Eredeti közzététel dátuma: 2026. január 13., szombat
TUDÁSBÁZIS-azonosító: 5073381
|
Dátum módosítása |
Leírás módosítása |
|
2026. február 10., csütörtök |
|
Tartalom
Összegzés
A 2026. január 13-án és azt követően kiadott Windows-frissítések védelmet tartalmaznak a Kerberos hitelesítési protokollal kapcsolatos biztonsági rések ellen. A Windows-frissítések a CVE-2026-20833 adatfelfedezési biztonsági rését kezelik, amely lehetővé teheti a támadók számára, hogy gyenge vagy örökölt titkosítási típusokkal (például RC4) szerezzenek be szolgáltatásjegyeket a szolgáltatásfiók jelszavának helyreállítására irányuló offline támadások végrehajtásához.
A biztonsági rés csökkentése érdekében a DefaultDomainSupportedEncTypes alapértelmezett értéke a Kényszerítési mód engedélyezésével módosul. A Kényszerítési módban futó frissített tartományvezérlők csak az Advanced Encryption Standard (AES) titkosítási típusú konfigurációkat támogatják. További információ: Támogatott titkosítási típusok bitjelzői. A DefaultDomainSupportedEncTypes alapértelmezett értéke explicit érték hiányában érvényes
A defaultDomainSupportedEncTypes beállításazonosítóval rendelkező tartományvezérlők viselkedésére ezek a módosítások nem lesznek hatással. Ha azonban a meglévő DefaultDomainSupportedEncTypes konfiguráció nem biztonságos (például RC4-titkosítás használatakor), a rendszer naplózza a KDCSVC eseményazonosító: 205 naplózási eseményt.
Vágjon bele
A környezet védelme és a szolgáltatáskimaradások megelőzése érdekében a következőket javasoljuk:
-
FRISSÍTÉS A Microsoft Active Directory-tartományvezérlők a 2026. január 13-án vagy azt követően kiadott Windows-frissítésekkel kezdve.
-
MONITORozza a rendszer eseménynaplóját a kilenc KDCSVC 201 > 209 naplózott eseményhez Windows Server 2012 és újabb tartományvezérlőken, amelyek az RC4-védelem engedélyezésével azonosítják a kockázatokat.
-
ENYHÍTENI A rendszer eseménynaplójában naplózott KDCSVC-események, amelyek megakadályozzák az RC4-védelem manuális vagy programozott engedélyezését.
-
ENGEDÉLYEZI Kényszerítési mód a CVE-2026-20833 környezetében a figyelmeztetések, blokkolások vagy szabályzatesemények már nem naplózott biztonsági réseinek kezelésére.
FONTOS A 2026. január 13-án vagy azt követően kiadott frissítések telepítése ALAPÉRTELMEZÉS SZERINT NEM oldja meg az Active Directory-tartományvezérlők CVE-2026-20833-ban ismertetett biztonsági réseit. A biztonsági rés teljes mérséklése érdekében manuálisan kell engedélyeznie a kényszerítési módot (a 3. lépés: ENGEDÉLYEZÉS) minden tartományvezérlőn. A Windows Frissítések 2026 júliusában és után kiadott telepítése programozott módon engedélyezi a kényszerítési fázist.
A kényszerítési mód automatikusan engedélyezve lesz azáltal, hogy telepíti a 2026 áprilisában vagy azt követően kiadott Windows Frissítések az összes Windows-tartományvezérlőn, és blokkolja a nem megfelelő eszközök sebezhető kapcsolatait. Ekkor nem fogja tudni letiltani a naplózást, de visszaállhat a Naplózás módra. A naplózási mód 2026 júliusában megszűnik a Frissítések időzítése szakaszban leírtak szerint, és a kényszerítési mód minden Windows-tartományvezérlőn engedélyezve lesz, és letiltja a nem megfelelő eszközök sebezhető kapcsolatait.
Ha 2026 áprilisa után szeretné használni az RC4-et, javasoljuk, hogy explicit módon engedélyezze az RC4-t az msds-SupportedEncryptionTypes bitmaszkban azon szolgáltatásokon, amelyeknek rc4-használatot kell elfogadniuk.
Frissítések időzítése
2026. január 13. – Kezdeti üzembe helyezési fázis
A kezdeti üzembe helyezési fázis a 2026. január 13-án és után kiadott frissítésekkel kezdődik, és a későbbi Windows-frissítésekkel folytatódik a kényszerítési fázisig. Ez a fázis figyelmezteti az ügyfeleket a második üzembehelyezési fázisban bevezetett új biztonsági kényszerítésekre. Ez a frissítés:
-
Naplózási eseményeket biztosít, hogy figyelmeztesse azokat az ügyfeleket, akiket negatívan érinthet a közelgő biztonsági korlátozás.
-
Bevezeti az RC4DefaultDisablementPhase beállításazonosító támogatását, miután egy rendszergazda proaktívan engedélyezi a módosítást azáltal, hogy az értéket 2-re állítja a tartományvezérlőkön, amikor a KDCSVC naplózási eseményei azt jelzik, hogy ez biztonságos.
2026. április – Kényszerítési fázis manuális visszaállítással
Ez a frissítés módosítja a KDC-műveletek alapértelmezett DefaultDomainSupportedEncTypes értékét, hogy az AES-SHA1 értéket használja azon fiókok esetében, amelyekhez nincs definiálva explicit msds-SupportedEncryptionTypes Active Directory-attribútum.
Ez a fázis a DefaultDomainSupportedEncTypes alapértelmezett értékét csak AES-SHA1 értékre módosítja: 0x18.
Ez a fázis az RC4DefaultDisablementPhase visszaállítási érték manuális konfigurálását is lehetővé teszi a programozott kényszerítés 2026 júliusáig.
2026. július – Kényszerítési fázis
A 2026 júliusában vagy azt követően kiadott Windows-frissítések eltávolítják az RC4DefaultDisablementPhase beállításkulcs támogatását.
Üzembehelyezési irányelvek
A 2026. január 13-án vagy azt követően kiadott Windows-frissítések telepítéséhez kövesse az alábbi lépéseket:
-
FRISSÍTSE a tartományvezérlőket a 2026. január 13-án vagy azt követően kiadott Windows-frissítéssel.
-
A környezet biztonságossá tételéhez a kezdeti üzembehelyezési fázis során naplózott MONITOR-események.
-
HELYEZZE ÁT a tartományvezérlőket Kényszerítési módba a Beállításjegyzék beállításai szakaszban.
1. lépés: FRISSÍTÉS
Telepítse a 2026. január 13-án vagy azt követően kiadott Windows-frissítést az összes tartományvezérlőként futó, tartományvezérlőként futó Windows Active Directoryra a frissítés telepítése után.
-
A naplózási események akkor jelennek meg a rendszer eseménynaplóiban, ha a Windows Server 2012 vagy újabb tartományvezérlők olyan Kerberos-szolgáltatásjegy-kérelmeket kapnak, amelyekhez RC4-titkosítás szükséges, de a szolgáltatásfiók alapértelmezett titkosítási konfigurációval rendelkezik.
-
A rendszer naplózza a 205-ös naplózási eseményt a rendszer eseménynaplójában, ha a tartományvezérlő explicit DefaultDomainSupportedEncTypes konfigurációval rendelkezik az RC4-titkosítás engedélyezéséhez.
2. lépés: MONITOR
Ha a tartományvezérlők frissítése után nem lát naplózási eseményeket, váltson Kényszerítési módra az RC4DefaultDisablementPhase érték 2-re való módosításával.
Ha naplózási események jönnek létre, el kell távolítania az RC4-függőségeket, vagy explicit módon konfigurálnia kell a Kerberos által támogatott titkosítási típusokat az RC4 további használatának támogatásához a kényszerítési mód manuális vagy automatikus engedélyezését követően.
Ha meg szeretné tudni, hogyan észlelheti az RC4-használatot a tartományban, a naplózás azonosítja az RC4-től függő eszköz- és felhasználói fiókokat. A rendszergazdáknak meg kell tenniük a szükséges lépéseket a használat kijavítása érdekében az erősebb titkosítási típusok vagy az RC4-függőségek kezelése érdekében. További információ: RC4-használat észlelése és szervizelése a Kerberosban.
3. lépés: ENGEDÉLYEZÉS
Engedélyezze a Kényszerítési módot a CVE-2026-20833 biztonsági réseinek elhárításához a környezetben.
-
Ha egy KDC-t egy RC4-szolgáltatásjegy megadására kérnek egy alapértelmezett konfigurációval rendelkező fiókhoz, a rendszer hibaeseményt naplóz.
-
Továbbra is látni fogja a DefaultDomainSupportedEncTypes nem biztonságos konfigurációihoz naplózott 205-ös eseményazonosítót.
Beállításjegyzék-beállítások
A 2026. január 13-án vagy azt követően kiadott Windows-frissítések telepítése után az alábbi beállításkulcs érhető el a Kerberos protokollhoz.
Ez a beállításkulcs a Kerberos-módosítások üzembe helyezésének kapujára szolgál. Ez a beállításkulcs ideiglenes, és a kényszerítési dátum után már nem lesz beolvasva.
|
Beállításkulcs |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Adattípus |
REG_DWORD |
|
Azonosító neve |
RC4DefaultDisablementPhase |
|
Érték |
0 – Nincs naplózás, nincs változás 1 – A rendszer figyelmeztetési eseményeket naplóz az alapértelmezett RC4-használatban. (Alapértelmezett 1. fázis) 2 – A Kerberos elindul, feltéve, hogy az RC4 alapértelmezés szerint nincs engedélyezve. (Alapértelmezett 2. fázis) |
|
Újraindítás szükséges? |
Igen |
Események naplózása
A 2026. január 13-án vagy azt követően kiadott Windows-frissítések telepítése után a rendszer hozzáadja a következő KSCSVC-naplózási eseménytípusokat a Windows Server 2012 rendszer eseménynaplójába, majd tartományvezérlőként fut.
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
201 |
|
Esemény szövege |
A kulcsterjesztési központ azt észlelte, <titkosítás neve> olyan használatot, amely nem támogatott a kényszerítési fázisban, mert a service msds-SupportedEncryptionTypes nincs definiálva, és az ügyfél csak a nem biztonságos titkosítási típusokat támogatja. Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
Az eseményazonosító: 201 akkor lesz naplózva, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
202 |
|
Esemény szövege |
A kulcsterjesztési központ azt észlelte, <titkosítás neve> olyan használatot, amely nem támogatott a kényszerítési fázisban, mert az msds-SupportedEncryptionTypes szolgáltatás nincs definiálva, és a szolgáltatásfiók csak nem biztonságos kulcsokkal rendelkezik. Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 202-s figyelmeztető eseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
203 |
|
Esemény szövege |
A kulcsterjesztési központ letiltotta a titkosítás használatát, mert a service msds-SupportedEncryptionTypes nincs definiálva, és az ügyfél csak a nem biztonságos titkosítási típusokat támogatja. Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 203-at hibaeseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
204 |
|
Esemény szövege |
A kulcsterjesztési központ letiltotta a titkosítás használatát, mert az msds-SupportedEncryptionTypes szolgáltatás nincs definiálva, és a szolgáltatásfiók csak nem biztonságos kulcsokkal rendelkezik. Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 204-s hibaeseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
205 |
|
Esemény szövege |
A kulcsterjesztési központ explicit titkosítás-engedélyezést észlelt az alapértelmezett tartomány által támogatott titkosítási típusok szabályzatkonfigurációjában. Titkosítás(ok): <engedélyezett nem biztonságos titkosítások> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 205-ös figyelmeztető eseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
206 |
|
Esemény szövege |
A kulcsterjesztési központ azt észlelte, <titkosító neve> olyan használatot, amely nem támogatott a kényszerítési fázisban, mert az msds-SupportedEncryptionTypes szolgáltatás csak az AES-SHA1 támogatására van konfigurálva, de az ügyfél nem fordítja az AES-SHA1-et Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 206-os figyelmeztető eseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
207 |
|
Esemény szövege |
A kulcsterjesztési központ <titkosítási> olyan használatot észlelt, amely a kényszerítési fázisban nem támogatott, mert a service msds-SupportedEncryptionTypes csak az AES-SHA1 támogatására van konfigurálva, de a szolgáltatásfiók nem rendelkezik AES-SHA1 kulcsokkal. Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a következő esetekben naplózza a 207-s figyelmeztető eseményt:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
208 |
|
Esemény szövege |
A kulcsterjesztési központ szándékosan megtagadta a titkosítás használatát, mert az msds-SupportedEncryptionTypes szolgáltatás csak az AES-SHA1 támogatására van konfigurálva, de az ügyfél nem fordítja az AES-SHA1-et Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 208-as hibaeseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
209 |
|
Esemény szövege |
A kulcsterjesztési központ szándékosan megtagadta a titkosítás használatát, mert a service msds-SupportedEncryptionTypes csak az AES-SHA1 támogatására van konfigurálva, de a szolgáltatásfiók nem rendelkezik AES-SHA1 kulcsokkal Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 209-s hibaeseményt naplózza, ha:
|
Megjegyzés
Ha ezen figyelmeztető üzenetek bármelyikét egy tartományvezérlőn naplózza a rendszer, akkor valószínű, hogy a tartomány összes tartományvezérlője nem naprakész a 2026. január 13-án vagy azt követően kiadott Windows-frissítéssel. A biztonsági rés csökkentése érdekében tovább kell vizsgálnia a tartományt, hogy megtalálja azokat a tartományvezérlőket, amelyek nem naprakészek.
Ha egy tartományvezérlőn 0x8000002A naplózott eseményazonosítót lát, tekintse meg a következőt: KB5021131: A CVE-2022-37966-tal kapcsolatos Kerberos-protokollmódosítások kezelése.
Gyakori kérdések (GYIK)
Ez a módosítás csak a Windows tartományvezérlőket érinti. A Kerberos megbízhatósági és javaslati folyamata más Windows-tartományvezérlőkkel vagy külső KDC-kkel nincs hatással.
Az AES-SHA1 titkosítást nem feldolgozó külső tartományi eszközöknek már explicit módon konfigurálva kellett lennie az AES-SHA1 titkosítás engedélyezéséhez.
Nem. Naplózni fogjuk a DefaultDomainSupportedEncTypes nem biztonságos konfigurációira vonatkozó figyelmeztetési eseményeket. Emellett a rendszergazda által explicit módon beállított konfigurációt is figyelembe vesszük.
Erőforrások
KB5020805: A CVE-2022-37967-höz kapcsolódó Kerberos-protokollmódosítások kezelése
KB5021131: A CVE-2022-37966-tal kapcsolatos Kerberos-protokollmódosítások kezelése
