適用先
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

元の発行日: 2026 年 1 月 13 日

KB ID: 5073381

日付の変更

説明を変更する

2026 年 2 月 10 日

  • DefaultDomainSupportedEncTypes の出現箇所へのドキュメント リンクを追加しました。

  • 「Step3: Enable」セクションの 2 番目の箇条書きの文言を修正しました。差出人: KDCSVC 監査イベントが安全であることを示す場合に、ドメイン コントローラーで値を 2 に設定して変更を事前に有効にするレジストリ値 RC4DefaultDisablementPhase を導入します。宛先: KDCSVC 監査イベントが安全であることを示す場合に、管理者がドメイン コントローラーで値を 2 に設定して変更を事前に有効にした後、レジストリ値 RC4DefaultDisablementPhase のサポートが導入されます。

  • [アクションの実行] セクションの [重要なメモ] の下で、段落の最初の文を変更して、適用モードが有効になるタイミングをほぼ示しました。差出人:2026 年 4 月以降、適用モードはすべての Windows ドメイン コントローラーで有効になり、準拠していないデバイスからの脆弱な接続がブロックされます。宛先:適用モードは、2026 年 4 月以降にリリースされた Windows Updatesをすべての Windows ドメイン コントローラーにインストールすることで自動的に有効になり、準拠していないデバイスからの脆弱な接続がブロックされます。

  • この変更メンション、2026 年 1 月 13 日以降にリリースされた Windows Updatesと CVE-2026-20833 によって行われる単語が追加されました。

この記事の内容

概要

2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムには、Kerberos 認証プロトコルによる脆弱性の保護が含まれています。 Windows 更新プログラムは CVE-2026-20833 の情報漏えいの脆弱性に対処します。これにより、攻撃者は RC4 などの脆弱またはレガシの暗号化の種類のサービス チケットを取得して、サービス アカウントのパスワードを回復するためのオフライン攻撃を実行できる可能性があります。

この脆弱性を軽減するために、適用モードを有効にすると、DefaultDomainSupportedEncTypes の既定値が変更されます。 適用モードで実行されている更新されたドメイン コントローラーでは、Advanced Encryption Standard (AES) 暗号化の種類の構成のみがサポートされます。 詳細については、「サポートされている暗号化の種類のビット フラグ」を参照してください。 DefaultDomainSupportedEncTypes の既定値は、明示的な値がない場合に適用されます

DefaultDomainSupportedEncTypes レジストリ値が定義されたドメイン コントローラーでは、これらの変更によって動作が機能的に影響を受けなくなります。 ただし、既存の DefaultDomainSupportedEncTypes 構成が安全でない場合 (RC4 暗号が使用されている場合など) は、監査イベント KDCSVC イベント ID: 205 がシステム イベント ログに記録されます。

アクションを行う

環境を保護し、停止を防ぐために、次のことをお勧めします。 

  • 更新 2026 年 1 月 13 日以降にリリースされた Windows 更新プログラム以降の Microsoft Active Directory ドメイン コントローラー。

  • 9 つの KDCSVC 201 > 209 監査イベントのシステム イベント ログを監視する RC4 保護を有効にするリスクを識別するWindows Server 2012および新しいドメイン コントローラーに記録されます。

  • 軽減 RC4 保護の手動またはプログラムによる有効化を妨げるシステム イベント ログに記録された KDCSVC イベント。

  • 有効にする 警告、ブロック、またはポリシー イベントがログに記録されなくなった場合に、環境で CVE-2026-20833 で解決された脆弱性に対処するための強制モード。

重要 2026 年 1 月 13 日以降にリリースされた更新プログラムをインストールすると、既定で「CVE-2026-20833 for Active Directory ドメイン コントローラー」で説明されている脆弱性は解決されません。 脆弱性を完全に軽減するには、すべてのドメイン コントローラーで強制モード ( 手順 3: ENABLE で説明) を手動で有効にする必要があります。 2026 年 7 月以降にリリースされた Windows Updatesのインストールにより、プログラムによって適用フェーズが有効になります。

適用モードは、2026 年 4 月以降にリリースされた Windows Updatesをすべての Windows ドメイン コントローラーにインストールすることで自動的に有効になり、準拠していないデバイスからの脆弱な接続がブロックされます。  その時点で、監査を無効にすることはできませんが、監査モード設定に戻る可能性があります。 監査モードは 2026 年 7 月に削除されます。「更新のタイミング 」セクションで説明されているように、適用モードはすべての Windows ドメイン コントローラーで有効になり、準拠していないデバイスからの脆弱な接続がブロックされます。

2026 年 4 月以降に RC4 を利用する必要がある場合は、RC4 の使用を受け入れる必要があるサービスで、msds-SupportedEncryptionTypes ビットマスク内で RC4 を明示的に有効にすることをお勧めします。 

更新のタイミング

2026 年 1 月 13 日 - 初期展開フェーズ 

最初の展開フェーズは、2026 年 1 月 13 日以降にリリースされた更新プログラムから始まり、 適用 フェーズまで以降の Windows 更新プログラムを続行します。 このフェーズでは、2 番目のデプロイ フェーズで導入される新しいセキュリティ適用についてお客様に警告します。 この更新プログラム: 

  • 今後のセキュリティ強化の影響を受ける可能性のある顧客に警告する監査イベントを提供します。

  • KDCSVC 監査イベントが安全であることを示す場合に、管理者がドメイン コントローラーで値を 2 に設定して変更を事前に有効にした後、レジストリ値 RC4DefaultDisablementPhase のサポートが導入されます。

2026 年 4 月 - 手動ロールバックによる強制フェーズ 

この更新プログラムは、明示的な msds-SupportedEncryptionTypes active directory 属性が定義されていないアカウントに対して AES-SHA1 を利用するように、KDC 操作の既定の DefaultDomainSupportedEncTypes 値を変更します。 

このフェーズでは、DefaultDomainSupportedEncTypes の既定値が AES-SHA1 のみ: 0x18に変更されます。 

このフェーズでは、2026 年 7 月にプログラムによって適用されるまで 、RC4DefaultDisablementPhase ロールバック値を手動で構成することもできます。

2026 年 7 月 - 適用フェーズ 

2026 年 7 月以降にリリースされた Windows 更新プログラムでは、レジストリ サブキー RC4DefaultDisablementPhase のサポートが削除されます。 

展開のガイドライン

2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを展開するには、次の手順に従います。 

  1. 2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムでドメイン コントローラーを更新します。

  2. 環境をセキュリティで保護するために、初期デプロイ フェーズ中にログに記録された MONITOR イベント。

  3. [ レジストリ設定] セクションを使用して、ドメイン コントローラーを強制モードに移行します。

手順 1: UPDATE  

2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを、更新プログラムの展開後にドメイン コントローラーとして実行されているすべての該当する Windows Active Directory に展開します。

  • Windows Server 2012以降のドメイン コントローラーが RC4 暗号を使用する必要があるが、サービス アカウントに既定の暗号化構成がある Kerberos サービス チケット要求を受信している場合、監査イベントはシステム イベント ログに表示されます。

  • ドメイン コントローラーに RC4 暗号化を許可する明示的な DefaultDomainSupportedEncTypes 構成がある場合、監査イベント 205 はシステム イベント ログに記録されます。

手順 2: MONITOR

ドメイン コントローラーが更新されたら、監査イベントが表示されない場合は、RC4DefaultDisablementPhase の値を 2 に変更して強制モードに切り替えます。   

生成された監査イベントがある場合は、RC4 の依存関係を削除するか、強制モードの 手動または自動有効化に従って RC4 の継続的な使用をサポートするように Kerberos でサポートされている暗号化の種類のアカウントを明示的に構成する必要があります。

ドメイン内の RC4 使用状況を検出する方法を学習するために、監査によって、RC4 に引き続き依存しているデバイス アカウントとユーザー アカウントが識別されます。 管理者は、より強力な暗号化の種類を優先して使用状況を修復する手順を実行するか、RC4 の依存関係を管理する必要があります。 詳細については、「Kerberos での RC4 使用状況の検出と修復」を参照してください。

手順 3: ENABLE  

適用モードを有効にして、環境内の CVE-2026-20833 の脆弱性に対処します。 

  • 既定の構成のアカウントに RC4 サービス チケットを提供するように KDC が要求された場合、エラー イベントがログに記録されます。

  • DefaultDomainSupportedEncTypes の安全でない構成に対して記録されたイベント ID: 205 が引き続き表示されます。

レジストリ設定

2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムがインストールされると、Kerberos プロトコルで次のレジストリ キーを使用できます。

このレジストリ キーは、Kerberos の変更のデプロイをゲートするために使用されます。 このレジストリ キーは一時的なもので、適用日以降は読み取られなくなります。

レジストリ キー

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Data type (データ タイプ)

REG_DWORD

値の名前

RC4DefaultDisablementPhase

値のデータ

0 – 監査なし、変更なし 

1 - 警告イベントは、既定の RC4 使用状況でログに記録されます。 (フェーズ 1 の既定値) 

2 – Kerberos は、RC4 が既定で有効になっていないと仮定して開始されます。  (フェーズ 2 の既定値) 

再起動が必要ですか?

はい

イベントの監査

2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムがインストールされると、次の KSCSVC 監査イベントの種類が、ドメイン コントローラーとして実行されているWindows Server 2012以降のシステム イベント ログに追加されます。

Event Log

System

イベント タイプ

警告

イベント ソース

Kdcsvc

イベント ID

201

イベント テキスト

キー配布センターは、サービス msds-SupportedEncryptionTypes が定義されておらず、クライアントが安全でない暗号化の種類のみをサポートしているため、適用フェーズでサポートされない使用> 暗号名 <検出しました。 

アカウント情報 

    アカウント名: <アカウント名> 

    指定された領域名: 指定された領域名 <> 

    msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 

    使用可能なキー: 使用可能なキー> < 

サービス情報: 

    サービス名: サービス名> < 

    サービス ID: サービス SID> < 

    msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 

    使用可能なキー: <サービスの使用可能なキー> 

ドメイン コントローラー情報: 

    msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> 

    DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 

    使用可能なキー: ドメイン コントローラーの使用可能なキー> < 

ネットワーク情報: 

    クライアント アドレス: <クライアント IP アドレス> 

    クライアント ポート: <クライアント ポート> 

    広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 

詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 

コメント

イベント ID: 次の場合、201 がログに記録されます。

  • クライアントは、RC4 を広告 Etypes としてのみアドバタイズしています

  • ターゲット サービスに msds-SET が定義されていません

  • ドメイン コントローラーに DDSET が定義されていません

  • レジストリ値 RC4DefaultDisablementPhase1 に設定されている

  • 警告イベント 201 が 強制 モードでエラー イベント 203 に移行する

  • このイベントは要求ごとにログに記録されます

  • DefaultDomainSupportedEncTypes が手動で定義されている場合、警告イベント 201 はログに記録されません

Event Log

System

イベント タイプ

警告

イベント ソース

Kdcsvc

イベント ID

202

イベント テキスト

キー配布センターは <、サービス msds-SupportedEncryptionTypes が定義されておらず、サービス アカウントに安全でないキーしかないため、適用フェーズではサポートされない暗号名> 使用を検出しました。  

アカウント情報 

    アカウント名: <アカウント名> 

    指定された領域名: 指定された領域名 <> 

    msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 

    使用可能なキー: 使用可能なキー> < 

サービス情報: 

    サービス名: サービス名> < 

    サービス ID: サービス SID> < 

    msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 

    使用可能なキー: <サービスの使用可能なキー> 

ドメイン コントローラー情報: 

    msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> 

    DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 

    使用可能なキー: ドメイン コントローラーの使用可能なキー> < 

ネットワーク情報: 

    クライアント アドレス: <クライアント IP アドレス> 

    クライアント ポート: <クライアント ポート> 

    広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 

詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 

コメント

警告イベント 202 は、次の場合にログに記録されます。

  • ターゲット サービスに AES キーがありません

  • ターゲット サービスに msds-SET が定義されていません

  • ドメイン コントローラーに DDSET が定義されていません

  • レジストリ値 RC4DefaultDisablementPhase が 1 に設定されている

  • 強制 モードで エラー イベント 202 がエラー 204 に移行する

  • 要求ごとに警告イベント 202 がログに記録される

  • DefaultDomainSupportedEncTypes が手動で定義されている場合、警告イベント 202 はログに記録されません

Event Log

System

イベント タイプ

警告

イベント ソース

Kdcsvc

イベント ID

203

イベント テキスト

サービス msds-SupportedEncryptionTypes が定義されておらず、クライアントが安全でない暗号化の種類のみをサポートしているため、キー配布センターは暗号の使用をブロックしました。 

アカウント情報 

    アカウント名: <アカウント名> 

    指定された領域名: 指定された領域名 <> 

    msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 

    使用可能なキー: 使用可能なキー> < 

サービス情報: 

    サービス名: サービス名> < 

    サービス ID: サービス SID> < 

    msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 

    使用可能なキー: <サービスの使用可能なキー> 

ドメイン コントローラー情報: 

    msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> 

    DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 

    使用可能なキー: ドメイン コントローラーの使用可能なキー> < 

ネットワーク情報: 

    クライアント アドレス: <クライアント IP アドレス> 

    クライアント ポート: <クライアント ポート> 

    広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 

詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 

コメント

次の場合、エラー イベント 203 がログに記録されます。

  • クライアントは、RC4 を広告 Etypes としてのみアドバタイズしています

  • ターゲット サービスに msds-SET が定義されていません

  • ドメイン コントローラーに DDSET が定義されていません

  • レジストリ値 RC4DefaultDisablementPhase2 に設定されている

  • 要求ごと

Event Log

System

イベント タイプ

警告

イベント ソース

Kdcsvc

イベント ID

204

イベント テキスト

サービス msds-SupportedEncryptionTypes が定義されておらず、サービス アカウントに安全でないキーしかないため、キー配布センターは暗号の使用をブロックしました。  

アカウント情報 

    アカウント名: <アカウント名> 

    指定された領域名: 指定された領域名 <> 

    msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 

    使用可能なキー: 使用可能なキー> < 

サービス情報: 

    サービス名: サービス名> < 

    サービス ID: サービス SID> < 

    msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 

    使用可能なキー: <サービスの使用可能なキー> 

ドメイン コントローラー情報: 

    msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> 

    DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 

    使用可能なキー: ドメイン コントローラーの使用可能なキー> < 

ネットワーク情報: 

    クライアント アドレス: <クライアント IP アドレス> 

    クライアント ポート: <クライアント ポート> 

    広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 

詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 

コメント

次の場合、エラー イベント 204 がログに記録されます。

  • ターゲット サービスに AES キーがありません

  • ターゲット サービスに msds-SET が定義されていません

  • ドメイン コントローラーに DDSET が定義されていません

  • レジストリ値 RC4DefaultDisablementPhase2 に設定されている

  • 要求ごと

Event Log

System

イベント タイプ

警告

イベント ソース

Kdcsvc

イベント ID

205

イベント テキスト

キー配布センターは、既定のドメインでサポートされている暗号化の種類ポリシー構成で明示的な暗号の有効化を検出しました。 

暗号: <有効なセキュリティで保護されていない暗号> 

DefaultDomainSupportedEncTypes: 構成済みの DefaultDomainSupportedEncTypes 値 <> 

詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。

コメント

警告イベント 205 は、次の場合にログに記録されます。

  • ドメイン コントローラーには、AES-SHA1 以外のものを含むように DDSET が定義されています。

  • レジストリ値 RC4DefaultDisablementPhase が 1、2 に設定されている

  • これはエラーに変わることはありません

  • 目的は、お客様に、変更されない安全でない動作を認識することです

  • KDCSVC の開始時に毎回ログに記録されます

Event Log

System

イベント タイプ

警告

イベント ソース

Kdcsvc

イベント ID

206

イベント テキスト

サービス msds-SupportedEncryptionTypes が AES-SHA1 のみをサポートするように構成されているが、クライアントは AES-SHA1 をアドバタイズしないため、キー配布センターは、適用フェーズでサポートされない暗号名> 使用状況を <検出しました 

アカウント情報 

    アカウント名: <アカウント名> 

    指定された領域名: 指定された領域名 <> 

    msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 

    使用可能なキー: 使用可能なキー> < 

サービス情報: 

    サービス名: サービス名> < 

    サービス ID: サービス SID> < 

    msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 

    使用可能なキー: <サービスの使用可能なキー> 

ドメイン コントローラー情報: 

    msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> 

    DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 

    使用可能なキー: ドメイン コントローラーの使用可能なキー> < 

ネットワーク情報: 

    クライアント アドレス: <クライアント IP アドレス> 

    クライアント ポート: <クライアント ポート> 

    広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 

詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 

コメント

警告イベント 206 は、次の場合にログに記録されます。

  • クライアントは、広告化された Etypes として RC4 のみをアドバタイズしています

  • 次のいずれかが発生します。

    • ターゲット サービス HAS msds-SET は AES-SHA1 にのみ定義されています

    • ドメイン コントローラーには、AES-SHA1 にのみ DDSET が定義されています

  • レジストリ値 RC4DefaultDisablementPhase1 に設定されている

  • 警告イベント 2016 が 、強制 モードでエラー イベント 2018 に切り替わります

  • 要求ごとにログに記録されます

Event Log

System

イベント タイプ

警告

イベント ソース

Kdcsvc

イベント ID

207

イベント テキスト

キー配布センターは <、サービス msds-SupportedEncryptionTypes が AES-SHA1 のみをサポートするように構成されているが、サービス アカウントに AES-SHA1 キーがないため、適用フェーズではサポートされない暗号名> 使用状況を検出しました。  

アカウント情報 

    アカウント名: <アカウント名> 

    指定された領域名: 指定された領域名 <> 

    msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 

    使用可能なキー: 使用可能なキー> < 

サービス情報: 

    サービス名: サービス名> < 

    サービス ID: サービス SID> < 

    msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 

    使用可能なキー: <サービスの使用可能なキー> 

ドメイン コントローラー情報: 

    msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> 

    DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 

    使用可能なキー: ドメイン コントローラーの使用可能なキー> < 

ネットワーク情報: 

    クライアント アドレス: <クライアント IP アドレス> 

    クライアント ポート: <クライアント ポート> 

    広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 

詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 

コメント

警告イベント 207 は、次の場合にログに記録されます。

  • ターゲット サービスに AES キーがありません

  • 次のいずれかが発生します。

    • ターゲット サービス HAS msds-SET は AES-SHA1 にのみ定義されています

    • ドメイン コントローラーには、AES-SHA1 にのみ DDSET が定義されています

  • レジストリ値 RC4DefaultDisablementPhase1 に設定されている

  • これにより、 強制 モードでは 209 (エラー) になります

  • 要求ごと

Event Log

System

イベント タイプ

警告

イベント ソース

Kdcsvc

イベント ID

208

イベント テキスト

サービス msds-SupportedEncryptionTypes は AES-SHA1 のみをサポートするように構成されていますが、クライアントは AES-SHA1 をアドバタイズしないため、キー配布センターは意図的に暗号の使用を拒否しました 

アカウント情報 

    アカウント名: <アカウント名> 

    指定された領域名: 指定された領域名 <> 

    msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 

    使用可能なキー: 使用可能なキー> < 

サービス情報: 

    サービス名: サービス名> < 

    サービス ID: サービス SID> < 

    msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 

    使用可能なキー: <サービスの使用可能なキー> 

ドメイン コントローラー情報: 

    msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> 

    DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 

    使用可能なキー: ドメイン コントローラーの使用可能なキー> < 

ネットワーク情報: 

    クライアント アドレス: <クライアント IP アドレス> 

    クライアント ポート: <クライアント ポート> 

    広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 

詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 

コメント

次の場合、エラー イベント 208 がログに記録されます。

  • クライアントは、RC4 を広告 Etypes としてのみアドバタイズしています

  • 次の EIther が発生します。

    • ターゲット サービス HAS msds-SET は AES-SHA1 にのみ定義されています

    • ドメイン コントローラーには、AES-SHA1 にのみ DDSET が定義されています

  • レジストリ値 RC4DefaultDisablementPhase2 に設定されている

  • 要求ごと

Event Log

System

イベント タイプ

警告

イベント ソース

Kdcsvc

イベント ID

209

イベント テキスト

サービス msds-SupportedEncryptionTypes は AES-SHA1 のみをサポートするように構成されていますが、サービス アカウントに AES-SHA1 キーがないため、キー配布センターは意図的に暗号の使用を拒否しました 

アカウント情報 

    アカウント名: <アカウント名> 

    指定された領域名: 指定された領域名 <> 

    msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 

    使用可能なキー: 使用可能なキー> < 

サービス情報: 

    サービス名: サービス名> < 

    サービス ID: サービス SID> < 

    msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 

    使用可能なキー: <サービスの使用可能なキー> 

ドメイン コントローラー情報: 

    msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> 

    DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 

    使用可能なキー: ドメイン コントローラーの使用可能なキー> < 

ネットワーク情報: 

    クライアント アドレス: <クライアント IP アドレス> 

    クライアント ポート: <クライアント ポート> 

    広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 

詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 

コメント

次の場合、エラー イベント 209 がログに記録されます。

  • ターゲット サービスに AES キーがありません

  • 次のいずれかが発生します。

    • ターゲット サービス HAS msds-SET は AES-SHA1 にのみ定義されています

    • ドメイン コントローラーには、AES-SHA1 にのみ DDSET が定義されています

  • レジストリ値 RC4DefaultDisablementPhase2 に設定されている

  • 要求ごと

これらの警告メッセージのいずれかがドメイン コントローラーに記録されている場合は、2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを使用して、ドメイン内のすべてのドメイン コントローラーが最新ではない可能性があります。 この脆弱性を軽減するには、ドメインをさらに調査して、最新ではないドメイン コントローラーを見つける必要があります。  

イベント ID: 0x8000002Aドメイン コントローラーにログオンしている場合は、「KB5021131: CVE-2022-37966 に関連する Kerberos プロトコルの変更を管理する方法」を参照してください。

よく寄せられる質問 (FAQ)

この強化の変更は、Windows ドメイン コントローラーにのみ影響します。 他の Windows ドメイン コントローラーまたはサード パーティの KDC との Kerberos 信頼と紹介フローは影響を受けません。

AES-SHA1 暗号化を処理できないサード パーティのドメイン デバイスは、AES-SHA1 暗号化を許可するように既に明示的に構成されている必要があります。

いいえ。 DefaultDomainSupportedEncTypes の安全でない構成に関する警告イベントをログに記録します。 さらに、管理者によって明示的に設定された構成を受け入れる予定です。

リソース

KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法

KB5021131: CVE-2022-37966 に関連する Kerberos プロトコルの変更を管理する方法

サポートされている暗号化の種類のビット フラグ

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター