Data di pubblicazione originale: 13 gennaio 2026
ID KB: 5073381
|
Modifica data |
Modificare la descrizione |
|
7 aprile 2026 |
|
|
16 marzo 2026 |
|
|
10 febbraio 2026 |
|
Contenuto dell'articolo
Riepilogo
Gli aggiornamenti di Windows rilasciati dopo il 13 gennaio 2026 e successivamente contengono protezioni per una vulnerabilità con il protocollo di autenticazione Kerberos. Gli aggiornamenti di Windows risolvono una vulnerabilità relativa alla divulgazione di informazioni in CVE-2026-20833 che potrebbe consentire a un utente malintenzionato di ottenere ticket di servizio con tipi di crittografia deboli o legacy, ad esempio RC4, per eseguire attacchi offline per recuperare la password di un account di servizio.
Per attenuare questa vulnerabilità, il valore predefinito di DefaultDomainSupportedEncTypes viene modificato da Windows Aggiornamenti rilasciato il 14 aprile 2026 o dopo il 14 aprile 2026 o dopo l'abilitazione anticipata della modalità di applicazione. I controller di dominio aggiornati in esecuzione in modalità di applicazione presuppongono il supporto per le configurazioni dei tipi di crittografia AES (Advanced Encryption Standard) solo se non viene specificata alcuna configurazione esplicita. Per ulteriori informazioni, vedere Flag di bit dei tipi di crittografia supportati. Il valore predefinito per DefaultDomainSupportedEncTypes si applica in assenza di un valore esplicito.
Nei controller di dominio con un valore del Registro di sistema DefaultDomainSupportedEncTypes definito, il comportamento non sarà interessato da queste modifiche a livello funzionale. Tuttavia, un EVENTO di controllo KDCSVC ID evento: 205 verrà registrato nel registro eventi di sistema se la configurazione DefaultDomainSupportedEncTypes esistente non è protetta (ad esempio, quando viene usata una crittografia RC4).
Entrare in azione
Per proteggere l'ambiente e prevenire interruzioni, è consigliabile:
-
AGGIORNAMENTO Controller di dominio Microsoft Active Directory a partire da aggiornamenti di Windows rilasciati dopo il 13 gennaio 2026 incluso.
-
MONITORARE il registro eventi di sistema per uno dei nove eventi di controllo KDCSVC 201 > 209 registrati su Windows Server 2012 e controller di dominio più recenti che identificano i rischi con abilitazione delle protezioni RC4.
-
ATTENUARE Eventi KDCSVC registrati nel registro eventi di sistema che impediscono l'abilitazione manuale o programmatica delle protezioni RC4.
-
ATTIVARE Modalità di applicazione per risolvere le vulnerabilità affrontate in CVE-2026-20833 nell'ambiente quando gli eventi di avviso, blocco o dei criteri non vengono più registrati.
IMPORTANTE L'installazione degli aggiornamenti rilasciati dopo il 13 gennaio 2026 incluso NON risolverà le vulnerabilità descritte in CVE-2026-20833 per i controller di dominio Active Directory per impostazione predefinita. Per attenuare completamente la vulnerabilità, è necessario abilitare manualmente la modalità di applicazione (descritta nel Passaggio 3: ABILITA) in tutti i controller di dominio. L'installazione di Windows Aggiornamenti rilasciata dopo luglio 2026 abiliterà a livello di programmazione la fase di applicazione.
La modalità di applicazione sarà abilitata automaticamente installando Windows Aggiornamenti rilasciato dopo aprile 2026 in tutti i controller di dominio Windows e bloccherà le connessioni vulnerabili da dispositivi non conformi. In quel momento, non sarà possibile disabilitare il controllo, ma potrebbe tornare all'impostazione modalità di controllo. La modalità di controllo verrà rimossa a luglio 2026, come descritto nella sezione Tempi degli aggiornamenti , e la modalità di applicazione sarà abilitata in tutti i controller di dominio di Windows e bloccherà le connessioni vulnerabili da dispositivi non conformi.
Se devi sfruttare RC4 dopo aprile 2026, ti consigliamo di abilitare esplicitamente RC4 all'interno della maschera di bit msds-SupportedEncryptionTypes sui servizi che dovranno accettare l'utilizzo di RC4.
Tempi degli aggiornamenti
13 gennaio 2026 - Fase di distribuzione iniziale
La fase di distribuzione iniziale inizia con gli aggiornamenti rilasciati dopo il 13 gennaio 2026 e continua con gli aggiornamenti di Windows successivi fino alla fase di applicazione . Questa fase consente di avvisare i clienti delle nuove misure di sicurezza che verranno introdotte nella seconda fase di distribuzione. Questo aggiornamento:
-
Fornisce eventi di controllo per avvisare i clienti che potrebbero essere influenzati negativamente dalla protezione avanzata imminente.
-
Introduce il supporto per il valore del Registro di sistema RC4DefaultDisablementPhase dopo che un amministratore ha abilitato proattivamente la modifica impostando il valore su 2 nei controller di dominio quando gli eventi di controllo KDCSVC indicano che è sicuro farlo.
Aprile 2026 - Fase di applicazione con rollback manuale
Questo aggiornamento modifica il valore predefinito DefaultDomainSupportedEncTypes per le operazioni KDC per sfruttare AES-SHA1 per gli account che non hanno un attributo active directory esplicito msds-SupportedEncryptionTypes definito.
Questa fase modifica il valore predefinito per DefaultDomainSupportedEncTypes in Solo AES-SHA1: 0x18.
Questa fase consente anche la configurazione manuale del valore di rollback RC4DefaultDisablementPhase fino all'applicazione programmatica a luglio 2026.
Luglio 2026 - Fase di applicazione
Gli aggiornamenti di Windows rilasciati a partire da luglio 2026 rimuoveranno il supporto per la sottochiave del Registro di sistema RC4DefaultDisablementPhase.
Linee guida per la distribuzione
Per distribuire gli aggiornamenti di Windows rilasciati dopo il 13 gennaio 2026 incluso, seguire questa procedura:
-
AGGIORNARE i controller di dominio con un aggiornamento di Windows rilasciato dopo il 13 gennaio 2026 incluso.
-
MONITORARE gli eventi registrati durante la fase di distribuzione iniziale per proteggere l'ambiente.
-
Spostare i controller di dominio in modalità di applicazione utilizzando la sezione Impostazioni del Registro di sistema.
Passaggio 1: AGGIORNAMENTO
Distribuire l'aggiornamento di Windows rilasciato dopo il 13 gennaio 2026 incluso in tutti gli aggiornamenti di Windows Active Directory applicabili in esecuzione come controller di dominio dopo la distribuzione dell'aggiornamento.
-
Gli eventi di controllo verranno visualizzati nei log eventi di sistema se i controller di dominio Windows Server 2012 o successivi ricevono richieste di ticket di servizio Kerberos che richiedono l'uso della crittografia RC4, ma l'account del servizio ha una configurazione di crittografia predefinita.
-
Audit Event 205 verrà registrato nel registro eventi di sistema se il controller di dominio ha una configurazione esplicita DefaultDomainSupportedEncTypes per consentire la crittografia RC4.
Passaggio 2: MONITOR
Dopo aver aggiornato i controller di dominio, se gli eventi di controllo descritti in questo articolo non sono visualizzati, passare alla modalità di applicazione impostando il valore RC4DefaultDisablementPhase del Registro di sistema su 2.
Se sono generati eventi di controllo, sarà necessario rimuovere le dipendenze RC4 o configurare in modo esplicito l'attributo msds-SupportedEncryptionTypes per supportare l'uso continuo di RC4 dopo l'abilitazione manuale o automatica della modalità enforcement .
Per gli amministratori interessati a correggere l'utilizzo di RC4 in modo più esteso rispetto a quanto descritto in questo articolo, è consigliabile esaminare Il rilevamento e la correzione dell'utilizzo di RC4 in Kerberos per ulteriori informazioni.
IMPORTANTE Gli eventi di controllo correlati a questa modifica vengono generati solo quando Active Directory non è in grado di emettere ticket di servizio O chiavi di sessione AES-SHA1. L'assenza di eventi di controllo non garantisce che tutti i dispositivi non Windows accettino correttamente l'autenticazione Kerberos dopo l'aggiornamento di aprile. I clienti devono convalidare l'interoperabilità non Windows tramite test prima di abilitare su vasta scala questo comportamento.
Passaggio 3: ABILITARE
Abilitare la modalità di applicazione per risolvere le vulnerabilità di CVE-2026-20833 nell'ambiente.
-
Se viene richiesto un KDC per fornire un ticket di servizio RC4 per un account con configurazioni predefinite, verrà registrato un evento di errore.
-
Si continuerà a vedere un ID evento: 205 registrato per qualsiasi configurazione non protetta di DefaultDomainSupportedEncTypes.
Impostazioni del Registro di sistema
Dopo l'installazione degli aggiornamenti di Windows rilasciati dopo il 13 gennaio 2026, per il protocollo Kerberos è disponibile la chiave del Registro di sistema seguente.
Questa chiave del Registro di sistema viene utilizzata per la distribuzione delle modifiche Kerberos. Questa chiave del Registro di sistema è temporanea e non verrà più letta dopo la data di applicazione.
|
Chiave del Registro di sistema |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Tipo di dati |
REG_DWORD |
|
Nome valore |
RC4DefaultDisablementPhase |
|
Dati valore |
0 – Nessun controllo, nessuna modifica 1 - Gli eventi di avviso verranno registrati sull'utilizzo rc4 predefinito. (Fase 1 predefinita) 2 – Kerberos inizierà presupponendo che RC4 non sia abilitato per impostazione predefinita. (Fase 2 predefinita) |
|
È necessario riavviare il sistema? |
Sì |
Eventi di controllo
Dopo l'installazione degli aggiornamenti di Windows rilasciati dopo il 13 gennaio 2026, i tipi di evento di controllo KSCSVC seguenti vengono aggiunti al registro eventi di sistema di Windows Server 2012 e successivamente eseguiti come controller di dominio.
|
Registro eventi |
Sistema |
|
Tipo di evento |
Avviso |
|
Origine evento |
Kdcsvc |
|
ID evento |
201 |
|
Testo evento |
Il Centro distribuzione chiave ha rilevato <'utilizzo del nome crittografato> che non sarà supportato nella fase di applicazione perché il servizio msds-SupportedEncryptionTypes non è definito e il client supporta solo i tipi di crittografia non sicuri. Informazioni account Nome account: <> Nome account Nome area di autenticazione: <> nome dell'area di autenticazione fornito msds-SupportedEncryptionTypes: <tipi di crittografia supportati> Tasti disponibili: <tasti disponibili> Informazioni sul servizio: Nome servizio:> nome servizio < ID servizio:> SID servizio < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chiavi disponibili:> chiavi disponibili per <servizio Informazioni sul controller di dominio: msds-SupportedEncryptionTypes: <tipi di crittografia supportati dal controller di dominio> DefaultDomainSupportedEncTypes: <Valore DefaultDomainSupportedEncTypes> Chiavi disponibili: <chiavi disponibili per il controller di dominio> Informazioni sulla rete: Indirizzo client: <> indirizzo IP client Porta client:> porta client < Etipi pubblicitari: <tipi di crittografia Kerberos invertiti> Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commenti |
ID evento: 201 verrà registrato se:
|
|
Registro eventi |
Sistema |
|
Tipo di evento |
Avviso |
|
Origine evento |
Kdcsvc |
|
ID evento |
202 |
|
Testo evento |
Il Centro distribuzione chiave ha rilevato <'utilizzo di Cipher Name> che non sarà supportato nella fase di applicazione perché il servizio msds-SupportedEncryptionTypes non è definito e l'account del servizio ha solo chiavi non sicure. Informazioni account Nome account: <> Nome account Nome area di autenticazione: <> nome dell'area di autenticazione fornito msds-SupportedEncryptionTypes: <tipi di crittografia supportati> Tasti disponibili: <tasti disponibili> Informazioni sul servizio: Nome servizio:> nome servizio < ID servizio:> SID servizio < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chiavi disponibili:> chiavi disponibili per <servizio Informazioni sul controller di dominio: msds-SupportedEncryptionTypes: <tipi di crittografia supportati dal controller di dominio> DefaultDomainSupportedEncTypes: <Valore DefaultDomainSupportedEncTypes> Chiavi disponibili: <chiavi disponibili per il controller di dominio> Informazioni sulla rete: Indirizzo client: <> indirizzo IP client Porta client:> porta client < Etipi pubblicitari: <tipi di crittografia Kerberos invertiti> Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commenti |
L'evento di avviso 202 verrà registrato se:
|
|
Registro eventi |
Sistema |
|
Tipo di evento |
Avviso |
|
Origine evento |
Kdcsvc |
|
ID evento |
203 |
|
Testo evento |
Il Centro di distribuzione delle chiavi ha bloccato l'uso della crittografia perché il servizio msds-SupportedEncryptionTypes non è definito e il client supporta solo i tipi di crittografia non sicuri. Informazioni account Nome account: <> Nome account Nome area di autenticazione: <> nome dell'area di autenticazione fornito msds-SupportedEncryptionTypes: <tipi di crittografia supportati> Tasti disponibili: <tasti disponibili> Informazioni sul servizio: Nome servizio:> nome servizio < ID servizio:> SID servizio < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chiavi disponibili:> chiavi disponibili per <servizio Informazioni sul controller di dominio: msds-SupportedEncryptionTypes: <tipi di crittografia supportati dal controller di dominio> DefaultDomainSupportedEncTypes: <Valore DefaultDomainSupportedEncTypes> Chiavi disponibili: <chiavi disponibili per il controller di dominio> Informazioni sulla rete: Indirizzo client: <> indirizzo IP client Porta client:> porta client < Etipi pubblicitari: <tipi di crittografia Kerberos invertiti> Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commenti |
L'evento di errore 203 verrà registrato se:
|
|
Registro eventi |
Sistema |
|
Tipo di evento |
Avviso |
|
Origine evento |
Kdcsvc |
|
ID evento |
204 |
|
Testo evento |
Il Centro di distribuzione delle chiavi ha bloccato l'uso della crittografia perché il servizio msds-SupportedEncryptionTypes non è definito e l'account del servizio ha solo chiavi non sicure. Informazioni account Nome account: <> Nome account Nome area di autenticazione: <> nome dell'area di autenticazione fornito msds-SupportedEncryptionTypes: <tipi di crittografia supportati> Tasti disponibili: <tasti disponibili> Informazioni sul servizio: Nome servizio:> nome servizio < ID servizio:> SID servizio < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chiavi disponibili:> chiavi disponibili per <servizio Informazioni sul controller di dominio: msds-SupportedEncryptionTypes: <tipi di crittografia supportati dal controller di dominio> DefaultDomainSupportedEncTypes: <Valore DefaultDomainSupportedEncTypes> Chiavi disponibili: <chiavi disponibili per il controller di dominio> Informazioni sulla rete: Indirizzo client: <> indirizzo IP client Porta client:> porta client < Etipi pubblicitari: <tipi di crittografia Kerberos invertiti> Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commenti |
L'evento di errore 204 verrà registrato se:
|
|
Registro eventi |
Sistema |
|
Tipo di evento |
Avviso |
|
Origine evento |
Kdcsvc |
|
ID evento |
205 |
|
Testo evento |
Il Centro di distribuzione delle chiavi ha rilevato un abilitare la crittografia esplicita nella configurazione dei criteri Tipi di crittografia supportati dal dominio predefinito. Crittografia: <> Di crittografia non protetta abilitata DefaultDomainSupportedEncTypes: <valore DefaultDomainSupportedEncTypes configurato> Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commenti |
L'evento di avviso 205 verrà registrato se:
|
|
Registro eventi |
Sistema |
|
Tipo di evento |
Avviso |
|
Origine evento |
Kdcsvc |
|
ID evento |
206 |
|
Testo evento |
Il Centro di distribuzione chiave ha rilevato <'utilizzo del nome crittografato> che non sarà supportato nella fase di applicazione perché il servizio msds-SupportedEncryptionTypes è configurato per supportare solo AES-SHA1 ma il client non avvisa AES-SHA1 Informazioni account Nome account: <> Nome account Nome area di autenticazione: <> nome dell'area di autenticazione fornito msds-SupportedEncryptionTypes: <tipi di crittografia supportati> Tasti disponibili: <tasti disponibili> Informazioni sul servizio: Nome servizio:> nome servizio < ID servizio:> SID servizio < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chiavi disponibili:> chiavi disponibili per <servizio Informazioni sul controller di dominio: msds-SupportedEncryptionTypes: <tipi di crittografia supportati dal controller di dominio> DefaultDomainSupportedEncTypes: <Valore DefaultDomainSupportedEncTypes> Chiavi disponibili: <chiavi disponibili per il controller di dominio> Informazioni sulla rete: Indirizzo client: <> indirizzo IP client Porta client:> porta client < Etipi pubblicitari: <tipi di crittografia Kerberos invertiti> Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commenti |
L'evento di avviso 206 verrà registrato se:
|
|
Registro eventi |
Sistema |
|
Tipo di evento |
Avviso |
|
Origine evento |
Kdcsvc |
|
ID evento |
207 |
|
Testo evento |
Il Centro di distribuzione delle chiavi ha rilevato <'utilizzo del nome crittografato> che non sarà supportato nella fase di applicazione perché il servizio msds-SupportedEncryptionTypes è configurato per supportare solo AES-SHA1, ma l'account del servizio non ha chiavi AES-SHA1. Informazioni account Nome account: <> Nome account Nome area di autenticazione: <> nome dell'area di autenticazione fornito msds-SupportedEncryptionTypes: <tipi di crittografia supportati> Tasti disponibili: <tasti disponibili> Informazioni sul servizio: Nome servizio:> nome servizio < ID servizio:> SID servizio < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chiavi disponibili:> chiavi disponibili per <servizio Informazioni sul controller di dominio: msds-SupportedEncryptionTypes: <tipi di crittografia supportati dal controller di dominio> DefaultDomainSupportedEncTypes: <Valore DefaultDomainSupportedEncTypes> Chiavi disponibili: <chiavi disponibili per il controller di dominio> Informazioni sulla rete: Indirizzo client: <> indirizzo IP client Porta client:> porta client < Etipi pubblicitari: <tipi di crittografia Kerberos invertiti> Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commenti |
L'evento di avviso 207 verrà registrato se:
|
|
Registro eventi |
Sistema |
|
Tipo di evento |
Avviso |
|
Origine evento |
Kdcsvc |
|
ID evento |
208 |
|
Testo evento |
Il Centro di distribuzione delle chiavi ha intenzionalmente negato l'uso della crittografia perché il servizio msds-SupportedEncryptionTypes è configurato per supportare solo AES-SHA1, ma il client non pubblicizza AES-SHA1 Informazioni account Nome account: <> Nome account Nome area di autenticazione: <> nome dell'area di autenticazione fornito msds-SupportedEncryptionTypes: <tipi di crittografia supportati> Tasti disponibili: <tasti disponibili> Informazioni sul servizio: Nome servizio:> nome servizio < ID servizio:> SID servizio < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chiavi disponibili:> chiavi disponibili per <servizio Informazioni sul controller di dominio: msds-SupportedEncryptionTypes: <tipi di crittografia supportati dal controller di dominio> DefaultDomainSupportedEncTypes: <Valore DefaultDomainSupportedEncTypes> Chiavi disponibili: <chiavi disponibili per il controller di dominio> Informazioni sulla rete: Indirizzo client: <> indirizzo IP client Porta client:> porta client < Etipi pubblicitari: <tipi di crittografia Kerberos invertiti> Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commenti |
L'evento di errore 208 verrà registrato se:
|
|
Registro eventi |
Sistema |
|
Tipo di evento |
Avviso |
|
Origine evento |
Kdcsvc |
|
ID evento |
209 |
|
Testo evento |
Il Centro di distribuzione delle chiavi ha intenzionalmente negato l'uso della crittografia perché il servizio msds-SupportedEncryptionTypes è configurato per supportare solo AES-SHA1, ma l'account del servizio non ha chiavi AES-SHA1 Informazioni account Nome account: <> Nome account Nome area di autenticazione: <> nome dell'area di autenticazione fornito msds-SupportedEncryptionTypes: <tipi di crittografia supportati> Tasti disponibili: <tasti disponibili> Informazioni sul servizio: Nome servizio:> nome servizio < ID servizio:> SID servizio < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chiavi disponibili:> chiavi disponibili per <servizio Informazioni sul controller di dominio: msds-SupportedEncryptionTypes: <tipi di crittografia supportati dal controller di dominio> DefaultDomainSupportedEncTypes: <Valore DefaultDomainSupportedEncTypes> Chiavi disponibili: <chiavi disponibili per il controller di dominio> Informazioni sulla rete: Indirizzo client: <> indirizzo IP client Porta client:> porta client < Etipi pubblicitari: <tipi di crittografia Kerberos invertiti> Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Commenti |
L'evento di errore 209 verrà registrato se:
|
Nota
Per quanto riguarda la modifica implicita nella selezione della crittografia ticket di servizio, Microsoft ha una visibilità limitata sui motivi per cui un dispositivo non Windows potrebbe non essere in grado di accettare l'autenticazione Kerberos dopo che i pc KDC hanno applicato l'aggiornamento di aprile e si spostano al comportamento AES-SHA1 predefinito quando non specificato. È consigliabile convalidare queste modifiche tramite test all'interno del proprio ambiente prima di abilitare questo comportamento su vasta scala.
Il luogo più comune in cui verrà rilevata questa operazione è con i dispositivi che sfruttano le schede chiave Kerberos. Se la scheda chiave Kerberos è stata esportata solo con chiavi RC4, ma l'account del servizio di destinazione ha chiavi AES-SHA1 e non è definito un msds-SupportedEncryptionTypes, esiste la possibilità di un errore di autenticazione per tale servizio. Questo si manifesterà molto probabilmente sotto forma di errori di autenticazione dal servizio di destinazione anziché dal KDC.
La nostra raccomandazione principale è quella di collaborare con il fornitore del dispositivo non Windows. In generale, gli errori dei dispositivi non Windows nell'accettare l'autenticazione Kerberos non sono specifici delle modifiche di aprile e potrebbero essere dovuti a limitazioni specifiche del dispositivo o specifiche dell'implementazione.
Se si riscontrano problemi di autenticazione Kerberos con dispositivi non Windows dopo questa modifica e la correzione dei fornitori non è fattibile, i suggerimenti sono i seguenti:
-
Nell'account del servizio interessato definisci in modo esplicito msDS-SupportedEncryptionTypes per includere RC4 con i tasti di sessione AES (0x24).
-
In caso contrario, come ultima risorsa, configurare manualmente il valore del Registro di sistema DefaultDomainSupportedEncTypes in tutti i KDC pertinenti in modo da includere RC4 con le chiavi di sessione AES-SHA1 (0x24). Si noti che tutti gli account nel dominio rimangono vulnerabili a CVE-2026-20833.
È importante notare che questa configurazione non è protetta e a lungo termine è consigliabile eseguire la migrazione di dispositivi non Windows a versioni che supportano la crittografia ticket Kerberos AES-SHA1.
Domande frequenti
Questa modifica di protezione avanzata interessa solo i controller di dominio di Windows. L'attendibilità Kerberos e il flusso di riferimenti con altri controller di dominio Windows o KDC di terze parti non sono interessati.
I dispositivi di dominio di terze parti che non sono in grado di elaborare la crittografia AES-SHA1 dovrebbero essere già stati configurati in modo esplicito per consentire la crittografia RC4. I servizi che non sono in grado di elaborare i ticket AES-SHA1 devono essere corretti o configurati in modo esplicito in Active Diretory per fornire la crittografia RC4 come indicato in precedenza. Convalida queste modifiche in modo approfondito.
No. Verranno registrati eventi di avviso per le configurazioni non sicure per DefaultDomainSupportedEncTypes. Inoltre, verrà rispettata qualsiasi configurazione impostata in modo esplicito da un amministratore.
Risorse
KB5020805: Come gestire le modifiche al protocollo Kerberos relative a CVE-2022-37967
KB5021131: Come gestire le modifiche al protocollo Kerberos relative a CVE-2022-37966
