元の発行日: 2026 年 1 月 13 日
KB ID: 5073381
Windows セキュア ブート証明書の有効期限
重要: ほとんどの Windows デバイスで使用されるセキュア ブート証明書の有効期限は、2026 年 6 月以降に設定されます。 これは、特定の個人用デバイスとビジネス デバイスが時間内に更新されていない場合に安全に起動する機能に影響する可能性があります。 中断を回避するために、ガイダンスを確認し、証明書を事前に更新するためのアクションを実行することをお勧めします。 詳細と準備手順については、「Windows セキュア ブート証明書の有効期限と CA 更新プログラム」を参照してください。
この記事の内容
概要
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムには、Kerberos 認証プロトコルによる脆弱性の保護が含まれています。 Windows 更新プログラムは、攻撃者が RC4 などの脆弱またはレガシ暗号化の種類のサービス チケットを取得し、オフライン攻撃を実行してサービス アカウントのパスワードを回復できる可能性がある情報漏えいの脆弱性に対処します。
環境をセキュリティで保護して強化するには、2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを、ドメイン コントローラーとして実行されている [適用対象] セクションに記載されているすべての Windows サーバーにインストールします。 脆弱性の詳細については、「CVE-2026-20833」を参照してください。
この脆弱性を軽減するために、DefaultDomainSupportedEncTypes (DDSET) の既定値が変更され、すべてのドメイン コントローラーで、Kerberos 暗号化の種類が明示的に構成されていないアカウントに対して Advanced Encryption Standard (AES-SHA1)-encrypted tickets のみがサポートされるようにしています。 詳細については、「サポートされている暗号化の種類のビット フラグ」を参照してください。
DefaultDomainSupportedEncTypes レジストリ値が定義されたドメイン コントローラーでは、これらの変更によって動作が機能的に影響を受けなくなります。 ただし、既存の DefaultDomainSupportedEncTypes 構成が安全でない場合、監査イベント KDCSVC イベント ID: 205 がシステム イベント ログに記録される可能性があります。
アクションを行う
環境を保護し、停止を防ぐために、次の手順を実行することをお勧めします:
-
更新 2026 年 1 月 13 日以降にリリースされた Windows 更新プログラム以降の Microsoft Active Directory ドメイン コントローラー。
-
RC4 保護を有効にしたリスクを特定する、Windows Server 2012以降のドメイン コントローラーでログに記録された 9 つの監査イベントのシステム イベント ログを監視します。
-
軽減 RC4 保護の手動またはプログラムによる有効化を妨げるシステム イベント ログに記録された KDCSVC イベント。
-
有効にする 警告、ブロック、またはポリシー イベントがログに記録されなくなった場合に、環境で CVE-2026-20833 で解決された脆弱性に対処するための強制モード。
重要 2026 年 1 月 13 日以降にリリースされた更新プログラムをインストールすると、既定で「CVE-2026-20833 for Active Directory ドメイン コントローラー」で説明されている脆弱性は解決されません。 この脆弱性を完全に軽減するには、すべてのドメイン コントローラーで可能な限り早く 強制 モード ( 手順 3 で説明) に移行する必要があります。
2026 年 4 月以降、適用モードはすべての Windows ドメイン コントローラーで有効になり、準拠していないデバイスからの脆弱な接続がブロックされます。 その時点で、監査を無効にすることはできませんが、監査モード設定に戻る可能性があります。 監査モードは 2026 年 7 月に削除されます。「更新のタイミング 」セクションで説明されているように、適用モードはすべての Windows ドメイン コントローラーで有効になり、準拠していないデバイスからの脆弱な接続がブロックされます。
2026 年 4 月以降に RC4 を利用する必要がある場合は、RC4 の使用を受け入れる必要があるサービスで、msds-SupportedEncryptionTypes ビットマスク内で RC4 を明示的に有効にすることをお勧めします。
更新のタイミング
2026 年 1 月 13 日 - 初期展開フェーズ
最初の展開フェーズは、2026 年 1 月 13 日以降にリリースされた更新プログラムから始まり、 適用 フェーズまで以降の Windows 更新プログラムを続行します。 このフェーズでは、2 番目のデプロイ フェーズで導入される新しいセキュリティ適用についてお客様に警告します。 この更新プログラム:
-
今後のセキュリティ強化の影響を受ける可能性のある顧客に警告する監査イベントを提供します。
-
KDCSVC 監査イベントが安全であることを示す場合に、ドメイン コントローラーで値を 2 に設定して変更を事前に有効にするレジストリ値 RC4DefaultDisablementPhase を導入します。
2026 年 4 月 - 第 2 の展開フェーズ
この更新プログラムは、明示的な msds-SupportedEncryptionTypes active directory 属性が定義されていないアカウントに対して AES-SHA1 を利用するように、KDC 操作の既定の DefaultDomainSupportedEncTypes 値を変更します。
このフェーズでは、DefaultDomainSupportedEncTypes の既定値が AES-SHA1 のみ: 0x18に変更されます。
2026 年 7 月 - 適用フェーズ
2026 年 7 月以降にリリースされた Windows 更新プログラムでは、レジストリ サブキー RC4DefaultDisablementPhase のサポートが削除されます。
展開のガイドライン
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを展開するには、次の手順に従います。
-
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムでドメイン コントローラーを更新します。
-
環境をセキュリティで保護するために、初期デプロイ フェーズ中にログに記録された MONITOR イベント。
-
[ レジストリ設定] セクションを使用して、ドメイン コントローラーを強制モードに移行します。
手順 1: UPDATE
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを、更新プログラムの展開後にドメイン コントローラーとして実行されているすべての該当する Windows Active Directory に展開します。
-
監査イベントは、ドメイン コントローラーが RC4 暗号を使用する必要がある Kerberos サービス チケット要求を受信しているが、サービス アカウントに既定の暗号化構成がある場合に、システム イベント ログに表示されます。
-
RC4 暗号化を許可する明示的な DefaultDomainSupportedEncTypes 構成がドメイン コントローラーにある場合、監査イベントはシステム イベント ログに記録されます。
手順 2: MONITOR
ドメイン コントローラーが更新されたら、監査イベントが表示されない場合は、RC4DefaultDisablementPhase の値を 2 に変更して強制モードに切り替えます。
生成される監査イベントがある場合は、RC4 依存関係を削除するか、Kerberos でサポートされている暗号化の種類のアカウントを明示的に構成する必要があります。 その後、 強制 モードに移行できます。
ドメイン内の RC4 の使用状況を検出する方法、RC4 にまだ依存しているデバイスとユーザー アカウントを監査する方法、およびより強力な暗号化の種類を優先して使用状況を修復する手順を実行する方法、または RC4 の依存関係を管理する方法については、「Kerberos での RC4 使用状況の検出と修復」を参照してください。
手順 3: ENABLE
適用モードを有効にして、環境内の CVE-2026-20833 の脆弱性に対処します。
-
既定の構成のアカウントに RC4 サービス チケットを提供するように KDC が要求された場合、エラー イベントがログに記録されます。
-
DefaultDomainSupportedEncTypes の安全でない構成については、イベント ID: 205 がログに記録されます。
レジストリ設定
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムがインストールされると、Kerberos プロトコルで次のレジストリ キーを使用できます。
このレジストリ キーは、Kerberos の変更のデプロイをゲートするために使用されます。 このレジストリ キーは一時的なもので、適用日以降は読み取られなくなります。
|
レジストリ キー |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Data type (データ タイプ) |
REG_DWORD |
|
値の名前 |
RC4DefaultDisablementPhase |
|
値のデータ |
0 – 監査なし、変更なし 1 - 警告イベントは、既定の RC4 使用状況でログに記録されます。 (フェーズ 1 の既定値) 2 – Kerberos は、RC4 が既定で有効になっていないと仮定して開始されます。 (フェーズ 2 の既定値) |
|
再起動が必要ですか? |
はい |
イベントの監査
2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムがインストールされると、次の監査イベントの種類が Windows Server 2012 に追加され、後でドメイン コントローラーとして実行されます。
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
201 |
|
イベント テキスト |
キー配布センターは、サービス msds-SupportedEncryptionTypes が定義されておらず、クライアントが安全でない暗号化の種類のみをサポートしているため、適用フェーズでサポートされない使用> 暗号名 <検出しました。 アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
イベント ID: 次の場合、201 がログに記録されます。
|
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
202 |
|
イベント テキスト |
キー配布センターは <、サービス msds-SupportedEncryptionTypes が定義されておらず、サービス アカウントに安全でないキーしかないため、適用フェーズではサポートされない暗号名> 使用を検出しました。 アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
警告イベント 202 は、次の場合にログに記録されます。
|
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
203 |
|
イベント テキスト |
サービス msds-SupportedEncryptionTypes が定義されておらず、クライアントが安全でない暗号化の種類のみをサポートしているため、キー配布センターは暗号の使用をブロックしました。 アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
次の場合、エラー イベント 203 がログに記録されます。
|
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
204 |
|
イベント テキスト |
サービス msds-SupportedEncryptionTypes が定義されておらず、サービス アカウントに安全でないキーしかないため、キー配布センターは暗号の使用をブロックしました。 アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
次の場合、エラー イベント 204 がログに記録されます。
|
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
205 |
|
イベント テキスト |
キー配布センターは、既定のドメインでサポートされている暗号化の種類ポリシー構成で明示的な暗号の有効化を検出しました。 暗号: <有効なセキュリティで保護されていない暗号> DefaultDomainSupportedEncTypes: 構成済みの DefaultDomainSupportedEncTypes 値 <> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
警告イベント 205 は、次の場合にログに記録されます。
|
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
206 |
|
イベント テキスト |
サービス msds-SupportedEncryptionTypes が AES-SHA1 のみをサポートするように構成されているが、クライアントは AES-SHA1 をアドバタイズしないため、キー配布センターは、適用フェーズでサポートされない暗号名> 使用状況を <検出しました アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
警告イベント 206 は、次の場合にログに記録されます。
|
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
207 |
|
イベント テキスト |
キー配布センターは <、サービス msds-SupportedEncryptionTypes が AES-SHA1 のみをサポートするように構成されているが、サービス アカウントに AES-SHA1 キーがないため、適用フェーズではサポートされない暗号名> 使用状況を検出しました。 アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
警告イベント 207 は、次の場合にログに記録されます。
|
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
208 |
|
イベント テキスト |
サービス msds-SupportedEncryptionTypes は AES-SHA1 のみをサポートするように構成されていますが、クライアントは AES-SHA1 をアドバタイズしないため、キー配布センターは意図的に暗号の使用を拒否しました アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
次の場合、エラー イベント 208 がログに記録されます。
|
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Kdcsvc |
|
イベント ID |
209 |
|
イベント テキスト |
サービス msds-SupportedEncryptionTypes は AES-SHA1 のみをサポートするように構成されていますが、サービス アカウントに AES-SHA1 キーがないため、キー配布センターは意図的に暗号の使用を拒否しました アカウント情報 アカウント名: <アカウント名> 指定された領域名: 指定された領域名 <> msds-SupportedEncryptionTypes: サポートされている暗号化の種類> < 使用可能なキー: 使用可能なキー> < サービス情報: サービス名: サービス名> < サービス ID: サービス SID> < msds-SupportedEncryptionTypes: <サービスでサポートされる暗号化の種類> 使用可能なキー: <サービスの使用可能なキー> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <ドメイン コントローラーでサポートされている暗号化の種類> DefaultDomainSupportedEncTypes: DefaultDomainSupportedEncTypes 値 <> 使用可能なキー: ドメイン コントローラーの使用可能なキー> < ネットワーク情報: クライアント アドレス: <クライアント IP アドレス> クライアント ポート: <クライアント ポート> 広告化された Etypes: <の広告化された Kerberos 暗号化の種類> 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344614」を参照してください。 |
|
コメント |
次の場合、エラー イベント 209 がログに記録されます。
|
注
これらの警告メッセージのいずれかがドメイン コントローラーに記録されている場合は、2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを使用して、ドメイン内のすべてのドメイン コントローラーが最新ではない可能性があります。 この脆弱性を軽減するには、ドメインをさらに調査して、最新ではないドメイン コントローラーを見つける必要があります。
イベント ID: 0x8000002Aドメイン コントローラーにログオンしている場合は、「KB5021131: CVE-2022-37966 に関連する Kerberos プロトコルの変更を管理する方法」を参照してください。
よく寄せられる質問 (FAQ)
この強化は、Windows ドメイン コントローラーがサービス チケットを発行するときに影響します。 Kerberos の信頼と紹介のフローは影響を受けません。
AES-SHA1 を処理できないサード パーティのドメイン デバイスは、AES-SHA1 を許可するように既に明示的に構成されている必要があります。
いいえ。 DefaultDomainSupportedEncTypes の安全でない構成に関する警告イベントをログに記録します。 さらに、お客様によって明示的に設定された構成は無視されません。
リソース
KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法
