חל על
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

תאריך פרסום מקורי: ה-13 בינואר 2026

מזהה KB: 5073381

תפוגת תוקף של אישור אתחול מאובטח של Windows ועדכונים של רשות אישורים 

חשוב: אישורי אתחול מאובטח המשמשים את רוב מכשירי Windows מוגדרים כך שתוקפם יפוג החל מיוני 2026. הדבר עשוי להשפיע על היכולת של מכשירים אישיים ועסקיים מסוימים לבצע אתחול מאובטח אם לא יבוצע עדכון שלהם בזמן. כדי למנוע הפרעות, מומלץ לסקור את ההדרכה ולבצע פעולה כדי לעדכן אישורים מראש. לקבלת פרטים על שלבי ההכנה, ראה תפוגת תוקף של אישור אתחול מאובטח של Windows ועדכונים של רשות אישורים.

במאמר זה

סיכום

עדכוני Windows שהופצו ב- 13 בינואר 2026 ולאחר מכן, מכילים הגנות עבור פגיעות בפרוטוקול האימות של Kerberos. עדכוני Windows לטפל בפגיעות של גילוי מידע שעשויה לאפשר לתוקף להשיג כרטיסי שירות בעלי סוגי הצפנה חלשים או מדור קודם כגון RC4 ולבצע תקיפות לא מקוונות כדי לשחזר סיסמת חשבון שירות.

כדי לעזור לאבטח ולקצר את הסביבה שלך, התקן את עדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן, בכל שרתי Windows המפורטים בסעיף 'חל על' הפועל כבקר תחום. לקבלת מידע נוסף על הפגיעויות, ראה CVE-2026-20833

כדי לצמצם פגיעות זו, ערך ברירת המחדל של DefaultDomainSupportedEncTypes (DDSET) משתנה כך שכל בקרי התחום תומכים רק ב- Advanced Encryption Standard (AES-SHA1)-encrypted tickets עבור חשבונות ללא תצורת סוג הצפנה של Kerberos מפורשת. לקבלת מידע נוסף, ראה דגלי סיביות נתמכים של סוגי הצפנה.

בבקרי תחום עם ערך רישום מוגדר של DefaultDomainSupportedEncTypes, אופן הפעולה לא יושפע באופן פונקציונלי משינויים אלה. עם זאת, מזהה אירוע KDCSVC של אירוע ביקורת: 205 עשוי להיות רשום ביומן האירועים של המערכת אם תצורת DefaultDomainSupportedEncTypes הקיימת אינה מאובטחת.

נקוט פעולה

כדי לסייע בהגנה על הסביבה שלך ולמנוע הפסקות חשמל, מומלץ לבצע את השלבים הבאים: 

  • עדכון בקרי תחום של Microsoft Active Directory החל מעדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן.

  • נטר את יומן האירועים של המערכת עבור כל אחד מ- 9 אירועי הביקורת המחוברים ל- Windows Server 2012 ובקרי תחום חדשים יותר שמזהים סיכונים עם הפעלה של הגנות RC4.

  • צמצום אירועי KDCSVC שנרשמים ביומן האירועים של המערכת שמונעים הפעלה ידנית או תיכנותית של הגנות RC4.

  • לאפשר מצב אכיפה כדי לטפל בפגיעויות ש טופלו ב- CVE-2026-20833 בסביבה שלך כאשר אירועי אזהרה, חסימה או מדיניות אינם נרשמים עוד.

חשוב התקנת עדכונים שהופצו ב- 13 בינואר 2026 או לאחר מכן לא תמען בפגיעויות המתוארות ב- CVE-2026-20833 עבור בקרי תחום של Active Directory כברירת מחדל. כדי לצמצם את הפגיעות באופן מלא, עליך לעבור למצב ' נאכף' (המתואר בשלב 3) בהקדם האפשרי בכל בקרי התחום. 

החל מאפריל 2026, מצב אכיפה יהיה זמין בכל בקרי התחום של Windows ויחסום חיבורים פגיעים ממכשירים שאינם תואמים.  בשלב זה, לא תוכל להפוך את הביקורת ללא זמינה, אך היא עשויה לחזור להגדרת מצב ביקורת. מצב ביקורת יוסר ביולי 2026, כמתואר בסעיף 'תזמון עדכונים', ומצב אכיפה יהיה זמין בכל בקרי התחום של Windows ויחסום חיבורים פגיעים ממכשירים שאינם תואמים.

אם עליך למנף את RC4 לאחר אפריל 2026, מומלץ להפוך את RC4 לזמין באופן מפורש בתוך מסיכת הסיביות msds-SupportedEncryptionTypes בשירותים שיצטרכו לקבל שימוש ב- RC4. 

תזמון עדכונים

13 בינואר 2026 - שלב הפריסה הראשונית 

שלב הפריסה הראשונית מתחיל בעדכונים שהופצו ב- 13 בינואר 2026 ולאחר מכן ממשיך בעדכונים מאוחרים יותר של Windows עד לשלב האכיפה . שלב זה הוא להזהיר לקוחות מפני רשויות אבטחה חדשות שהוצגו בשלב הפריסה השני. עדכון זה: 

  • מספק אירועי ביקורת כדי להזהיר לקוחות שעשויים להיות מושפעים שליליים מההת הקשיחות הקרובה של האבטחה.

  • מציג את ערך הרישום RC4DefaultDisablementPhase כדי לאפשר באופן יזום את השינוי על-ידי הגדרת הערך ל- 2 בבקרי תחום כאשר אירועי ביקורת של KDCSVC מציינים כי ניתן לעשות זאת בצורה בטוחה.

אפריל 2026 - שלב הפריסה השני 

עדכון זה משנה את ערך DefaultDomainSupportedEncTypes המהווה ברירת מחדל עבור פעולות KDC כדי למנף את AES-SHA1 עבור חשבונות שלא הוגדרה עבורם תכונת Active Directory מפורשת של msds-SupportedEncryptionTypes

רמה זו משנה את ערך ברירת המחדל עבור DefaultDomainSupportedEncTypes ל- AES-SHA1 בלבד: 0x18

יולי 2026 - שלב האכיפה 

עדכוני Windows שהופצו ביולי 2026 או לאחר מכן יסירו את התמיכה במפתח המשנה של הרישום RC4DefaultDisablementPhase

קווים מנחים לפריסה

כדי לפרוס את עדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן, בצע את השלבים הבאים: 

  1. עדכן את בקרי התחום שלך בעדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן.

  2. אירועי MONITOR שנרשם במהלך שלב הפריסה הראשונית כדי לעזור לאבטח את הסביבה שלך.

  3. העבר את בקרי התחום שלך למצב אכיפה באמצעות המקטע הגדרות רישום.

שלב 1: עדכון  

פרוס את עדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן בכל Windows Active Directory הרלוונטי הפועל כבקר תחום לאחר פריסת העדכון.

  • אירועי ביקורת יופיעו ביומני אירועים של המערכת אם בקר התחום שלך מקבל בקשות לכרטיס שירות Kerberos הדורשות שימוש בצופן RC4, אך לחשבון השירות יש תצורת הצפנה המהווה ברירת מחדל.

  • אירועי ביקורת יירשם ביומן האירועים של המערכת אם לבקר התחום שלך יש תצורת DefaultDomainSupportedEncTypes מפורשת כדי לאפשר הצפנת RC4.

שלב 2: צג

לאחר עדכון בקרי התחום, אם אינך רואה אירועי ביקורת כלשהם, עבור למצב אכיפה על-ידי שינוי הערך RC4DefaultDisablementPhase ל- 2.   

אם נוצרו אירועי ביקורת, יהיה עליך להסיר יחסי תלות של RC4 או לקבוע במפורש את תצורת סוגי ההצפנה הנתמכים של Kerberos בחשבונות. לאחר מכן, תוכל לעבור למצב אכיפה .

כדי ללמוד כיצד לזהות שימוש ב- RC4 בתחום שלך, לבצע ביקורת על מכשיר וחשבונות משתמשים שעדיין תלויים ב- RC4 ולבצע שלבים לתיקון השימוש לטובת סוגי הצפנה חזקים יותר או ניהול יחסי תלות של RC4, ראה זיהוי ותיקון של שימוש ב- RC4 ב- Kerberos.

שלב 3: הפוך לזמין  

הפוך מצב אכיפה לזמין כדי לטפל בפגיעויות CVE-2026-20833 בסביבה שלך. 

  • אם התבקש KDC לספק כרטיס שירות RC4 עבור חשבון עם תצורות ברירת מחדל, יירשם אירוע שגיאה.

  • עדיין תראה מזהה אירוע: 205 רשום עבור כל תצורה לא מאובטחת של DefaultDomainSupportedEncTypes.

הגדרות רישום

לאחר התקנת עדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן, מפתח הרישום הבא זמין עבור פרוטוקול Kerberos.

מפתח רישום זה משמש לשער הפריסה של שינויי Kerberos. מפתח רישום זה הוא זמני ולא ייקרא עוד לאחר תאריך האכיפה.

מפתח רישום

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

סוג נתונים

REG_DWORD

שם ערך

RC4DefaultDisablementPhase

נתוני ערך

0 – ללא ביקורת, ללא שינוי 

1 - אירועי אזהרה יירשם על שימוש ברירת המחדל ב- RC4. (ברירת המחדל של שלב 1) 

2 – Kerberos יתחיל בהנחה ש- RC4 אינו זמין כברירת מחדל.  (ברירת המחדל של שלב 2) 

נדרשת הפעלה מחדש?

כן

אירועי ביקורת

לאחר התקנת עדכוני Windows שהופצו ב- 13 בינואר 2026 או לאחר מכן, סוגי אירועי הביקורת הבאים נוספים ל- Windows Server 2012 ואילך פועלים כבקר תחום.

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

201

טקסט אירוע

מרכז התפלגות מקשים זיהה שימוש <Cipher Name> שלא יהיה נתמך בשלב האכיפה מאחר ש- service msds-SupportedEncryptionTypes אינו מוגדר והלקוח תומך רק בסוגי הצפנה לא מאובטחים. 

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

מזהה אירוע: 201 יירשם אם:

  • הלקוח הוא רק פרסום RC4 כ- Advertized Etypes

  • לשירות היעד אין msds-SET מוגדרת

  • לבקר התחום לא הוגדר DDSET

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 1

  • אירוע אזהרה 201 מעברים לאירוע שגיאה 203 במצב אכיפה

  • אירוע זה נרשם לכל בקשה

  • אירוע אזהרה 201 אינו רשום אם DefaultDomainSupportedEncTypes מוגדר באופן ידני

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

202

טקסט אירוע

מרכז התפלגות המפתחות זיהה שימוש <בשם> שאינו נתמך בשלב האכיפה מכיוון ש- msds-SupportedEncryptionTypes של השירות אינו מוגדר וחשבון השירות כולל מפתחות לא מאובטחים בלבד.  

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע אזהרה 202 יירשם אם:

  • לשירות היעד אין מפתחות AES

  • לשירות היעד אין msds-SET מוגדרת

  • לבקר התחום לא הוגדר DDSET

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 1

  • אירוע שגיאה 202 מעברים לשגיאה 204 במצב אכיפה

  • אירוע אזהרה 202 נרשם לכל בקשה

  • אירוע אזהרה 202 אינו רשום אם DefaultDomainSupportedEncTypes מוגדר באופן ידני

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

203

טקסט אירוע

מרכז התפלגות המפתח חסם את השימוש בצופן מכיוון ש- msds-SupportedEncryptionTypes של שירות אינו מוגדר והלקוח תומך רק בסוגי הצפנה לא מאובטחים. 

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע שגיאה 203 יירשם אם:

  • הלקוח הוא רק פרסום RC4 כ- Advertized Etypes

  • לשירות היעד אין msds-SET מוגדרת

  • לבקר התחום לא הוגדר DDSET

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 2

  • לכל בקשה

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

204

טקסט אירוע

מרכז התפלגות המפתחות חסם את השימוש בצופן מאחר שהשירות msds-SupportedEncryptionTypes אינו מוגדר וחשבון השירות כולל מפתחות לא מאובטחים בלבד.  

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע שגיאה 204 יירשם אם:

  • לשירות היעד אין מפתחות AES

  • לשירות היעד אין msds-SET מוגדרת

  • לבקר התחום לא הוגדר DDSET

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 2

  • לכל בקשה

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

205

טקסט אירוע

מרכז הפצת מקשים זיהה הפעלה מפורשת של הצפנה בתצורה של מדיניות סוגי הצפנה נתמכים של תחום המהווה ברירת מחדל. 

צופן: <צופן לא מאובטח> 

DefaultDomainSupportedEncTypes: <ערך DefaultDomainSupportedEncTypes שתצורתו נקבעה> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף.

הערות

אירוע אזהרה 205 יירשם אם:

  • בקר התחום הגדיר DDSET כדי לכלול כל דבר פרט ל- AES-SHA1.

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 1, 2

  • פעולה זו לעולם לא ת להפוך לשגיאה

  • המטרה היא להפוך את הלקוחות מודעים לאוה"ם לא מאובטחים שאנו לא נבצע שינויים

  • נרשם בכל פעם בהתחלת KDCSVC

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

206

טקסט אירוע

מרכז התפלגות מקשים זיהה שימוש <Cipher Name> שלא יהיה נתמך בשלב האכיפה מאחר שהתצורה של Service msds-SupportedEncryptionTypes נקבעה לתמיכה ב- AES-SHA1 בלבד, אך הלקוח אינו משנה את התצורה של AES-SHA1 

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע אזהרה 206 יירשם אם:

  • הלקוח הוא רק פרסום RC4 כ- Advertized Etypes

  • אחת מהאפשרויות הבאות מתרחשת:

    • שירות היעד HAS msds-SET מוגדר ל- AES-SHA1 בלבד

    • בקר התחום הגדיר DDSET ל- AES-SHA1 בלבד

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 1

  • אירוע אזהרה 2016 מעבר לאירוע שגיאה 2018 במצב אכיפה

  • מחובר על בסיס כל בקשה

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

207

טקסט אירוע

מרכז התפלגות המפתחות זיהה שימוש ב<Cipher Name> שלא יהיה נתמך בשלב האכיפה מכיוון ש- Service msds-SupportedEncryptionTypes מוגדר לתמיכה ב- AES-SHA1 בלבד, אך חשבון השירות אינו כולל מפתחות AES-SHA1.  

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע אזהרה 207 יירשם אם:

  • לשירות היעד אין מפתחות AES

  • אחת מהאפשרויות הבאות מתרחשת:

    • שירות היעד HAS msds-SET מוגדר ל- AES-SHA1 בלבד

    • בקר התחום הגדיר DDSET ל- AES-SHA1 בלבד

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 1

  • מצב זה יהפוך ל- 209 (שגיאה) במצב אכיפה

  • לכל בקשה

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

208

טקסט אירוע

מרכז התפלגות המפתח דחה במכוון את השימוש בצופן מכיוון שהתצורה של Service msds-SupportedEncryptionTypes נקבעה לתמיכה ב- AES-SHA1 בלבד, אך הלקוח אינו מקדם את AES-SHA1 

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע שגיאה 208 יירשם אם:

  • הלקוח הוא רק פרסום RC4 כ- Advertized Etypes

  • אתר האינטרנט של הפריטים הבאים מתרחש:

    • שירות היעד HAS msds-SET מוגדר ל- AES-SHA1 בלבד

    • בקר התחום הגדיר DDSET ל- AES-SHA1 בלבד

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 2

  • לכל בקשה

‏‏יומן אירועים

מערכת

סוגי אירוע

אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

209

טקסט אירוע

מרכז התפלגות המפתח דחה במכוון את השימוש בצופן מכיוון ש- Service msds-SupportedEncryptionTypes מוגדר לתמיכה ב- AES-SHA1 בלבד, אך חשבון השירות אינו כולל מפתחות AES-SHA1 

פרטי חשבון 

    שם חשבון: <חשבון> 

    שם תחום שסופק: <שם תחום שסופק> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה> 

    מפתחות זמינים: <מפתחות זמינים> 

פרטי שירות: 

    שם שירות: <שם שירות> 

    מזהה שירות: <שירות SID> 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של> 

    מפתחות זמינים: <מפתחות זמינים של שירות> 

פרטי בקר תחום: 

    msds-SupportedEncryptionTypes: <סוגי הצפנה נתמכים של בקר תחום> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    מפתחות זמינים: <מפתחות זמינים לבקר תחום> 

פרטי רשת: 

    כתובת לקוח: <כתובת IP של לקוח> 

    יציאת לקוח: <לקוח לקוח> 

    סוגי Etype מוורטים: <מסוגי הצפנה של Kerberos> 

ראה https://go.microsoft.com/fwlink/?linkid=2344614 לקבלת מידע נוסף. 

הערות

אירוע שגיאה 209 יירשם אם:

  • לשירות היעד אין מפתחות AES

  • אחת מהאפשרויות הבאות מתרחשת:

    • שירות היעד HAS msds-SET מוגדר ל- AES-SHA1 בלבד

    • בקר התחום הגדיר DDSET ל- AES-SHA1 בלבד

  • ערך הרישום RC4DefaultDisablementPhase מוגדר ל- 2

  • לכל בקשה

הערה

אם אתה מוצא אחת מהודעות אזהרה אלה נרשמת בבקר תחום, ייתכן שכל בקרי התחום בתחום שלך אינם מעודכנים בעדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן. כדי לצמצם את הפגיעות, יהיה עליך לבדוק את התחום שלך עוד יותר כדי למצוא את בקרי התחום שאינם מעודכנים.  

אם אתה רואה מזהה אירוע: 0x8000002A בבקר תחום, ראה KB5021131: כיצד לנהל את השינויים בפרוטוקול Kerberos הקשורים ל- CVE-2022-37966.

שאלות נפוצות (שאלות נפוצות)

הקשחות זו משפיעה על בקרי התחום של Windows כאשר הם נפינו כרטיסי שירות. יחסי האמון וההפניה של Kerberos לא מושפעים.

התקני תחום של ספקים חיצוניים שאינם יכולים לעבד AES-SHA1 אמורים כבר להיות מוגדרים באופן מפורש כדי לאפשר AES-SHA1.

לא. נרשום אירועי אזהרה עבור תצורות לא מאובטחות עבור DefaultDomainSupportedEncTypes. בנוסף, לא נתעלם מתצורה כלשהי המוגדרת באופן מפורש על-ידי לקוח.

משאבים

KB5020805: כיצד לנהל שינויים בפרוטוקול Kerberos הקשורים ל- CVE-2022-37967

KB5021131: כיצד לנהל את השינויים בפרוטוקול Kerberos הקשורים ל- CVE-2022-37966

דגלי סיביות של סוגי הצפנה נתמכים

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות