיעים ממכשירים שאינם תואמים.אל: מצב אכיפה יהיה זמין באופן אוטומטי על-ידי התקנת Windows עדכונים שוחרר באפריל 2026 או לאחר מכן בכל בקרי התחום של Windows ויחסום חיבורים פגיעים ממכשירים שאינם תואמים.

  • נוספו מילים לאזכור שינוי זה נעשה על-ידי Windows עדכונים שהופצו ב- 13 בינואר 2026 וב- CVE-2026-20833.

במאמר זה

סיכום

עדכוני Windows שהופצו ב- 13 בינואר 2026 ולאחר מכן, מכילים הגנות עבור פגיעות בפרוטוקול האימות של Kerberos. עדכוני Windows לטפל בפגיעות של גילוי מידע ב- CVE-2026-20833 שעשויה לאפשר לתוקף להשיג כרטיסי שירות עם סוגי הצפנה חלשים או מדור קודם, כגון RC4, לבצע תקיפות לא מקוונות כדי לשחזר סיסמת חשבון שירות.

כדי לצמצם פגיעות זו, ערך ברירת המחדל של DefaultDomainSupportedEncTypes משתנה על-ידי הפעלת מצב אכיפה. בקרי תחום מעודכנים הפועלים במצב אכיפה יתמכו רק בהגדרות הצפנה מתקדמת Standard (AES). לקבלת מידע נוסף, ראה דגלי סיביות נתמכים של סוגי הצפנה. ערך ברירת המחדל עבור DefaultDomainSupportedEncTypes חל בהיעדר ערך מפורש

בבקרי תחום עם ערך רישום מוגדר של DefaultDomainSupportedEncTypes, אופן הפעולה לא יושפע באופן פונקציונלי משינויים אלה. עם זאת, מזהה אירוע KDCSVC של אירוע ביקורת: 205 יירשם ביומן האירועים של המערכת אם התצורה הקיימת של DefaultDomainSupportedEncTypes אינה מאובטחת (לדוגמה, בעת שימוש בצופן RC4).

נקוט פעולה

כדי לסייע בהגנה על הסביבה שלך ולמנוע הפסקות חשמל, מומלץ: 

  • עדכון בקרי תחום של Microsoft Active Directory החל מעדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן.

  • נטר את יומן האירועים של המערכת עבור כל אחד מתשע אירועי הביקורת KDCSVC 201 > 209 המחוברים ב- Windows Server 2012 ובקרי תחום חדשים יותר שמזהים סיכונים עם הפעלה של הגנות RC4.

  • צמצום אירועי KDCSVC שנרשמים ביומן האירועים של המערכת שמונעים הפעלה ידנית או תיכנותית של הגנות RC4.

  • לאפשר מצב אכיפה כדי לטפל בפגיעויות ש טופלו ב- CVE-2026-20833 בסביבה שלך כאשר אירועי אזהרה, חסימה או מדיניות אינם נרשמים עוד.

חשוב התקנת עדכונים שהופצו ב- 13 בינואר 2026 או לאחר מכן לא תמען בפגיעויות המתוארות ב- CVE-2026-20833 עבור בקרי תחום של Active Directory כברירת מחדל. כדי לצמצם את הפגיעות באופן מלא, עליך להפוך מצב אכיפה לזמין באופן ידני (המתואר בשלב 3: הפוך לזמין) בכל בקרי התחום. התקנת Windows עדכונים לאחר יולי 2026 תאפשר שלב אכיפה באופן תיכנותי.

מצב אכיפה יהיה זמין באופן אוטומטי על-ידי התקנת Windows עדכונים שוחרר באפריל 2026 או לאחר מכן בכל בקרי התחום של Windows ויחסום חיבורים פגיעים ממכשירים שאינם תואמים.  בשלב זה, לא תוכל להפוך את הביקורת ללא זמינה, אך היא עשויה לחזור להגדרת מצב ביקורת. מצב ביקורת יוסר ביולי 2026, כמתואר בסעיף 'תזמון עדכונים', ומצב אכיפה יהיה זמין בכל בקרי התחום של Windows ויחסום חיבורים פגיעים ממכשירים שאינם תואמים.

אם עליך למנף את RC4 לאחר אפריל 2026, מומלץ להפוך את RC4 לזמין באופן מפורש בתוך מסיכת הסיביות msds-SupportedEncryptionTypes בשירותים שיצטרכו לקבל שימוש ב- RC4. 

תזמון עדכונים

13 בינואר 2026 - שלב הפריסה הראשונית 

שלב הפריסה הראשונית מתחיל בעדכונים שהופצו ב- 13 בינואר 2026 ולאחר מכן ממשיך בעדכונים מאוחרים יותר של Windows עד לשלב האכיפה . שלב זה הוא להזהיר לקוחות מפני רשויות אבטחה חדשות שהוצגו בשלב הפריסה השני. עדכון זה: 

  • מספק אירועי ביקורת כדי להזהיר לקוחות שעשויים להיות מושפעים שליליים מההת הקשיחות הקרובה של האבטחה.

  • הצגת תמיכה בערך הרישום RC4DefaultDisablementPhase לאחר שמנהל מערכת הופך את השינוי לזמין באופן יזום על-ידי הגדרת הערך ל- 2 בבקרי תחום כאשר אירועי ביקורת של KDCSVC מציינים כי ניתן לעשות זאת בצורה בטוחה.

אפריל 2026 - שלב האכיפה עם חזרה למצב קודם ידני 

עדכון זה משנה את ערך DefaultDomainSupportedEncTypes המהווה ברירת מחדל עבור פעולות KDC כדי למנף את AES-SHA1 עבור חשבונות שלא הוגדרה עבורם תכונת Active Directory מפורשת של msds-SupportedEncryptionTypes

רמה זו משנה את ערך ברירת המחדל עבור DefaultDomainSupportedEncTypes ל- AES-SHA1 בלבד: 0x18

שלב זה גם מאפשר את קביעת התצורה הידנית של ערך החזרה למצב קודם של RC4DefaultDisablementPhase עד לאכיפה תוכניתית ביולי 2026.

יולי 2026 - שלב האכיפה 

עדכוני Windows שהופצו ביולי 2026 או לאחר מכן יסירו את התמיכה במפתח המשנה של הרישום RC4DefaultDisablementPhase

קווים מנחים לפריסה

כדי לפרוס את עדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן, בצע את השלבים הבאים: 

  1. עדכן את בקרי התחום שלך בעדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן.

  2. אירועי MONITOR שנרשם במהלך שלב הפריסה הראשונית כדי לעזור לאבטח את הסביבה שלך.

  3. העבר את בקרי התחום שלך למצב אכיפה באמצעות המקטע הגדרות רישום.

שלב 1: עדכון  

פרוס את עדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן בכל Windows Active Directory הרלוונטי הפועל כבקר תחום לאחר פריסת העדכון.

  • אירועי ביקורת יופיעו ביומני אירועים של המערכת אם בקרי התחום של Windows Server 2012 ואילך מקבלים בקשות לכרטיס שירות Kerberos הדורשות שימוש בצופן RC4, אך לחשבון השירות יש תצורת הצפנה המהווה ברירת מחדל.

  • אירוע ביקורת 205 יירשם ביומן האירועים של המערכת אם לבקר התחום שלך יש תצורת DefaultDomainSupportedEncTypes מפורשת כדי לאפשר הצפנת RC4.

שלב 2: צג

לאחר עדכון בקרי התחום, אם אינך רואה אירועי ביקורת כלשהם, עבור למצב אכיפה על-ידי שינוי הערך RC4DefaultDisablementPhase ל- 2.   

אם נוצרו אירועי ביקורת, יהיה עליך להסיר יחסי תלות של RC4 או לקבוע באופן מפורש את תצורת סוגי ההצפנה הנתמכים של Kerberos עבור החשבונות כדי לתמוך בשימוש המתמשך ב- RC4 לאחר ההפעלה הידני או האוטומטית של מצב אכיפה.

כדי ללמוד כיצד לזהות שימוש ב- RC4 בתחום שלך, הביקורת תזהה חשבונות מכשיר ומשתמשים שעדיין תלויים ב- RC4. מנהלי מערכת צריכים לבצע שלבים כדי לתקנו את השימוש לטובת סוגי הצפנה חזקים יותר או לנהל יחסי תלות של RC4. לקבלת מידע נוסף, ראה זיהוי ותיקון של השימוש ב- RC4 ב- Kerberos.

שלב 3: הפוך לזמין  

הפוך מצב אכיפה לזמין כדי לטפל בפגיעויות CVE-2026-20833 בסביבה שלך. 

  • אם התבקש KDC לספק כרטיס שירות RC4 עבור חשבון עם תצורות ברירת מחדל, יירשם אירוע שגיאה.

  • תמשיך לראות מזהה אירוע: 205 נרשם עבור כל תצורה לא מאובטחת של DefaultDomainSupportedEncTypes.

הגדרות רישום

לאחר התקנת עדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן, מפתח הרישום הבא זמין עבור פרוטוקול Kerberos.

מפתח רישום זה משמש לשער הפריסה של שינויי Kerberos. מפתח רישום זה הוא זמני ולא ייקרא עוד לאחר תאריך האכיפה.

מפתח רישום

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

סוג נתונים

REG_DWORD

שם ערך

RC4DefaultDisablementPhase

נתוני ערך

0 – ללא ביקורת, ללא שינוי 

1 - אירועי אזהרה יירשם על שימוש ברירת המחדל ב- RC4. (ברירת המחדל של שלב 1) 

2 – Kerberos יתחיל בהנחה ש- RC4 אינו זמין כברירת מחדל.  (ברירת המחדל של שלב 2) 

נדרשת הפעלה מחדש?

כן

אירועי ביקורת

לאחר התקנת עדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן, סוגי האירועים הבאים של ביקורת KSCSVC מתווספים ליומן האירועים של המערכת של Windows Server 2012 ואילך פועלים כבקר תחום.

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

201

טקסט אירוע

מרכז התפלגות מקשים זיהה שימוש <Cipher Name> שלא יהיה נתמך בשלב האכיפה מאחר ש- service msds-SupportedEncryptionTypes אינו מוגדר והלקוח תומך רק בסוגי הצפנה לא מאובטחים. 

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

מזהה אירוע: 201 יירשם אם:

  • הלקוח הוא רק פרסום RC4 כ- Advertized Etypes

  • לשירות היעד אין msds-SET מוגדרת

  • לבקר התחום לא הוגדר DDSET

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 1

  • אירוע אזהרה 201 מעברים לאירוע שגיאה 203 במצב אכיפה

  • אירוע זה נרשם לכל בקשה

  • אירוע אזהרה 201 אינו רשום אם DefaultDomainSupportedEncTypes מוגדר באופן ידני

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

202

טקסט אירוע

מרכז התפלגות המפתחות זיהה שימוש <בשם> שאינו נתמך בשלב האכיפה מכיוון ש- msds-SupportedEncryptionTypes של השירות אינו מוגדר וחשבון השירות כולל מפתחות לא מאובטחים בלבד.  

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע אזהרה 202 יירשם אם:

  • לשירות היעד אין מפתחות AES

  • לשירות היעד אין msds-SET מוגדרת

  • לבקר התחום לא הוגדר DDSET

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 1

  • אירוע שגיאה 202 מעברים לשגיאה 204 במצב אכיפה

  • אירוע אזהרה 202 נרשם לכל בקשה

  • אירוע אזהרה 202 אינו רשום אם DefaultDomainSupportedEncTypes מוגדר באופן ידני

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

203

טקסט אירוע

מרכז התפלגות המפתח חסם את השימוש בצופן מכיוון ש- msds-SupportedEncryptionTypes של שירות אינו מוגדר והלקוח תומך רק בסוגי הצפנה לא מאובטחים. 

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע שגיאה 203 יירשם אם:

  • הלקוח הוא רק פרסום RC4 כ- Advertized Etypes

  • לשירות היעד אין msds-SET מוגדרת

  • לבקר התחום לא הוגדר DDSET

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 2

  • לכל בקשה

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

204

טקסט אירוע

מרכז התפלגות המפתחות חסם את השימוש בצופן מאחר שהשירות msds-SupportedEncryptionTypes אינו מוגדר וחשבון השירות כולל מפתחות לא מאובטחים בלבד.  

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע שגיאה 204 יירשם אם:

  • לשירות היעד אין מפתחות AES

  • לשירות היעד אין msds-SET מוגדרת

  • לבקר התחום לא הוגדר DDSET

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 2

  • לכל בקשה

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

205

טקסט אירוע

מרכז הפצת מקשים זיהה הפעלה מפורשת של הצפנה בתצורה של מדיניות סוגי הצפנה נתמכים של תחום המהווה ברירת מחדל. 

צופן: <צופן לא מאובטח> 

DefaultDomainSupportedEncTypes: <ערך DefaultDomainSupportedEncTypes שתצורתו נקבעה> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף.

הערות

אירוע אזהרה 205 יירשם אם:

  • בקר התחום הגדיר DDSET כדי לכלול כל דבר פרט ל- AES-SHA1.

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 1, 2

  • פעולה זו לעולם לא ת להפוך לשגיאה

  • המטרה היא להפוך את הלקוחות מודעים לאוה"ם לא מאובטחים שאנו לא נבצע שינויים

  • נרשם בכל פעם בהתחלת KDCSVC

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

206

טקסט אירוע

מרכז התפלגות מקשים זיהה שימוש <Cipher Name> שלא יהיה נתמך בשלב האכיפה מאחר שהתצורה של Service msds-SupportedEncryptionTypes נקבעה לתמיכה ב- AES-SHA1 בלבד, אך הלקוח אינו משנה את התצורה של AES-SHA1 

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע אזהרה 206 יירשם אם:

  • הלקוח הוא רק פרסום RC4 כ- Advertized Etypes

  • אחת מהאפשרויות הבאות מתרחשת:

    • שירות היעד HAS msds-SET מוגדר ל- AES-SHA1 בלבד

    • בקר התחום הגדיר DDSET ל- AES-SHA1 בלבד

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 1

  • אירוע אזהרה 2016 מעבר לאירוע שגיאה 2018 במצב אכיפה

  • מחובר על בסיס כל בקשה

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

207

טקסט אירוע

מרכז התפלגות המפתחות זיהה שימוש ב<Cipher Name> שלא יהיה נתמך בשלב האכיפה מכיוון ש- Service msds-SupportedEncryptionTypes מוגדר לתמיכה ב- AES-SHA1 בלבד, אך חשבון השירות אינו כולל מפתחות AES-SHA1.  

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע אזהרה 207 יירשם אם:

  • לשירות היעד אין מפתחות AES

  • אחת מהאפשרויות הבאות מתרחשת:

    • שירות היעד HAS msds-SET מוגדר ל- AES-SHA1 בלבד

    • בקר התחום הגדיר DDSET ל- AES-SHA1 בלבד

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 1

  • מצב זה יהפוך ל- 209 (שגיאה) במצב אכיפה

  • לכל בקשה

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

208

טקסט אירוע

מרכז התפלגות המפתח דחה במכוון את השימוש בצופן מכיוון שהתצורה של Service msds-SupportedEncryptionTypes נקבעה לתמיכה ב- AES-SHA1 בלבד, אך הלקוח אינו מקדם את AES-SHA1 

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע שגיאה 208 יירשם אם:

  • הלקוח הוא רק פרסום RC4 כ- Advertized Etypes

  • אתר האינטרנט של הפריטים הבאים מתרחש:

    • שירות היעד HAS msds-SET מוגדר ל- AES-SHA1 בלבד

    • בקר התחום הגדיר DDSET ל- AES-SHA1 בלבד

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 2

  • לכל בקשה

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

209

טקסט אירוע

מרכז התפלגות המפתח דחה במכוון את השימוש בצופן מכיוון ש- Service msds-SupportedEncryptionTypes מוגדר לתמיכה ב- AES-SHA1 בלבד, אך חשבון השירות אינו כולל מפתחות AES-SHA1 

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע שגיאה 209 יירשם אם:

  • לשירות היעד אין מפתחות AES

  • אחת מהאפשרויות הבאות מתרחשת:

    • שירות היעד HAS msds-SET מוגדר ל- AES-SHA1 בלבד

    • בקר התחום הגדיר DDSET ל- AES-SHA1 בלבד

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 2

  • לכל בקשה

הערה

אם אתה מוצא אחת מהודעות אזהרה אלה נרשמת בבקר תחום, ייתכן שכל בקרי התחום בתחום שלך אינם מעודכנים בעדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן. כדי לצמצם את הפגיעות, יהיה עליך לבדוק את התחום שלך עוד יותר כדי למצוא את בקרי התחום שאינם מעודכנים.  

אם אתה רואה מזהה אירוע: 0x8000002A בבקר תחום, ראה KB5021131: כיצד לנהל את השינויים בפרוטוקול Kerberos הקשורים ל- CVE-2022-37966.

שאלות נפוצות (שאלות נפוצות)

שינוי קשיח זה משפיע רק על בקרי התחום של Windows. זרימת יחסי האמון וההפניה של Kerberos עם בקרי תחום אחרים של Windows או רכיבי KDC של ספקים חיצוניים אינה מושפעת.

התקני תחום של ספקים חיצוניים שאינם יכולים לעבד הצפנת AES-SHA1 אמורים כבר להיות מוגדרים באופן מפורש כדי לאפשר הצפנת AES-SHA1.

לא. נרשום אירועי אזהרה עבור תצורות לא מאובטחות עבור DefaultDomainSupportedEncTypes. בנוסף, נכבד כל תצורה המוגדרת באופן מפורש על-ידי מנהל מערכת.

משאבים

KB5020805: כיצד לנהל שינויים בפרוטוקול Kerberos הקשורים ל- CVE-2022-37967

KB5021131: כיצד לנהל את השינויים בפרוטוקול Kerberos הקשורים ל- CVE-2022-37966

דגלי סיביות של סוגי הצפנה נתמכים

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות