Opprinnelig publiseringsdato: 13. januar 2026 kl.
KB-ID: 5073381
Utløp av sertifikatet for sikker oppstart av Windows
Viktig: Sertifikater for sikker oppstart som brukes av de fleste Windows-enheter, er satt til å utløpe fra og med juni 2026. Dette kan påvirke muligheten for bestemte personlige enheter og forretningsenheter til å starte opp sikkert hvis de ikke oppdateres i tide. For å unngå forstyrrelser anbefaler vi at du går gjennom veiledningen og iverksetter tiltak for å oppdatere sertifikater på forhånd. Hvis du vil ha mer informasjon og klargjøringstrinn, kan du se Utløp og CA-oppdateringer for Windows Secure Boot-sertifikater
I denne artikkelen
Sammendrag
Windows-oppdateringer utgitt 13. januar 2026 inneholder beskyttelse for et sikkerhetsproblem med Kerberos-godkjenningsprotokollen. Windows-oppdateringene tar for seg et sikkerhetsproblem som kan føre til at en angriper kan få tak i tjenesteforespørsler med svake eller eldre krypteringstyper, for eksempel RC4, og utføre frakoblede angrep for å gjenopprette et passord for tjenestekontoen.
Installer Windows-oppdateringen som ble utgitt på eller etter 13. januar 2026, for å sikre og herde miljøet, for alle Windows-servere som er oppført i delen Gjelder for, som kjører som en domenekontroller. Hvis du vil vite mer om sårbarhetene, kan du se CVE-2026-20833.
For å redusere dette sikkerhetsproblemet endres standardverdien for DefaultDomainSupportedEncTypes (DDSET), slik at alle domenekontrollere bare støtter Advanced Encryption Standard (AES-SHA1)-krypterte billetter for kontoer uten en eksplisitt Konfigurasjon av Kerberos-krypteringstype. Hvis du vil ha mer informasjon, kan du se Støttede krypteringstyper bitflagg.
På domenekontrollere med en definert registerverdi for DefaultDomainSupportedEncTypes vil virkemåten ikke bli funksjonelt påvirket av disse endringene. En KDCSVC-hendelses-ID for overvåkingshendelse: 205 kan imidlertid logges i systemhendelsesloggen hvis den eksisterende konfigurasjonen DefaultDomainSupportedEncTypes er usikker.
Iverksett tiltak
Vi anbefaler at du gjør følgende for å bidra til å beskytte miljøet og forhindre avbrudd:
-
OPPDATERINGEN Microsoft Active Directory-domenekontrollere som starter med Windows-oppdateringer utgitt 13. januar 2026.
-
OVERVÅK systemhendelsesloggen for noen av de 9 overvåkingshendelsene som er logget på Windows Server 2012, og nyere domenekontrollere som identifiserer risikoer med aktivering av RC4-beskyttelse.
-
REDUSERE KDCSVC-hendelser logget i systemhendelsesloggen som forhindrer manuell eller programmatisk aktivering av RC4-beskyttelser.
-
AKTIVERER Håndhevelsesmodus for å håndtere sikkerhetsproblemene som er adressert i CVE-2026-20833 i miljøet når advarsels-, blokkerings- eller policyhendelser ikke lenger logges.
VIKTIG Installasjon av oppdateringer utgitt på eller etter 13. januar 2026, løser IKKE sikkerhetsproblemene som er beskrevet i CVE-2026-20833 for Active Directory-domenekontrollere som standard. Hvis du vil redusere sikkerhetsproblemet fullt ut, må du flytte til fremtvunget modus (beskrevet i trinn 3) så snart som mulig på alle domenekontrollere.
Fra og med april 2026 aktiveres håndhevelsesmodus på alle Windows-domenekontrollere og vil blokkere sårbare tilkoblinger fra ikke-kompatible enheter. På dette tidspunktet vil du ikke kunne deaktivere overvåkingen, men kan gå tilbake til innstillingen for overvåkingsmodus. Overvåkingsmodus vil bli fjernet i juli 2026, som beskrevet i delen Tidsberegning av oppdateringer , og håndhevelsesmodus vil bli aktivert på alle Windows-domenekontrollere og vil blokkere sårbare tilkoblinger fra ikke-kompatible enheter.
Hvis du trenger å dra nytte av RC4 etter april 2026, anbefaler vi at du eksplisitt aktiverer RC4 i bitmasken msds-SupportedEncryptionTypes på tjenester som må godta RC4-bruk.
Tidsberegning for oppdateringer
13. januar 2026 – første distribusjonsfase
Den første distribusjonsfasen starter med oppdateringene utgitt på og etter 13. januar 2026, og fortsetter med senere Windows-oppdateringer frem til håndhevelsesfasen . Denne fasen er å advare kunder om nye sikkerhetshåndhevelser som vil bli introdusert i den andre distribusjonsfasen. Denne oppdateringen:
-
Gir overvåkingshendelser for å advare kunder som kan bli negativt påvirket av den kommende sikkerhetsherdingen.
-
Introduserer registerverdien RC4DefaultDisablementPhase for proaktivt å aktivere endringen ved å sette verdien til 2 på domenekontrollere når KDCSVC-overvåkingshendelser indikerer at det er trygt å gjøre det.
April 2026 – andre distribusjonsfase
Denne oppdateringen endrer standardverdien DefaultDomainSupportedEncTypes for KDC-operasjoner for å dra nytte av AES-SHA1 for kontoer som ikke har et definert active directory-attributt for msds-SupportedEncryptionTypes.
Denne fasen endrer standardverdien for DefaultDomainSupportedEncTypes til bare AES-SHA1: 0x18.
Juli 2026 – håndhevelsesfase
Windows-oppdateringene utgitt i eller etter juli 2026 vil fjerne støtte for registerundernøkkelen RC4DefaultDisablementPhase.
Retningslinjer for distribusjon
Følg disse trinnene for å distribuere Windows-oppdateringene som ble utgitt 13. januar 2026:
-
OPPDATER domenekontrollerne med en Windows-oppdatering utgitt 13. januar 2026.
-
OVERVÅK hendelser som er logget under den første distribusjonsfasen for å sikre miljøet ditt.
-
FLYTT domenekontrollerne til håndhevelsesmodus ved hjelp av registerinnstillingsdelen.
Trinn 1: OPPDATER
Distribuer Windows-oppdateringen utgitt på eller etter 13. januar 2026 til alle gjeldende Windows Active Directory som kjører som domenekontroller etter distribusjon av oppdateringen.
-
Overvåkingshendelser vises i systemhendelseslogger hvis domenekontrolleren mottar Kerberos-tjenesteforespørselsforespørsler som krever at RC4-chiffer brukes, men tjenestekontoen har standard krypteringskonfigurasjon.
-
Overvåkingshendelser logges i systemhendelsesloggen hvis domenekontrolleren har en eksplisitt DefaultDomainSupportedEncTypes-konfigurasjon som tillater RC4-kryptering.
Trinn 2: OVERVÅK
Når domenekontrollere er oppdatert, bytter du til håndhevelsesmodus hvis du ikke ser noen overvåkingshendelser, ved å endre RC4DefaultDisablementPhase-verdien til 2.
Hvis det genereres overvåkingshendelser, må du enten fjerne RC4-avhengigheter eller eksplisitt konfigurere kontoene Kerberos-støttede krypteringstyper. Deretter kan du flytte til håndhevelsesmodus .
Hvis du vil lære hvordan du oppdager RC4-bruk i domenet, overvåkingsenheten og brukerkontoer som fortsatt er avhengige av RC4, og hvordan du utbedrer bruken til fordel for sterkere krypteringstyper eller administrerer RC4-avhengigheter, kan du se Oppdage og utbedre RC4-bruk i Kerberos.
Trinn 3: AKTIVER
Aktiver håndhevelsesmodus for å løse CVE-2026-20833-sikkerhetsproblemene i miljøet ditt.
-
Hvis en KDC blir bedt om å angi en RC4-tjenestebillett for en konto med standardkonfigurasjoner, logges en feilhendelse.
-
Du vil fortsatt se en hendelses-ID: 205 logget for enhver usikker konfigurasjon av DefaultDomainSupportedEncTypes.
Registerinnstillinger
Etter at Windows-oppdateringene ble utgitt 13. januar 2026, er installert, er følgende registernøkkel tilgjengelig for Kerberos-protokollen.
Denne registernøkkelen brukes til å overføre distribusjonen av Kerberos-endringene. Denne registernøkkelen er midlertidig og vil ikke lenger leses etter håndhevelsesdatoen.
|
Registernøkkel |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Datatype |
REG_DWORD |
|
Verdinavn |
RC4DefaultDisablementPhase |
|
Verdidata |
0 – Ingen overvåking, ingen endring 1 – Advarselshendelser logges på standard RC4-bruk. (Fase 1 standard) 2 – Kerberos begynner å anta at RC4 ikke er aktivert som standard. (Fase 2 standard) |
|
Kreves omstart? |
Ja |
Overvåkingshendelser
Etter at Windows-oppdateringene ble utgitt 13. januar 2026, er installert, legges følgende overvåkingshendelsestyper til Windows Server 2012 og senere som en domenekontroller.
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Kdcsvc |
|
Hendelses-ID |
201 |
|
Hendelsestekst |
Nøkkeldistribusjonssenteret oppdaget <Cipher-navn> bruk som ikke støttes i håndhevelsesfasen fordi tjeneste-msds-SupportedEncryptionTypes ikke er definert, og klienten støtter bare usikre krypteringstyper. Kontoinformasjon Kontonavn: <kontonavn> Levert områdenavn: <medfølgende områdenavn> msds-SupportedEncryptionTypes: <støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige nøkler> Tjenesteinformasjon: Tjenestenavn: <tjenestenavn> Tjeneste-ID: <-tjeneste-SID-> msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige> Informasjon om domenekontroller: msds-SupportedEncryptionTypes: <> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> Nettverksinformasjon: Klientadresse: <KLIENT-IP-adresse> Klientport: <klientportport> Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. |
|
Kommentarer |
Hendelses-ID: 201 logges hvis:
|
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Kdcsvc |
|
Hendelses-ID |
202 |
|
Hendelsestekst |
Nøkkeldistribusjonssenteret oppdaget <Cipher-navn> bruk som ikke støttes i håndhevelsesfasen fordi tjenesten msds-SupportedEncryptionTypes ikke er definert, og tjenestekontoen har bare usikre nøkler. Kontoinformasjon Kontonavn: <kontonavn> Levert områdenavn: <medfølgende områdenavn> msds-SupportedEncryptionTypes: <støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige nøkler> Tjenesteinformasjon: Tjenestenavn: <tjenestenavn> Tjeneste-ID: <-tjeneste-SID-> msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige> Informasjon om domenekontroller: msds-SupportedEncryptionTypes: <> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> Nettverksinformasjon: Klientadresse: <KLIENT-IP-adresse> Klientport: <klientportport> Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. |
|
Kommentarer |
Advarselshendelse 202 logges hvis:
|
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Kdcsvc |
|
Hendelses-ID |
203 |
|
Hendelsestekst |
Nøkkeldistribusjonssenteret blokkerte chiffreringsbruk fordi tjeneste-msds-SupportedEncryptionTypes ikke er definert, og klienten støtter bare usikre krypteringstyper. Kontoinformasjon Kontonavn: <kontonavn> Levert områdenavn: <medfølgende områdenavn> msds-SupportedEncryptionTypes: <støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige nøkler> Tjenesteinformasjon: Tjenestenavn: <tjenestenavn> Tjeneste-ID: <-tjeneste-SID-> msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige> Informasjon om domenekontroller: msds-SupportedEncryptionTypes: <> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> Nettverksinformasjon: Klientadresse: <KLIENT-IP-adresse> Klientport: <klientportport> Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. |
|
Kommentarer |
Feilhendelse 203 logges hvis:
|
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Kdcsvc |
|
Hendelses-ID |
204 |
|
Hendelsestekst |
Nøkkeldistribusjonssenteret blokkerte chiffreringsbruk fordi tjenesten msds-SupportedEncryptionTypes ikke er definert, og tjenestekontoen har bare usikre nøkler. Kontoinformasjon Kontonavn: <kontonavn> Levert områdenavn: <medfølgende områdenavn> msds-SupportedEncryptionTypes: <støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige nøkler> Tjenesteinformasjon: Tjenestenavn: <tjenestenavn> Tjeneste-ID: <-tjeneste-SID-> msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige> Informasjon om domenekontroller: msds-SupportedEncryptionTypes: <> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> Nettverksinformasjon: Klientadresse: <KLIENT-IP-adresse> Klientport: <klientportport> Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. |
|
Kommentarer |
Feilhendelse 204 logges hvis:
|
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Kdcsvc |
|
Hendelses-ID |
205 |
|
Hendelsestekst |
Nøkkeldistribusjonssenteret oppdaget eksplisitt chiffreringsaktivering i policykonfigurasjonen For støttede krypteringstyper for standarddomene. Chiffrer(er): <aktiverte usikre chiffrere> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. |
|
Kommentarer |
Advarselshendelse 205 logges hvis:
|
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Kdcsvc |
|
Hendelses-ID |
206 |
|
Hendelsestekst |
Nøkkeldistribusjonssenteret oppdaget <Cipher-navn> bruk som ikke støttes i håndhevelsesfasen fordi tjeneste-msds-SupportedEncryptionTypes er konfigurert til å bare støtte AES-SHA1, men klienten annonserer ikke AES-SHA1 Kontoinformasjon Kontonavn: <kontonavn> Levert områdenavn: <medfølgende områdenavn> msds-SupportedEncryptionTypes: <støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige nøkler> Tjenesteinformasjon: Tjenestenavn: <tjenestenavn> Tjeneste-ID: <-tjeneste-SID-> msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige> Informasjon om domenekontroller: msds-SupportedEncryptionTypes: <> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> Nettverksinformasjon: Klientadresse: <KLIENT-IP-adresse> Klientport: <klientportport> Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. |
|
Kommentarer |
Advarselshendelse 206 logges hvis:
|
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Kdcsvc |
|
Hendelses-ID |
207 |
|
Hendelsestekst |
Nøkkeldistribusjonssenteret oppdaget <Cipher-navn> bruk som ikke støttes i håndhevelsesfasen fordi tjeneste-msds-SupportedEncryptionTypes er konfigurert til bare å støtte AES-SHA1, men tjenestekontoen har ikke AES-SHA1-nøkler. Kontoinformasjon Kontonavn: <kontonavn> Levert områdenavn: <medfølgende områdenavn> msds-SupportedEncryptionTypes: <støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige nøkler> Tjenesteinformasjon: Tjenestenavn: <tjenestenavn> Tjeneste-ID: <-tjeneste-SID-> msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige> Informasjon om domenekontroller: msds-SupportedEncryptionTypes: <> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> Nettverksinformasjon: Klientadresse: <KLIENT-IP-adresse> Klientport: <klientportport> Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. |
|
Kommentarer |
Advarselshendelse 207 logges hvis:
|
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Kdcsvc |
|
Hendelses-ID |
208 |
|
Hendelsestekst |
Nøkkeldistribusjonssenteret nektet å bruke chiffrering med hensikt fordi tjeneste-msds-SupportedEncryptionTypes er konfigurert til å bare støtte AES-SHA1, men klienten annonserer ikke AES-SHA1 Kontoinformasjon Kontonavn: <kontonavn> Levert områdenavn: <medfølgende områdenavn> msds-SupportedEncryptionTypes: <støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige nøkler> Tjenesteinformasjon: Tjenestenavn: <tjenestenavn> Tjeneste-ID: <-tjeneste-SID-> msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige> Informasjon om domenekontroller: msds-SupportedEncryptionTypes: <> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> Nettverksinformasjon: Klientadresse: <KLIENT-IP-adresse> Klientport: <klientportport> Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. |
|
Kommentarer |
Feilhendelse 208 logges hvis:
|
|
Hendelseslogg |
System |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Kdcsvc |
|
Hendelses-ID |
209 |
|
Hendelsestekst |
Nøkkeldistribusjonssenteret nektet å bruke chiffrering med hensikt fordi tjeneste-msds-SupportedEncryptionTypes er konfigurert til å bare støtte AES-SHA1, men tjenestekontoen har ikke AES-SHA1-nøkler Kontoinformasjon Kontonavn: <kontonavn> Levert områdenavn: <medfølgende områdenavn> msds-SupportedEncryptionTypes: <støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige nøkler> Tjenesteinformasjon: Tjenestenavn: <tjenestenavn> Tjeneste-ID: <-tjeneste-SID-> msds-SupportedEncryptionTypes: <tjeneste støttede krypteringstyper> Tilgjengelige nøkler: <tilgjengelige> Informasjon om domenekontroller: msds-SupportedEncryptionTypes: <> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes-verdi> Tilgjengelige nøkler: <tilgjengelige nøkler for domenekontroller> Nettverksinformasjon: Klientadresse: <KLIENT-IP-adresse> Klientport: <klientportport> Annonserte E-typer: <annonseiserte Kerberos-krypteringstyper> Se https://go.microsoft.com/fwlink/?linkid=2344614 for å finne ut mer. |
|
Kommentarer |
Feilhendelse 209 logges hvis:
|
Obs!
Hvis du finner at noen av disse advarslene er logget på en domenekontroller, er det sannsynlig at alle domenekontrollerne i domenet ikke er oppdatert med en Windows-oppdatering utgitt 13. januar 2026. Hvis du vil redusere sikkerhetsproblemet, må du undersøke domenet ytterligere for å finne domenekontrollerne som ikke er oppdaterte.
Hvis du ser en hendelses-ID: 0x8000002A logget på en domenekontroller, kan du se KB5021131: Slik administrerer du Kerberos-protokollendringer relatert til CVE-2022-37966.
Vanlige spørsmål
Denne herdingen påvirker Windows-domenekontrollere når de utsteder tjenestebilletter. Kerberos-klarerings- og henvisningsflyten påvirkes ikke.
Tredjeparts domeneenheter som ikke kan behandle AES-SHA1, skal allerede ha blitt eksplisitt konfigurert til å tillate AES-SHA1.
Nei. Vi logger advarselshendelser for usikre konfigurasjoner for DefaultDomainSupportedEncTypes. I tillegg vil vi ikke ignorere noen konfigurasjon som er eksplisitt angitt av en kunde.
Ressurser
KB5020805: Slik administrerer du Kerberos-protokollendringer relatert til CVE-2022-37967
KB5021131: Slik administrerer du Kerberos-protokollendringer relatert til CVE-2022-37966
