Gjelder for
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Opprinnelig publiseringsdato: 13. januar 2026 kl.

KB-ID: 5073381

I denne artikkelen

Sammendrag

Windows-oppdateringer utgitt 13. januar 2026 inneholder beskyttelse for et sikkerhetsproblem med Kerberos-godkjenningsprotokollen. Windows-oppdateringene tar for seg et sikkerhetsproblem for fremlegging av informasjon i CVE-2026-20833 som kan tillate en angriper å hente tjenestebilletter med svake eller eldre krypteringstyper, for eksempel RC4, til å utføre frakoblede angrep for å gjenopprette et passord for tjenestekontoen.

For å redusere dette sikkerhetsproblemet, windows-oppdateringer utgitt på og etter april 14, 2026, endre Kerberos Key Distribution Center (KDC) standardverdi for DefaultDomainSupportedEncTypes, med mindre administratorer aktiverer håndhevelsesmodus tidligere. Oppdaterte domenekontrollere som kjører i håndhevelsesmodus, forutsetter bare støtte for konfigurasjoner av krypteringstypen Avansert kryptering Standard (AES) hvis det ikke er angitt noen eksplisitt konfigurasjon. Hvis du vil ha mer informasjon, kan du se Støttede krypteringstyper bitflagg. Standardverdien for DefaultDomainSupportedEncTypes gjelder i fravær av en eksplisitt verdi.

På domenekontrollere med en definert registerverdi for DefaultDomainSupportedEncTypes vil virkemåten ikke bli funksjonelt påvirket av disse endringene. En KDCSVC-hendelses-ID for overvåkingshendelse: 205 blir imidlertid logget i systemhendelsesloggen hvis den eksisterende Konfigurasjonen DefaultDomainSupportedEncTypes er usikker (for eksempel når en RC4-chiffrering brukes).

tilbake til toppen

Iverksett tiltak

Vi anbefaler at du gjør følgende for å beskytte miljøet og forhindre avbrudd: 

  • OPPDATERINGEN Microsoft Active Directory-domenekontrollere som starter med Windows-oppdateringer utgitt 13. januar 2026.

  • OVERVÅK systemhendelsesloggen for noen av de ni KDCSVC 201 > 209 Overvåkingshendelser som er logget på Windows Server 2012 og nyere domenekontrollere som identifiserer risikoer med aktivering av RC4-beskyttelse.

  • REDUSERE KDCSVC-hendelser logget i systemhendelsesloggen som forhindrer manuell eller programmatisk aktivering av RC4-beskyttelser.

  • AKTIVERER Håndhevelsesmodus for å håndtere sikkerhetsproblemene som er adressert i CVE-2026-20833 i miljøet når advarsels-, blokkerings- eller policyhendelser ikke lenger logges.

VIKTIG  Installasjon av oppdateringer utgitt på eller etter 13. januar 2026, løser IKKE sikkerhetsproblemene som er beskrevet i CVE-2026-20833 for Active Directory-domenekontrollere som standard. Hvis du vil redusere sikkerhetsproblemet fullt ut, bør du aktivere håndhevelsesmodus manuelt (beskrevet i trinn 3: AKTIVER) på alle domenekontrollere. Installasjonen av Windows Oppdateringer utgitt på og etter juli 2026 vil programmatisk aktivere Håndhevelsesfase.

Håndhevelsesmodus aktiveres automatisk ved å installere Windows Oppdateringer utgitt på eller etter april 2026 på alle Windows-domenekontrollere og vil blokkere sårbare tilkoblinger fra ikke-kompatible enheter.  På dette tidspunktet vil du ikke kunne deaktivere overvåkingen, men kan gå tilbake til innstillingen for overvåkingsmodus. Overvåkingsmodus vil bli fjernet i juli 2026, som beskrevet i delen Tidsberegning av oppdateringer , og håndhevelsesmodus vil bli aktivert på alle Windows-domenekontrollere og vil blokkere sårbare tilkoblinger fra ikke-kompatible enheter.

Hvis du trenger å dra nytte av RC4 etter april 2026, anbefaler vi at du eksplisitt aktiverer RC4 i bitmasken msds-SupportedEncryptionTypes på tjenester som må godta RC4-bruk. 

tilbake til toppen 

Tidsberegning for oppdateringer

13. januar 2026 – første distribusjonsfase 

Den første distribusjonsfasen starter med oppdateringene utgitt på og etter 13. januar 2026, og fortsetter med senere Windows-oppdateringer frem til håndhevelsesfasen . Denne fasen er å advare kunder om nye sikkerhetshåndhevelser som vil bli introdusert i den andre distribusjonsfasen. Denne oppdateringen: 

  • Gir overvåkingshendelser for å advare kunder som kan bli negativt påvirket av den kommende sikkerhetsherdingen.

  • Introduserer støtte for registerverdien RC4DefaultDisablementPhase etter at en administrator proaktivt aktiverer endringen ved å sette verdien til 2 på domenekontrollere når KDCSVC-overvåkingshendelser indikerer at det er trygt å gjøre det.

14. april 2026 - Håndhevelsesfase med manuell tilbakerulling 

Denne oppdateringen endrer standardverdien DefaultDomainSupportedEncTypes for KDC-operasjoner for å dra nytte av AES-SHA1 for kontoer som ikke har et definert active directory-attributt for msds-SupportedEncryptionTypes

Denne fasen endrer standardverdien for DefaultDomainSupportedEncTypes til bare AES-SHA1: 0x18

Denne fasen aktiverer også manuell konfigurasjon av tilbakerullingsverdien RC4DefaultDisablementPhase frem til programmatisk håndhevelse i juli 2026.

Juli 2026 – håndhevelsesfase 

Windows-oppdateringene utgitt i eller etter juli 2026 vil fjerne støtte for registerundernøkkelen RC4DefaultDisablementPhase

tilbake til toppen 

Retningslinjer for distribusjon

Følg disse trinnene for å distribuere Windows-oppdateringene som ble utgitt 13. januar 2026: 

  1. OPPDATER domenekontrollerne med en Windows-oppdatering utgitt 13. januar 2026.

  2. OVERVÅK hendelser som er logget under den første distribusjonsfasen for å sikre miljøet ditt.

  3. FLYTT domenekontrollerne til håndhevelsesmodus ved hjelp av registerinnstillingsdelen.

Trinn 1: OPPDATER  

Distribuer Windows-oppdateringen utgitt på eller etter 13. januar 2026 til alle gjeldende Windows Active Directory som kjører som domenekontroller etter distribusjon av oppdateringen.

  • Overvåkingshendelser vises i systemhendelseslogger hvis Windows Server 2012 eller senere domenekontrollere mottar Kerberos-forespørsler om tjenestebilletter som krever at RC4-chiffer brukes, men tjenestekontoen har standard krypteringskonfigurasjon.

  • Overvåkingshendelse 205 logges i systemhendelsesloggen hvis domenekontrolleren har en eksplisitt DefaultDomainSupportedEncTypes-konfigurasjon som tillater RC4-kryptering.

Trinn 2: OVERVÅK

Når domenekontrollere er oppdatert, bytter du til håndhevelsesmodus hvis du ikke ser overvåkingshendelser dokumentert i denne artikkelen, ved å endre registerverdien RC4DefaultDisablementPhase til 2.   

Hvis det genereres overvåkingshendelser, må du enten fjerne RC4-avhengigheter eller eksplisitt konfigurere attributtet accounts msds-SupportedEncryptionTypes for å støtte fortsatt bruk av RC4 etter manuell eller automatisk aktivering av håndhevelsesmodus .

For administratorer som er interessert i å utbedre RC4-bruk i større grad enn det som er beskrevet i denne artikkelen, anbefaler vi å se gjennom Detect and remediate RC4-bruken i Kerberos for mer informasjon.

VIKTIG  Overvåkingshendelser relatert til denne endringen genereres bare når Active Directory ikke kan utstede AES-SHA1-tjenestebilletter eller øktnøkler. Fraværet av overvåkingshendelser garanterer ikke at alle ikke-Windows-enheter godtar Kerberos-godkjenning etter oppdateringen for april. Kunder bør validere interoperabilitet for ikke-Windows gjennom testing før de aktiverer denne virkemåten bredt.

Trinn 3: AKTIVER

Aktiver håndhevelsesmodus for å løse CVE-2026-20833-sikkerhetsproblemene i miljøet ditt. 

  • Hvis en KDC blir bedt om å angi en RC4-tjenestebillett for en konto med standardkonfigurasjoner, logges en feilhendelse.

  • Du vil fortsatt se en hendelses-ID: 205 logget for enhver usikker konfigurasjon av DefaultDomainSupportedEncTypes.

tilbake til toppen 

Registerinnstillinger

Etter at Windows-oppdateringene ble utgitt 13. januar 2026, er installert, er følgende registernøkkel tilgjengelig for Kerberos-protokollen.

RC4DefaultDisablementPhase

Denne registernøkkelen brukes til å overføre distribusjonen av Kerberos-endringene. Denne registernøkkelen er midlertidig og vil ikke lenger leses etter håndhevelsesdatoen.

Registernøkkel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Datatype

REG_DWORD

Verdinavn

RC4DefaultDisablementPhase

Verdidata

0 – Ingen overvåking, ingen endring 

1 – Advarselshendelser logges på standard RC4-bruk. (Fase 1 standard) 

2 – Kerberos begynner å anta at RC4 ikke er aktivert som standard.  (Fase 2 standard) 

Kreves omstart?

Ja

tilbake til toppen 

Overvåkingshendelser

Etter at Windows-oppdateringene ble utgitt på eller etter 13. januar 2026, er installert, legges følgende KSCSVC-overvåkingshendelsestyper til i systemhendelsesloggen for Windows Server 2012 og senere kjører som domenekontroller.

I denne delen

tilbake til toppen 

Hendelses-ID: 201

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Kdcsvc

Hendelses-ID

201

Hendelsestekst

Nøkkeldistribusjonssenteret oppdaget <Cipher-navn> bruk som ikke støttes i håndhevelsesfasen fordi tjeneste-msds-SupportedEncryptionTypes ikke er definert, og klienten støtter bare usikre krypteringstyper. 

Kontoinformasjon 

    Kontonavn: <kontonavn> 

    Levert områdenavn: <medfølgende områdenavn> 

    msds-SupportedEncryptionTypes: <støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige nøkler> 

Tjenesteinformasjon: 

    Tjenestenavn: <tjenestenavn> 

    Tjeneste-ID: <-tjeneste-SID-> 

    msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige> 

Informasjon om domenekontroller: 

    msds-SupportedEncryptionTypes: <> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> 

    Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> 

Nettverksinformasjon: 

    Klientadresse: <KLIENT-IP-adresse> 

    Klientport: <klientportport> 

    Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. 

Kommentarer

Hendelses-ID: 201 logges hvis:

  • Klienten annonserer bare RC4 som en annonse Etypes

  • Måltjenesten har IKKE en msds-SET definert

  • Domenekontrolleren har IKKE definert DDSET

  • Registerverdien RC4DefaultDisablementPhase er satt til 1

  • Advarselshendelse 201 går over til Feilhendelse 203 i håndhevelsesmodus

  • Denne hendelsen logges per forespørsel

  • Advarselshendelse 201 logges IKKE hvis DefaultDomainSupportedEncTypes er definert manuelt

tilbake til overvåkingshendelser 

Hendelses-ID: 202

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Kdcsvc

Hendelses-ID

202

Hendelsestekst

Nøkkeldistribusjonssenteret oppdaget <Cipher-navn> bruk som ikke støttes i håndhevelsesfasen fordi tjenesten msds-SupportedEncryptionTypes ikke er definert, og tjenestekontoen har bare usikre nøkler.  

Kontoinformasjon 

    Kontonavn: <kontonavn> 

    Levert områdenavn: <medfølgende områdenavn> 

    msds-SupportedEncryptionTypes: <støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige nøkler> 

Tjenesteinformasjon: 

    Tjenestenavn: <tjenestenavn> 

    Tjeneste-ID: <-tjeneste-SID-> 

    msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige> 

Informasjon om domenekontroller: 

    msds-SupportedEncryptionTypes: <> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> 

    Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> 

Nettverksinformasjon: 

    Klientadresse: <KLIENT-IP-adresse> 

    Klientport: <klientportport> 

    Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. 

Kommentarer

Advarselshendelse 202 logges hvis:

  • Måltjenesten har ikke AES-nøkler

  • Måltjenesten har IKKE en msds-SET definert

  • Domenekontrolleren har IKKE definert DDSET

  • Registerverdien RC4DefaultDisablementPhase er satt til 1

  • Feilhendelse 202 går over til Feil 204 i håndhevelsesmodus

  • Advarselshendelse 202 er logget på per forespørsel

  • Advarselshendelse 202 logges IKKE hvis DefaultDomainSupportedEncTypes er definert manuelt

tilbake til overvåkingshendelser 

Hendelses-ID: 203

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Kdcsvc

Hendelses-ID

203

Hendelsestekst

Nøkkeldistribusjonssenteret blokkerte chiffreringsbruk fordi tjeneste-msds-SupportedEncryptionTypes ikke er definert, og klienten støtter bare usikre krypteringstyper. 

Kontoinformasjon 

    Kontonavn: <kontonavn> 

    Levert områdenavn: <medfølgende områdenavn> 

    msds-SupportedEncryptionTypes: <støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige nøkler> 

Tjenesteinformasjon: 

    Tjenestenavn: <tjenestenavn> 

    Tjeneste-ID: <-tjeneste-SID-> 

    msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige> 

Informasjon om domenekontroller: 

    msds-SupportedEncryptionTypes: <> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> 

    Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> 

Nettverksinformasjon: 

    Klientadresse: <KLIENT-IP-adresse> 

    Klientport: <klientportport> 

    Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. 

Kommentarer

Feilhendelse 203 logges hvis:

  • Klienten annonserer bare RC4 som en annonse Etypes

  • Måltjenesten har IKKE en msds-SET definert

  • Domenekontrolleren har IKKE definert DDSET

  • Registerverdien RC4DefaultDisablementPhase er satt til 2

  • Per forespørsel

tilbake til overvåkingshendelser 

Hendelses-ID: 204

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Kdcsvc

Hendelses-ID

204

Hendelsestekst

Nøkkeldistribusjonssenteret blokkerte chiffreringsbruk fordi tjenesten msds-SupportedEncryptionTypes ikke er definert, og tjenestekontoen har bare usikre nøkler.  

Kontoinformasjon 

    Kontonavn: <kontonavn> 

    Levert områdenavn: <medfølgende områdenavn> 

    msds-SupportedEncryptionTypes: <støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige nøkler> 

Tjenesteinformasjon: 

    Tjenestenavn: <tjenestenavn> 

    Tjeneste-ID: <-tjeneste-SID-> 

    msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige> 

Informasjon om domenekontroller: 

    msds-SupportedEncryptionTypes: <> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> 

    Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> 

Nettverksinformasjon: 

    Klientadresse: <KLIENT-IP-adresse> 

    Klientport: <klientportport> 

    Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. 

Kommentarer

Feilhendelse 204 logges hvis:

  • Måltjenesten har ikke AES-nøkler

  • Måltjenesten har IKKE en msds-SET definert

  • Domenekontrolleren har IKKE definert DDSET

  • Registerverdien RC4DefaultDisablementPhase er satt til 2

  • Per forespørsel

tilbake til overvåkingshendelser 

Hendelses-ID: 205

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Kdcsvc

Hendelses-ID

205

Hendelsestekst

Nøkkeldistribusjonssenteret oppdaget eksplisitt chiffreringsaktivering i policykonfigurasjonen For støttede krypteringstyper for standarddomene. 

Chiffrer(er): <aktiverte usikre chiffrere> 

DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer.

Kommentarer

Advarselshendelse 205 logges hvis:

  • Domenekontrolleren HAS DDSET definert til å inkludere noe annet enn AES-SHA1.

  • Registerverdien RC4DefaultDisablementPhase er satt til 1, 2

  • Dette blir ALDRI til en feil

  • Formålet er å gjøre kunden oppmerksom på usikker atferd som vi ikke kommer til å endre

  • Logges hver gang på starten av KDCSVC

tilbake til overvåkingshendelser 

Hendelses-ID: 206

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Kdcsvc

Hendelses-ID

206

Hendelsestekst

Nøkkeldistribusjonssenteret oppdaget <Cipher-navn> bruk som ikke støttes i håndhevelsesfasen fordi tjeneste-msds-SupportedEncryptionTypes er konfigurert til å bare støtte AES-SHA1, men klienten annonserer ikke AES-SHA1 

Kontoinformasjon 

    Kontonavn: <kontonavn> 

    Levert områdenavn: <medfølgende områdenavn> 

    msds-SupportedEncryptionTypes: <støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige nøkler> 

Tjenesteinformasjon: 

    Tjenestenavn: <tjenestenavn> 

    Tjeneste-ID: <-tjeneste-SID-> 

    msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige> 

Informasjon om domenekontroller: 

    msds-SupportedEncryptionTypes: <> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> 

    Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> 

Nettverksinformasjon: 

    Klientadresse: <KLIENT-IP-adresse> 

    Klientport: <klientportport> 

    Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. 

Kommentarer

Advarselshendelse 206 logges hvis:

  • Klienten annonserer bare RC4 som en advertized Etypes

  • Ett av følgende skjer:

    • Måltjenesten HAR msds-SET definert bare for AES-SHA1

    • Domenekontrolleren HAR DDSET definert til bare AES-SHA1

  • Registerverdien RC4DefaultDisablementPhase er satt til 1

  • Advarselshendelse 2016-overganger til Feilhendelse 2018 i håndhevelsesmodus

  • Logget på per forespørsel-basis

tilbake til overvåkingshendelser 

Hendelses-ID: 207

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Kdcsvc

Hendelses-ID

207

Hendelsestekst

Nøkkeldistribusjonssenteret oppdaget <Cipher-navn> bruk som ikke støttes i håndhevelsesfasen fordi tjeneste-msds-SupportedEncryptionTypes er konfigurert til bare å støtte AES-SHA1, men tjenestekontoen har ikke AES-SHA1-nøkler.  

Kontoinformasjon 

    Kontonavn: <kontonavn> 

    Levert områdenavn: <medfølgende områdenavn> 

    msds-SupportedEncryptionTypes: <støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige nøkler> 

Tjenesteinformasjon: 

    Tjenestenavn: <tjenestenavn> 

    Tjeneste-ID: <-tjeneste-SID-> 

    msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige> 

Informasjon om domenekontroller: 

    msds-SupportedEncryptionTypes: <> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> 

    Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> 

Nettverksinformasjon: 

    Klientadresse: <KLIENT-IP-adresse> 

    Klientport: <klientportport> 

    Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. 

Kommentarer

Advarselshendelse 207 logges hvis:

  • Måltjenesten har ikke AES-nøkler

  • Ett av følgende skjer:

    • Måltjenesten HAR msds-SET definert bare for AES-SHA1

    • Domenekontrolleren HAR DDSET definert til bare AES-SHA1

  • Registerverdien RC4DefaultDisablementPhase er satt til 1

  • Dette blir til 209 (feil) i håndhevelsesmodus

  • Per forespørsel

tilbake til overvåkingshendelser 

Hendelses-ID: 208

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Kdcsvc

Hendelses-ID

208

Hendelsestekst

Nøkkeldistribusjonssenteret nektet å bruke chiffrering med hensikt fordi tjeneste-msds-SupportedEncryptionTypes er konfigurert til å bare støtte AES-SHA1, men klienten annonserer ikke AES-SHA1 

Kontoinformasjon 

    Kontonavn: <kontonavn> 

    Levert områdenavn: <medfølgende områdenavn> 

    msds-SupportedEncryptionTypes: <støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige nøkler> 

Tjenesteinformasjon: 

    Tjenestenavn: <tjenestenavn> 

    Tjeneste-ID: <-tjeneste-SID-> 

    msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige> 

Informasjon om domenekontroller: 

    msds-SupportedEncryptionTypes: <> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> 

    Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> 

Nettverksinformasjon: 

    Klientadresse: <KLIENT-IP-adresse> 

    Klientport: <klientportport> 

    Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. 

Kommentarer

Feilhendelse 208 logges hvis:

  • Klienten annonserer bare RC4 som en annonse Etypes

  • EIther av følgende skjer:

    • Måltjenesten HAR msds-SET definert bare for AES-SHA1

    • Domenekontrolleren HAR DDSET definert til bare AES-SHA1

  • Registerverdien RC4DefaultDisablementPhase er satt til 2

  • Per forespørsel

tilbake til overvåkingshendelser 

Hendelses-ID: 209

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

Kdcsvc

Hendelses-ID

209

Hendelsestekst

Nøkkeldistribusjonssenteret nektet å bruke chiffrering med hensikt fordi tjeneste-msds-SupportedEncryptionTypes er konfigurert til å bare støtte AES-SHA1, men tjenestekontoen har ikke AES-SHA1-nøkler 

Kontoinformasjon 

    Kontonavn: <kontonavn> 

    Levert områdenavn: <medfølgende områdenavn> 

    msds-SupportedEncryptionTypes: <støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige nøkler> 

Tjenesteinformasjon: 

    Tjenestenavn: <tjenestenavn> 

    Tjeneste-ID: <-tjeneste-SID-> 

    msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> 

    Tilgjengelige nøkler: <tilgjengelige> 

Informasjon om domenekontroller: 

    msds-SupportedEncryptionTypes: <> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> 

    Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> 

Nettverksinformasjon: 

    Klientadresse: <KLIENT-IP-adresse> 

    Klientport: <klientportport> 

    Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> 

Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. 

Kommentarer

Feilhendelse 209 logges hvis:

  • Måltjenesten har ikke AES-nøkler

  • Ett av følgende skjer:

    • Måltjenesten HAR msds-SET definert bare for AES-SHA1

    • Domenekontrolleren HAR DDSET definert til bare AES-SHA1

  • Registerverdien RC4DefaultDisablementPhase er satt til 2

  • Per forespørsel

tilbake til overvåkingshendelser

Obs!

Når det gjelder implisitt endring i valg av tjenestebillettkryptering, har Microsoft begrenset innsyn i årsakene til at en ikke-Windows-enhet kanskje ikke kan godta Kerberos-godkjenning etter at KDCer bruker oppdateringen for april og går over til standard AES-SHA1-virkemåte når det er uspesifisert. Vi foreslår at du validerer disse endringene gjennom testing i ditt eget miljø før du aktiverer denne virkemåten bredt.

Det vanligste stedet der dette vil bli oppdaget, er enheter som benytter Kerberos Keytabs. Hvis Kerberos Keytab bare er eksportert med RC4-nøkler, men måltjenestekontoen har AES-SHA1-nøkler og ikke har definert en msds-SupportedEncryptionTypes, er det en mulighet for en godkjenningsfeil i den angitte tjenesten. Dette vil mest sannsynlig manifestere seg i form av godkjenningsfeil fra måltjenesten i stedet for fra KDC. 

Vår primære anbefaling er å samarbeide med leverandøren av ikke-Windows-enheten. Generelt sett er feil på ikke-Windows-enheter for å godta Kerberos-godkjenning ikke unike for april-endringene, og kan skyldes enhetsspesifikke eller implementeringsspesifikke begrensninger.

Hvis kerberos-godkjenningsproblemer observeres med ikke-Windows-enheter etter denne endringen, og leverandørutbedring ikke er mulig, er våre anbefalinger som følger:

  • På den berørte tjenestekontoen definerer du eksplisitt msDS-SupportedEncryptionTypes for å inkludere RC4 med AES-øktnøkler (0x24).

  • Hvis dette ikke er mulig, konfigurerer du registerverdien DefaultDomainSupportedEncTypes manuelt på alle relevante KDCer til å inkludere RC4 med AES-SHA1-øktnøkler (0x24). Vær oppmerksom på at dette gjør alle kontoer i domenet sårbare for CVE-2026-20833.

Det er viktig å være oppmerksom på at denne konfigurasjonen er usikker, og vår langsiktige anbefaling er å overføre ikke-Windows-enheter til versjoner som støtter AES-SHA1 Kerberos-billettkryptering.

tilbake til overvåkingshendelser

Vanlige spørsmål

Spørsmål 1: Hvordan samhandler denne endringen med domener som har tredjeparts KDCer?

Denne herdingsendringen påvirker bare Windows-domenekontrollere. Kerberos Trust og henvisningsflyten med andre Windows-domenekontrollere eller tredjeparts KDCer påvirkes ikke.

Spørsmål 2: Hvordan samhandler denne endringen med domener som ikke har Windows-domeneenheter?

Tredjeparts domeneenheter som ikke kan behandle AES-SHA1-kryptering, skal allerede ha blitt eksplisitt konfigurert til å tillate RC4-kryptering. Tjenester som ikke kan behandle AES-SHA1-billetter, må være fast eller eksplisitt konfigurert i Active Diretory for å gi RC4-kryptering som nevnt ovenfor. Valider disse endringene grundig. 

Spørsmål 3: Vil Microsoft fjerne muligheten til å konfigurere DefaultDomainSupportedEncTypes?

Nei. Vi logger advarselshendelser for usikre konfigurasjoner for DefaultDomainSupportedEncTypes. I tillegg vil vi overholde alle konfigurasjoner som er eksplisitt angitt av en administrator.

tilbake til toppen 

Ressurser

tilbake til toppen 

Endre logg

Endre dato

Endre beskrivelse

14. april 2026

  • Oppdaterte datoen for april 2026 for å gjenspeile den faktiske datoen for utgivelsen for Håndhevelsesfasen med manuell tilbakerulling.

  • Definert Kerberos KDC i den første setningen i det andre avsnittet i «Sammendrag»-delen.Fra: For å redusere dette sikkerhetsproblemet endres standardverdien for DefaultDomainSupportedEncTypes av Windows Oppdateringer utgitt på og etter 14. april 2026 eller administratorer som aktiverer håndhevelsesmodus tidlig.Å: For å redusere dette sikkerhetsproblemet, windows-oppdateringer utgitt på og etter april 14, 2026, endre Kerberos Key Distribution Center (KDC) standardverdi for DefaultDomainSupportedEncTypes, med mindre administratorer aktiverer håndhevelsesmodus tidligere.

7. april 2026 kl.

  • Omordet det andre avsnittet i «Sammendrag»-delen for klarhet.

  • Plasser VIKTIG-notatet i delen «Trinn 2: SKJERM» for å utheve viktighet. Noter deg VIKTIG-notatet.

  • La til et nytt andre avsnitt i merknaden over vanlige spørsmål-delen.

16. mars 2026 kl.

  • For klarheten «Trinn 2: OVERVÅK» i delen «Retningslinjer for distribusjon».

  • Reworded for clarity the answer to the "How does this change interact with domains that are non-Windows domain devices?" Vanlige spørsmål. La til et spesielt notat for hvordan ikke-Windows-tjenester kan bli påvirket av disse endringene.

10. februar 2026 kl.

  • La til dokumentasjonskoblingen til forekomstene av DefaultDomainSupportedEncTypes.

  • Rettet ordlyden for det andre punktet i delen «Trinn 3: Aktiver».Fra: Introduserer registerverdien RC4DefaultDisablementPhase for proaktivt å aktivere endringen ved å sette verdien til 2 på domenekontrollere når KDCSVC-overvåkingshendelser indikerer at det er trygt å gjøre det.Å: Introduserer støtte for registerverdien RC4DefaultDisablementPhase etter at en administrator proaktivt aktiverer endringen ved å sette verdien til 2 på domenekontrollere når KDCSVC-overvåkingshendelser indikerer at det er trygt å gjøre det.

  • Under Viktig-notatet i «Utfør handling»-delen endret du den første setningen i avsnittet for å angi omtrent når håndhevelsesmodus vil bli aktivert.Fra: Fra og med april 2026 aktiveres håndhevelsesmodus på alle Windows-domenekontrollere og vil blokkere sårbare tilkoblinger fra ikke-kompatible enheter.Å: Håndhevelsesmodus aktiveres automatisk ved å installere Windows Oppdateringer utgitt på eller etter april 2026 på alle Windows-domenekontrollere og vil blokkere sårbare tilkoblinger fra ikke-kompatible enheter.

  • Lagt til ordlyden for å nevne denne endringen er gjort av Windows Oppdateringer utgitt på og etter 13 januar 2026 og CVE-2026-20833.

tilbake til toppen 

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter