תאריך פרסום מקורי: ה-13 בינואר 2026
מזהה KB: 5073381
במאמר זה
סיכום
עדכוני Windows שהופצו ב- 13 בינואר 2026 ולאחר מכן, מכילים הגנות עבור פגיעות בפרוטוקול האימות של Kerberos. עדכוני Windows לטפל בפגיעות של גילוי מידע ב- CVE-2026-20833 שעשויה לאפשר לתוקף להשיג כרטיסי שירות עם סוגי הצפנה חלשים או מדור קודם, כגון RC4, לבצע תקיפות לא מקוונות כדי לשחזר סיסמת חשבון שירות.
כדי לצמצם פגיעות זו, עדכוני Windows שהופצו ב- 14 באפריל 2026 ולאחר מכן, שנה את ערך ברירת המחדל של מרכז התפלגות מקשים (KDC) של Kerberos עבור DefaultDomainSupportedEncTypes, אלא אם כן מנהלי מערכת מאפשרים מצב אכיפה מוקדם יותר. בקרי תחום מעודכנים הפועלים במצב אכיפה יתמכו רק עבור תצורות סוג הצפנה מסוג הצפנה מסוג Standard (AES) אם לא צוינה תצורה מפורשת. לקבלת מידע נוסף, ראה דגלי סיביות נתמכים של סוגי הצפנה. ערך ברירת המחדל עבור DefaultDomainSupportedEncTypes חל בהיעדר ערך מפורש.
בבקרי תחום עם ערך רישום מוגדר של DefaultDomainSupportedEncTypes, אופן הפעולה לא יושפע באופן פונקציונלי משינויים אלה. עם זאת, מזהה אירוע KDCSVC של אירוע ביקורת: 205 יירשם ביומן האירועים של המערכת אם התצורה הקיימת של DefaultDomainSupportedEncTypes אינה מאובטחת (לדוגמה, בעת שימוש בצופן RC4).
נקוט פעולה
כדי לסייע בהגנה על הסביבה שלך ולמנוע הפסקות חשמל, מומלץ:
-
עדכון בקרי תחום של Microsoft Active Directory החל מעדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן.
-
נטר את יומן האירועים של המערכת עבור כל אחד מתשע אירועי הביקורת KDCSVC 201 > 209 המחוברים ב- Windows Server 2012 ובקרי תחום חדשים יותר שמזהים סיכונים עם הפעלה של הגנות RC4.
-
צמצום אירועי KDCSVC שנרשמים ביומן האירועים של המערכת שמונעים הפעלה ידנית או תיכנותית של הגנות RC4.
-
לאפשר מצב אכיפה כדי לטפל בפגיעויות ש טופלו ב- CVE-2026-20833 בסביבה שלך כאשר אירועי אזהרה, חסימה או מדיניות אינם נרשמים עוד.
חשוב התקנת עדכונים שהופצו ב- 13 בינואר 2026 או לאחר מכן לא תמען בפגיעויות המתוארות ב- CVE-2026-20833 עבור בקרי תחום של Active Directory כברירת מחדל. כדי לצמצם את הפגיעות באופן מלא, עליך להפוך מצב אכיפה לזמין באופן ידני (המתואר בשלב 3: הפוך לזמין) בכל בקרי התחום. התקנת Windows עדכונים לאחר יולי 2026 תאפשר שלב אכיפה באופן תיכנותי.
מצב אכיפה יהיה זמין באופן אוטומטי על-ידי התקנת Windows עדכונים שוחרר באפריל 2026 או לאחר מכן בכל בקרי התחום של Windows ויחסום חיבורים פגיעים ממכשירים שאינם תואמים. בשלב זה, לא תוכל להפוך את הביקורת ללא זמינה, אך היא עשויה לחזור להגדרת מצב ביקורת. מצב ביקורת יוסר ביולי 2026, כמתואר בסעיף 'תזמון עדכונים', ומצב אכיפה יהיה זמין בכל בקרי התחום של Windows ויחסום חיבורים פגיעים ממכשירים שאינם תואמים.
אם עליך למנף את RC4 לאחר אפריל 2026, מומלץ להפוך את RC4 לזמין באופן מפורש בתוך מסיכת הסיביות msds-SupportedEncryptionTypes בשירותים שיצטרכו לקבל שימוש ב- RC4.
תזמון עדכונים
13 בינואר 2026 - שלב הפריסה הראשונית
שלב הפריסה הראשונית מתחיל בעדכונים שהופצו ב- 13 בינואר 2026 ולאחר מכן ממשיך בעדכונים מאוחרים יותר של Windows עד לשלב האכיפה . שלב זה הוא להזהיר לקוחות מפני רשויות אבטחה חדשות שהוצגו בשלב הפריסה השני. עדכון זה:
-
מספק אירועי ביקורת כדי להזהיר לקוחות שעשויים להיות מושפעים שליליים מההת הקשיחות הקרובה של האבטחה.
-
מציג תמיכה בערך הרישום RC4DefaultDisablementPhase לאחר שמנהל מערכת הופך את השינוי לזמין באופן יזום על-ידי הגדרת הערך ל- 2 בבקרי תחום כאשר אירועי ביקורת של KDCSVC מציינים כי ניתן לעשות זאת בצורה בטוחה.
14 באפריל 2026 - שלב האכיפה עם חזרה למצב קודם ידני
עדכון זה משנה את ערך DefaultDomainSupportedEncTypes המהווה ברירת מחדל עבור פעולות KDC כדי למנף את AES-SHA1 עבור חשבונות שלא הוגדרה עבורם תכונת Active Directory מפורשת של msds-SupportedEncryptionTypes.
רמה זו משנה את ערך ברירת המחדל עבור DefaultDomainSupportedEncTypes ל- AES-SHA1 בלבד: 0x18.
שלב זה גם מאפשר את קביעת התצורה הידנית של ערך החזרה למצב קודם של RC4DefaultDisablementPhase עד לאכיפה תוכניתית ביולי 2026.
יולי 2026 - שלב האכיפה
עדכוני Windows שהופצו ביולי 2026 או לאחר מכן יסירו את התמיכה במפתח המשנה של הרישום RC4DefaultDisablementPhase.
קווים מנחים לפריסה
כדי לפרוס את עדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן, בצע את השלבים הבאים:
-
עדכן את בקרי התחום שלך בעדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן.
-
אירועי MONITOR שנרשם במהלך שלב הפריסה הראשונית כדי לעזור לאבטח את הסביבה שלך.
-
העבר את בקרי התחום שלך למצב אכיפה באמצעות המקטע הגדרות רישום.
שלב 1: עדכון
פרוס את עדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן בכל Windows Active Directory הרלוונטי הפועל כבקר תחום לאחר פריסת העדכון.
-
אירועי ביקורת יופיעו ביומני אירועים של המערכת אם בקרי התחום של Windows Server 2012 ואילך מקבלים בקשות לכרטיס שירות Kerberos הדורשות שימוש בצופן RC4, אך לחשבון השירות יש תצורת הצפנה המהווה ברירת מחדל.
-
אירוע ביקורת 205 יירשם ביומן האירועים של המערכת אם לבקר התחום שלך יש תצורת DefaultDomainSupportedEncTypes מפורשת כדי לאפשר הצפנת RC4.
שלב 2: צג
לאחר עדכון בקרי תחום, אם אינך רואה אירועי ביקורת המתעדים במאמר זה, עבור למצב אכיפה על-ידי שינוי ערך הרישום RC4DefaultDisablementPhase ל- 2.
אם נוצרו אירועי ביקורת, יהיה עליך להסיר יחסי תלות של RC4 או לקבוע במפורש את התצורה של התכונה accounts msds-SupportedEncryptionTypes כדי לתמוך בשימוש מתמשך ב- RC4 לאחר ההפעלה הידני או האוטומטית של מצב אכיפה.
עבור מנהלי מערכת המעוניינים בתיקון השימוש ב- RC4 באופן רחב יותר מהמתואר במאמר זה, מומלץ לעיין בנושא זיהוי ותיקון של השימוש ב- RC4 ב- Kerberos לקבלת מידע נוסף.
חשוב אירועי ביקורת הקשורים לשינוי זה נוצרים רק כאשר ל- Active Directory אין אפשרות להנפיד כרטיסי שירות או מפתחות הפעלה של AES-SHA1. היעדר אירועי ביקורת אינו מבטיח שכל המכשירים שאינם של Windows יקבלו בהצלחה אימות Kerberos לאחר העדכון לאפריל. על הלקוחות לאמת יכולת פעולה הדדית שאינה של Windows באמצעות בדיקות לפני הפעלת אופן פעולה זה באופן נרחב.
שלב 3: הפוך לזמין
הפוך מצב אכיפה לזמין כדי לטפל בפגיעויות CVE-2026-20833 בסביבה שלך.
-
אם התבקש KDC לספק כרטיס שירות RC4 עבור חשבון עם תצורות ברירת מחדל, יירשם אירוע שגיאה.
-
תמשיך לראות מזהה אירוע: 205 נרשם עבור כל תצורה לא מאובטחת של DefaultDomainSupportedEncTypes.
הגדרות רישום
לאחר התקנת עדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן, מפתח הרישום הבא זמין עבור פרוטוקול Kerberos.
RC4DefaultDisablementPhase
מפתח רישום זה משמש לשער הפריסה של שינויי Kerberos. מפתח רישום זה הוא זמני ולא ייקרא עוד לאחר תאריך האכיפה.
|
מפתח רישום |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
סוג נתונים |
REG_DWORD |
|
שם ערך |
RC4DefaultDisablementPhase |
|
נתוני ערך |
0 – ללא ביקורת, ללא שינוי 1 - אירועי אזהרה יירשם על שימוש ברירת המחדל ב- RC4. (ברירת המחדל של שלב 1) 2 – Kerberos יתחיל בהנחה ש- RC4 אינו זמין כברירת מחדל. (ברירת המחדל של שלב 2) |
|
נדרשת הפעלה מחדש? |
כן |
אירועי ביקורת
לאחר התקנת עדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן, סוגי האירועים הבאים של ביקורת KSCSVC מתווספים ליומן האירועים של המערכת של Windows Server 2012 ואילך פועלים כבקר תחום.
בסעיף זה
מזהה אירוע: 201
|
יומן אירועים |
מערכת |
|
סוגי אירוע |
אזהרה |
|
מקור האירוע |
Kdcsvc |
|
מזהה האירוע |
201 |
|
טקסט אירוע |
מרכז התפלגות מקשים זיהה שימוש <Cipher Name> שלא יהיה נתמך בשלב האכיפה מאחר ש- service msds-SupportedEncryptionTypes אינו מוגדר והלקוח תומך רק בסוגי הצפנה לא מאובטחים. פרטי חשבון שם חשבון: <חשבון> שם תחום שסופק: <שם תחום שסופק> msds-SupportedEncryptionTypes: <סוגי הצפנה> מפתחות זמינים: <מפתחות זמינים> פרטי שירות: שם שירות: <שם שירות> מזהה שירות: <שירות SID> msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> מפתחות זמינים: <מפתחות זמינים של שירות> פרטי בקר תחום: msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> מפתחות זמינים: <מפתחות זמינים לבקר תחום> פרטי רשת: כתובת לקוח: <כתובת IP של לקוח> יציאת לקוח: <לקוח לקוח> סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. |
|
הערות |
מזהה אירוע: 201 יירשם אם:
|
מזהה אירוע: 202
|
יומן אירועים |
מערכת |
|
סוגי אירוע |
אזהרה |
|
מקור האירוע |
Kdcsvc |
|
מזהה האירוע |
202 |
|
טקסט אירוע |
מרכז התפלגות המפתחות זיהה שימוש <בשם> שאינו נתמך בשלב האכיפה מכיוון ש- msds-SupportedEncryptionTypes של השירות אינו מוגדר וחשבון השירות כולל מפתחות לא מאובטחים בלבד. פרטי חשבון שם חשבון: <חשבון> שם תחום שסופק: <שם תחום שסופק> msds-SupportedEncryptionTypes: <סוגי הצפנה> מפתחות זמינים: <מפתחות זמינים> פרטי שירות: שם שירות: <שם שירות> מזהה שירות: <שירות SID> msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> מפתחות זמינים: <מפתחות זמינים של שירות> פרטי בקר תחום: msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> מפתחות זמינים: <מפתחות זמינים לבקר תחום> פרטי רשת: כתובת לקוח: <כתובת IP של לקוח> יציאת לקוח: <לקוח לקוח> סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. |
|
הערות |
אירוע אזהרה 202 יירשם אם:
|
מזהה אירוע: 203
|
יומן אירועים |
מערכת |
|
סוגי אירוע |
אזהרה |
|
מקור האירוע |
Kdcsvc |
|
מזהה האירוע |
203 |
|
טקסט אירוע |
מרכז התפלגות המפתח חסם את השימוש בצופן מכיוון ש- msds-SupportedEncryptionTypes של שירות אינו מוגדר והלקוח תומך רק בסוגי הצפנה לא מאובטחים. פרטי חשבון שם חשבון: <חשבון> שם תחום שסופק: <שם תחום שסופק> msds-SupportedEncryptionTypes: <סוגי הצפנה> מפתחות זמינים: <מפתחות זמינים> פרטי שירות: שם שירות: <שם שירות> מזהה שירות: <שירות SID> msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> מפתחות זמינים: <מפתחות זמינים של שירות> פרטי בקר תחום: msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> מפתחות זמינים: <מפתחות זמינים לבקר תחום> פרטי רשת: כתובת לקוח: <כתובת IP של לקוח> יציאת לקוח: <לקוח לקוח> סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. |
|
הערות |
אירוע שגיאה 203 יירשם אם:
|
מזהה אירוע: 204
|
יומן אירועים |
מערכת |
|
סוגי אירוע |
אזהרה |
|
מקור האירוע |
Kdcsvc |
|
מזהה האירוע |
204 |
|
טקסט אירוע |
מרכז התפלגות המפתחות חסם את השימוש בצופן מאחר שהשירות msds-SupportedEncryptionTypes אינו מוגדר וחשבון השירות כולל מפתחות לא מאובטחים בלבד. פרטי חשבון שם חשבון: <חשבון> שם תחום שסופק: <שם תחום שסופק> msds-SupportedEncryptionTypes: <סוגי הצפנה> מפתחות זמינים: <מפתחות זמינים> פרטי שירות: שם שירות: <שם שירות> מזהה שירות: <שירות SID> msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> מפתחות זמינים: <מפתחות זמינים של שירות> פרטי בקר תחום: msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> מפתחות זמינים: <מפתחות זמינים לבקר תחום> פרטי רשת: כתובת לקוח: <כתובת IP של לקוח> יציאת לקוח: <לקוח לקוח> סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. |
|
הערות |
אירוע שגיאה 204 יירשם אם:
|
מזהה אירוע: 205
|
יומן אירועים |
מערכת |
|
סוגי אירוע |
אזהרה |
|
מקור האירוע |
Kdcsvc |
|
מזהה האירוע |
205 |
|
טקסט אירוע |
מרכז הפצת מקשים זיהה הפעלה מפורשת של הצפנה בתצורה של מדיניות סוגי הצפנה נתמכים של תחום המהווה ברירת מחדל. צופן: <צופן לא מאובטח> DefaultDomainSupportedEncTypes: <ערך DefaultDomainSupportedEncTypes שתצורתו נקבעה> ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. |
|
הערות |
אירוע אזהרה 205 יירשם אם:
|
מזהה אירוע: 206
|
יומן אירועים |
מערכת |
|
סוגי אירוע |
אזהרה |
|
מקור האירוע |
Kdcsvc |
|
מזהה האירוע |
206 |
|
טקסט אירוע |
מרכז התפלגות מקשים זיהה שימוש <Cipher Name> שלא יהיה נתמך בשלב האכיפה מאחר שהתצורה של Service msds-SupportedEncryptionTypes נקבעה לתמיכה ב- AES-SHA1 בלבד, אך הלקוח אינו משנה את התצורה של AES-SHA1 פרטי חשבון שם חשבון: <חשבון> שם תחום שסופק: <שם תחום שסופק> msds-SupportedEncryptionTypes: <סוגי הצפנה> מפתחות זמינים: <מפתחות זמינים> פרטי שירות: שם שירות: <שם שירות> מזהה שירות: <שירות SID> msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> מפתחות זמינים: <מפתחות זמינים של שירות> פרטי בקר תחום: msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> מפתחות זמינים: <מפתחות זמינים לבקר תחום> פרטי רשת: כתובת לקוח: <כתובת IP של לקוח> יציאת לקוח: <לקוח לקוח> סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. |
|
הערות |
אירוע אזהרה 206 יירשם אם:
|
מזהה אירוע: 207
|
יומן אירועים |
מערכת |
|
סוגי אירוע |
אזהרה |
|
מקור האירוע |
Kdcsvc |
|
מזהה האירוע |
207 |
|
טקסט אירוע |
מרכז התפלגות המפתחות זיהה שימוש ב<Cipher Name> שלא יהיה נתמך בשלב האכיפה מכיוון ש- Service msds-SupportedEncryptionTypes מוגדר לתמיכה ב- AES-SHA1 בלבד, אך חשבון השירות אינו כולל מפתחות AES-SHA1. פרטי חשבון שם חשבון: <חשבון> שם תחום שסופק: <שם תחום שסופק> msds-SupportedEncryptionTypes: <סוגי הצפנה> מפתחות זמינים: <מפתחות זמינים> פרטי שירות: שם שירות: <שם שירות> מזהה שירות: <שירות SID> msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> מפתחות זמינים: <מפתחות זמינים של שירות> פרטי בקר תחום: msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> מפתחות זמינים: <מפתחות זמינים לבקר תחום> פרטי רשת: כתובת לקוח: <כתובת IP של לקוח> יציאת לקוח: <לקוח לקוח> סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. |
|
הערות |
אירוע אזהרה 207 יירשם אם:
|
מזהה אירוע: 208
|
יומן אירועים |
מערכת |
|
סוגי אירוע |
אזהרה |
|
מקור האירוע |
Kdcsvc |
|
מזהה האירוע |
208 |
|
טקסט אירוע |
מרכז התפלגות המפתח דחה במכוון את השימוש בצופן מכיוון שהתצורה של Service msds-SupportedEncryptionTypes נקבעה לתמיכה ב- AES-SHA1 בלבד, אך הלקוח אינו מקדם את AES-SHA1 פרטי חשבון שם חשבון: <חשבון> שם תחום שסופק: <שם תחום שסופק> msds-SupportedEncryptionTypes: <סוגי הצפנה> מפתחות זמינים: <מפתחות זמינים> פרטי שירות: שם שירות: <שם שירות> מזהה שירות: <שירות SID> msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> מפתחות זמינים: <מפתחות זמינים של שירות> פרטי בקר תחום: msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> מפתחות זמינים: <מפתחות זמינים לבקר תחום> פרטי רשת: כתובת לקוח: <כתובת IP של לקוח> יציאת לקוח: <לקוח לקוח> סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. |
|
הערות |
אירוע שגיאה 208 יירשם אם:
|
מזהה אירוע: 209
|
יומן אירועים |
מערכת |
|
סוגי אירוע |
אזהרה |
|
מקור האירוע |
Kdcsvc |
|
מזהה האירוע |
209 |
|
טקסט אירוע |
מרכז התפלגות המפתח דחה במכוון את השימוש בצופן מכיוון ש- Service msds-SupportedEncryptionTypes מוגדר לתמיכה ב- AES-SHA1 בלבד, אך חשבון השירות אינו כולל מפתחות AES-SHA1 פרטי חשבון שם חשבון: <חשבון> שם תחום שסופק: <שם תחום שסופק> msds-SupportedEncryptionTypes: <סוגי הצפנה> מפתחות זמינים: <מפתחות זמינים> פרטי שירות: שם שירות: <שם שירות> מזהה שירות: <שירות SID> msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> מפתחות זמינים: <מפתחות זמינים של שירות> פרטי בקר תחום: msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> מפתחות זמינים: <מפתחות זמינים לבקר תחום> פרטי רשת: כתובת לקוח: <כתובת IP של לקוח> יציאת לקוח: <לקוח לקוח> סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. |
|
הערות |
אירוע שגיאה 209 יירשם אם:
|
הערה
בנוגע לשינוי משתמע בבחירה של הצפנה של כרטיס שירות, Microsoft כוללת ניראות מוגבלת מהסיבות לכך שייתכן שמכשיר שאינו של Windows לא יוכל לקבל אימות Kerberos לאחר ש- KDCs מחיל את העדכון מאפריל ומעביר לאופנה ברירת מחדל של AES-SHA1 כאשר לא צוין. מומלץ לאימות שינויים אלה באמצעות בדיקות בסביבה שלך לפני שתאפשר התנהגות זו באופן נרחב.
המקום הנפוץ ביותר שבו תיתקל בבעיה זו הוא מכשירים המשתמשים בטבלאות מקשים של Kerberos. אם כרטיסיית המפתח של Kerberos מיוצאת רק עם מפתחות RC4, אך חשבון שירות היעד כולל מפתחות AES-SHA1 ולא הוגדר בו msds-SupportedEncryptionTypes, קיימת אפשרות לכשל באימות שהגדיר השירות. סביר להניח שזה יתבטא בצורה של כשלי אימות מתוך שירות היעד ולא מה- KDC.
ההמלצה העיקרית שלנו היא לעבוד עם ספק המכשיר שאינו של Windows. באופן כללי, כשלים של מכשירים שאינם מכשירים של Windows לאימות Kerberos אינם ייחודיים לשינויים באפריל ועשויים להיות עקב מגבלות ספציפיות להתקן או מגבלות ספציפיות ליישום.
אם בעיות באימות Kerberos נצפו עם מכשירים שאינם של Windows לאחר שינוי זה, ותיקון הספק אינו ניתן לתיקון, ההמלצות שלנו הן כדלקמן:
-
בחשבון השירות המושפע, הגדר במפורש msDS-SupportedEncryptionTypes כדי לכלול RC4 עם מפתחות הפעלה של AES (0x24).
-
אם פעולה זו אינה אפשרית, כמוצר אחרון, קבע באופן ידני את ערך הרישום DefaultDomainSupportedEncTypes בכל מחשבי ה- KDC הרלוונטיים כך שיכלול את RC4 באמצעות מפתחות הפעלה של AES-SHA1 (0x24). שים לב כי פעולה זו משאירה את כל החשבונות בתחום חשופים ל- CVE-2026-20833.
חשוב לציין שתצורה זו אינה מאובטחת, והמלצה לטווח הארוך היא להעביר מכשירים שאינם של Windows לגירסאות התומכות בהצפנת כרטיס Kerberos מסוג AES-SHA1.
שאלות נפוצות (שאלות נפוצות)
ש1: כיצד שינוי זה מקיים אינטראקציה עם תחומים בעלי רכיבי KDC של ספקים חיצוניים?
שינוי קשיח זה משפיע רק על בקרי התחום של Windows. זרימת יחסי האמון וההפניה של Kerberos עם בקרי תחום אחרים של Windows או רכיבי KDC של ספקים חיצוניים אינה מושפעת.
ש2: כיצד שינוי זה מקיים אינטראקציה עם תחומים בעלי מכשירים שאינם של תחום Windows?
התקני תחום של ספקים חיצוניים שאינם יכולים לעבד הצפנת AES-SHA1 אמורים כבר להיות מוגדרים באופן מפורש כדי לאפשר הצפנה של RC4. שירותים שאינם יכולים לעבד כרטיסי AES-SHA1 צריכים להיות קבועים או מוגדרים באופן מפורש ב- Active Diretory כדי לספק הצפנה מסוג RC4 כפי שצוין לעיל. נא אמת שינויים אלה באופן יסודי.
ש3: האם Microsoft תסיר את היכולת לקבוע את תצורת DefaultDomainSupportedEncTypes?
לא. נרשום אירועי אזהרה עבור תצורות לא מאובטחות עבור DefaultDomainSupportedEncTypes. בנוסף, נכבד כל תצורה המוגדרת באופן מפורש על-ידי מנהל מערכת.
משאבים
יומן רישום שינויים
|
שנה תאריך |
שינוי תיאור |
|
14 באפריל, 2026 |
|
|
ה-7 באפריל 2026 |
|
|
(יום שלישי 16 מרץ 2026) |
|
|
(יום שלישי 10 פברואר 2026) |
|
