Primjenjuje se na
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Izvorni datum objave: Siječanj 13, 2026

KB ID: 5073381

Sadržaj članka

Sažetak

Ažuriranja sustava Windows objavljena 13. siječnja 2026. i nakon nje sadrže zaštite za ranjivost protokola za provjeru autentičnosti Kerberos. Ažuriranja sustava Windows rješavaju ranjivost otkrivanja informacija u cve-2026-20833 koja napadaču može omogućiti dohvaćanje servisnih karata sa slabim ili naslijeđenim vrstama šifriranja kao što je RC4 za izvođenje izvanmrežnih napada radi oporavka lozinke računa servisa.

Da biste ublažili tu ranjivost, ažuriranja sustava Windows objavljena 14. travnja 2026. i nakon njega promijenite zadanu vrijednost Kerberos Key Distribution Center (KDC) za DefaultDomainSupportedEncTypes, osim ako administratori ranije ne omogućuju način provođenja. Ažurirani domenski kontroleri pokrenuti u načinu provođenja pretpostavit će podršku za konfiguracije vrste šifriranja naprednog šifriranja Standard (AES) samo ako nije navedena eksplicitna konfiguracija. Dodatne informacije potražite u članku Podržane vrste šifriranja Zastavice bitova. Zadana vrijednost za DefaultDomainSupportedEncTypes primjenjuje se u nedostatku eksplicitne vrijednosti.

Na kontrolorima domene s definiranom vrijednošću registra DefaultDomainSupportedEncTypes te promjene neće funkcionalno utjecati na ponašanje. Međutim, KDCSVC ID događaja događaja nadzora: 205 zapisuje se u zapisnik događaja Sustava ako postojeća konfiguracija DefaultDomainSupportedEncTypes nije sigurna (na primjer, kada se koristi RC4 šifra).

Povratak na vrh

Preuzmite stvari u svoje ruke

Da biste zaštitili svoje okruženje i spriječili prekida rada, preporučujemo sljedeće: 

  • AŽURIRANJE Domenski kontroleri servisa Microsoft Active Directory počevši od ažuriranja sustava Windows objavljenih 13. siječnja 2026. ili kasnije.

  • PRATITE zapisnik događaja Sustava za bilo koji od devet KDCSVC 201 > 209 Događaji nadzora prijavljeni na Windows Server 2012 i noviji domenski kontroleri koji identificiraju rizike uz omogućavanje RC4 zaštite.

  • UBLAŽITI Događaji KDCSVC zabilježeni u zapisniku događaja sustava koji sprječavaju ručno ili programsko omogućivanje RC4 zaštite.

  • OMOGUĆITI Način provođenja za uklanjanje slabih točaka riješenih u cve-2026-20833 u vašem okruženju kada se događaji upozorenja, blokiranja ili pravilnika više ne zapisuje.

VAŽNO Instaliranje ažuriranja objavljenih 13. siječnja 2026. ili kasnije NEĆE rješavati slabe točke opisane u cve-2026-20833 za domenske kontrolere servisa Active Directory po zadanom. Da biste u potpunosti ublažili ranjivost, ručno omogućite način provođenja (opisano u 3. koraku: OMOGUĆI) na svim domenski kontrolerima. Instalacija sustava Windows Ažuriranja objavljena i nakon srpnja 2026. programski će omogućiti fazu provođenja.

Način provođenja automatski će se omogućiti instaliranjem sustava Windows Ažuriranja objavljenog 2026. ili nakon travnja 2026. na svim domenski kontrolerima sustava Windows i blokirat će ranjive veze s uređaja koji nisu usklađeni.  U tom trenutku nećete moći onemogućiti nadzor, ali se možete vratiti na postavku nadzorni način rada. Nadzorni način rada uklonit će se u srpnju 2026., kao što je navedeno u odjeljku Tempiranje ažuriranja, a način provođenja omogućit će se na svim domenski kontrolerima sustava Windows i blokirat će ranjive veze s uređaja koji nisu usklađeni.

Ako trebate koristiti RC4 nakon travnja 2026., preporučujemo da izričito omogućite RC4 unutar msds-SupportedEncryptionTypes bitmask na servisima koji će morati prihvatiti korištenje RC4. 

Povratak na vrh 

Tempiranje ažuriranja

13. siječnja 2026. – početna faza implementacije 

Početna faza implementacije započinje ažuriranjima objavljenima 13. siječnja 2026. i nastavlja se s kasnijim ažuriranjima sustava Windows do faze provođenja. Ova faza je upozoriti korisnike na nove sigurnosne ovrhe koje će se uvesti u drugoj fazi implementacije. Ovo ažuriranje: 

  • Pruža događaje nadzora koji upozoravaju korisnike na koje bi moglo negativno utjecati nadolazeće sigurnosno otešćivanje.

  • Uvodi podršku za vrijednost registra RC4DefaultDisablementPhase nakon što administrator proaktivno omogući promjenu postavljanjem vrijednosti na 2 na kontrolorima domene kada događaji nadzora KDCSVC upućuju na to da je to sigurno.

14. travnja 2026. – faza provedbe s ručnim vraćanjem 

Ovo ažuriranje mijenja zadanu vrijednost DefaultDomainSupportedEncTypes za KDC operacije radi korištenja AES-SHA1 za račune koji nemaju definiran atribut aktivnog direktorija s eksplicitnim msds-SupportedEncryptionTypes

Ova faza mijenja zadanu vrijednost za DefaultDomainSupportedEncTypes samo u AES-SHA1: 0x18

Ova faza omogućuje i ručnu konfiguraciju vrijednosti vraćanja RC4DefaultDisablementPhase do programske provedbe u srpnju 2026.

Srpanj 2026. – faza provedbe 

Ažuriranja sustava Windows objavljena u srpnju 2026. ili kasnije uklonit će podršku za potključ registra RC4DefaultDisablementPhase

Povratak na vrh 

Smjernice za implementaciju

Da biste implementirati ažuriranja sustava Windows objavljena 13. siječnja 2026. ili kasnije, slijedite ove korake: 

  1. AŽURIRAJTE domenski kontroler ažuriranjem sustava Windows izdanim 13. siječnja 2026. ili kasnije.

  2. PRATITE događaje zabilježene tijekom početne faze implementacije da biste zaštitili svoje okruženje.

  3. Kontrolere domene premjestite u način provođenja pomoću odjeljka Postavke registra.

Prvi korak: AŽURIRANJE  

Implementirajte ažuriranje sustava Windows izdano 13. siječnja 2026. ili kasnije na sve primjenjive windows Active Directory pokrenute kao domenski kontroler nakon implementacije ažuriranja.

  • Događaji nadzora pojavit će se u zapisnicima događaja sustava ako kontrolori domene sustava Windows Server 2012 ili novije verzije primaju zahtjeve za prijavu servisa Kerberos za koje je potrebna RC4 šifra, ali račun servisa ima zadanu konfiguraciju šifriranja.

  • Događaj nadzora 205 bit će zabilježen u zapisniku događaja Sustava ako kontrolor domene ima eksplicitno konfiguriranje DefaultDomainSupportedEncTypes da bi omogućio RC4 šifriranje.

2. korak: MONITOR

Kada se kontrolori domene ažuriraju, ako ne vidite događaje nadzora dokumentirane u ovom članku, prijeđite u način provođenja tako da promijenite vrijednost registra RC4DefaultDisablementPhase u 2.   

Ako se generiraju događaji nadzora, morat ćete ukloniti zavisnosti RC4 ili izričito konfigurirati atribut msds-SupportedEncryptionTypes da biste podržavali nastavak korištenja RC4 nakon ručnog ili automatskog omogućivanja načina provođenja.

Za administratore koji su zainteresirani za popravke RC4 korištenje šire nego što je navedeno u ovom članku, preporučujemo pregled Detect and remediate RC4 usage in Kerberos for more information.

VAŽNO Događaji nadzora povezani s tom promjenom generiraju se samo kada Active Directory ne može izdati servisne listove ili ključeve sesije AES-SHA1. Nedostatak događaja nadzora ne jamči da će svi uređaji koji nisu sa sustavom Windows uspješno prihvatiti provjeru autentičnosti Kerberos nakon ažuriranja za travanj. Korisnici trebaju provjeriti valjanost interoperabilnosti koja nije windows testiranjem prije omogućivanja tog ponašanja.

Treći korak: OMOGUĆIVANJE

Omogućite način provođenja za uklanjanje slabih točaka CVE-2026-20833 u vašem okruženju. 

  • Ako se od KDC-a zatraži da na računu sa zadanim konfiguracijama na računu navedite registraciju servisa RC4, zapisuje se događaj pogreške.

  • I dalje ćete vidjeti ID događaja: 205 prijavljen za bilo koju nesigurnu konfiguraciju defaultDomainSupportedEncTypes.

Povratak na vrh 

Postavke registra

Nakon instalacije ažuriranja sustava Windows objavljenih 13. siječnja 2026. ili kasnije, za protokol Kerberos dostupan je sljedeći ključ registra.

RC4DefaultDisablementPhase

Taj se ključ registra koristi za vrata implementacije promjena kerberos. Ključ registra je privremen i više se neće čitati nakon datuma provođenja.

Registarski ključ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Vrsta podataka

REG_DWORD

Naziv vrijednosti

RC4DefaultDisablementPhase

Podaci vrijednosti

0 – Nema revizije, nema promjene 

1 – događaji upozorenja bit će prijavljeni na zadanu upotrebu RC4-a. (zadana faza 1) 

2 – Kerberos će početi pod pretpostavkom RC4 nije omogućen po zadanom.  (zadana faza 2) 

Potrebno je ponovno pokretanje?

Da

Povratak na vrh 

Događaji nadzora

Nakon instalacije ažuriranja sustava Windows objavljenih 13. siječnja 2026. ili kasnije, sljedeće vrste događaja KSCSVC nadzora dodaju se u zapisnik događaja sustava sustava Windows Server 2012 i novije verzije kao domenski kontroler.

Sadržaj odjeljka

Povratak na vrh 

ID događaja: 201

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

201

Tekst događaja

Centar za raspodjelu ključeva otkrio je <naziv šifriranja> korištenje koje će biti nepodržano u fazi provođenja jer servis msds-SupportedEncryptionTypes nije definiran, a klijent podržava samo nesigurne vrste šifriranja. 

Podaci o računu 

    Naziv računa: <naziv računa> 

    Navedeni naziv domene: <naziv domene> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja> 

    Dostupne tipke: <dostupne tipke> 

Informacije o servisu: 

    Naziv servisa: <naziv servisa> 

    ID servisa: <SID servisa> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> 

    Dostupni ključevi: <ključevi dostupnih servisa> 

Informacije o kontroloru domene: 

    msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> 

    DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> 

    Dostupni ključevi: <domenski kontroler dostupni ključevi> 

Podaci o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Klijentski priključak: <klijentski priključak> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. 

Komentari

ID događaja: 201 bit će zabilježen ako:

  • Klijent je samo oglašavanje RC4 kao Advertized Etypes

  • Ciljni servis NEMA definiran msds-SET

  • Domenski kontroler NEMA definiran DDSET

  • Vrijednost registra RC4DefaultDisablementPhase postavljena je na 1

  • Warning Event 201 transitions into Error event 203 in Enforcement mode

  • Ovaj se događaj bilježi po zahtjevu

  • Događaj upozorenja 201 NIJE zabilježen ako je DefaultDomainSupportedEncTypes ručno definiran

natrag na događaje nadzora 

ID događaja: 202

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

202

Tekst događaja

Centar za raspodjelu ključeva otkrio je <naziv šifriranja> korištenje koje neće biti podržano u fazi provođenja jer servis msds-SupportedEncryptionTypes nije definiran, a račun servisa ima samo nesigurne ključeve.  

Podaci o računu 

    Naziv računa: <naziv računa> 

    Navedeni naziv domene: <naziv domene> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja> 

    Dostupne tipke: <dostupne tipke> 

Informacije o servisu: 

    Naziv servisa: <naziv servisa> 

    ID servisa: <SID servisa> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> 

    Dostupni ključevi: <ključevi dostupnih servisa> 

Informacije o kontroloru domene: 

    msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> 

    DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> 

    Dostupni ključevi: <domenski kontroler dostupni ključevi> 

Podaci o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Klijentski priključak: <klijentski priključak> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. 

Komentari

Događaj upozorenja 202 bit će zabilježen u sljedećem slučaju:

  • Ciljni servis nema AES ključeve

  • Ciljni servis NEMA definiran msds-SET

  • Domenski kontroler NEMA definiran DDSET

  • Vrijednost registra RC4DefaultDisablementPhase postavljena je na 1

  • Događaj pogreške 202 prelazi u pogrešku 204 u načinu provedbe

  • Događaj upozorenja 202 zabilježen je po zahtjevu

  • Događaj upozorenja 202 NIJE zabilježen ako je DefaultDomainSupportedEncTypes ručno definiran

natrag na događaje nadzora 

ID događaja: 203

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

203

Tekst događaja

Centar za raspodjelu ključeva blokirao je korištenje šifri jer servis msds-SupportedEncryptionTypes nije definiran, a klijent podržava samo nesigurne vrste šifriranja. 

Podaci o računu 

    Naziv računa: <naziv računa> 

    Navedeni naziv domene: <naziv domene> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja> 

    Dostupne tipke: <dostupne tipke> 

Informacije o servisu: 

    Naziv servisa: <naziv servisa> 

    ID servisa: <SID servisa> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> 

    Dostupni ključevi: <ključevi dostupnih servisa> 

Informacije o kontroloru domene: 

    msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> 

    DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> 

    Dostupni ključevi: <domenski kontroler dostupni ključevi> 

Podaci o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Klijentski priključak: <klijentski priključak> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. 

Komentari

Događaj pogreške 203 bilježi se u sljedećem slučaju:

  • Klijent je samo oglašavanje RC4 kao Advertized Etypes

  • Ciljni servis NEMA definiran msds-SET

  • Domenski kontroler NEMA definiran DDSET

  • Vrijednost registra RC4DefaultDisablementPhase postavljena je na 2

  • Po zahtjevu

natrag na događaje nadzora 

ID događaja: 204

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

204

Tekst događaja

Centar za raspodjelu ključeva blokirao je korištenje šifriranja jer servis msds-SupportedEncryptionTypes nije definiran, a račun servisa sadrži samo nesigurne ključeve.  

Podaci o računu 

    Naziv računa: <naziv računa> 

    Navedeni naziv domene: <naziv domene> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja> 

    Dostupne tipke: <dostupne tipke> 

Informacije o servisu: 

    Naziv servisa: <naziv servisa> 

    ID servisa: <SID servisa> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> 

    Dostupni ključevi: <ključevi dostupnih servisa> 

Informacije o kontroloru domene: 

    msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> 

    DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> 

    Dostupni ključevi: <domenski kontroler dostupni ključevi> 

Podaci o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Klijentski priključak: <klijentski priključak> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. 

Komentari

Događaj pogreške 204 bilježi se u sljedećem slučaju:

  • Ciljni servis nema AES ključeve

  • Ciljni servis NEMA definiran msds-SET

  • Domenski kontroler NEMA definiran DDSET

  • Vrijednost registra RC4DefaultDisablementPhase postavljena je na 2

  • Po zahtjevu

natrag na događaje nadzora 

ID događaja: 205

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

205

Tekst događaja

Centar za raspodjelu ključeva otkrio je eksplicitno omogućivanje šifriranja u konfiguraciji pravilnika Zadana domena podržane vrste šifriranja. 

Šifre: <omogućene nesigurne šifre> 

DefaultDomainSupportedEncTypes: <konfigurirana vrijednost DefaultDomainSupportedEncTypes> 

Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku.

Komentari

Događaj upozorenja 205 bit će zabilježen u sljedećem slučaju:

  • Domenski kontroler IMA DDSET definiran tako da obuhvaća sve osim AES-SHA1.

  • Vrijednost registra RC4DefaultDisablementPhase postavljena je na 1, 2

  • To nikada neće pretvoriti u pogrešku

  • Svrha je da se klijent upoznate s nesigurnim ponašanjem koje nećemo mijenjati

  • Zapisuje se svaki put na početku KDCSVC-a

natrag na događaje nadzora 

ID događaja: 206

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

206

Tekst događaja

Centar za raspodjelu ključeva otkrio je <naziv šifriranja> korištenje koje neće biti podržano u fazi provođenja jer je servis msds-SupportedEncryptionTypes konfiguriran tako da podržava samo AES-SHA1, ali klijent ne advertizira AES-SHA1 

Podaci o računu 

    Naziv računa: <naziv računa> 

    Navedeni naziv domene: <naziv domene> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja> 

    Dostupne tipke: <dostupne tipke> 

Informacije o servisu: 

    Naziv servisa: <naziv servisa> 

    ID servisa: <SID servisa> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> 

    Dostupni ključevi: <ključevi dostupnih servisa> 

Informacije o kontroloru domene: 

    msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> 

    DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> 

    Dostupni ključevi: <domenski kontroler dostupni ključevi> 

Podaci o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Klijentski priključak: <klijentski priključak> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. 

Komentari

Događaj upozorenja 206 bit će zabilježen u sljedećem slučaju:

  • Klijent je samo oglašavanje RC4 kao Advertized Etypes

  • Dogodi se nešto od sljedećeg:

    • Ciljni servis HAS msds-SET definiran samo za AES-SHA1

    • Domenski kontroler HAS DDSET definiran samo za AES-SHA1

  • Vrijednost registra RC4DefaultDisablementPhase postavljena je na 1

  • Događaj upozorenja 2016 prelazi na događaj pogreške 2018 u načinu provedbe

  • Prijavljeno po zahtjevu

natrag na događaje nadzora 

ID događaja: 207

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

207

Tekst događaja

Centar za raspodjelu ključeva otkrio je <naziv šifriranja> korištenje koje neće biti podržano u fazi provođenja jer je servis msds-SupportedEncryptionTypes konfiguriran tako da podržava samo AES-SHA1, ali račun servisa nema ključeve AES-SHA1.  

Podaci o računu 

    Naziv računa: <naziv računa> 

    Navedeni naziv domene: <naziv domene> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja> 

    Dostupne tipke: <dostupne tipke> 

Informacije o servisu: 

    Naziv servisa: <naziv servisa> 

    ID servisa: <SID servisa> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> 

    Dostupni ključevi: <ključevi dostupnih servisa> 

Informacije o kontroloru domene: 

    msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> 

    DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> 

    Dostupni ključevi: <domenski kontroler dostupni ključevi> 

Podaci o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Klijentski priključak: <klijentski priključak> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. 

Komentari

Događaj upozorenja 207 bit će zabilježen u sljedećem slučaju:

  • Ciljni servis nema AES ključeve

  • Dogodi se nešto od sljedećeg:

    • Ciljni servis HAS msds-SET definiran samo za AES-SHA1

    • Domenski kontroler HAS DDSET definiran samo za AES-SHA1

  • Vrijednost registra RC4DefaultDisablementPhase postavljena je na 1

  • To će se pretvoriti u 209 (Pogreška) u načinu provedbe

  • Po zahtjevu

natrag na događaje nadzora 

ID događaja: 208

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

208

Tekst događaja

Centar za raspodjelu ključeva namjerno je odbio korištenje šifriranja jer je servis msds-SupportedEncryptionTypes konfiguriran tako da podržava samo AES-SHA1, ali klijent ne advertira AES-SHA1 

Podaci o računu 

    Naziv računa: <naziv računa> 

    Navedeni naziv domene: <naziv domene> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja> 

    Dostupne tipke: <dostupne tipke> 

Informacije o servisu: 

    Naziv servisa: <naziv servisa> 

    ID servisa: <SID servisa> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> 

    Dostupni ključevi: <ključevi dostupnih servisa> 

Informacije o kontroloru domene: 

    msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> 

    DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> 

    Dostupni ključevi: <domenski kontroler dostupni ključevi> 

Podaci o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Klijentski priključak: <klijentski priključak> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. 

Komentari

Događaj pogreške 208 bilježi se u sljedećem slučaju:

  • Klijent je samo oglašavanje RC4 kao Advertized Etypes

  • Pojavljuje se EIther od sljedećeg:

    • Ciljni servis HAS msds-SET definiran samo za AES-SHA1

    • Domenski kontroler HAS DDSET definiran samo za AES-SHA1

  • Vrijednost registra RC4DefaultDisablementPhase postavljena je na 2

  • Po zahtjevu

natrag na događaje nadzora 

ID događaja: 209

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

209

Tekst događaja

Centar za raspodjelu ključeva namjerno je odbio korištenje šifriranja jer je servis msds-SupportedEncryptionTypes konfiguriran tako da podržava samo AES-SHA1, ali račun servisa nema ključeve AES-SHA1 

Podaci o računu 

    Naziv računa: <naziv računa> 

    Navedeni naziv domene: <naziv domene> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja> 

    Dostupne tipke: <dostupne tipke> 

Informacije o servisu: 

    Naziv servisa: <naziv servisa> 

    ID servisa: <SID servisa> 

    msds-SupportedEncryptionTypes: <podržane vrste šifriranja servisa> 

    Dostupni ključevi: <ključevi dostupnih servisa> 

Informacije o kontroloru domene: 

    msds-SupportedEncryptionTypes: <vrste šifriranja koje podržava kontrolor domene> 

    DefaultDomainSupportedEncTypes: <defaultDomainSupportedEncTypes> 

    Dostupni ključevi: <domenski kontroler dostupni ključevi> 

Podaci o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Klijentski priključak: <klijentski priključak> 

    Advertized Etypes: <Advertized Kerberos Encryption Types> 

Dodatne https://go.microsoft.com/fwlink/?linkid=2344614 potražite u članku. 

Komentari

Događaj pogreške 209 bit će zabilježen u sljedećem slučaju:

  • Ciljni servis nema AES ključeve

  • Dogodi se nešto od sljedećeg:

    • Ciljni servis HAS msds-SET definiran samo za AES-SHA1

    • Domenski kontroler HAS DDSET definiran samo za AES-SHA1

  • Vrijednost registra RC4DefaultDisablementPhase postavljena je na 2

  • Po zahtjevu

natrag na događaje nadzora

Napomena

Što se tiče implicitne promjene u odabiru šifriranja servisnih karata, Microsoft ima ograničenu vidljivost u razlozima zašto uređaj koji nije windows ne može prihvatiti provjeru autentičnosti Kerberos nakon što KDC-ovi primjenjuju ažuriranje za travanj i prijeđite na zadano ponašanje AES-SHA1 kada nije naveden. Predlažemo provjeru valjanosti tih promjena testiranjem unutar vašeg okruženja prije omogućivanja tog ponašanja u širokom rasponu.

Najčešće mjesto na koje će se to naići jest s uređajima koji koriste kerberos keytabs. Ako je kartica s ključem Kerberos izvezena samo pomoću RC4 ključeva, ali račun ciljnog servisa ima ključeve AES-SHA1 i nema definirane msds-SupportedEncryptionTypes, postoji mogućnost da provjera autentičnosti nije uspjela na servisu. To će se najvjerojatnije manifestirati u obliku pogrešaka provjere autentičnosti ciljnog servisa, a ne iz KDC-a. 

Naša je primarna preporuka raditi s dobavljačem uređaja koji nije windows. Općenito govoreći, neuspjeli uređaji koji nisu uređaji sa sustavom Windows pri prihvaćanju provjere autentičnosti Kerberos nisu jedinstveni za promjene u travnju i mogu biti specifični za uređaj ili ograničenja specifična za implementaciju.

Ako se nakon te promjene problemi s provjerom autentičnosti kerberos uočite s uređajima koji nisu windows, a popravke dobavljača nije moguće, naše su preporuke sljedeće:

  • Na zahvaćenom računu servisa izričito definirajte msDS-SupportedEncryptionTypes tako da obuhvaća RC4 s AES ključevima sesije (0x24).

  • Ako to nije izvedivo, kao posljednje rješenje, ručno konfigurirajte vrijednost registra DefaultDomainSupportedEncTypes na svim relevantnim KDC-ima tako da obuhvaća RC4 s AES-SHA1 ključevima sesije (0x24). Imajte na umu da su svi računi u domeni izloženi cve-2026-20833.

Važno je imati na umu da je ta konfiguracija nesigurna, a naša je dugoročna preporuka migriranje uređaja koji nisu windows u verzije koje podržavaju AES-SHA1 Kerberos šifriranje karata.

natrag na događaje nadzora

Najčešća pitanja (najčešća pitanja)

P1: Kako ta promjena stupa u interakciju s domenama koje imaju KDC-ove drugih proizvođača?

Ta promjena očnjavanja utječe samo na domenski kontroler sustava Windows. Tok pouzdanosti kerberos i preporuke s drugim domenski kontrolerima sustava Windows ili KDC-jevima drugih proizvođača neće biti zahvaćeni.

P2: Kako ta promjena stupa u interakciju s domenama koje imaju uređaje koji nisu windows domene?

Domenski uređaji drugih proizvođača koji ne mogu obraditi AES-SHA1 šifriranje trebali su već biti izričito konfigurirani tako da dopuštaju RC4 šifriranje. Usluge koje ne mogu obraditi AES-SHA1 ulaznice moraju biti fiksne ili izričito konfigurirane u Aktivnom Diretoryju kako bi se omogućilo RC4 šifriranje kao što je prethodno navedeno. Temeljito provjerite te promjene. 

P3: Hoće li Microsoft ukloniti mogućnost konfiguriranja defaultDomainSupportedEncTypes?

Ne. Evidentirat ćemo događaje upozorenja za nesigurne konfiguracije za DefaultDomainSupportedEncTypes. Osim toga, poštujte svaku konfiguraciju koju je izričito postavio administrator.

Povratak na vrh 

Resursi

Povratak na vrh 

Zapisnik promjena

Promjena datuma

Promjena opisa

14. travnja 2026.

  • Ažuriran je datum iz travnja 2026. da bi odražavao stvarni datum izdanja za "Fazu provedbe s ručnim vraćanjem".

  • Definirani Kerberos KDC u prvoj rečenici drugog odlomka odjeljka "Sažetak".Od: Da bi umanjio tu ranjivost, Windows Ažuriranja mijenja zadanu vrijednost defaultDomainSupportedEncTypes, koja se izdaje 14. travnja 2026. i nakon njega ili administratori koji rano omogućuju način provođenja.Prima: Da biste ublažili tu ranjivost, ažuriranja sustava Windows objavljena 14. travnja 2026. i nakon njega promijenite zadanu vrijednost Kerberos Key Distribution Center (KDC) za DefaultDomainSupportedEncTypes, osim ako administratori ranije ne omogućuju način provođenja.

7. travnja 2026.

  • Ponovno je izrijemao drugi odlomak u odjeljku "Sažetak" radi jasnoće.

  • Stavite važnu napomenu u odjeljak "Drugi korak: MONITOR" da biste istaknuli važnost. Imajte na umu važne napomene.

  • Dodan je novi drugi odlomak u bilješku iznad odjeljka Najčešća pitanja.

16. ožujka 2026.

  • Reworded for clarity "Step 2: MONITOR" in the "Deployment guidelines" section.

  • Reworded for clarity the answer to the "How does this change interact with domains that are non-Windows domain devices?" (Kako ta promjena stupa u interakciju s domenama koje nisu uređaji sa sustavom Windows? najčešća pitanja. Dodali smo posebnu napomenu o tome kako te promjene mogu utjecati na servise koji nisu servisi sustava Windows.

Veljača 10, 2026

  • Dodana je veza dokumentacije na pojavljivanja defaultDomainSupportedEncTypes.

  • Ispravite tekst druge grafičke oznake u odjeljku "Korak3: omogući".Od: Uvodi vrijednost registra RC4DefaultDisablementPhase tako da proaktivno omogući promjenu postavljanjem vrijednosti na 2 na kontrolorima domene kada događaji nadzora KDCSVC upućuju na to da je to sigurno.Prima: Uvodi podršku za vrijednost registra RC4DefaultDisablementPhase nakon što administrator proaktivno omogući promjenu postavljanjem vrijednosti na 2 na kontrolorima domene kada događaji nadzora KDCSVC upućuju na to da je to sigurno.

  • Ispod važne napomene u odjeljku "Radnja" promijenjena je prva rečenica odlomka da bi se naznačilo približno kada će se omogućiti način provođenja.Od: Počevši od travnja 2026. način provođenja bit će omogućen na svim domenski kontrolerima sustava Windows i blokirat će ranjive veze s uređaja koji nisu usklađeni.Prima: Način provođenja automatski će se omogućiti instaliranjem sustava Windows Ažuriranja objavljenog 2026. ili nakon travnja 2026. na svim domenski kontrolerima sustava Windows i blokirat će ranjive veze s uređaja koji nisu usklađeni.

  • Dodan je tekst koji treba spomenuti da tu promjenu unosi Windows Ažuriranja objavio 13. siječnja 2026. i CVE-2026-20833.

Povratak na vrh 

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost