Izvorni datum objave: Siječanj 13, 2026
KB ID: 5073381
Istek certifikata za sigurno pokretanje sustava Windows
Važno: Certifikati za sigurno pokretanje koje koristi većina uređaja sa sustavom Windows postavljeni su da istječu počevši od lipnja 2026. To može utjecati na mogućnost određenih osobnih i poslovnih uređaja za sigurno pokretanje ako se ne ažuriraju na vrijeme. Da biste izbjegli prekide u radu, preporučujemo da pregledate smjernice i prije toga poduzeti radnje za ažuriranje certifikata. Pojedinosti i korake za pripremu potražite u članku Istek certifikata za sigurno pokretanje sustava Windows i ažuriranja ustanove za izdavanje certifikata.
Sadržaj članka
Sažetak
Ažuriranja sustava Windows objavljena 13. siječnja 2026. i nakon nje sadrže zaštite za ranjivost protokola za provjeru autentičnosti Kerberos. Ažuriranja sustava Windows rješavaju ranjivost otkrivanja informacija koja napadaču može omogućiti dohvaćanje servisnih karata sa slabim ili naslijeđenim vrstama šifriranja, kao što je RC4 i izvođenje izvanmrežnih napada radi oporavka lozinke za račun servisa.
Da biste zaštitili i otegnuli okruženje, instalirajte ažuriranje sustava Windows objavljeno 13. siječnja 2026. ili kasnije na sve poslužitelje sustava Windows navedene u odjeljku "Odnosi se na" koji se izvodi kao domenski kontroler. Dodatne informacije o slabim točkama potražite u članku CVE-2026-20833.
Da bi se ublažila ta ranjivost, mijenja se zadana vrijednost defaultDomainSupportedEncTypes (DDSET) tako da svi kontrolori domene podržavaju samo konfiguraciju naprednog šifriranja Standard (AES-SHA1)šifrirane ulaznice za račune bez eksplicitne konfiguracije kerberos šifriranja. Dodatne informacije potražite u članku Podržane vrste šifriranja Zastavice bitova.
Na kontrolorima domene s definiranom vrijednošću registra DefaultDomainSupportedEncTypes te promjene neće funkcionalno utjecati na ponašanje. Međutim, KDCSVC ID događaja događaja nadzora: 205 može biti zabilježeno u zapisniku događaja sustava ako postojeća konfiguracija DefaultDomainSupportedEncTypes nije sigurna.
Preuzmite stvari u svoje ruke
Da biste zaštitili svoje okruženje i spriječili prekida rada, preporučujemo da učinite sljedeće:
-
AŽURIRANJE Domenski kontroleri servisa Microsoft Active Directory počevši od ažuriranja sustava Windows objavljenih 13. siječnja 2026. ili kasnije.
-
PRATITE zapisnik događaja Sustava za bilo koji od 9 događaja nadzora prijavljenih na Windows Server 2012 i novije domenske kontrolere koji identificiraju rizike uz omogućavanje RC4 zaštite.
-
UBLAŽITI Događaji KDCSVC zabilježeni u zapisniku događaja sustava koji sprječavaju ručno ili programsko omogućivanje RC4 zaštite.
-
OMOGUĆITI Način provođenja za uklanjanje slabih točaka riješenih u cve-2026-20833 u vašem okruženju kada se događaji upozorenja, blokiranja ili pravilnika više ne zapisuje.
VAŽNO Instaliranje ažuriranja objavljenih 13. siječnja 2026. ili kasnije NEĆE rješavati slabe točke opisane u cve-2026-20833 za domenske kontrolere servisa Active Directory po zadanom. Da biste u potpunosti ublažili ranjivost, morate prijeći na način nametnuti (opisan u 3. koraku) što je prije moguće na svim domenski kontrolerima.
Počevši od travnja 2026. način provođenja bit će omogućen na svim domenski kontrolerima sustava Windows i blokirat će ranjive veze s uređaja koji nisu usklađeni. U tom trenutku nećete moći onemogućiti nadzor, ali se možete vratiti na postavku nadzorni način rada. Nadzorni način rada uklonit će se u srpnju 2026., kao što je navedeno u odjeljku Tempiranje ažuriranja, a način provođenja omogućit će se na svim domenski kontrolerima sustava Windows i blokirat će ranjive veze s uređaja koji nisu usklađeni.
Ako trebate koristiti RC4 nakon travnja 2026., preporučujemo da izričito omogućite RC4 unutar msds-SupportedEncryptionTypes bitmask na servisima koji će morati prihvatiti korištenje RC4.
Tempiranje ažuriranja
13. siječnja 2026. – početna faza implementacije
Početna faza implementacije započinje ažuriranjima objavljenima 13. siječnja 2026. i nastavlja se s kasnijim ažuriranjima sustava Windows do faze provođenja. Ova faza je upozoriti korisnike na nove sigurnosne ovrhe koje će se uvesti u drugoj fazi implementacije. Ovo ažuriranje:
-
Pruža događaje nadzora koji upozoravaju korisnike na koje bi moglo negativno utjecati nadolazeće sigurnosno otešćivanje.
-
Uvodi vrijednost registra RC4DefaultDisablementPhase tako da proaktivno omogući promjenu postavljanjem vrijednosti na 2 na kontrolorima domene kada događaji nadzora KDCSVC upućuju na to da je to sigurno.
Travanj 2026. – druga faza implementacije
Ovo ažuriranje mijenja zadanu vrijednost DefaultDomainSupportedEncTypes za KDC operacije radi korištenja AES-SHA1 za račune koji nemaju definiran atribut aktivnog direktorija s eksplicitnim msds-SupportedEncryptionTypes.
Ova faza mijenja zadanu vrijednost za DefaultDomainSupportedEncTypes samo u AES-SHA1: 0x18.
Srpanj 2026. – faza provedbe
Ažuriranja sustava Windows objavljena u srpnju 2026. ili kasnije uklonit će podršku za potključ registra RC4DefaultDisablementPhase.
Smjernice za implementaciju
Da biste implementirati ažuriranja sustava Windows objavljena 13. siječnja 2026. ili kasnije, slijedite ove korake:
-
AŽURIRAJTE domenski kontroler ažuriranjem sustava Windows izdanim 13. siječnja 2026. ili kasnije.
-
PRATITE događaje zabilježene tijekom početne faze implementacije da biste zaštitili svoje okruženje.
-
Kontrolere domene premjestite u način provođenja pomoću odjeljka Postavke registra.
Prvi korak: AŽURIRANJE
Implementirajte ažuriranje sustava Windows izdano 13. siječnja 2026. ili kasnije na sve primjenjive windows Active Directory pokrenute kao domenski kontroler nakon implementacije ažuriranja.
-
Događaji nadzora pojavit će se u zapisnicima događaja sustava ako kontrolor domene prima zahtjeve za izdavanje certifikata za uslugu Kerberos za koje je potrebno koristiti RC4 šifru, ali račun servisa ima zadanu konfiguraciju šifriranja.
-
Događaji nadzora zapisat će se u zapisnik događaja sustava ako vaš domenski kontroler ima eksplicitnu konfiguraciju DefaultDomainSupportedEncTypes da bi se omogućilo RC4 šifriranje.
2. korak: MONITOR
Kada se kontrolori domene ažuriraju, ako ne vidite događaje nadzora, prijeđite u način provođenja promjenom vrijednosti RC4DefaultDisablementPhasena 2.
Ako postoje generirani događaji nadzora, morat ćete ukloniti zavisnosti RC4 ili izričito konfigurirati račune koje podržava Kerberos. Zatim ćete se moći prebaciti u način provedbe .
Da biste saznali kako otkriti korištenje RC4-a u vašoj domeni, revidirati uređaje i korisničke račune koji i dalje ovise o RC4-u i poduzeti korake za otklanjanje korištenja u korist jačih vrsta šifriranja ili upravljanje zavisnostima RC4-a, pročitajte članak Otkrivanje i ispravljanje korištenja RC4-a u kerberosu.
Treći korak: OMOGUĆIVANJE
Omogućite način provođenja za uklanjanje slabih točaka CVE-2026-20833 u vašem okruženju.
-
Ako se od KDC-a zatraži da na računu sa zadanim konfiguracijama na računu navedite registraciju servisa RC4, zapisuje se događaj pogreške.
-
I dalje ćete vidjeti ID događaja: 205 prijavljen za bilo koju nesigurnu konfiguraciju defaultDomainSupportedEncTypes.
Postavke registra
Nakon instalacije ažuriranja sustava Windows objavljenih 13. siječnja 2026. ili kasnije, za protokol Kerberos dostupan je sljedeći ključ registra.
Taj se ključ registra koristi za vrata implementacije promjena kerberos. Ključ registra je privremen i više se neće čitati nakon datuma provođenja.
|
Registarski ključ |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Vrsta podataka |
REG_DWORD |
|
Naziv vrijednosti |
RC4DefaultDisablementPhase |
|
Podaci vrijednosti |
0 – Nema revizije, nema promjene 1 – događaji upozorenja bit će prijavljeni na zadanu upotrebu RC4-a. (zadana faza 1) 2 – Kerberos će početi pod pretpostavkom RC4 nije omogućen po zadanom. (zadana faza 2) |
|
Potrebno je ponovno pokretanje? |
Da |
Događaji nadzora
Nakon instalacije ažuriranja sustava Windows objavljenih 13. siječnja 2026. ili kasnije, sljedeće vrste događaja Nadzor dodaju se u Windows Server 2012. i novije verzije kao kontrolor domene.
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
201 |
|
Tekst događaja |
Centar za raspodjelu ključeva otkrio je <naziv šifriranja> korištenje koje će biti nepodržano u fazi provođenja jer servis msds-SupportedEncryptionTypes nije definiran, a klijent podržava samo nesigurne vrste šifriranja. Podaci o računu Naziv računa: <naziv računa> Navedeni naziv domene: <naziv domene> msds-SupportedEncryptionTypes: <podržane vrste šifriranja> Dostupne tipke: <dostupne tipke> Informacije o servisu: Naziv servisa: <naziv servisa> ID servisa: <SID servisa> msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> Dostupni ključevi: <ključevi dostupnih servisa> Informacije o kontroloru domene: msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> Dostupni ključevi: <domenski kontroler dostupni ključevi> Podaci o mreži: Adresa klijenta: <IP adresa klijenta> Klijentski priključak: <klijentski priključak> Advertized Etypes: <Advertized Kerberos Encryption Types> Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. |
|
Komentari |
ID događaja: 201 bit će zabilježen ako:
|
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
202 |
|
Tekst događaja |
Centar za raspodjelu ključeva otkrio je <naziv šifriranja> korištenje koje neće biti podržano u fazi provođenja jer servis msds-SupportedEncryptionTypes nije definiran, a račun servisa ima samo nesigurne ključeve. Podaci o računu Naziv računa: <naziv računa> Navedeni naziv domene: <naziv domene> msds-SupportedEncryptionTypes: <podržane vrste šifriranja> Dostupne tipke: <dostupne tipke> Informacije o servisu: Naziv servisa: <naziv servisa> ID servisa: <SID servisa> msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> Dostupni ključevi: <ključevi dostupnih servisa> Informacije o kontroloru domene: msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> Dostupni ključevi: <domenski kontroler dostupni ključevi> Podaci o mreži: Adresa klijenta: <IP adresa klijenta> Klijentski priključak: <klijentski priključak> Advertized Etypes: <Advertized Kerberos Encryption Types> Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. |
|
Komentari |
Događaj upozorenja 202 bit će zabilježen u sljedećem slučaju:
|
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
203 |
|
Tekst događaja |
Centar za raspodjelu ključeva blokirao je korištenje šifri jer servis msds-SupportedEncryptionTypes nije definiran, a klijent podržava samo nesigurne vrste šifriranja. Podaci o računu Naziv računa: <naziv računa> Navedeni naziv domene: <naziv domene> msds-SupportedEncryptionTypes: <podržane vrste šifriranja> Dostupne tipke: <dostupne tipke> Informacije o servisu: Naziv servisa: <naziv servisa> ID servisa: <SID servisa> msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> Dostupni ključevi: <ključevi dostupnih servisa> Informacije o kontroloru domene: msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> Dostupni ključevi: <domenski kontroler dostupni ključevi> Podaci o mreži: Adresa klijenta: <IP adresa klijenta> Klijentski priključak: <klijentski priključak> Advertized Etypes: <Advertized Kerberos Encryption Types> Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. |
|
Komentari |
Događaj pogreške 203 bilježi se u sljedećem slučaju:
|
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
204 |
|
Tekst događaja |
Centar za raspodjelu ključeva blokirao je korištenje šifriranja jer servis msds-SupportedEncryptionTypes nije definiran, a račun servisa sadrži samo nesigurne ključeve. Podaci o računu Naziv računa: <naziv računa> Navedeni naziv domene: <naziv domene> msds-SupportedEncryptionTypes: <podržane vrste šifriranja> Dostupne tipke: <dostupne tipke> Informacije o servisu: Naziv servisa: <naziv servisa> ID servisa: <SID servisa> msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> Dostupni ključevi: <ključevi dostupnih servisa> Informacije o kontroloru domene: msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> Dostupni ključevi: <domenski kontroler dostupni ključevi> Podaci o mreži: Adresa klijenta: <IP adresa klijenta> Klijentski priključak: <klijentski priključak> Advertized Etypes: <Advertized Kerberos Encryption Types> Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. |
|
Komentari |
Događaj pogreške 204 bilježi se u sljedećem slučaju:
|
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
205 |
|
Tekst događaja |
Centar za raspodjelu ključeva otkrio je eksplicitno omogućivanje šifriranja u konfiguraciji pravilnika Zadana domena podržane vrste šifriranja. Šifre: <omogućene nesigurne šifre> DefaultDomainSupportedEncTypes: <konfigurirana vrijednost DefaultDomainSupportedEncTypes> Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. |
|
Komentari |
Događaj upozorenja 205 bit će zabilježen u sljedećem slučaju:
|
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
206 |
|
Tekst događaja |
Centar za raspodjelu ključeva otkrio je <naziv šifriranja> korištenje koje neće biti podržano u fazi provođenja jer je servis msds-SupportedEncryptionTypes konfiguriran tako da podržava samo AES-SHA1, ali klijent ne advertizira AES-SHA1 Podaci o računu Naziv računa: <naziv računa> Navedeni naziv domene: <naziv domene> msds-SupportedEncryptionTypes: <podržane vrste šifriranja> Dostupne tipke: <dostupne tipke> Informacije o servisu: Naziv servisa: <naziv servisa> ID servisa: <SID servisa> msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> Dostupni ključevi: <ključevi dostupnih servisa> Informacije o kontroloru domene: msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> Dostupni ključevi: <domenski kontroler dostupni ključevi> Podaci o mreži: Adresa klijenta: <IP adresa klijenta> Klijentski priključak: <klijentski priključak> Advertized Etypes: <Advertized Kerberos Encryption Types> Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. |
|
Komentari |
Događaj upozorenja 206 bit će zabilježen u sljedećem slučaju:
|
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
207 |
|
Tekst događaja |
Centar za raspodjelu ključeva otkrio je <naziv šifriranja> korištenje koje neće biti podržano u fazi provođenja jer je servis msds-SupportedEncryptionTypes konfiguriran tako da podržava samo AES-SHA1, ali račun servisa nema ključeve AES-SHA1. Podaci o računu Naziv računa: <naziv računa> Navedeni naziv domene: <naziv domene> msds-SupportedEncryptionTypes: <podržane vrste šifriranja> Dostupne tipke: <dostupne tipke> Informacije o servisu: Naziv servisa: <naziv servisa> ID servisa: <SID servisa> msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> Dostupni ključevi: <ključevi dostupnih servisa> Informacije o kontroloru domene: msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> Dostupni ključevi: <domenski kontroler dostupni ključevi> Podaci o mreži: Adresa klijenta: <IP adresa klijenta> Klijentski priključak: <klijentski priključak> Advertized Etypes: <Advertized Kerberos Encryption Types> Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. |
|
Komentari |
Događaj upozorenja 207 bit će zabilježen u sljedećem slučaju:
|
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
208 |
|
Tekst događaja |
Centar za raspodjelu ključeva namjerno je odbio korištenje šifriranja jer je servis msds-SupportedEncryptionTypes konfiguriran tako da podržava samo AES-SHA1, ali klijent ne advertira AES-SHA1 Podaci o računu Naziv računa: <naziv računa> Navedeni naziv domene: <naziv domene> msds-SupportedEncryptionTypes: <podržane vrste šifriranja> Dostupne tipke: <dostupne tipke> Informacije o servisu: Naziv servisa: <naziv servisa> ID servisa: <SID servisa> msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> Dostupni ključevi: <ključevi dostupnih servisa> Informacije o kontroloru domene: msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> Dostupni ključevi: <domenski kontroler dostupni ključevi> Podaci o mreži: Adresa klijenta: <IP adresa klijenta> Klijentski priključak: <klijentski priključak> Advertized Etypes: <Advertized Kerberos Encryption Types> Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. |
|
Komentari |
Događaj pogreške 208 bilježi se u sljedećem slučaju:
|
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
209 |
|
Tekst događaja |
Centar za raspodjelu ključeva namjerno je odbio korištenje šifriranja jer je servis msds-SupportedEncryptionTypes konfiguriran tako da podržava samo AES-SHA1, ali račun servisa nema ključeve AES-SHA1 Podaci o računu Naziv računa: <naziv računa> Navedeni naziv domene: <naziv domene> msds-SupportedEncryptionTypes: <podržane vrste šifriranja> Dostupne tipke: <dostupne tipke> Informacije o servisu: Naziv servisa: <naziv servisa> ID servisa: <SID servisa> msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> Dostupni ključevi: <ključevi dostupnih servisa> Informacije o kontroloru domene: msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> Dostupni ključevi: <domenski kontroler dostupni ključevi> Podaci o mreži: Adresa klijenta: <IP adresa klijenta> Klijentski priključak: <klijentski priključak> Advertized Etypes: <Advertized Kerberos Encryption Types> Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. |
|
Komentari |
Događaj pogreške 209 bit će zabilježen u sljedećem slučaju:
|
Napomena
Ako pronađete da je bilo koja od tih poruka upozorenja prijavljena na domenski kontroler, vjerojatno svi domenski kontroleri u vašoj domeni nisu ažurirani ažuriranjem sustava Windows izdanim 13. siječnja 2026. ili nakon njega. Da biste ublažili ranjivost, morat ćete dodatno istražiti svoju domenu da biste pronašli domenski kontroleri koji nisu ažurni.
Ako vam se prikaže ID događaja: 0x8000002A prijavljeni na domenski kontroler, pročitajte članak KB5021131: Upravljanje promjenama protokola Kerberos povezanim s cve-2022-37966.
Najčešća pitanja (najčešća pitanja)
To otegnuto utječe na domenske kontrolere sustava Windows prilikom izdavanja servisnih karata. Tok pouzdanosti i preporuka za Kerberos nije zahvaćen.
Domenski uređaji drugih proizvođača koji ne mogu obraditi AES-SHA1 trebali su već biti izričito konfigurirani tako da dopuštaju AES-SHA1.
Ne. Evidentirat ćemo događaje upozorenja za nesigurne konfiguracije za DefaultDomainSupportedEncTypes. Osim toga, nećemo zanemariti konfiguraciju koju je izričito postavio korisnik.
Resursi
KB5020805: Upravljanje promjenama protokola Kerberos povezanim s CVE-2022-37967
KB5021131: Upravljanje promjenama protokola Kerberos koje se odnose na CVE-2022-37966
