Eredeti közzététel dátuma: 2026. január 13., szombat
TUDÁSBÁZIS-azonosító: 5073381
A Windows biztonságos rendszerindítási tanúsítványának lejárata
Fontos: A legtöbb Windows-eszköz által használt biztonságos rendszerindítási tanúsítványok 2026 júniusától lejárnak. Ez hatással lehet arra, hogy bizonyos személyes és üzleti eszközök biztonságosan induljanak el, ha nem frissülnek időben. A fennakadások elkerülése érdekében javasoljuk, hogy tekintse át az útmutatót, és tegyen lépéseket a tanúsítványok előzetes frissítéséhez. További részletek és előkészületi lépések: A Windows biztonságos rendszerindítási tanúsítványának lejárata és CA-frissítések
Tartalom
Összefoglalás
A 2026. január 13-án és azt követően kiadott Windows-frissítések védelmet tartalmaznak a Kerberos hitelesítési protokollal kapcsolatos biztonsági rések ellen. A Windows-frissítések olyan információfelfedezési biztonsági rést oldanak meg, amely lehetővé teszi a támadók számára, hogy gyenge vagy örökölt titkosítási típusokkal (például RC4) szerezzenek be szolgáltatásjegyeket, és offline támadásokat hajtsanak végre a szolgáltatásfiók jelszavának helyreállításához.
A környezet biztonságossá tételéhez és megerősítéséhez telepítse a 2026. január 13-án vagy azt követően kiadott Windows-frissítést a tartományvezérlőként futó "Hatókör" szakaszban felsorolt összes Windows-kiszolgálóra. További információ a biztonsági résekről: CVE-2026-20833.
A biztonsági rés csökkentése érdekében a DefaultDomainSupportedEncTypes (DDSET) alapértelmezett értéke módosul, így minden tartományvezérlő csak az Advanced Encryption Standard (AES-SHA1) titkosítású jegyeket támogatja explicit Kerberos titkosítási típuskonfiguráció nélküli fiókokhoz. További információ: Támogatott titkosítási típusok bitjelzői.
A defaultDomainSupportedEncTypes beállításazonosítóval rendelkező tartományvezérlők viselkedésére ezek a módosítások nem lesznek hatással. A KDCSVC eseményazonosító: 205 naplózási esemény azonban naplózható a rendszer eseménynaplójában, ha a meglévő DefaultDomainSupportedEncTypes konfiguráció nem biztonságos.
Vágjon bele
A környezet védelme és a kimaradások megelőzése érdekében javasoljuk, hogy hajtsa végre az alábbi lépéseket:
-
FRISSÍTÉS A Microsoft Active Directory-tartományvezérlők a 2026. január 13-án vagy azt követően kiadott Windows-frissítésekkel kezdve.
-
MONITORozza a rendszer eseménynaplóját a Windows Server 2012 és újabb tartományvezérlőkre naplózott 9 auditesemények közül, amelyek az RC4-védelem engedélyezésével azonosítják a kockázatokat.
-
ENYHÍTENI A rendszer eseménynaplójában naplózott KDCSVC-események, amelyek megakadályozzák az RC4-védelem manuális vagy programozott engedélyezését.
-
ENGEDÉLYEZI Kényszerítési mód a CVE-2026-20833 környezetében a figyelmeztetések, blokkolások vagy szabályzatesemények már nem naplózott biztonsági réseinek kezelésére.
FONTOS A 2026. január 13-án vagy azt követően kiadott frissítések telepítése ALAPÉRTELMEZÉS SZERINT NEM oldja meg az Active Directory-tartományvezérlők CVE-2026-20833-ban ismertetett biztonsági réseit. A biztonsági rés teljes mérsékléséhez a lehető leghamarabb át kell váltania a Kényszerített módra (a 3. lépésben leírtak szerint) minden tartományvezérlőn.
2026 áprilisától a kényszerítési mód minden Windows-tartományvezérlőn engedélyezve lesz, és letiltja a nem megfelelő eszközök sebezhető kapcsolatait. Ekkor nem fogja tudni letiltani a naplózást, de visszaállhat a Naplózás módra. A naplózási mód 2026 júliusában megszűnik a Frissítések időzítése szakaszban leírtak szerint, és a kényszerítési mód minden Windows-tartományvezérlőn engedélyezve lesz, és letiltja a nem megfelelő eszközök sebezhető kapcsolatait.
Ha 2026 áprilisa után szeretné használni az RC4-et, javasoljuk, hogy explicit módon engedélyezze az RC4-t az msds-SupportedEncryptionTypes bitmaszkban azon szolgáltatásokon, amelyeknek rc4-használatot kell elfogadniuk.
Frissítések időzítése
2026. január 13. – Kezdeti üzembe helyezési fázis
A kezdeti üzembe helyezési fázis a 2026. január 13-án és után kiadott frissítésekkel kezdődik, és a későbbi Windows-frissítésekkel folytatódik a kényszerítési fázisig. Ez a fázis figyelmezteti az ügyfeleket a második üzembehelyezési fázisban bevezetett új biztonsági kényszerítésekre. Ez a frissítés:
-
Naplózási eseményeket biztosít, hogy figyelmeztesse azokat az ügyfeleket, akiket negatívan érinthet a közelgő biztonsági korlátozás.
-
Bevezeti az RC4DefaultDisablementPhase beállításazonosítót a módosítás proaktív engedélyezéséhez azáltal, hogy 2 értékre állítja a tartományvezérlőkön, ha a KDCSVC naplózási eseményei azt jelzik, hogy ez biztonságos.
2026. április – Második üzembehelyezési fázis
Ez a frissítés módosítja a KDC-műveletek alapértelmezett DefaultDomainSupportedEncTypes értékét, hogy az AES-SHA1 értéket használja azon fiókok esetében, amelyekhez nincs definiálva explicit msds-SupportedEncryptionTypes Active Directory-attribútum.
Ez a fázis a DefaultDomainSupportedEncTypes alapértelmezett értékét csak AES-SHA1 értékre módosítja: 0x18.
2026. július – Kényszerítési fázis
A 2026 júliusában vagy azt követően kiadott Windows-frissítések eltávolítják az RC4DefaultDisablementPhase beállításkulcs támogatását.
Üzembehelyezési irányelvek
A 2026. január 13-án vagy azt követően kiadott Windows-frissítések telepítéséhez kövesse az alábbi lépéseket:
-
FRISSÍTSE a tartományvezérlőket a 2026. január 13-án vagy azt követően kiadott Windows-frissítéssel.
-
A környezet biztonságossá tételéhez a kezdeti üzembehelyezési fázis során naplózott MONITOR-események.
-
HELYEZZE ÁT a tartományvezérlőket Kényszerítési módba a Beállításjegyzék beállításai szakaszban.
1. lépés: FRISSÍTÉS
Telepítse a 2026. január 13-án vagy azt követően kiadott Windows-frissítést az összes tartományvezérlőként futó, tartományvezérlőként futó Windows Active Directoryra a frissítés telepítése után.
-
Az auditesemények akkor jelennek meg a rendszer eseménynaplóiban, ha a tartományvezérlő olyan Kerberos-szolgáltatásjegy-kérelmeket kap, amelyekhez RC4-titkosítás szükséges, de a szolgáltatásfiók alapértelmezett titkosítási konfigurációval rendelkezik.
-
A rendszer naplózza az eseményeket a rendszer eseménynaplójában, ha a tartományvezérlő explicit DefaultDomainSupportedEncTypes konfigurációval rendelkezik az RC4-titkosítás engedélyezéséhez.
2. lépés: MONITOR
Ha a tartományvezérlők frissítése után nem lát naplózási eseményeket, váltson Kényszerítési módra az RC4DefaultDisablementPhase érték 2-re való módosításával.
Ha naplózási események jönnek létre, el kell távolítania az RC4-függőségeket, vagy explicit módon konfigurálnia kell a Kerberos által támogatott titkosítási típusokat. Ezután átválthat a Kényszerítési módra.
Ha meg szeretné tudni, hogyan észlelheti az RC4-használatot a tartományban, hogyan naplózhatja az RC4-től függő eszköz- és felhasználói fiókokat, és hogyan háríthatja el a használatot az erősebb titkosítási típusok érdekében, vagy hogyan kezelheti az RC4-függőségeket, tekintse meg az RC4-használat észlelése és szervizelése a Kerberosban című témakört.
3. lépés: ENGEDÉLYEZÉS
Engedélyezze a Kényszerítési módot a CVE-2026-20833 biztonsági réseinek elhárításához a környezetben.
-
Ha egy KDC-t egy RC4-szolgáltatásjegy megadására kérnek egy alapértelmezett konfigurációval rendelkező fiókhoz, a rendszer hibaeseményt naplóz.
-
Továbbra is megjelenik a DefaultDomainSupportedEncTypes nem biztonságos konfigurációjának 205-ös eseményazonosítója.
Beállításjegyzék-beállítások
A 2026. január 13-án vagy azt követően kiadott Windows-frissítések telepítése után az alábbi beállításkulcs érhető el a Kerberos protokollhoz.
Ez a beállításkulcs a Kerberos-módosítások üzembe helyezésének kapujára szolgál. Ez a beállításkulcs ideiglenes, és a kényszerítési dátum után már nem lesz beolvasva.
|
Beállításkulcs |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Adattípus |
REG_DWORD |
|
Azonosító neve |
RC4DefaultDisablementPhase |
|
Érték |
0 – Nincs naplózás, nincs változás 1 – A rendszer figyelmeztetési eseményeket naplóz az alapértelmezett RC4-használatban. (Alapértelmezett 1. fázis) 2 – A Kerberos elindul, feltéve, hogy az RC4 alapértelmezés szerint nincs engedélyezve. (Alapértelmezett 2. fázis) |
|
Újraindítás szükséges? |
Igen |
Események naplózása
A 2026. január 13-án vagy azt követően kiadott Windows-frissítések telepítése után a rendszer hozzáadja a következő naplózási eseménytípusokat Windows Server 2012 és később tartományvezérlőként futóhoz.
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
201 |
|
Esemény szövege |
A kulcsterjesztési központ azt észlelte, <titkosítás neve> olyan használatot, amely nem támogatott a kényszerítési fázisban, mert a service msds-SupportedEncryptionTypes nincs definiálva, és az ügyfél csak a nem biztonságos titkosítási típusokat támogatja. Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
Az eseményazonosító: 201 akkor lesz naplózva, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
202 |
|
Esemény szövege |
A kulcsterjesztési központ azt észlelte, <titkosítás neve> olyan használatot, amely nem támogatott a kényszerítési fázisban, mert az msds-SupportedEncryptionTypes szolgáltatás nincs definiálva, és a szolgáltatásfiók csak nem biztonságos kulcsokkal rendelkezik. Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 202-s figyelmeztető eseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
203 |
|
Esemény szövege |
A kulcsterjesztési központ letiltotta a titkosítás használatát, mert a service msds-SupportedEncryptionTypes nincs definiálva, és az ügyfél csak a nem biztonságos titkosítási típusokat támogatja. Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 203-at hibaeseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
204 |
|
Esemény szövege |
A kulcsterjesztési központ letiltotta a titkosítás használatát, mert az msds-SupportedEncryptionTypes szolgáltatás nincs definiálva, és a szolgáltatásfiók csak nem biztonságos kulcsokkal rendelkezik. Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 204-s hibaeseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
205 |
|
Esemény szövege |
A kulcsterjesztési központ explicit titkosítás-engedélyezést észlelt az alapértelmezett tartomány által támogatott titkosítási típusok szabályzatkonfigurációjában. Titkosítás(ok): <engedélyezett nem biztonságos titkosítások> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 205-ös figyelmeztető eseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
206 |
|
Esemény szövege |
A kulcsterjesztési központ azt észlelte, <titkosító neve> olyan használatot, amely nem támogatott a kényszerítési fázisban, mert az msds-SupportedEncryptionTypes szolgáltatás csak az AES-SHA1 támogatására van konfigurálva, de az ügyfél nem fordítja az AES-SHA1-et Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 206-os figyelmeztető eseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
207 |
|
Esemény szövege |
A kulcsterjesztési központ <titkosítási> olyan használatot észlelt, amely a kényszerítési fázisban nem támogatott, mert a service msds-SupportedEncryptionTypes csak az AES-SHA1 támogatására van konfigurálva, de a szolgáltatásfiók nem rendelkezik AES-SHA1 kulcsokkal. Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a következő esetekben naplózza a 207-s figyelmeztető eseményt:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
208 |
|
Esemény szövege |
A kulcsterjesztési központ szándékosan megtagadta a titkosítás használatát, mert az msds-SupportedEncryptionTypes szolgáltatás csak az AES-SHA1 támogatására van konfigurálva, de az ügyfél nem fordítja az AES-SHA1-et Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 208-as hibaeseményt naplózza, ha:
|
|
Eseménynapló |
Rendszer |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
Kdcsvc |
|
Eseményazonosító |
209 |
|
Esemény szövege |
A kulcsterjesztési központ szándékosan megtagadta a titkosítás használatát, mert a service msds-SupportedEncryptionTypes csak az AES-SHA1 támogatására van konfigurálva, de a szolgáltatásfiók nem rendelkezik AES-SHA1 kulcsokkal Fiókadatok Fióknév: <fióknév> Megadott tartománynév: <megadott tartománynév> msds-SupportedEncryptionTypes: <támogatott titkosítási típusok> Elérhető kulcsok: <elérhető kulcsok> Szolgáltatásinformációk: Szolgáltatásnév: <szolgáltatásnév> Szolgáltatásazonosító: <szolgáltatás SID-> msds-SupportedEncryptionTypes: <Szolgáltatás által támogatott titkosítási típusok> Elérhető kulcsok: <szolgáltatás elérhető kulcsait> Tartományvezérlő adatai: msds-SupportedEncryptionTypes: <Tartományvezérlő által támogatott titkosítási típusok> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Érték> Elérhető kulcsok: <tartományvezérlő elérhető kulcsait> Hálózati információ: Ügyfél címe: <ügyfél IP-címe> Ügyfélport: <ügyfélport> Advertized Etypes: <Advertized Kerberos Encryption Types> További információ: https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Megjegyzések |
A rendszer a 209-s hibaeseményt naplózza, ha:
|
Megjegyzés
Ha ezen figyelmeztető üzenetek bármelyikét egy tartományvezérlőn naplózza a rendszer, akkor valószínű, hogy a tartomány összes tartományvezérlője nem naprakész a 2026. január 13-án vagy azt követően kiadott Windows-frissítéssel. A biztonsági rés csökkentése érdekében tovább kell vizsgálnia a tartományt, hogy megtalálja azokat a tartományvezérlőket, amelyek nem naprakészek.
Ha egy tartományvezérlőn 0x8000002A naplózott eseményazonosítót lát, tekintse meg a következőt: KB5021131: A CVE-2022-37966-tal kapcsolatos Kerberos-protokollmódosítások kezelése.
Gyakori kérdések (GYIK)
Ez a korlátozás hatással van a Windows-tartományvezérlőkre, amikor szolgáltatásjegyeket adnak ki. A Kerberos megbízhatósági és javaslati folyamata nincs hatással.
Az AES-SHA1 feldolgozását nem képes külső tartományi eszközöknek már explicit módon konfigurálva kellett volna lennie az AES-SHA1 engedélyezéséhez.
Nem. Naplózni fogjuk a DefaultDomainSupportedEncTypes nem biztonságos konfigurációira vonatkozó figyelmeztetési eseményeket. Emellett nem hagyunk figyelmen kívül semmilyen, az ügyfél által explicit módon beállított konfigurációt.
Erőforrások
KB5020805: A CVE-2022-37967-höz kapcsolódó Kerberos-protokollmódosítások kezelése
KB5021131: A CVE-2022-37966-tal kapcsolatos Kerberos-protokollmódosítások kezelése
