Sākotnējās publicēšanas datums: 2026. gada 13. janvāris
KB ID: 5073381
|
Datuma maiņa |
Apraksta maiņa |
|
2026. gada 10. februāris |
|
Tēmas šajā rakstā
Kopsavilkums
Windows atjauninājumi, kas izlaisti 2026. gada 13. janvārī un pēc tam, satur aizsardzību ievainojamībai ar Kerberos autentifikācijas protokolu. Windows atjauninājumi novērš informācijas atklāšanas ievainojamību programmā CVE-2026-20833 , kas var ļaut lietotājam iegādāties pakalpojumu biļetes ar vāju vai mantoto šifrēšanas tipu, piemēram, RC4, lai veiktu bezsaistes uzbrukumus pakalpojuma konta paroles atkopšanai.
Lai mazinātu šo ievainojamību, default value of DefaultDomainSupportedEncTypes tiek mainīta, iespējojot ieviešanas režīmu. Atjauninātie domēna kontrolleri, kas darbojas ieviešanas režīmā, atbalstīs tikai uzlabotās Standard (AES) šifrēšanas tipa konfigurācijas. Papildinformāciju skatiet rakstā Atbalstītie šifrēšanas tipu bitu karodziņi. DefaultDomainSupportedEncTypes noklusējuma vērtība tiek lietota, ja nav tiešas vērtības
Domēnu kontrolleros ar definētu defaultDomainSupportedEncTypes reģistra vērtību šīs izmaiņas nedarbojas. Tomēr audita notikums KDCSVC notikuma ID: 205 tiks reģistrēts sistēmas notikumu žurnālā, ja esošā konfigurācija DefaultDomainSupportedEncTypes ir nedroša (piemēram, ja tiek lietots RC4 cipher).
Rīkojieties
Lai palīdzētu aizsargāt vidi un novērstu darbības pārtvērumus, iesakām:
-
UPDATE Microsoft Active Directory domēna kontrolleri, sākot ar Windows atjauninājumiem, kas izlaisti 2026. gada 13. janvārī vai pēc tam.
-
PĀRRAUGIET sistēmas notikumu žurnālu, lai atrastu jebkuru no deviņiem KDCSVC 201 > 209 audita notikumiem, kas reģistrēti pakalpojumā Windows Server 2012, un jaunāku domēna kontrolleru, kas identificē riskus ar RC4 aizsardzības iespējošanu.
-
MITIGATE KDCSVC notikumi, kas reģistrēti sistēmas notikumu žurnālā, un neļauj manuāli vai programmatisko RC4 aizsardzības iespējošanu.
-
ENABLE Ieviešanas režīms, lai novērstu ievainojamības, kas novērstas CVE-2026-20833 jūsu vidē, kad brīdinājums, bloķēšana vai politikas notikumi vairs netiek reģistrēti.
SVARĪGI Instalējot 2026. gada 13. janvārī vai pēc tam izlaistos atjauninājumus, PĒC noklusējuma NETIKS novērstas CVE-2026-20833 aprakstītās ievainojamības Active Directory domēnu kontrolleriem. Lai pilnībā mazinātu ievainojamību, jums ir manuāli jāiespējo ieviešanas režīms (aprakstīts 3. darbībā: IESPĒJOŠANA) visos domēnu kontrolleros. 2026. gada jūlijā Atjauninājumi Windows operētājsistēmas Windows instalācija programmiski iespējos ieviešanas posmu.
Ieviešanas režīms tiks automātiski iespējots, instalējot Sistēmu Windows Atjauninājumi, kas izlaista visās Windows domēna kontrolleros vai pēc Atjauninājumi. aprīļa, un bloķēs neaizsargātus savienojumus no neatbilstošām ierīcēm. Tad auditēšanu nevarēsit atspējot, bet var pāriet atpakaļ uz audita režīma iestatījumu. Audita režīms tiks noņemts 2026. gada jūlijā, kā norādīts sadaļā Atjauninājumu hronometrāža, un ieviešanas režīms tiks iespējots visās Windows domēna kontrolleros un bloķēs neaizsargātus savienojumus no neatbilstošām ierīcēm.
Ja pēc 2026. gada aprīļa ir nepieciešams izmantot RC4, iesakām tieši iespējot RC4 ar msds-SupportedEncryptionTypes bitmask pakalpojumiem, kuriem būs jāpieņem RC4 lietojums.
Atjauninājumu hronometrāža
2026. gada 13. janvāris — sākotnējās izvietošanas posms
Sākotnējais izvietošanas posms sākas ar atjauninājumiem, kas izlaisti 2026. gada 13. janvārī un pēc tam, un turpinās ar vēlākiem Windows atjauninājumiem līdz ieviešanas fāzei . Šis posms ir brīdināt klientus par jaunām drošības ieviešanas prasībām, kas tiks ieviestas otrajā izvietošanas posmā. Šis atjauninājums:
-
Nodrošina audita notikumus, lai brīdinātu klientus, kurus var negatīvi ietekmēt gaidāmās drošības traucējumi.
-
Iepazīstina ar atbalstu reģistra vērtībai RC4DefaultDisablementPhase , kad administrators proaktīvi iespējo izmaiņas, iestatot vērtību uz 2 domēna kontrolleros, kad KDCSVC audita notikumi norāda, ka to ir droši darīt.
2026. gada aprīlis — ieviešanas posms ar manuālu atriti
Šis atjauninājums maina KDC vērtību DefaultDomainSupportedEncTypes, lai izmantotu AES-SHA1 kontiem, kuriem nav definēts precīzais msds-SupportedEncryptionTypes active directory atribūts.
Šajā fāzē tiek mainīta tikai defaultDomainSupportedEncTypes vērtība uz AES-SHA1: 0x18.
Šis posms iespējo arī manuālu RC4DefaultDisablementPhase atritināšanas vērtības konfigurēšanu līdz programmatiskai ieviešanai 2026. gada jūlijā.
2026. gada jūlija ieviešanas posms
Windows atjauninājumi, kas izlaisti 2026. gada jūlijā vai pēc tam, noņems atbalstu reģistra apakšatslēgai RC4DefaultDisablementPhase.
Izvietošanas vadlīnijas
Lai izvietotu Windows atjauninājumus, kas izlaisti 2026. gada 13. janvārī vai pēc tam, veiciet tālāk norādītās darbības.
-
ATJAUNINIET domēnu kontrollerus, izmantojot Windows atjauninājumu, kas izlaists 2026. gada 13. janvārī vai pēc tam.
-
PĀRRAUDZĪT sākotnējā izvietošanas fāzē reģistrētos notikumus, lai palīdzētu aizsargāt savu vidi.
-
Pārvietojiet domēna kontrollerus uz ieviešanas režīmu, izmantojot reģistra iestatījumu sadaļu.
1. darbība. ATJAUNINĀŠANA
Izvietojiet 2026. gada 13. janvārī vai pēc tam izlaisto Windows atjauninājumu visiem piemērojamiem Windows Active Directory, kas darbojas kā domēna kontrolleris pēc atjauninājuma izvietošanas.
-
Audita notikumi tiks parādīti sistēmas notikumu žurnālos, ja jūsu Windows Server 2012 vai jaunākas versijas domēna kontrolleri saņem Kerberos pakalpojuma biļešu pieprasījumus, kuru izmantošanai ir jāizmanto RC4 cipher, bet pakalpojuma kontam ir noklusējuma šifrēšanas konfigurācija.
-
Audita notikums 205 tiks reģistrēts sistēmas notikumu žurnālā, ja domēna kontrollerī ir tieša DefaultDomainSupportedEncTypes konfigurācija, lai atļautu RC4 šifrēšanu.
2. darbība. MONITORS
Kad domēna kontrolleri ir atjaunināti, ja audita notikumi nav redzams, pārslēdzieties uz ieviešanas režīmu, mainot RC4DefaultDisablementPhase vērtību uz 2.
Ja tiek ģenerēti audita notikumi, jums būs nepieciešams vai nu noņemt RC4 atkarības, vai tieši konfigurēt kontus Kerberos atbalstītie šifrēšanas tipi, lai atbalstītu RC4 nepārtrauktu lietošanu pēc manuālas vai automātiskās ieviešanas režīma iespējošanas.
Lai uzzinātu, kā noteikt RC4 lietojumu jūsu domēnā, audits identificēs ierīces un lietotāju kontus, kuri joprojām ir atkarīgi no RC4. Administratoriem jāveic darbības, lai koriģētu lietojumu stiprāku šifrēšanas tipu labā vai pārvaldītu RC4 atkarības. Papildinformāciju skatiet rakstā RC4 lietojuma noteikšana un labošana kerberos.
3. darbība. Iespējošana
Iespējojiet ieviešanas režīmu, lai novērstu CVE-2026-20833 ievainojamību jūsu vidē.
-
Ja ir nepieciešams KDC nodrošināt RC4 pakalpojuma biļeti kontam ar noklusējuma konfigurācijām, tiek reģistrēts kļūdas notikums.
-
Joprojām būs redzams notikuma ID: 205, kas reģistrēts drošai DefaultDomainSupportedEncTypes konfigurācijai.
Reģistra iestatījumi
Pēc Tam, kad ir instalēti Windows atjauninājumi, kas izlaisti 2026. gada 13. janvārī vai pēc tam, Kerberos protokolam ir pieejama šāda reģistra atslēga.
Šī reģistra atslēga tiek izmantota, lai piekļūtu Kerberos izmaiņu izvietošanai. Šī reģistra atslēga ir pagaidu atslēga, un tā vairs netiks nolasīta pēc ieviešanas datuma.
|
Reģistra atslēga |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Datu tips |
REG_DWORD |
|
Vērtības nosaukums |
RC4DefaultDisablementPhase |
|
Vērtības dati |
0 – Bez audita, bez izmaiņām 1 . Brīdinājuma notikumi tiks reģistrēti noklusējuma RC4 lietojumā. (noklusējums 1. fāzē) 2 – Kerberos sāks izmantot, pieņemot, ka RC4 nav iespējots pēc noklusējuma. (noklusējums 2. posms) |
|
Vai nepieciešama restartēšana? |
Jā |
Auditēšanas notikumi
Pēc 2026. gada 13. janvāra Windows atjauninājumu instalēšanas Windows Server 2012 sistēmas notikumu žurnālam un jaunākām versijām, kas darbojas kā domēna kontrolleris, tiek pievienoti šādi notikumu tipi KSCSVC Audit.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
201 |
|
Notikuma teksts |
Atslēgu adresātu centrs, kas noteikts <Cipher Name> lietojumu, kas netiks atbalstīts ieviešanas posmā, jo nav definēts pakalpojums msds-SupportedEncryptionTypes un klients atbalsta tikai nedrošus šifrēšanas tipus. Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Notikuma ID: 201 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
202 |
|
Notikuma teksts |
Atslēgu adresātu centrs, kas noteikts <cipher Name> lietojumu, kas netiks atbalstīts ieviešanas posmā, jo pakalpojuma msds-SupportedEncryptionTypes nav definēts un pakalpojuma kontā ir tikai nedrošas atslēgas. Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Brīdinājuma notikums 202 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
203 |
|
Notikuma teksts |
Atslēgu adresātu centrs ir bloķējis šifrēšanas lietojumu, jo nav definēts pakalpojums msds-SupportedEncryptionTypes un klients atbalsta tikai insecure šifrēšanas tipus. Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Kļūdas notikums 203 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
204 |
|
Notikuma teksts |
Atslēgu adresātu centrs ir bloķējis šifrēšanas lietojumu, jo pakalpojums msds-SupportedEncryptionTypes nav definēts un pakalpojuma kontā ir tikai nedrošas atslēgas. Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Kļūdas notikums 204 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
205 |
|
Notikuma teksts |
Atslēgu adresātu centrs, kas tika noteikts precīzam šifrēšanas iespējošanai noklusējuma domēna atbalstīto šifrēšanas tipu politikas konfigurācijā. Cipher(s): <Insecure Ciphers> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Brīdinājuma notikums 205 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
206 |
|
Notikuma teksts |
Atslēgu adresātu centrs, kas noteikts <cipher Name> lietojumu, kas netiks atbalstīts ieviešanas posmā, jo pakalpojuma msds-SupportedEncryptionTypes ir konfigurēts tikai AES-SHA1 atbalstam, bet klients neveikuši AES-SHA1 reklāmas Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Brīdinājuma notikums 206 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
207 |
|
Notikuma teksts |
Atslēgu adresātu centrs, kas noteikts <Cipher Name> lietojumu, kas netiks atbalstīts ieviešanas posmā, jo pakalpojuma msds-SupportedEncryptionTypes ir konfigurēts tikai atbalstīt AES-SHA1, bet pakalpojuma kontam nav AES-SHA1 atslēgu. Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Brīdinājuma notikums 207 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
208 |
|
Notikuma teksts |
Atslēgu adresātu centrs apzināti liegta šifrēšanas lietojums, jo pakalpojums msds-SupportedEncryptionTypes ir konfigurēts tikai AES-SHA1 atbalstam, bet klients neveika AES-SHA1 pretizveidi Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Kļūdas notikums 208 tiks reģistrēts, ja:
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
209 |
|
Notikuma teksts |
Atslēgu adresātu centrs ar nolūku liegta šifrēšanas lietojums, jo pakalpojums msds-SupportedEncryptionTypes ir konfigurēts tikai atbalstīt AES-SHA1, bet pakalpojuma kontam nav AES-SHA1 atslēgu Konta informācija Konta nosaukums: <konta nosaukums> Piegādātais no realm Name: <nodrošinātā no realm name> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas> Pakalpojuma informācija: Pakalpojuma nosaukums: <nosaukuma> Pakalpojuma ID: <pakalpojuma SID> msds-SupportedEncryptionTypes: <atbalstītie šifrēšanas tipi> Pieejamās atslēgas: <atslēgas, kas pieejamas> Domēna kontrollera informācija: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Pieejamās atslēgas: <kontrollera pieejamo atslēgu> Tīkla informācija: Klienta adrese: <klienta IP adreses> Klienta ports: <klienta> Advertized Etypes: <Kerberos encryption types> Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2344614 skatiet šeit. |
|
Komentāri |
Kļūdas notikums 209 tiks reģistrēts, ja:
|
Piezīme
Ja atrodat kādu no šiem brīdinājuma ziņojumiem, esat pieteicies domēna kontrollerī, visticamāk, visi domēna kontrolleri jūsu domēnā nav atjaunināti ar Windows atjauninājumu, kas izlaists 2026. gada 13. janvārī vai pēc tam. Lai mazinātu ievainojamību, vajadzēs izpētīt savu domēnu papildus to domēnu kontrolleru atrašanai, kas nav atjauninātas.
Ja tiek parādīts notikuma ID: 0x8000002A pieteikusies domēna kontrollerī, skatiet rakstu KB5021131: Kerberos protokola izmaiņu pārvaldība saistībā ar CVE-2022-37966.
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
Šīs rūdīšanas izmaiņas ietekmē tikai Windows domēnu kontrollerus. Kerberos uzticamības un ieteikumu plūsma ar citiem Windows domēna kontrolleriem vai trešo pušu KDC netiek ietekmēta.
Trešo pušu domēna ierīcēm, kas nevar apstrādāt AES-SHA1 šifrēšanu, jau ir jābūt tieši konfigurētām, lai atļautu AES-SHA1 šifrēšanu.
Nē. Mēs pieteiksim brīdinājuma notikumus defaultDomainSupportedEncTypes insecure konfigurācijām. Turklāt mēs izmantosim visas konfigurācijas, ko tieši iestatījis administrators.
Resursi
KB5020805: Kerberos protokola izmaiņu pārvaldība saistībā ar CVE-2022-37967
KB5021131: Kā pārvaldīt Kerberos protokola izmaiņas, kas saistītas ar CVE-2022-37966
