元の発行日: 2026 年 1 月 13 日
KB ID: 5073381
この記事の内容
概要
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムには、Kerberos 認証プロトコルによる脆弱性の保護が含まれています。 Windows 更新プログラムは CVE-2026-20833 の情報漏えいの脆弱性に対処します。これにより、攻撃者は RC4 などの脆弱またはレガシの暗号化の種類のサービス チケットを取得して、サービス アカウントのパスワードを回復するためのオフライン攻撃を実行できる可能性があります。
この脆弱性を軽減するために、2026 年 4 月 14 日以降にリリースされた Windows 更新プログラムは、管理者が適用モードを以前に有効にしない限り、 DefaultDomainSupportedEncTypes の Kerberos Key Distribution Center (KDC) の既定値を変更します。 強制モードで実行されている更新されたドメイン コントローラーは、明示的な構成が指定されていない場合にのみ、Advanced Encryption Standard (AES) 暗号化の種類の構成のサポートを想定します。 詳細については、「サポートされている暗号化の種類のビット フラグ」を参照してください。 DefaultDomainSupportedEncTypes の既定値は、明示的な値がない場合に適用されます。
DefaultDomainSupportedEncTypes レジストリ値が定義されたドメイン コントローラーでは、これらの変更によって動作が機能的に影響を受けなくなります。 ただし、既存の DefaultDomainSupportedEncTypes 構成が安全でない場合 (RC4 暗号が使用されている場合など) は、監査イベント KDCSVC イベント ID: 205 がシステム イベント ログに記録されます。
アクションを行う
環境を保護し、停止を防ぐために、次のことをお勧めします。
-
更新 2026 年 1 月 13 日以降にリリースされた Windows 更新プログラム以降の Microsoft Active Directory ドメイン コントローラー。
-
9 つの KDCSVC 201 > 209 監査イベントのシステム イベント ログを監視する RC4 保護を有効にするリスクを識別するWindows Server 2012および新しいドメイン コントローラーに記録されます。
-
軽減 RC4 保護の手動またはプログラムによる有効化を妨げるシステム イベント ログに記録された KDCSVC イベント。
-
有効にする 警告、ブロック、またはポリシー イベントがログに記録されなくなった場合に、環境で CVE-2026-20833 で解決された脆弱性に対処するための強制モード。
重要 2026 年 1 月 13 日以降にリリースされた更新プログラムをインストールすると、既定で「CVE-2026-20833 for Active Directory ドメイン コントローラー」で説明されている脆弱性は解決されません。 脆弱性を完全に軽減するには、すべてのドメイン コントローラーで強制モード ( 手順 3: ENABLE で説明) を手動で有効にする必要があります。 2026 年 7 月以降にリリースされた Windows Updatesのインストールにより、プログラムによって適用フェーズが有効になります。
適用モードは、2026 年 4 月以降にリリースされた Windows Updatesをすべての Windows ドメイン コントローラーにインストールすることで自動的に有効になり、準拠していないデバイスからの脆弱な接続がブロックされます。 その時点で、監査を無効にすることはできませんが、監査モード設定に戻る可能性があります。 監査モードは 2026 年 7 月に削除されます。「更新のタイミング 」セクションで説明されているように、適用モードはすべての Windows ドメイン コントローラーで有効になり、準拠していないデバイスからの脆弱な接続がブロックされます。
2026 年 4 月以降に RC4 を利用する必要がある場合は、RC4 の使用を受け入れる必要があるサービスで、msds-SupportedEncryptionTypes ビットマスク内で RC4 を明示的に有効にすることをお勧めします。
更新のタイミング
2026 年 1 月 13 日 - 初期展開フェーズ
最初の展開フェーズは、2026 年 1 月 13 日以降にリリースされた更新プログラムから始まり、 適用 フェーズまで以降の Windows 更新プログラムを続行します。 このフェーズでは、2 番目のデプロイ フェーズで導入される新しいセキュリティ適用についてお客様に警告します。 この更新プログラム:
-
今後のセキュリティ強化の影響を受ける可能性のある顧客に警告する監査イベントを提供します。
-
KDCSVC 監査イベントが安全であることを示す場合に、管理者がドメイン コントローラーで値を 2 に設定して変更を事前に有効にした後、レジストリ値 RC4DefaultDisablementPhase のサポートが導入されます。
2026 年 4 月 14 日 - 手動ロールバックによる強制フェーズ
この更新プログラムは、明示的な msds-SupportedEncryptionTypes active directory 属性が定義されていないアカウントに対して AES-SHA1 を利用するように、KDC 操作の既定の DefaultDomainSupportedEncTypes 値を変更します。
このフェーズでは、DefaultDomainSupportedEncTypes の既定値が AES-SHA1 のみ: 0x18に変更されます。
このフェーズでは、2026 年 7 月にプログラムによって適用されるまで 、RC4DefaultDisablementPhase ロールバック値を手動で構成することもできます。
2026 年 7 月 - 適用フェーズ
2026 年 7 月以降にリリースされた Windows 更新プログラムでは、レジストリ サブキー RC4DefaultDisablementPhase のサポートが削除されます。
展開のガイドライン
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを展開するには、次の手順に従います。
-
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムでドメイン コントローラーを更新します。
-
環境をセキュリティで保護するために、初期デプロイ フェーズ中にログに記録された MONITOR イベント。
-
[ レジストリ設定] セクションを使用して、ドメイン コントローラーを強制モードに移行します。
手順 1: UPDATE
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを、更新プログラムの展開後にドメイン コントローラーとして実行されているすべての該当する Windows Active Directory に展開します。
-
Windows Server 2012以降のドメイン コントローラーが RC4 暗号を使用する必要があるが、サービス アカウントに既定の暗号化構成がある Kerberos サービス チケット要求を受信している場合、監査イベントはシステム イベント ログに表示されます。
-
ドメイン コントローラーに RC4 暗号化を許可する明示的な DefaultDomainSupportedEncTypes 構成がある場合、監査イベント 205 はシステム イベント ログに記録されます。
手順 2: MONITOR
ドメイン コントローラーが更新されたら、この記事に記載されている監査イベントが表示されない場合は、RC4DefaultDisablementPhase レジストリ値を 2 に変更して適用モードに切り替えます。
生成された監査イベントがある場合は、RC4 の依存関係を削除するか、強制モードの手動または自動有効化に従って RC4 の継続的な使用をサポートするように、アカウント msds-SupportedEncryptionTypes 属性を明示的に構成する必要があります。
この記事で説明されているよりも広い範囲で RC4 の使用状況を修復することに関心がある管理者は、Kerberos での RC4 使用状況の検出と修復に関するページを参照して、詳細を確認することをお勧めします。
重要 この変更に関連する監査イベントは、Active Directory が AES-SHA1 サービス チケットまたはセッション キーを発行できない場合にのみ生成されます。 監査イベントが存在 しない場合 、Windows 以外のすべてのデバイスが 4 月の更新後に Kerberos 認証を正常に受け入れることは保証されません。 お客様は、この動作を広く有効にする前に、テストを通じて Windows 以外の相互運用性を検証する必要があります。
手順 3: ENABLE
適用モードを有効にして、環境内の CVE-2026-20833 の脆弱性に対処します。
-
既定の構成のアカウントに RC4 サービス チケットを提供するように KDC が要求された場合、エラー イベントがログに記録されます。
-
DefaultDomainSupportedEncTypes の安全でない構成に対して記録されたイベント ID: 205 が引き続き表示されます。
レジストリ設定
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムがインストールされると、Kerberos プロトコルで次のレジストリ キーを使用できます。
RC4DefaultDisablementPhase
このレジストリ キーは、Kerberos の変更のデプロイをゲートするために使用されます。 このレジストリ キーは一時的なもので、適用日以降は読み取られなくなります。
|
レジストリ キー |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Data type (データ タイプ) |
REG_DWORD |
|
値の名前 |
RC4DefaultDisablementPhase |
|
値のデータ |
0 – 監査なし、変更なし 1 - 警告イベントは、既定の RC4 使用状況でログに記録されます。 (フェーズ 1 の既定値) 2 – Kerberos は、RC4 が既定で有効になっていないと仮定して開始されます。 (フェーズ 2 の既定値) |
|
再起動が必要ですか? |
はい |
イベントの監査
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムがインストールされると、次の KSCSVC 監査イベントの種類が、ドメイン コントローラーとして実行されているWindows Server 2012以降のシステム イベント ログに追加されます。
このセクションの内容
イベント ID: 201
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
201 |
|
イベント テキスト |
キー配布センターは、サービス msds-SupportedEncryptionTypes が定義されておらず、クライアントが安全でない暗号化の種類のみをサポートしているため、適用フェーズでサポートされない使用> 暗号名 <検出しました。 アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
イベント ID: 次の場合、201 がログに記録されます。
|
イベント ID: 202
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
202 |
|
イベント テキスト |
キー配布センターは <、サービス msds-SupportedEncryptionTypes が定義されておらず、サービス アカウントに安全でないキーしかないため、適用フェーズではサポートされない暗号名> 使用を検出しました。 アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
警告イベント 202 は、次の場合にログに記録されます。
|
イベント ID: 203
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
203 |
|
イベント テキスト |
サービス msds-SupportedEncryptionTypes が定義されておらず、クライアントが安全でない暗号化の種類のみをサポートしているため、キー配布センターは暗号の使用をブロックしました。 アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
次の場合、エラー イベント 203 がログに記録されます。
|
イベント ID: 204
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
204 |
|
イベント テキスト |
サービス msds-SupportedEncryptionTypes が定義されておらず、サービス アカウントに安全でないキーしかないため、キー配布センターは暗号の使用をブロックしました。 アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
次の場合、エラー イベント 204 がログに記録されます。
|
イベント ID: 205
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
205 |
|
イベント テキスト |
キー配布センターは、既定のドメインでサポートされている暗号化の種類ポリシー構成で明示的な暗号の有効化を検出しました。 暗号: <有効なセキュリティで保護されていない暗号> DefaultDomainSupportedEncTypes: 構成済みの DefaultDomainSupportedEncTypes 値 <> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
警告イベント 205 は、次の場合にログに記録されます。
|
イベント ID: 206
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
206 |
|
イベント テキスト |
サービス msds-SupportedEncryptionTypes が AES-SHA1 のみをサポートするように構成されているが、クライアントは AES-SHA1 をアドバタイズしないため、キー配布センターは、適用フェーズでサポートされない暗号名> 使用状況を <検出しました アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
警告イベント 206 は、次の場合にログに記録されます。
|
イベント ID: 207
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
207 |
|
イベント テキスト |
キー配布センターは <、サービス msds-SupportedEncryptionTypes が AES-SHA1 のみをサポートするように構成されているが、サービス アカウントに AES-SHA1 キーがないため、適用フェーズではサポートされない暗号名> 使用状況を検出しました。 アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
警告イベント 207 は、次の場合にログに記録されます。
|
イベント ID: 208
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
208 |
|
イベント テキスト |
サービス msds-SupportedEncryptionTypes は AES-SHA1 のみをサポートするように構成されていますが、クライアントは AES-SHA1 をアドバタイズしないため、キー配布センターは意図的に暗号の使用を拒否しました アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
次の場合、エラー イベント 208 がログに記録されます。
|
イベント ID: 209
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
209 |
|
イベント テキスト |
サービス msds-SupportedEncryptionTypes は AES-SHA1 のみをサポートするように構成されていますが、サービス アカウントに AES-SHA1 キーがないため、キー配布センターは意図的に暗号の使用を拒否しました アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
次の場合、エラー イベント 209 がログに記録されます。
|
注
サービス チケットの暗号化の選択の暗黙的な変更に関して、KDC が 4 月の更新プログラムを適用し、 指定されていない場合に既定の AES-SHA1 動作に移行した後、Windows 以外のデバイスが Kerberos 認証を受け入れることができない理由については、Microsoft の可視性が制限されています。 この動作を広く有効にする前に、独自の環境内でテストを通じてこれらの変更を検証することをお勧めします。
これが発生する最も一般的な場所は、Kerberos Keytabs を利用するデバイスです。 Kerberos Keytab が RC4 キーでのみエクスポートされているが、ターゲット サービス アカウントに AES-SHA1 キーがあり、msds-SupportedEncryptionTypes が定義されていない場合は、そのサービスに対する認証エラーが発生する可能性があります。 これは、KDC ではなく、ターゲット サービスからの認証エラーの形式で発生する可能性があります。
主な推奨事項は、Windows 以外のデバイスのベンダーと連携することです。 一般に、Windows 以外のデバイスが Kerberos 認証を受け入れる失敗は、4 月の変更に固有ではなく、デバイス固有または実装固有の制限が原因である可能性があります。
この変更後に Windows 以外のデバイスで Kerberos 認証の問題が発生し、ベンダーの修復が実現できない場合、推奨事項は次のとおりです。
-
影響を受けるサービス アカウントで、 msDS-SupportedEncryptionTypes を明示的に定義して、RC4 と AES セッション キー (0x24) を含めます。
-
これが実現できない場合は、最後の手段として、関連するすべての KDC で DefaultDomainSupportedEncTypes レジストリ値を手動で構成し、AES-SHA1 セッション キー (0x24) を持つ RC4 を含めます。 これにより、ドメイン内のすべてのアカウントが CVE-2026-20833 に対して脆弱になります。
この構成は安全ではなく、Windows 以外のデバイスを AES-SHA1 Kerberos チケット暗号化をサポートするバージョンに移行することが長期的な推奨事項であることに注意してください。
よく寄せられる質問 (FAQ)
Q1: この変更は、サード パーティの KDC を持つドメインとどのように対話しますか?
この強化の変更は、Windows ドメイン コントローラーにのみ影響します。 他の Windows ドメイン コントローラーまたはサード パーティの KDC との Kerberos 信頼と紹介フローは影響を受けません。
Q2: この変更は、Windows 以外のドメイン デバイスを持つドメインとどのように対話しますか?
AES-SHA1 暗号化を処理できないサード パーティのドメイン デバイスは、RC4 暗号化を許可するように既に明示的に構成されている必要があります。 AES-SHA1 チケットを処理できないサービスは、前述の RC4 暗号化を提供するために、Active Diretory で修正または明示的に構成する必要があります。 これらの変更を十分に検証してください。
Q3: Microsoft は DefaultDomainSupportedEncTypes を構成する機能を削除しますか?
いいえ。 DefaultDomainSupportedEncTypes の安全でない構成に関する警告イベントをログに記録します。 さらに、管理者によって明示的に設定された構成を受け入れる予定です。
リソース
変更ログ
|
日付の変更 |
説明を変更する |
|
2026 年 4 月 14 日 |
|
|
2026 年 4 月 7 日 |
|
|
2026 年 3 月 16 日 |
|
|
2026 年 2 月 10 日 |
|
