Pradinė publikavimo data: 2026 m. sausio 13 d.
KB ID: 5073381
„Windows“ saugiosios įkrovos sertifikato galiojimo laikas
Svarbu: Saugiosios įkrovos sertifikatai, kuriuos naudoja dauguma „Windows“ įrenginių, nustos galioti nuo 2026 m. birželio mėn. Tai gali turėti įtakos tam tikrų asmeninių ir verslo įrenginių galimybėms saugiai įkrauti, jei laiku neatnaujinama. Kad išvengtumėte trikčių, rekomenduojame peržiūrėti rekomendacijas ir imtis veiksmų, kad sertifikatai būtų atnaujinti iš anksto. Išsamios informacijos ir paruošimo veiksmus žr. „Windows“ saugiosios įkrovos sertifikato galiojimo laikas ir CA naujinimai.
Šiame straipsnyje:
Suvestinė
2026 m. sausio 13 d. ir vėliau išleistuose "Windows" naujinimuose yra "Kerberos" autentifikavimo protokolo pažeidžiamumo apsaugos. "Windows" naujinimai išsprendžia informacijos atskleidimo pažeidžiamumą, kuris gali leisti pažeidėjui gauti paslaugų kvitus su silpnais arba senstelėjusiais šifravimo tipais, pvz., RC4, ir atlikti atakas neprisijungus, kad būtų atkurtas tarnybos paskyros slaptažodis.
Norėdami apsaugoti ir sustigrinti aplinką, įdiekite "Windows" naujinimą, išleistą 2026 m. sausio 13 d. arba vėliau, visuose "Windows" serveriuose, išvardytuose skyriuje "Taikoma", veikiančiame kaip domeno valdiklis. Norėdami sužinoti daugiau apie pažeidžiamumą, žr. CVE-2026-20833.
Siekiant sušvelninti šį pažeidžiamumą, numatytoji reikšmė DefaultDomainSupportedEncTypes (DDSET) yra keičiama taip, kad visi domeno valdikliai palaiko tik išplėstinio šifravimo Standard (AES-SHA1)-užšifruotus bilietus paskyroms be aiškaus "Kerberos" šifravimo tipo konfigūracijos. Daugiau informacijos žr. Palaikomų šifravimo tipų bitų žymės.
Domeno valdikliuose su apibrėžta "DefaultDomainSupportedEncTypes" registro reikšme šie pakeitimai neturės funkcinio poveikio veikimui. Tačiau audito įvykio KDCSVC įvykio ID: 205 gali būti užregistruotas sistemos įvykių žurnale, jei esama DefaultDomainSupportedEncTypes konfigūracija yra nesaugi.
Imkitės veiksmų
Kad apsaugotumėte aplinką ir išvengtumėte trikčių, rekomenduojame atlikti šiuos veiksmus:
-
NAUJINIMAS "Microsoft Active Directory" domeno valdikliai pradedami nuo "Windows" naujinimų, išleistų 2026 m. sausio 13 d. arba vėliau.
-
Stebėkite sistemos įvykių žurnalą, kad nustatytumėte bet kurį iš 9 audito įvykių, įregistruotų Windows Server 2012", ir naujesnius domeno valdiklius, kurie nustato riziką su RC4 apsaugos įgalinimu.
-
SUŠVELNINTI KDCSVC įvykiai, užregistruoti sistemos įvykių žurnale, neleidžiantys rankiniu būdu arba programiniu būdu įgalinti RC4 apsaugos.
-
ĮGALINTI Vykdymo režimas, skirtas išspręsti jūsų aplinkos CVE-2026-20833 pažeidžiamumus, kai įspėjimo, blokavimo ar strategijos įvykiai neberegistruojami.
SVARBU Įdiegus naujinimus, išleistus 2026 m. sausio 13 d. arba vėliau, NEBUS pašalinti pažeidžiamumai, aprašyti CVE-2026-20833 "Active Directory" domeno valdikliams pagal numatytuosius parametrus. Norėdami visiškai sumažinti pažeidžiamumą, turite pereiti prie priverstinio režimo (aprašyta 3 veiksme) kuo greičiau visuose domeno valdikliuose.
Nuo 2026 m. balandžio mėn. vykdymo režimas bus įgalintas visuose "Windows" domenų valdikliuose ir blokuos pažeidžiamus ryšius su reikalavimų neatitinkančiais įrenginiais. Tuo metu negalėsite išjungti audito, bet galėsite grįžti į audito režimo parametrą. Audito režimas bus pašalintas 2026 m. liepos mėn., kaip nurodyta skyriuje Naujinimų laikas, o vykdymo režimas bus įgalintas visuose "Windows" domenų valdikliuose ir blokuos pažeidžiamus ryšius iš nesuderinamų įrenginių.
Jei jums reikia panaudoti RC4 po 2026 m. balandžio mėn., rekomenduojame aiškiai įgalinti RC4 msds-SupportedEncryptionTypes šablonas tarnybose, kurioms reikės priimti RC4 naudojimą.
Naujinimų laikas
2026 m. sausio 13 d. – pradinio diegimo etapas
Pradinis diegimo etapas pradedamas nuo naujinimų, išleistų 2026 m. sausio 13 d. ir vėliau, ir tęsiamas vėlesniais "Windows" naujinimais iki vykdymo etapo. Šis etapas yra įspėti klientus apie naujus saugos vykdymus, kurie bus įdiegti antrajame diegimo etape. Šis naujinimas:
-
Pateikia audito įvykius, įspėjančius klientus, kurie gali būti neigiamai paveikti artėjančio saugos sukietėjimo.
-
Pristato registro reikšmę RC4DefaultDisablementPhase aktyviai įgalinti pakeitimą nustatant reikšmę į 2 domeno valdikliuose, kai KDCSVC audito įvykiai rodo, kad saugu tai padaryti.
2026 m. balandžio mėn. – antras diegimo etapas
Šis naujinimas pakeičia numatytąją DefaultDomainSupportedEncTypes reikšmę KDC operacijoms, kad būtų naudojamas AES-SHA1 paskyroms, kuriose nėra apibrėžto msds-SupportedEncryptionTypes active directory atributo.
Šis etapas pakeičia numatytąją DefaultDomainSupportedEncTypes reikšmę į tik AES-SHA1: 0x18.
2026 m. liepos mėn. – vykdymo etapas
"Windows" naujinimai, išleisti 2026 m. liepos mėn. arba vėliau, pašalins registro dalinio rakto RC4DefaultDisablementPhase palaikymą.
Diegimo gairės
Norėdami įdiegti "Windows" naujinimus, išleistus 2026 m. sausio 13 d. arba vėliau, atlikite šiuos veiksmus:
-
Atnaujinkite savo domeno valdiklius naudodami "Windows" naujinimą, išleistą 2026 m. sausio 13 d. arba vėliau.
-
Stebėkite įvykius, užregistruotus pradinio diegimo etapu, kad apsaugotumėte savo aplinką.
-
Perkelkite domeno valdiklius į vykdymo režimą naudodami sekciją Registro parametrai.
1 veiksmas: ATNAUJINKITE
Įdiegę naujinimą, įdiekite 2026 m. sausio 13 d. arba vėliau išleistą "Windows" naujinimą į visas taikomas "Windows Active Directory", veikiančias kaip domeno valdiklis.
-
Audito įvykiai bus rodomi sistemos įvykių žurnaluose, jei jūsų domeno valdiklis gauna "Kerberos" tarnybos bilietų užklausas, kurioms reikia naudoti RC4 šifravimą, bet tarnybos abonementas turi numatytąją šifravimo konfigūraciją.
-
Audito įvykiai bus užregistruoti sistemos įvykių žurnale, jei jūsų domeno valdiklis turi aiškų DefaultDomainSupportedEncTypes konfigūraciją, leidžiančią RC4 šifravimą.
2 veiksmas: MONITORIUS
Kai domeno valdikliai atnaujinami, jei nematote jokių audito įvykių, įjunkite vykdymo režimą pakeisdami RC4DefaultDisablementPhase reikšmę į 2.
Jei yra sugeneruotų audito įvykių, jums reikės pašalinti RC4 priklausomybes arba aiškiai sukonfigūruoti kerberos palaikomus šifravimo tipus. Tada galėsite pereiti į vykdymo režimą.
Norėdami sužinoti, kaip aptikti RC4 naudojimą jūsų domene, audito įrenginyje ir vartotojų paskyrose, kurios vis dar priklauso nuo RC4, ir imtis veiksmų, kad ištaisytumėte naudojimą, kad būtų naudojami stipresni šifravimo tipai, arba valdytumėte RC4 priklausomybes, žr. RC4 naudojimo "Kerberos" aptikimas ir ištaisymas.
3 veiksmas: ĮGALINKITE
Įgalinkite vykdymo režimą, kad išs spręsti CVE-2026-20833 pažeidžiamumus savo aplinkoje.
-
Jei KDC prašoma pateikti RC4 tarnybos kvitą paskyrai su numatytosiomis konfigūracijomis, bus užregistruotas klaidos įvykis.
-
Vis tiek matysite įvykio ID: 205 užregistruotas dėl bet kokios nesaugios DefaultDomainSupportedEncTypes konfigūracijos.
Registro parametrai
Įdiegus 2026 m. sausio 13 d. arba vėliau išleistus "Windows" naujinimus, galimas toliau nurodytas "Kerberos" protokolo registro raktas.
Šis registro raktas naudojamas kerberos pakeitimams diegti. Šis registro raktas yra laikinas ir nebebus nuskaitomas po vykdymo datos.
|
Registro raktas |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Duomenų tipas |
REG_DWORD |
|
Reikšmės pavadinimas |
RC4DefaultDisablementPhase |
|
Reikšmės duomenys |
0 – Nėra audito, jokių pakeitimų 1 – įspėjimo įvykiai bus registruojami numatytajame RC4 naudojimą. (Numatytasis 1 etapas) 2 – "Kerberos" pradės laikyti, kad pagal numatytuosius parametrus RC4 neįgalintas. (Numatytoji 2 fazės reikšmė) |
|
Reikia paleisti iš naujo? |
Taip |
Audito įvykiai
Įdiegus "Windows" naujinimus, išleistus 2026 m. sausio 13 d. arba vėliau, toliau nurodyti audito įvykių tipai įtraukiami į Windows Server 2012" ir vėliau veikia kaip domeno valdiklis.
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
201 |
|
Įvykio tekstas |
Raktų paskirstymo centras aptiko <šifro pavadinimą> naudojimą, kuris vykdymo etape bus nepalaikomas, nes tarnybos msds-SupportedEncryptionTypes neapibrėžti ir klientas palaiko tik nesaugius šifravimo tipus. Paskyros informacija Abonemento pavadinimas: <abonemento pavadinimo> Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> Galimi klavišai: <galimi klavišai> Tarnybos informacija: Paslaugos pavadinimas: <tarnybos pavadinimo> Paslaugos ID: <tarnybos SID> msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> Pasiekiami klavišai: <tarnybų raktai> Domeno valdiklio informacija: msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> Galimi klavišai: <domeno valdiklio pasiekiami klavišai> Tinklo informacija: Kliento adresas: <kliento IP adreso> Kliento prievadas: <kliento prievado> Advertized Etypes: <advertized Kerberos Encryption Types> Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentarai |
Įvykio ID: 201 bus užregistruotas, jei:
|
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
202 |
|
Įvykio tekstas |
Raktų paskirstymo centras aptiko <šifro pavadinimą> naudojimą, kuris vykdymo etape bus nepalaikomas, nes tarnybos msds-SupportedEncryptionTypes neapibrėžti, o tarnybos abonementas turi tik nesaugius raktus. Paskyros informacija Abonemento pavadinimas: <abonemento pavadinimo> Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> Galimi klavišai: <galimi klavišai> Tarnybos informacija: Paslaugos pavadinimas: <tarnybos pavadinimo> Paslaugos ID: <tarnybos SID> msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> Pasiekiami klavišai: <tarnybų raktai> Domeno valdiklio informacija: msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> Galimi klavišai: <domeno valdiklio pasiekiami klavišai> Tinklo informacija: Kliento adresas: <kliento IP adreso> Kliento prievadas: <kliento prievado> Advertized Etypes: <advertized Kerberos Encryption Types> Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentarai |
Įspėjimo įvykis 202 bus užregistruotas, jei:
|
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
203 |
|
Įvykio tekstas |
Rakto paskirstymo centras užblokavo šifro naudojimą, nes tarnybos msds-SupportedEncryptionTypes neapibrėžtas ir klientas palaiko tik nesaugius šifravimo tipus. Paskyros informacija Abonemento pavadinimas: <abonemento pavadinimo> Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> Galimi klavišai: <galimi klavišai> Tarnybos informacija: Paslaugos pavadinimas: <tarnybos pavadinimo> Paslaugos ID: <tarnybos SID> msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> Pasiekiami klavišai: <tarnybų raktai> Domeno valdiklio informacija: msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> Galimi klavišai: <domeno valdiklio pasiekiami klavišai> Tinklo informacija: Kliento adresas: <kliento IP adreso> Kliento prievadas: <kliento prievado> Advertized Etypes: <advertized Kerberos Encryption Types> Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentarai |
Klaidos įvykis 203 bus užregistruotas, jei:
|
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
204 |
|
Įvykio tekstas |
Rakto paskirstymo centras užblokavo šifro naudojimą, nes tarnybos msds-SupportedEncryptionTypes neapibrėžtas ir tarnybos abonementas turi tik nesaugius raktus. Paskyros informacija Abonemento pavadinimas: <abonemento pavadinimo> Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> Galimi klavišai: <galimi klavišai> Tarnybos informacija: Paslaugos pavadinimas: <tarnybos pavadinimo> Paslaugos ID: <tarnybos SID> msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> Pasiekiami klavišai: <tarnybų raktai> Domeno valdiklio informacija: msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> Galimi klavišai: <domeno valdiklio pasiekiami klavišai> Tinklo informacija: Kliento adresas: <kliento IP adreso> Kliento prievadas: <kliento prievado> Advertized Etypes: <advertized Kerberos Encryption Types> Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentarai |
Klaidos įvykis 204 bus užregistruotas, jei:
|
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
205 |
|
Įvykio tekstas |
Raktų paskirstymo centras aptiko aiškų šifravimo įgalinimą numatytojo domeno palaikomų šifravimo tipų strategijos konfigūracijoje. Šifras (-ai): <įgalinti nesaugūs šifrai> DefaultDomainSupportedEncTypes: <Konfigūruota DefaultDomainSupportedEncTypes reikšmė> Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentarai |
Įspėjimo įvykis 205 bus užregistruotas, jei:
|
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
206 |
|
Įvykio tekstas |
Raktų platinimo centras aptiko <šifro pavadinimą> naudojimą, kuris vykdymo etape bus nepalaikomas, nes tarnybos msds-SupportedEncryptionTypes sukonfigūruotas tik AES-SHA1, bet klientas nepateikia AES-SHA1 reklamos Paskyros informacija Abonemento pavadinimas: <abonemento pavadinimo> Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> Galimi klavišai: <galimi klavišai> Tarnybos informacija: Paslaugos pavadinimas: <tarnybos pavadinimo> Paslaugos ID: <tarnybos SID> msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> Pasiekiami klavišai: <tarnybų raktai> Domeno valdiklio informacija: msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> Galimi klavišai: <domeno valdiklio pasiekiami klavišai> Tinklo informacija: Kliento adresas: <kliento IP adreso> Kliento prievadas: <kliento prievado> Advertized Etypes: <advertized Kerberos Encryption Types> Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentarai |
Įspėjimo įvykis 206 bus užregistruotas, jei:
|
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
207 |
|
Įvykio tekstas |
Raktų paskirstymo centras aptiko <šifro pavadinimą> naudojimą, kuris vykdymo etape bus nepalaikomas, nes tarnybos msds-SupportedEncryptionTypes sukonfigūruotas palaikyti tik AES-SHA1, bet tarnybos abonementas neturi AES-SHA1 raktų. Paskyros informacija Abonemento pavadinimas: <abonemento pavadinimo> Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> Galimi klavišai: <galimi klavišai> Tarnybos informacija: Paslaugos pavadinimas: <tarnybos pavadinimo> Paslaugos ID: <tarnybos SID> msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> Pasiekiami klavišai: <tarnybų raktai> Domeno valdiklio informacija: msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> Galimi klavišai: <domeno valdiklio pasiekiami klavišai> Tinklo informacija: Kliento adresas: <kliento IP adreso> Kliento prievadas: <kliento prievado> Advertized Etypes: <advertized Kerberos Encryption Types> Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentarai |
Įspėjimo įvykis 207 bus užregistruotas, jei:
|
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
208 |
|
Įvykio tekstas |
Raktų paskirstymo centras specialiai atmetė šifro naudojimą, nes tarnybos msds-SupportedEncryptionTypes sukonfigūruotas tik AES-SHA1, bet klientas nepateikia AES-SHA1 Paskyros informacija Abonemento pavadinimas: <abonemento pavadinimo> Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> Galimi klavišai: <galimi klavišai> Tarnybos informacija: Paslaugos pavadinimas: <tarnybos pavadinimo> Paslaugos ID: <tarnybos SID> msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> Pasiekiami klavišai: <tarnybų raktai> Domeno valdiklio informacija: msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> Galimi klavišai: <domeno valdiklio pasiekiami klavišai> Tinklo informacija: Kliento adresas: <kliento IP adreso> Kliento prievadas: <kliento prievado> Advertized Etypes: <advertized Kerberos Encryption Types> Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentarai |
Klaidos įvykis 208 bus užregistruotas, jei:
|
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
209 |
|
Įvykio tekstas |
Raktų paskirstymo centras specialiai atmetė šifro naudojimą, nes tarnybos msds-SupportedEncryptionTypes sukonfigūruotas palaikyti tik AES-SHA1, bet tarnybos abonementas neturi AES-SHA1 raktų Paskyros informacija Abonemento pavadinimas: <abonemento pavadinimo> Pateiktas karalystė pavadinimas: <pateikta karalystė pavadinimas> msds-SupportedEncryptionTypes: <palaikomi šifravimo tipai> Galimi klavišai: <galimi klavišai> Tarnybos informacija: Paslaugos pavadinimas: <tarnybos pavadinimo> Paslaugos ID: <tarnybos SID> msds-SupportedEncryptionTypes: <tarnybos palaikomi šifravimo tipai> Pasiekiami klavišai: <tarnybų raktai> Domeno valdiklio informacija: msds-SupportedEncryptionTypes: <domeno valdiklio palaikomi šifravimo tipai> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes reikšmė> Galimi klavišai: <domeno valdiklio pasiekiami klavišai> Tinklo informacija: Kliento adresas: <kliento IP adreso> Kliento prievadas: <kliento prievado> Advertized Etypes: <advertized Kerberos Encryption Types> Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentarai |
Klaidos įvykis 209 bus užregistruotas, jei:
|
Pastaba
Jei pastebėjote, kad kuris nors iš šių įspėjimų pranešimų yra užregistruotas domeno valdiklyje, tikėtina, kad visi domeno valdikliai jūsų domene nėra atnaujinti naudojant "Windows" naujinimą, išleistą 2026 m. sausio 13 d. arba vėliau. Norėdami sušvelninti pažeidžiamumą, turėsite ištirti savo domeną toliau, kad rastumėte domenų valdiklius, kurie nėra atnaujinti.
Jei matote įvykio ID: 0x8000002A prisijungęs domeno valdiklyje, žr. KB5021131: Kaip valdyti "Kerberos" protokolo pakeitimus, susijusius su CVE-2022-37966.
Dažnai užduodami klausimai (DUK)
Šis sustigrinimas turi įtakos "Windows" domeno valdikliams, kai jie išduoda paslaugų kvitus. "Kerberos" patikimumo ir nukreipimo srautui įtakos neturi.
Trečiosios šalies domeno įrenginiai, kurie negali apdoroti AES-SHA1, jau turėjo būti aiškiai sukonfigūruoti leisti AES-SHA1.
Ne. Užregistruosime įspėjimo įvykius dėl nesaugių " DefaultDomainSupportedEncTypes" konfigūracijų. Be to, nepaisysime jokios konfigūracijos, aiškiai nustatytos kliento.
Ištekliai
KB5020805: Kaip valdyti Kerberos protokolo pakeitimus, susijusius su CVE-2022-37967
KB5021131: Kaip valdyti Kerberos protokolo pakeitimus, susijusius su CVE-2022-37966
