Sākotnējās publicēšanas datums: 2026. gada 13. janvāris
KB ID: 5073381
Windows drošās palaišanas sertifikāta derīguma termiņš
Svarīgi! Drošās palaišanas sertifikātiem, ko izmanto lielākā daļa Windows ierīču, iestatītais derīgums beidzas, sākot ar 2026. gada jūniju. Tas var ietekmēt noteiktu personisko un darba ierīču drošas palaišanas spēju, ja sertifikāti netiek laikus atjaunināti. Lai izvairītos no traucējumiem, iesakām pārskatīt norādījumus un veikt darbības, lai jau iepriekš atjauninātu sertifikātus. Detalizētu informāciju un sagatavošanās darbības skatiet rakstā Windows drošās palaišanas sertifikāta derīguma termiņš un CA atjauninājumi.
Tēmas šajā rakstā
Kopsavilkums
Windows atjauninājumi, kas izlaisti 2026. gada 13. janvārī un pēc tam, satur aizsardzību ievainojamībai ar Kerberos autentifikācijas protokolu. Windows atjauninājumi novērš informācijas atklāšanas ievainojamību, kas var atļaut uzbrukumu iegādāties pakalpojumu biļetes ar vāju vai mantoto šifrēšanas tipu, piemēram, RC4, un veikt bezsaistes uzbrukumus, lai atkoptu pakalpojuma konta paroli.
Lai palīdzētu aizsargāt un uzlabot vidi, instalējiet Windows atjauninājumu, kas izlaists 2026. gada 13. janvārī vai pēc tam, visiem Windows serveriem, kas uzskaitīti sadaļā "Attiecas uz", kas darbojas kā domēna kontrolleris. Lai uzzinātu vairāk par ievainojamību, skatiet CVE-2026-20833.
Lai mazinātu šo ievainojamību, tiek mainīta DefaultDomainSupportedEncTypes (DDSET) noklusējuma vērtība, lai visi domēna kontrolleri atbalstītu tikai uzlabotās šifrēšanas Standard (AES-SHA1)šifrētās biļetes kontiem bez precīzas Kerberos šifrēšanas tipa konfigurācijas. Papildinformāciju skatiet rakstā Atbalstītie šifrēšanas tipu bitu karodziņi.
Domēnu kontrolleros ar definētu defaultDomainSupportedEncTypes reģistra vērtību šīs izmaiņas nedarbojas. Tomēr audita notikuma KDCSVC notikuma ID: 205 var tikt reģistrēts sistēmas notikumu žurnālā, ja esošā konfigurācija DefaultDomainSupportedEncTypes ir nedroša.
Rīkojieties
Lai palīdzētu aizsargāt vidi un novērstu darbības pārtvērumus, iesakām veikt tālāk norādītās darbības.
-
UPDATE Microsoft Active Directory domēna kontrolleri, sākot ar Windows atjauninājumiem, kas izlaisti 2026. gada 13. janvārī vai pēc tam.
-
PĀRRAUGIET sistēmas notikumu žurnālu visiem 9 audita notikumiem, kas reģistrēti operētājsistēmā Windows Server 2012, un jaunākām domēna kontrolleriem, kuri identificē riskus, iespējojot RC4 aizsardzību.
-
MITIGATE KDCSVC notikumi, kas reģistrēti sistēmas notikumu žurnālā, un neļauj manuāli vai programmatisko RC4 aizsardzības iespējošanu.
-
ENABLE Ieviešanas režīms, lai novērstu ievainojamības, kas novērstas CVE-2026-20833 jūsu vidē, kad brīdinājums, bloķēšana vai politikas notikumi vairs netiek reģistrēti.
SVARĪGI Instalējot 2026. gada 13. janvārī vai pēc tam izlaistos atjauninājumus, PĒC noklusējuma NETIKS novērstas CVE-2026-20833 aprakstītās ievainojamības Active Directory domēnu kontrolleriem. Lai pilnībā mazinātu ievainojamību, visiem domēnu kontrolleriem pēc iespējas drīzāk ir jāpāriet uz iespēju Ieviests režīms (aprakstīts 3. darbībā).
Sākot ar 2026. gada aprīli, ieviešanas režīms tiks iespējots visās Windows domēna kontrolleros un bloķēs neaizsargātus savienojumus no neatbilstošām ierīcēm. Tad auditēšanu nevarēsit atspējot, bet var pāriet atpakaļ uz audita režīma iestatījumu. Audita režīms tiks noņemts 2026. gada jūlijā, kā norādīts sadaļā Atjauninājumu hronometrāža, un ieviešanas režīms tiks iespējots visās Windows domēna kontrolleros un bloķēs neaizsargātus savienojumus no neatbilstošām ierīcēm.
Ja pēc 2026. gada aprīļa ir nepieciešams izmantot RC4, iesakām tieši iespējot RC4 ar msds-SupportedEncryptionTypes bitmask pakalpojumiem, kuriem būs jāpieņem RC4 lietojums.
Atjauninājumu hronometrāža
2026. gada 13. janvāris — sākotnējās izvietošanas posms
Sākotnējais izvietošanas posms sākas ar atjauninājumiem, kas izlaisti 2026. gada 13. janvārī un pēc tam, un turpinās ar vēlākiem Windows atjauninājumiem līdz ieviešanas fāzei . Šis posms ir brīdināt klientus par jaunām drošības ieviešanas prasībām, kas tiks ieviestas otrajā izvietošanas posmā. Šis atjauninājums:
-
Nodrošina audita notikumus, lai brīdinātu klientus, kurus var negatīvi ietekmēt gaidāmās drošības traucējumi.
-
Iepazīstina ar reģistra vērtību RC4DefaultDisablementPhase, lai proaktīvi iespējotu izmaiņu, domēna kontrolleros iestatot vērtību 2 , ja KDCSVC audita notikumi norāda, ka to ir droši darīt.
2026. gada aprīlis — otrais izvietošanas posms
Šis atjauninājums maina KDC vērtību DefaultDomainSupportedEncTypes, lai izmantotu AES-SHA1 kontiem, kuriem nav definēts precīzais msds-SupportedEncryptionTypes active directory atribūts.
Šajā fāzē tiek mainīta tikai defaultDomainSupportedEncTypes vērtība uz AES-SHA1: 0x18.
2026. gada jūlija ieviešanas posms
Windows atjauninājumi, kas izlaisti 2026. gada jūlijā vai pēc tam, noņems atbalstu reģistra apakšatslēgai RC4DefaultDisablementPhase.
Izvietošanas vadlīnijas
Lai izvietotu Windows atjauninājumus, kas izlaisti 2026. gada 13. janvārī vai pēc tam, veiciet tālāk norādītās darbības.
-
ATJAUNINIET domēnu kontrollerus, izmantojot Windows atjauninājumu, kas izlaists 2026. gada 13. janvārī vai pēc tam.
-
PĀRRAUDZĪT sākotnējā izvietošanas fāzē reģistrētos notikumus, lai palīdzētu aizsargāt savu vidi.
-
Pārvietojiet domēna kontrollerus uz ieviešanas režīmu, izmantojot reģistra iestatījumu sadaļu.
1. darbība. ATJAUNINĀŠANA
Izvietojiet 2026. gada 13. janvārī vai pēc tam izlaisto Windows atjauninājumu visiem piemērojamiem Windows Active Directory, kas darbojas kā domēna kontrolleris pēc atjauninājuma izvietošanas.
-
Audita notikumi tiks parādīti sistēmas notikumu žurnālos, ja jūsu domēna kontrolleris saņem Kerberos pakalpojuma biļešu pieprasījumus, kam ir jāizmanto RC4 cipher, bet pakalpojuma kontam ir noklusējuma šifrēšanas konfigurācija.
-
Audita notikumi tiks reģistrēti sistēmas notikumu žurnālā, ja domēna kontrollerī ir tieša DefaultDomainSupportedEncTypes konfigurācija, lai atļautu RC4 šifrēšanu.
2. darbība. MONITORS
Kad domēna kontrolleri ir atjaunināti, ja audita notikumi nav redzams, pārslēdzieties uz ieviešanas režīmu, mainot RC4DefaultDisablementPhase vērtību uz 2.
Ja tiek ģenerēti audita notikumi, jums būs nepieciešams vai nu noņemt RC4 atkarības, vai tieši konfigurēt kontus Kerberos atbalstītie šifrēšanas tipi. Pēc tam varēsit pāriet uz ieviešanas režīmu.
Lai uzzinātu, kā noteikt RC4 lietojumu jūsu domēnā, audita ierīce un lietotāju konti, kas joprojām ir atkarīgi no RC4, un veikt darbības, lai novērstu lietojumu stiprāku šifrēšanas tipu labā vai pārvaldītu RC4 atkarības, skatiet sadaļu RC4 lietojuma noteikšana un labošana Kerberos.
3. darbība. Iespējošana
Iespējojiet ieviešanas režīmu, lai novērstu CVE-2026-20833 ievainojamību jūsu vidē.
-
Ja ir nepieciešams KDC nodrošināt RC4 pakalpojuma biļeti kontam ar noklusējuma konfigurācijām, tiek reģistrēts kļūdas notikums.
-
Joprojām būs redzams notikuma ID: 205, kas reģistrēts drošai DefaultDomainSupportedEncTypes konfigurācijai.
Reģistra iestatījumi
Pēc Tam, kad ir instalēti Windows atjauninājumi, kas izlaisti 2026. gada 13. janvārī vai pēc tam, Kerberos protokolam ir pieejama šāda reģistra atslēga.
Šī reģistra atslēga tiek izmantota, lai piekļūtu Kerberos izmaiņu izvietošanai. Šī reģistra atslēga ir pagaidu atslēga, un tā vairs netiks nolasīta pēc ieviešanas datuma.
|
Reģistra atslēga |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Datu tips |
REG_DWORD |
|
Vērtības nosaukums |
RC4DefaultDisablementPhase |
|
Vērtības dati |
0 – Bez audita, bez izmaiņām 1 . Brīdinājuma notikumi tiks reģistrēti noklusējuma RC4 lietojumā. (noklusējums 1. fāzē) 2 – Kerberos sāks izmantot, pieņemot, ka RC4 nav iespējots pēc noklusējuma. (noklusējums 2. posms) |
|
Vai nepieciešama restartēšana? |
Jā |
Auditēšanas notikumi
Pēc 2026. gada 13. janvāra Windows atjauninājumu instalēšanas programmatūrai Windows Server 2012 un jaunākām versijām, kas darbojas kā domēna kontrolleris, tiek pievienoti šādi audita notikumu tipi.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
201 |
|
Notikuma teksts |
Atslēgu adresātu centrs, kas noteikts <Cipher Name> lietojumu, kas netiks atbalstīts ieviešanas posmā, jo nav definēts pakalpojums msds-SupportedEncryptionTypes un klients atbalsta tikai nedrošus šifrēšanas tipus. Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Notikuma ID: 201 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
202 |
|
Notikuma teksts |
Atslēgu adresātu centrs, kas noteikts <cipher Name> lietojumu, kas netiks atbalstīts ieviešanas posmā, jo pakalpojuma msds-SupportedEncryptionTypes nav definēts un pakalpojuma kontā ir tikai nedrošas atslēgas. Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Brīdinājuma notikums 202 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
203 |
|
Notikuma teksts |
Atslēgu adresātu centrs ir bloķējis šifrēšanas lietojumu, jo nav definēts pakalpojums msds-SupportedEncryptionTypes un klients atbalsta tikai insecure šifrēšanas tipus. Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Kļūdas notikums 203 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
204 |
|
Notikuma teksts |
Atslēgu adresātu centrs ir bloķējis šifrēšanas lietojumu, jo pakalpojums msds-SupportedEncryptionTypes nav definēts un pakalpojuma kontā ir tikai nedrošas atslēgas. Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Kļūdas notikums 204 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
205 |
|
Notikuma teksts |
Atslēgu adresātu centrs, kas tika noteikts precīzam šifrēšanas iespējošanai noklusējuma domēna atbalstīto šifrēšanas tipu politikas konfigurācijā. Cipher(s): <Insecure Ciphers> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Brīdinājuma notikums 205 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
206 |
|
Notikuma teksts |
Atslēgu adresātu centrs, kas noteikts <cipher Name> lietojumu, kas netiks atbalstīts ieviešanas posmā, jo pakalpojuma msds-SupportedEncryptionTypes ir konfigurēts tikai AES-SHA1 atbalstam, bet klients neveikuši AES-SHA1 reklāmas Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Brīdinājuma notikums 206 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
207 |
|
Notikuma teksts |
Atslēgu adresātu centrs, kas noteikts <Cipher Name> lietojumu, kas netiks atbalstīts ieviešanas posmā, jo pakalpojuma msds-SupportedEncryptionTypes ir konfigurēts tikai atbalstīt AES-SHA1, bet pakalpojuma kontam nav AES-SHA1 atslēgu. Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Brīdinājuma notikums 207 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
208 |
|
Notikuma teksts |
Atslēgu adresātu centrs apzināti liegta šifrēšanas lietojums, jo pakalpojums msds-SupportedEncryptionTypes ir konfigurēts tikai AES-SHA1 atbalstam, bet klients neveika AES-SHA1 pretizveidi Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Kļūdas notikums 208 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
209 |
|
Notikuma teksts |
Atslēgu adresātu centrs ar nolūku liegta šifrēšanas lietojums, jo pakalpojums msds-SupportedEncryptionTypes ir konfigurēts tikai atbalstīt AES-SHA1, bet pakalpojuma kontam nav AES-SHA1 atslēgu Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Kļūdas notikums 209 tiks reģistrēts, ja:
|
Piezīme
Ja atrodat kādu no šiem brīdinājuma ziņojumiem, esat pieteicies domēna kontrollerī, visticamāk, visi domēna kontrolleri jūsu domēnā nav atjaunināti ar Windows atjauninājumu, kas izlaists 2026. gada 13. janvārī vai pēc tam. Lai mazinātu ievainojamību, vajadzēs izpētīt savu domēnu papildus to domēnu kontrolleru atrašanai, kas nav atjauninātas.
Ja tiek parādīts notikuma ID: 0x8000002A pieteikusies domēna kontrollerī, skatiet rakstu KB5021131: Kerberos protokola izmaiņu pārvaldība saistībā ar CVE-2022-37966.
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
Šī rūcēšana ietekmē Windows domēna kontrollerus, kad tiek izsekoti pakalpojumu biļetes. Kerberos uzticamības un ieteikumu plūsma netiek ietekmēta.
Trešās puses domēna ierīcēm, kas nevar apstrādāt AES-SHA1, jābūt skaidri konfigurētām, lai atļautu AES-SHA1.
Nē. Mēs pieteiksim brīdinājuma notikumus defaultDomainSupportedEncTypes insecure konfigurācijām. Turklāt mēs neignorēsim nevienu klienta tieši iestatītu konfigurāciju.
Resursi
KB5020805: Kerberos protokola izmaiņu pārvaldība saistībā ar CVE-2022-37967
KB5021131: Kā pārvaldīt Kerberos protokola izmaiņas, kas saistītas ar CVE-2022-37966
