Taikoma
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Pradinė publikavimo data: 2026 m. sausio 13 d.

KB ID: 5073381

Šiame straipsnyje:

Suvestinė

2026 m. sausio 13 d. ir vėliau išleistuose "Windows" naujinimuose yra "Kerberos" autentifikavimo protokolo pažeidžiamumo apsaugos. "Windows" naujinimai išsprendžia CVE-2026-20833 informacijos atskleidimo pažeidžiamumą, kuris gali leisti pažeidėjui gauti paslaugų kvitus su silpnais arba senstelėjusiais šifravimo tipais, pvz., RC4, atakoms neprisijungus atkurti tarnybos abonemento slaptažodį.

Norėdami sušvelninti šį pažeidžiamumą, "Windows" naujinimai, išleisti 2026 m. balandžio 14 d. ir vėliau, pakeiskite "Kerberos" rakto paskirstymo centro (KDC) numatytąją reikšmę DefaultDomainSupportedEncTypes, nebent administratoriai įjungia vykdymo režimą anksčiau. Atnaujinti domeno valdikliai, veikiami vykdymo režimu, palaikys tik išplėstinio šifravimo Standard (AES) šifravimo tipo konfigūracijų palaikymą, jei nenurodyta jokia atskira konfigūracija. Daugiau informacijos žr. Palaikomų šifravimo tipų bitų žymės. Numatytoji DefaultDomainSupportedEncTypes reikšmė taikoma, kai nėra tikslios reikšmės.

Domeno valdikliuose su apibrėžta "DefaultDomainSupportedEncTypes" registro reikšme šie pakeitimai neturės funkcinio poveikio veikimui. Tačiau audito įvykio KDCSVC įvykio ID: 205 bus užregistruotas sistemos įvykių žurnale, jei esama DefaultDomainSupportedEncTypes konfigūracija yra nesaugi (pvz., kai naudojamas RC4 šifravimas).

Atgal į viršų

Imkitės veiksmų

Kad apsaugotumėte aplinką ir išvengtumėte trikčių, rekomenduojame: 

  • NAUJINIMAS "Microsoft Active Directory" domeno valdikliai pradedami nuo "Windows" naujinimų, išleistų 2026 m. sausio 13 d. arba vėliau.

  • Stebėkite sistemos įvykių žurnalą bet kuriam iš devynių KDCSVC 201 > 209 audito įvykių, įregistruotų Windows Server 2012" ir naujesniuose domeno valdikliuose, kurie identifikuoja riziką su RC4 apsaugos įgalinimu.

  • SUŠVELNINTI KDCSVC įvykiai, užregistruoti sistemos įvykių žurnale, neleidžiantys rankiniu būdu arba programiniu būdu įgalinti RC4 apsaugos.

  • ĮGALINTI Vykdymo režimas, skirtas išspręsti jūsų aplinkos CVE-2026-20833 pažeidžiamumus, kai įspėjimo, blokavimo ar strategijos įvykiai neberegistruojami.

SVARBU Įdiegus naujinimus, išleistus 2026 m. sausio 13 d. arba vėliau, NEBUS pašalinti pažeidžiamumai, aprašyti CVE-2026-20833 "Active Directory" domeno valdikliams pagal numatytuosius parametrus. Norėdami visiškai sumažinti pažeidžiamumą, turėtumėte rankiniu būdu įjungti vykdymo režimą (aprašyta 3 veiksmas: ENABLE) visuose domeno valdikliuose. "Windows Naujinimai" diegimas, išleistas 2026 m. liepos mėn. ir vėliau, programiškai įjungs vykdymo etapą.

Vykdymo režimas bus automatiškai įgalintas įdiegus "Windows Naujinimai", išleistą 2026 m. balandžio mėn. arba vėliau visuose "Windows" domenų valdikliuose, ir blokuos pažeidžiamus ryšius iš nesuderinamų įrenginių.  Tuo metu negalėsite išjungti audito, bet galėsite grįžti į audito režimo parametrą. Audito režimas bus pašalintas 2026 m. liepos mėn., kaip nurodyta skyriuje Naujinimų laikas, o vykdymo režimas bus įgalintas visuose "Windows" domenų valdikliuose ir blokuos pažeidžiamus ryšius iš nesuderinamų įrenginių.

Jei jums reikia panaudoti RC4 po 2026 m. balandžio mėn., rekomenduojame aiškiai įgalinti RC4 msds-SupportedEncryptionTypes šablonas tarnybose, kurioms reikės priimti RC4 naudojimą. 

Atgal į viršų 

Naujinimų laikas

2026 m. sausio 13 d. – pradinio diegimo etapas 

Pradinis diegimo etapas pradedamas nuo naujinimų, išleistų 2026 m. sausio 13 d. ir vėliau, ir tęsiamas vėlesniais "Windows" naujinimais iki vykdymo etapo. Šis etapas yra įspėti klientus apie naujus saugos vykdymus, kurie bus įdiegti antrajame diegimo etape. Šis naujinimas: 

  • Pateikia audito įvykius, įspėjančius klientus, kurie gali būti neigiamai paveikti artėjančio saugos sukietėjimo.

  • Pristatomas registro reikšmės RC4DefaultDisablementPhase palaikymas po to, kai administratorius aktyviai įgalina keitimą nustatydamas reikšmę į 2 domeno valdikliuose, kai KDCSVC audito įvykiai nurodo, kad tai saugu.

2026 m. balandžio 14 d. - Vykdymo užtikrinimo etapas su rankiniu keitimų atšaukimu 

Šis naujinimas pakeičia numatytąją DefaultDomainSupportedEncTypes reikšmę KDC operacijoms, kad būtų naudojamas AES-SHA1 paskyroms, kuriose nėra apibrėžto msds-SupportedEncryptionTypes active directory atributo. 

Šis etapas pakeičia numatytąją DefaultDomainSupportedEncTypes reikšmę į tik AES-SHA1: 0x18

Šis etapas taip pat įgalina rankinio konfigūravimo RC4DefaultDisablementPhase keitimų atšaukimo reikšmę iki programinio vykdymo 2026 m. liepos mėn.

2026 m. liepos mėn. – vykdymo etapas 

"Windows" naujinimai, išleisti 2026 m. liepos mėn. arba vėliau, pašalins registro dalinio rakto RC4DefaultDisablementPhase palaikymą. 

Atgal į viršų 

Diegimo gairės

Norėdami įdiegti "Windows" naujinimus, išleistus 2026 m. sausio 13 d. arba vėliau, atlikite šiuos veiksmus: 

  1. Atnaujinkite savo domeno valdiklius naudodami "Windows" naujinimą, išleistą 2026 m. sausio 13 d. arba vėliau.

  2. Stebėkite įvykius, užregistruotus pradinio diegimo etapu, kad apsaugotumėte savo aplinką.

  3. Perkelkite domeno valdiklius į vykdymo režimą naudodami sekciją Registro parametrai.

1 veiksmas: ATNAUJINKITE  

Įdiegę naujinimą, įdiekite 2026 m. sausio 13 d. arba vėliau išleistą "Windows" naujinimą į visas taikomas "Windows Active Directory", veikiančias kaip domeno valdiklis.

  • Audito įvykiai bus rodomi sistemos įvykių žurnaluose, jei jūsų Windows Server 2012" arba naujesni domeno valdikliai gauna "Kerberos" tarnybos bilietų užklausas, kurioms reikia naudoti RC4 šifravimą, bet tarnybos abonementas turi numatytąją šifravimo konfigūraciją.

  • 205 audito įvykis bus užregistruotas sistemos įvykių žurnale, jei jūsų domeno valdiklis turi aiškų DefaultDomainSupportedEncTypes konfigūraciją, kad būtų leidžiamas RC4 šifravimas.

2 veiksmas: MONITORIUS

Jei atnaujinus domeno valdiklius nematote šiame straipsnyje dokumentuotų audito įvykių, įjunkite vykdymo režimą pakeisdami registro reikšmę RC4DefaultDisablementPhase į 2.   

Jei yra sugeneruotų audito įvykių, jums reikės pašalinti RC4 priklausomybes arba aiškiai sukonfigūruoti paskyrų msds-SupportedEncryptionTypes atributą, kad būtų palaikomas nuolatinis RC4 naudojimas po rankinio arba automatinio vykdymo režimo įgalinimo.

Administratoriams, kurie nori plačiau spręsti RC4 naudojimą, negu aptariama šiame straipsnyje, rekomenduojame peržiūrėti RC4 naudojimo "Kerberos" aptikimą ir remediate naudojimą, jei reikia daugiau informacijos.

SVARBU Audito įvykiai, susiję su šiuo pakeitimu, sugeneruojami tik tada, kai "Active Directory" negali išduoti AES-SHA1 tarnybos bilietų arba seanso raktų. Audito įvykių nebuvimas negarantuoja , kad visi ne "Windows" įrenginiai sėkmingai priims "Kerberos" autentifikavimą po balandžio naujinimo. Klientai turėtų patikrinti ne "Windows" veikimo suderinamumą tikrindami prieš įjungdami šią veiksena.

3 veiksmas: ĮGALINKITE

Įgalinkite vykdymo režimą, kad išs spręsti CVE-2026-20833 pažeidžiamumus savo aplinkoje. 

  • Jei KDC prašoma pateikti RC4 tarnybos kvitą paskyrai su numatytosiomis konfigūracijomis, bus užregistruotas klaidos įvykis.

  • Toliau matysite įvykio ID: 205 užregistruotas dėl bet kokios nesaugios DefaultDomainSupportedEncTypes konfigūracijos.

Atgal į viršų 

Registro parametrai

Įdiegus 2026 m. sausio 13 d. arba vėliau išleistus "Windows" naujinimus, galimas toliau nurodytas "Kerberos" protokolo registro raktas.

RC4DefaultDisablementPhase

Šis registro raktas naudojamas kerberos pakeitimams diegti. Šis registro raktas yra laikinas ir nebebus nuskaitomas po vykdymo datos.

Registro raktas

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Duomenų tipas

REG_DWORD

Reikšmės pavadinimas

RC4DefaultDisablementPhase

Reikšmės duomenys

0 – Nėra audito, jokių pakeitimų 

1 – įspėjimo įvykiai bus registruojami numatytajame RC4 naudojimą. (Numatytasis 1 etapas) 

2 – "Kerberos" pradės laikyti, kad pagal numatytuosius parametrus RC4 neįgalintas.  (Numatytoji 2 fazės reikšmė) 

Reikia paleisti iš naujo?

Taip

Atgal į viršų 

Audito įvykiai

Įdiegus "Windows" naujinimus, išleistus 2026 m. sausio 13 d. arba vėliau, šie KSCSVC audito įvykių tipai įtraukiami į Windows Server 2012" sistemos įvykių žurnalą ir vėliau veikia kaip domeno valdiklis.

Šiame skyriuje

Atgal į viršų 

Įvykio ID: 201

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

Kdcsvc

Įvykio ID

201

Įvykio tekstas

Raktų paskirstymo centras aptiko <šifro pavadinimą> naudojimą, kuris vykdymo etape bus nepalaikomas, nes tarnybos msds-SupportedEncryptionTypes neapibrėžti ir klientas palaiko tik nesaugius šifravimo tipus. 

Paskyros informacija 

    Abonemento pavadinimas: <abonemento pavadinimo> 

    Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> 

    msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> 

    Galimi klavišai: <galimi klavišai> 

Tarnybos informacija: 

    Paslaugos pavadinimas: <tarnybos pavadinimo> 

    Paslaugos ID: <tarnybos SID> 

    msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> 

    Pasiekiami klavišai: <tarnybų raktai> 

Domeno valdiklio informacija: 

    msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> 

    Galimi klavišai: <domeno valdiklio pasiekiami klavišai> 

Tinklo informacija: 

    Kliento adresas: <kliento IP adreso> 

    Kliento prievadas: <kliento prievado> 

    Advertized Etypes: <advertized Kerberos Encryption Types> 

Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentarai

Įvykio ID: 201 bus užregistruotas, jei:

  • Klientas reklamuoja tik RC4 kaip reklamuojamą Etypes

  • Paskirties tarnyba NETURI apibrėžto msds-SET

  • Domeno valdiklis NETURI apibrėžto DDSET

  • Registro reikšmė RC4DefaultDisablementPhase nustatyta į 1

  • Warning Event 201 transitions into Error event 203 in Enforcement mode

  • Šis įvykis užregistruojamas už kiekvieną užklausą

  • 201 įspėjimo įvykis NEUŽREGISTRUOJAmas, jei DefaultDomainSupportedEncTypes nustatyti rankiniu būdu

grįžti į audito įvykius 

Įvykio ID: 202

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

Kdcsvc

Įvykio ID

202

Įvykio tekstas

Raktų paskirstymo centras aptiko <šifro pavadinimą> naudojimą, kuris vykdymo etape bus nepalaikomas, nes tarnybos msds-SupportedEncryptionTypes neapibrėžti, o tarnybos abonementas turi tik nesaugius raktus.  

Paskyros informacija 

    Abonemento pavadinimas: <abonemento pavadinimo> 

    Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> 

    msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> 

    Galimi klavišai: <galimi klavišai> 

Tarnybos informacija: 

    Paslaugos pavadinimas: <tarnybos pavadinimo> 

    Paslaugos ID: <tarnybos SID> 

    msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> 

    Pasiekiami klavišai: <tarnybų raktai> 

Domeno valdiklio informacija: 

    msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> 

    Galimi klavišai: <domeno valdiklio pasiekiami klavišai> 

Tinklo informacija: 

    Kliento adresas: <kliento IP adreso> 

    Kliento prievadas: <kliento prievado> 

    Advertized Etypes: <advertized Kerberos Encryption Types> 

Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentarai

Įspėjimo įvykis 202 bus užregistruotas, jei:

  • Paskirties tarnyba neturi AES raktų

  • Paskirties tarnyba NETURI apibrėžto msds-SET

  • Domeno valdiklis NETURI apibrėžto DDSET

  • Registro reikšmė RC4DefaultDisablementPhase nustatyta į 1

  • Klaidos įvykis 202 pereina į 204 klaidą vykdymo režimu

  • Įspėjimo įvykis 202 užregistruojamas už kiekvieną užklausą

  • 202 įspėjimo įvykis NEUŽREGISTRUOJAmas, jei DefaultDomainSupportedEncTypes nustatyti rankiniu būdu

grįžti į audito įvykius 

Įvykio ID: 203

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

Kdcsvc

Įvykio ID

203

Įvykio tekstas

Rakto paskirstymo centras užblokavo šifro naudojimą, nes tarnybos msds-SupportedEncryptionTypes neapibrėžtas ir klientas palaiko tik nesaugius šifravimo tipus. 

Paskyros informacija 

    Abonemento pavadinimas: <abonemento pavadinimo> 

    Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> 

    msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> 

    Galimi klavišai: <galimi klavišai> 

Tarnybos informacija: 

    Paslaugos pavadinimas: <tarnybos pavadinimo> 

    Paslaugos ID: <tarnybos SID> 

    msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> 

    Pasiekiami klavišai: <tarnybų raktai> 

Domeno valdiklio informacija: 

    msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> 

    Galimi klavišai: <domeno valdiklio pasiekiami klavišai> 

Tinklo informacija: 

    Kliento adresas: <kliento IP adreso> 

    Kliento prievadas: <kliento prievado> 

    Advertized Etypes: <advertized Kerberos Encryption Types> 

Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentarai

Klaidos įvykis 203 bus užregistruotas, jei:

  • Klientas reklamuoja tik RC4 kaip reklamuojamą Etypes

  • Paskirties tarnyba NETURI apibrėžto msds-SET

  • Domeno valdiklis NETURI apibrėžto DDSET

  • Registro reikšmė RC4DefaultDisablementPhase nustatyta į 2

  • Pagal užklausą

grįžti į audito įvykius 

Įvykio ID: 204

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

Kdcsvc

Įvykio ID

204

Įvykio tekstas

Rakto paskirstymo centras užblokavo šifro naudojimą, nes tarnybos msds-SupportedEncryptionTypes neapibrėžtas ir tarnybos abonementas turi tik nesaugius raktus.  

Paskyros informacija 

    Abonemento pavadinimas: <abonemento pavadinimo> 

    Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> 

    msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> 

    Galimi klavišai: <galimi klavišai> 

Tarnybos informacija: 

    Paslaugos pavadinimas: <tarnybos pavadinimo> 

    Paslaugos ID: <tarnybos SID> 

    msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> 

    Pasiekiami klavišai: <tarnybų raktai> 

Domeno valdiklio informacija: 

    msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> 

    Galimi klavišai: <domeno valdiklio pasiekiami klavišai> 

Tinklo informacija: 

    Kliento adresas: <kliento IP adreso> 

    Kliento prievadas: <kliento prievado> 

    Advertized Etypes: <advertized Kerberos Encryption Types> 

Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentarai

Klaidos įvykis 204 bus užregistruotas, jei:

  • Paskirties tarnyba neturi AES raktų

  • Paskirties tarnyba NETURI apibrėžto msds-SET

  • Domeno valdiklis NETURI apibrėžto DDSET

  • Registro reikšmė RC4DefaultDisablementPhase nustatyta į 2

  • Pagal užklausą

grįžti į audito įvykius 

Įvykio ID: 205

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

Kdcsvc

Įvykio ID

205

Įvykio tekstas

Raktų paskirstymo centras aptiko aiškų šifravimo įgalinimą numatytojo domeno palaikomų šifravimo tipų strategijos konfigūracijoje. 

Šifras (-ai): <įgalinti nesaugūs šifrai> 

DefaultDomainSupportedEncTypes: <Konfigūruota DefaultDomainSupportedEncTypes reikšmė> 

Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614.

Komentarai

Įspėjimo įvykis 205 bus užregistruotas, jei:

  • Domeno valdiklis HAS DDSET apibrėžtas įtraukti bet ką, išskyrus AES-SHA1.

  • Registro reikšmė RC4DefaultDisablementPhase nustatyta į 1, 2

  • Tai NIEKADA nepavirs klaida

  • Tikslas yra informuoti klientą apie nesaugų elgesį, kad mes nesikeis

  • Registruojama kaskart KDCSVC pradžioje

grįžti į audito įvykius 

Įvykio ID: 206

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

Kdcsvc

Įvykio ID

206

Įvykio tekstas

Raktų platinimo centras aptiko <šifro pavadinimą> naudojimą, kuris vykdymo etape bus nepalaikomas, nes tarnybos msds-SupportedEncryptionTypes sukonfigūruotas tik AES-SHA1, bet klientas nepateikia AES-SHA1 reklamos 

Paskyros informacija 

    Abonemento pavadinimas: <abonemento pavadinimo> 

    Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> 

    msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> 

    Galimi klavišai: <galimi klavišai> 

Tarnybos informacija: 

    Paslaugos pavadinimas: <tarnybos pavadinimo> 

    Paslaugos ID: <tarnybos SID> 

    msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> 

    Pasiekiami klavišai: <tarnybų raktai> 

Domeno valdiklio informacija: 

    msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> 

    Galimi klavišai: <domeno valdiklio pasiekiami klavišai> 

Tinklo informacija: 

    Kliento adresas: <kliento IP adreso> 

    Kliento prievadas: <kliento prievado> 

    Advertized Etypes: <advertized Kerberos Encryption Types> 

Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentarai

Įspėjimo įvykis 206 bus užregistruotas, jei:

  • Klientas tik reklama RC4 kaip advertized Etypes

  • Įvyksta bet kuris iš šių veiksmų:

    • Tikslinė tarnyba HAS msds-SET apibrėžta tik AES-SHA1

    • Domeno valdiklis HAS DDSET apibrėžtas tik AES-SHA1

  • Registro reikšmė RC4DefaultDisablementPhase nustatyta į 1

  • Warning event 2016 transitions to Error event 2018 in Enforcement mode

  • Registruojama pagal kiekvieną užklausą

grįžti į audito įvykius 

Įvykio ID: 207

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

Kdcsvc

Įvykio ID

207

Įvykio tekstas

Raktų paskirstymo centras aptiko <šifro pavadinimą> naudojimą, kuris vykdymo etape bus nepalaikomas, nes tarnybos msds-SupportedEncryptionTypes sukonfigūruotas palaikyti tik AES-SHA1, bet tarnybos abonementas neturi AES-SHA1 raktų.  

Paskyros informacija 

    Abonemento pavadinimas: <abonemento pavadinimo> 

    Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> 

    msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> 

    Galimi klavišai: <galimi klavišai> 

Tarnybos informacija: 

    Paslaugos pavadinimas: <tarnybos pavadinimo> 

    Paslaugos ID: <tarnybos SID> 

    msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> 

    Pasiekiami klavišai: <tarnybų raktai> 

Domeno valdiklio informacija: 

    msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> 

    Galimi klavišai: <domeno valdiklio pasiekiami klavišai> 

Tinklo informacija: 

    Kliento adresas: <kliento IP adreso> 

    Kliento prievadas: <kliento prievado> 

    Advertized Etypes: <advertized Kerberos Encryption Types> 

Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentarai

Įspėjimo įvykis 207 bus užregistruotas, jei:

  • Paskirties tarnyba neturi AES raktų

  • Įvyksta bet kuris iš šių veiksmų:

    • Tikslinė tarnyba HAS msds-SET apibrėžta tik AES-SHA1

    • Domeno valdiklis HAS DDSET apibrėžtas tik AES-SHA1

  • Registro reikšmė RC4DefaultDisablementPhase nustatyta į 1

  • Tai taps 209 (klaida) vykdymo režimu

  • Pagal užklausą

grįžti į audito įvykius 

Įvykio ID: 208

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

Kdcsvc

Įvykio ID

208

Įvykio tekstas

Raktų paskirstymo centras specialiai atmetė šifro naudojimą, nes tarnybos msds-SupportedEncryptionTypes sukonfigūruotas tik AES-SHA1, bet klientas nepateikia AES-SHA1 

Paskyros informacija 

    Abonemento pavadinimas: <abonemento pavadinimo> 

    Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> 

    msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> 

    Galimi klavišai: <galimi klavišai> 

Tarnybos informacija: 

    Paslaugos pavadinimas: <tarnybos pavadinimo> 

    Paslaugos ID: <tarnybos SID> 

    msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> 

    Pasiekiami klavišai: <tarnybų raktai> 

Domeno valdiklio informacija: 

    msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> 

    Galimi klavišai: <domeno valdiklio pasiekiami klavišai> 

Tinklo informacija: 

    Kliento adresas: <kliento IP adreso> 

    Kliento prievadas: <kliento prievado> 

    Advertized Etypes: <advertized Kerberos Encryption Types> 

Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentarai

Klaidos įvykis 208 bus užregistruotas, jei:

  • Klientas reklamuoja tik RC4 kaip reklamuojamą Etypes

  • Įvyksta šios funkcijos EIther:

    • Tikslinė tarnyba HAS msds-SET apibrėžta tik AES-SHA1

    • Domeno valdiklis HAS DDSET apibrėžtas tik AES-SHA1

  • Registro reikšmė RC4DefaultDisablementPhase nustatyta į 2

  • Pagal užklausą

grįžti į audito įvykius 

Įvykio ID: 209

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

Kdcsvc

Įvykio ID

209

Įvykio tekstas

Raktų paskirstymo centras specialiai atmetė šifro naudojimą, nes tarnybos msds-SupportedEncryptionTypes sukonfigūruotas palaikyti tik AES-SHA1, bet tarnybos abonementas neturi AES-SHA1 raktų 

Paskyros informacija 

    Abonemento pavadinimas: <abonemento pavadinimo> 

    Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> 

    msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> 

    Galimi klavišai: <galimi klavišai> 

Tarnybos informacija: 

    Paslaugos pavadinimas: <tarnybos pavadinimo> 

    Paslaugos ID: <tarnybos SID> 

    msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> 

    Pasiekiami klavišai: <tarnybų raktai> 

Domeno valdiklio informacija: 

    msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> 

    Galimi klavišai: <domeno valdiklio pasiekiami klavišai> 

Tinklo informacija: 

    Kliento adresas: <kliento IP adreso> 

    Kliento prievadas: <kliento prievado> 

    Advertized Etypes: <advertized Kerberos Encryption Types> 

Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. 

Komentarai

Klaidos įvykis 209 bus užregistruotas, jei:

  • Paskirties tarnyba neturi AES raktų

  • Įvyksta bet kuris iš šių veiksmų:

    • Tikslinė tarnyba HAS msds-SET apibrėžta tik AES-SHA1

    • Domeno valdiklis HAS DDSET apibrėžtas tik AES-SHA1

  • Registro reikšmė RC4DefaultDisablementPhase nustatyta į 2

  • Pagal užklausą

grįžti į audito įvykius

Pastaba

Kalbant apie numanomą tarnybos bilietų šifravimo pasirinkimo pakeitimą, "Microsoft" apribojo matomumą į priežastis, kodėl ne "Windows" įrenginys gali nepriimti "Kerberos" autentifikavimo, kai KDC taiko balandžio naujinimą, ir pereikite prie numatytojo AES-SHA1 veikimo, kai nenurodyta. Prieš įgalindami šį veikimą plačiai, siūlome patikrinti šiuos pakeitimus savo aplinkoje.

Dažniausiai pasitaikanti vieta yra įrenginiuose, kuriuose naudojami "Kerberos Keytabs". Jei "Kerberos Keytab" buvo eksportuotas tik su RC4 raktais, bet paskirties tarnybos abonementas turi AES-SHA1 raktus ir neturi apibrėžtų msds-SupportedEncryptionTypes, tada gali būti, kad minėtoje tarnyboje gali nepavykti atlikti autentifikavimo klaidos. Tai greičiausiai bus rodoma kaip paskirties tarnybos autentifikavimo trikčių forma, o ne iš KDC. 

Mūsų pagrindinė rekomendacija – bendradarbiauti su ne "Windows" įrenginio tiekėju. Paprastai ne "Windows" įrenginių triktys priimant "Kerberos" autentifikavimą nėra unikalios balandžio mėn. pakeitimams ir gali kilti dėl konkretaus įrenginio arba konkretaus diegimo apribojimų.

Jei po šio pakeitimo kyla ne "Windows" įrenginių "Kerberos" autentifikavimo problemų, o tiekėjo taisymas neįmanomas, mūsų rekomendacijos yra tokios:

  • Paveiktoje tarnybos paskyroje aiškiai apibrėžkite msDS-SupportedEncryptionTypes , kad įtrauktumėte RC4 su AES seanso raktais (0x24).

  • Jei tai neįmanoma, paskutinė priemonė – rankiniu būdu konfigūruoti DefaultDomainSupportedEncTypes registro reikšmę visuose susijusiuose KDC, kad RC4 būtų įtrauktas į AES-SHA1 seanso raktus (0x24). Atkreipkite dėmesį, kad taip paliksite visas paskyras domene, kurį gali pažeisti CVE-2026-20833.

Svarbu atkreipti dėmesį, kad ši konfigūracija yra nesaugi, o mūsų ilgalaikė rekomendacija yra perkelti ne "Windows" įrenginius į versijas, kurios palaiko "AES-SHA1 Kerberos" bilietų šifravimą.

grįžti į audito įvykius

Dažnai užduodami klausimai (DUK)

1 k. Kaip šis pakeitimas sąveikauja su domenais, kuriuose yra trečiųjų šalių KDCs?

Šis sustigrinimas turi įtakos tik "Windows" domeno valdikliams. "Kerberos" patikimumo ir nukreipimo srautui su kitais "Windows" domeno valdikliais arba trečiųjų šalių KDCs tai įtakos neturi.

2 k. Kaip šis pakeitimas sąveikauja su domenais, kuriuose yra ne "Windows" domenų įrenginių?

Trečiųjų šalių domenų įrenginiai, kurie negali apdoroti AES-SHA1 šifravimo, jau turėjo būti aiškiai sukonfigūruoti leisti RC4 šifravimą. Tarnybos, kurios negali apdoroti AES-SHA1 bilietų, turi būti pataisytos arba aiškiai sukonfigūruotos "Active Diretory", kad būtų užtikrintas RC4 šifravimas, kaip nurodyta anksčiau. Kruopščiai patvirtinkite šiuos pakeitimus. 

3 k.: Ar "Microsoft" pašalins galimybę konfigūruoti DefaultDomainSupportedEncTypes?

Ne. Užregistruosime įspėjimo įvykius dėl nesaugių " DefaultDomainSupportedEncTypes" konfigūracijų. Be to, laikysimės bet kokios konfigūracijos, kurią aiškiai nustatė administratorius.

Atgal į viršų 

Ištekliai

Atgal į viršų 

Pakeitimų žurnalas

Keisti datą

Keisti aprašą

2026 m. balandžio 14 d.

  • Atnaujinta 2026 m. balandžio mėn. data, kad atspindėtų faktinę "Vykdymo etapo su rankiniu keitimų atšaukimu" išleidimo datą.

  • Apibrėžtas Kerberos KDC skyriaus Suvestinė antros pastraipos pirmajame sakinyje.Iš: Siekiant sumažinti šį pažeidžiamumą, Numatytoji reikšmė DefaultDomainSupportedEncTypes pakeičiamas "Windows" Naujinimai išleista 2026 m. balandžio 14 d. ir vėliau arba administratoriai įgalinti vykdymo režimą anksti.Į: Norėdami sušvelninti šį pažeidžiamumą, "Windows" naujinimai, išleisti 2026 m. balandžio 14 d. ir vėliau, pakeiskite "Kerberos" rakto paskirstymo centro (KDC) numatytąją reikšmę DefaultDomainSupportedEncTypes, nebent administratoriai įjungia vykdymo režimą anksčiau.

2026 m. balandžio 7 d.

  • Kad būtų aiškiau, performuluota skyriaus "Santrauka" antroji pastraipa.

  • Atkreipkite dėmesį į sekciją "2 veiksmas: MONITORIUS", kad paryškintumėte jos svarbą. Atkreipkite dėmesį į pastabą SVARBU.

  • Į pastabą, esančią virš DUK sekcijos, įtraukta nauja antroji pastraipa.

2026 m. kovo 16 d.

  • Dėl aiškumo skyriuje "Diegimo gairės" suformuluota "2 veiksmas: MONITORIUS".

  • Aiškiau suformuluotas atsakymas į "Kaip šis pakeitimas sąveikauja su domenais, kurie nėra "Windows" domeno įrenginiai?" DUK klausimas. Įtraukta speciali pastaba, kaip šie pakeitimai gali paveikti ne "Windows" tarnybas.

2026 m. vasario 10 d.

  • Įtrauktas dokumentacijos saitas į DefaultDomainSupportedEncTypes pasikartojimus.

  • Ištaisyta skyriaus "3 veiksmas: įgalinti" antrojo ženklelio formuluotė.Iš: Pristato registro reikšmę RC4DefaultDisablementPhase aktyviai įgalinti pakeitimą nustatant reikšmę į 2 domeno valdikliuose, kai KDCSVC audito įvykiai rodo, kad saugu tai padaryti.Į: Pristatomas registro reikšmės RC4DefaultDisablementPhase palaikymas po to, kai administratorius aktyviai įgalina keitimą nustatydamas reikšmę į 2 domeno valdikliuose, kai KDCSVC audito įvykiai nurodo, kad tai saugu.

  • Po sekcijos Imtis veiksmų svarbia pastaba pakeitė pastraipos pirmąjį sakinį, kad būtų apytiksliai nurodyta, kada bus įgalintas vykdymo režimas.Iš: Nuo 2026 m. balandžio mėn. vykdymo režimas bus įgalintas visuose "Windows" domenų valdikliuose ir blokuos pažeidžiamus ryšius su reikalavimų neatitinkančiais įrenginiais.Į: Vykdymo režimas bus automatiškai įgalintas įdiegus "Windows Naujinimai", išleistą 2026 m. balandžio mėn. arba vėliau visuose "Windows" domenų valdikliuose, ir blokuos pažeidžiamus ryšius iš nesuderinamų įrenginių.

  • Papildyta šio pakeitimo formuluote, kurią atliko "Windows Naujinimai", išleista 2026 m. sausio 13 d. ir vėliau ir CVE-2026-20833.

Atgal į viršų 

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras