Oorspronkelijke publicatiedatum: dinsdag 13 januari 2026
KB-id: 5073381
Verlopen van Windows Secure Boot-certificaat
Belangrijk: Certificaten voor beveiligd opstarten die door de meeste Windows-apparaten worden gebruikt, verlopen vanaf juni 2026. Dit kan van invloed zijn op de mogelijkheid van bepaalde persoonlijke en zakelijke apparaten om veilig op te starten als deze niet op tijd is bijgewerkt. Om onderbrekingen te voorkomen, raden we u aan de richtlijnen te bekijken en van tevoren actie te ondernemen om certificaten bij te werken. Zie Windows Secure Boot-certificaatverloop en CA-updates voor meer informatie en voorbereidingsstappen
In dit artikel
Samenvatting
Windows-updates die zijn uitgebracht op en na 13 januari 2026, bevatten beveiligingen voor een beveiligingsprobleem met het Kerberos-verificatieprotocol. De Windows-updates verhelpen een beveiligingsprobleem met betrekking tot het vrijgeven van informatie waardoor een aanvaller servicetickets kan verkrijgen met zwakke of verouderde versleutelingstypen, zoals RC4, en offlineaanvallen kan uitvoeren om het wachtwoord van een serviceaccount te herstellen.
Als u uw omgeving wilt beveiligen en beveiligen, installeert u de Windows-update die is uitgebracht op of na 13 januari 2026 op alle Windows-servers die worden vermeld in de sectie 'Van toepassing op' die wordt uitgevoerd als een domeincontroller. Zie CVE-2026-20833 voor meer informatie over de beveiligingsproblemen.
Om dit beveiligingsprobleem te verhelpen, wordt de standaardwaarde van DefaultDomainSupportedEncTypes (DDSET) gewijzigd, zodat alle domeincontrollers alleen ondersteuning bieden voor met Advanced Encryption Standard (AES-SHA1) versleutelde tickets voor accounts zonder een expliciete configuratie van het Kerberos-versleutelingstype. Zie Ondersteunde versleutelingstypen bitvlagmen voor meer informatie.
Op domeincontrollers met een gedefinieerde registerwaarde DefaultDomainSupportedEncTypes wordt het gedrag niet beïnvloed door deze wijzigingen. Een KDCSVC-gebeurtenis-id van een auditgebeurtenis: 205 kan echter worden geregistreerd in het systeemgebeurtenislogboek als de bestaande configuratie DefaultDomainSupportedEncTypes onveilig is.
Actie ondernemen
Om uw omgeving te beschermen en storingen te voorkomen, raden we u aan de volgende stappen uit te voeren:
-
UPDATE Microsoft Active Directory-domeincontrollers beginnen met Windows-updates die zijn uitgebracht op of na 13 januari 2026.
-
BEWAAK het systeemgebeurtenislogboek voor een van de 9 auditgebeurtenissen die zijn geregistreerd op Windows Server 2012 en nieuwere domeincontrollers die risico's identificeren met het inschakelen van RC4-beveiligingen.
-
VERZACHTEN KDCSVC-gebeurtenissen die zijn geregistreerd in het gebeurtenislogboek van het systeem, waardoor de handmatige of programmatische inschakeling van RC4-beveiligingen wordt voorkomen.
-
INSCHAKELEN Afdwingingsmodus voor het oplossen van beveiligingsproblemen die zijn opgelost in CVE-2026-20833 in uw omgeving wanneer waarschuwingen, blokkeringen of beleidsgebeurtenissen niet meer worden geregistreerd.
BELANGRIJK Als u updates installeert die zijn uitgebracht op of na 13 januari 2026, worden de beveiligingsproblemen die standaard worden beschreven in CVE-2026-20833 voor Active Directory-domeincontrollersNIET opgelost. Als u het beveiligingsprobleem volledig wilt beperken, moet u zo snel mogelijk op alle domeincontrollers overschakelen naar de modus Afgedwongen (beschreven in Stap 3).
Vanaf april 2026 wordt de afdwingingsmodus ingeschakeld op alle Windows-domeincontrollers en worden kwetsbare verbindingen van niet-compatibele apparaten geblokkeerd. Op dat moment kunt u de controle niet uitschakelen, maar kunt u teruggaan naar de instelling Controlemodus. De controlemodus wordt in juli 2026 verwijderd, zoals beschreven in de sectie Timing van updates , en de afdwingingsmodus wordt ingeschakeld op alle Windows-domeincontrollers en blokkeert kwetsbare verbindingen van niet-compatibele apparaten.
Als u RC4 na april 2026 wilt gebruiken, raden we u aan rc4 expliciet in te schakelen in het bitmasker msds-SupportedEncryptionTypes voor services die RC4-gebruik moeten accepteren.
Timing van updates
13 januari 2026 - Eerste implementatiefase
De eerste implementatiefase begint met de updates die zijn uitgebracht op en na 13 januari 2026 en gaat verder met latere Windows-updates tot de afdwingingsfase . Deze fase is bedoeld om klanten te waarschuwen voor nieuwe beveiligingshandhavingen die in de tweede implementatiefase worden geïntroduceerd. Deze update:
-
Biedt auditgebeurtenissen om klanten te waarschuwen die mogelijk negatief worden beïnvloed door de komende beveiligingsproblemen.
-
Introduceert de registerwaarde RC4DefaultDisablementPhase om de wijziging proactief in te schakelen door de waarde in te stellen op 2 op domeincontrollers wanneer KDCSVC-auditgebeurtenissen aangeven dat dit veilig is.
April 2026 - Tweede implementatiefase
Deze update wijzigt de standaardwaarde DefaultDomainSupportedEncTypes voor KDC-bewerkingen om gebruik te maken van AES-SHA1 voor accounts waarvoor geen expliciet active directory-kenmerk msds-SupportedEncryptionTypes is gedefinieerd.
In deze fase wordt de standaardwaarde voor DefaultDomainSupportedEncTypes gewijzigd in alleen AES-SHA1: 0x18.
Juli 2026 - Afdwingingsfase
De Windows-updates die in of na juli 2026 zijn uitgebracht, zullen de ondersteuning voor de registersubsleutel RC4DefaultDisablementPhase verwijderen.
Implementatierichtlijnen
Voer de volgende stappen uit om de Windows-updates te implementeren die zijn uitgebracht op of na 13 januari 2026:
-
WERK uw domeincontrollers bij met een Windows-update die is uitgebracht op of na 13 januari 2026.
-
GEBEURTENISSEN BEWAKEN die zijn geregistreerd tijdens de eerste implementatiefase om uw omgeving te beveiligen.
-
Verplaats uw domeincontrollers naar de afdwingingsmodus met behulp van de sectie Registerinstellingen.
Stap 1: BIJWERKEN
Implementeer de Windows-update die is uitgebracht op of na 13 januari 2026 naar alle toepasselijke Windows Active Directory die wordt uitgevoerd als een domeincontroller na het implementeren van de update.
-
Controlegebeurtenissen worden weergegeven in systeemgebeurtenissenlogboeken als uw domeincontroller Kerberos-serviceticketaanvragen ontvangt waarvoor RC4-codering moet worden gebruikt, maar het serviceaccount een standaardversleutelingsconfiguratie heeft.
-
Controlegebeurtenissen worden vastgelegd in het gebeurtenislogboek van het systeem als uw domeincontroller een expliciete DefaultDomainSupportedEncTypes-configuratie heeft om RC4-versleuteling toe te staan.
Stap 2: BEWAKEN
Zodra domeincontrollers zijn bijgewerkt en u geen controlegebeurtenissen ziet, schakelt u over naar de afdwingingsmodus door de waarde RC4DefaultDisablementPhase te wijzigen in 2.
Als er controlegebeurtenissen worden gegenereerd, moet u RC4-afhankelijkheden verwijderen of de door Kerberos ondersteunde versleutelingstypen expliciet configureren. Vervolgens kunt u overschakelen naar de afdwingingsmodus .
Zie RC4-gebruik in Kerberos detecteren en herstellen voor meer informatie over het detecteren van RC4-gebruik in uw domein, het controleren van apparaat- en gebruikersaccounts die nog afhankelijk zijn van RC4 en het herstellen van stappen om het gebruik te herstellen ten gunste van sterkere versleutelingstypen of het beheren van RC4-afhankelijkheden.
Stap 3: INSCHAKELEN
Schakel de afdwingingsmodus in om de CVE-2026-20833-beveiligingsproblemen in uw omgeving aan te pakken.
-
Als een KDC wordt gevraagd om een RC4-serviceticket te verstrekken voor een account met standaardconfiguraties, wordt er een foutgebeurtenis geregistreerd.
-
Er wordt nog steeds een gebeurtenis-id: 205 geregistreerd voor een onveilige configuratie van DefaultDomainSupportedEncTypes.
Registerinstellingen
Nadat de Windows-updates die zijn uitgebracht op of na 13 januari 2026, zijn geïnstalleerd, is de volgende registersleutel beschikbaar voor het Kerberos-protocol.
Deze registersleutel wordt gebruikt om de implementatie van de Kerberos-wijzigingen te gateen. Deze registersleutel is tijdelijk en wordt niet meer gelezen na de afdwingingsdatum.
|
Registersleutel |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Gegevenstype |
REG_DWORD |
|
Waardenaam |
RC4DefaultDisablementPhase |
|
Waardegegevens |
0 – Geen controle, geen wijziging 1 - Waarschuwingsgebeurtenissen worden geregistreerd bij standaard RC4-gebruik. (Standaard fase 1) 2 : Kerberos gaat ervan uit dat RC4 niet standaard is ingeschakeld. (Standaard fase 2) |
|
Opnieuw opstarten vereist? |
Ja |
Controlegebeurtenissen
Nadat de Windows-updates die zijn uitgebracht op of na 13 januari 2026, zijn geïnstalleerd, worden de volgende auditgebeurtenistypen toegevoegd aan Windows Server 2012 en later uitgevoerd als een domeincontroller.
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kdcsvc |
|
Gebeurtenis-id |
201 |
|
Gebeurtenistekst |
Het sleuteldistributiecentrum heeft <coderingsnaam gedetecteerd> gebruik dat niet wordt ondersteund in de afdwingingsfase, omdat service msds-SupportedEncryptionTypes niet is gedefinieerd en de client alleen onveilige versleutelingstypen ondersteunt. Accountgegevens Accountnaam: <accountnaam> Opgegeven realmnaam: <opgegeven realmnaam> msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> Beschikbare sleutels: <beschikbare sleutels> Service-informatie: Servicenaam: <servicenaam> Service-id: <service-SID-> msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> Beschikbare sleutels: <Service Beschikbare sleutels> Domeincontrollergegevens: msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> Beschikbare sleutels: <domeincontroller beschikbare sleutels> Netwerkgegevens: Clientadres: <IP-adres van client> Clientpoort: <clientpoort> Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. |
|
Opmerkingen |
Gebeurtenis-id: 201 wordt geregistreerd als:
|
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kdcsvc |
|
Gebeurtenis-id |
202 |
|
Gebeurtenistekst |
Het sleuteldistributiecentrum heeft gedetecteerd <coderingsnaam> gebruik dat niet wordt ondersteund in de afdwingingsfase, omdat de service msds-SupportedEncryptionTypes niet is gedefinieerd en het serviceaccount alleen onveilige sleutels heeft. Accountgegevens Accountnaam: <accountnaam> Opgegeven realmnaam: <opgegeven realmnaam> msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> Beschikbare sleutels: <beschikbare sleutels> Service-informatie: Servicenaam: <servicenaam> Service-id: <service-SID-> msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> Beschikbare sleutels: <Service Beschikbare sleutels> Domeincontrollergegevens: msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> Beschikbare sleutels: <domeincontroller beschikbare sleutels> Netwerkgegevens: Clientadres: <IP-adres van client> Clientpoort: <clientpoort> Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. |
|
Opmerkingen |
Waarschuwingsgebeurtenis 202 wordt geregistreerd als:
|
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kdcsvc |
|
Gebeurtenis-id |
203 |
|
Gebeurtenistekst |
Het sleuteldistributiecentrum heeft het gebruik van codering geblokkeerd omdat service msds-SupportedEncryptionTypes niet is gedefinieerd en de client alleen onveilige versleutelingstypen ondersteunt. Accountgegevens Accountnaam: <accountnaam> Opgegeven realmnaam: <opgegeven realmnaam> msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> Beschikbare sleutels: <beschikbare sleutels> Service-informatie: Servicenaam: <servicenaam> Service-id: <service-SID-> msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> Beschikbare sleutels: <Service Beschikbare sleutels> Domeincontrollergegevens: msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> Beschikbare sleutels: <domeincontroller beschikbare sleutels> Netwerkgegevens: Clientadres: <IP-adres van client> Clientpoort: <clientpoort> Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. |
|
Opmerkingen |
Foutgebeurtenis 203 wordt geregistreerd als:
|
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kdcsvc |
|
Gebeurtenis-id |
204 |
|
Gebeurtenistekst |
Het sleuteldistributiecentrum heeft het gebruik van codering geblokkeerd omdat de service msds-SupportedEncryptionTypes niet is gedefinieerd en het serviceaccount alleen onveilige sleutels heeft. Accountgegevens Accountnaam: <accountnaam> Opgegeven realmnaam: <opgegeven realmnaam> msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> Beschikbare sleutels: <beschikbare sleutels> Service-informatie: Servicenaam: <servicenaam> Service-id: <service-SID-> msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> Beschikbare sleutels: <Service Beschikbare sleutels> Domeincontrollergegevens: msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> Beschikbare sleutels: <domeincontroller beschikbare sleutels> Netwerkgegevens: Clientadres: <IP-adres van client> Clientpoort: <clientpoort> Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. |
|
Opmerkingen |
Foutgebeurtenis 204 wordt geregistreerd als:
|
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kdcsvc |
|
Gebeurtenis-id |
205 |
|
Gebeurtenistekst |
Het Sleuteldistributiecentrum heeft expliciete codering gedetecteerd in de beleidsconfiguratie Standaarddomein ondersteunde versleutelingstypen. Codering(en): <ingeschakelde onveilige coderingen> DefaultDomainSupportedEncTypes: <configured DefaultDomainSupportedEncTypes value> Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. |
|
Opmerkingen |
Waarschuwingsgebeurtenis 205 wordt geregistreerd als:
|
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kdcsvc |
|
Gebeurtenis-id |
206 |
|
Gebeurtenistekst |
Het sleuteldistributiecentrum heeft <coderingsnaam gedetecteerd> gebruik dat niet wordt ondersteund in de afdwingingsfase omdat de service msds-SupportedEncryptionTypes is geconfigureerd om alleen AES-SHA1 te ondersteunen, maar de client AES-SHA1 niet adverteert Accountgegevens Accountnaam: <accountnaam> Opgegeven realmnaam: <opgegeven realmnaam> msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> Beschikbare sleutels: <beschikbare sleutels> Service-informatie: Servicenaam: <servicenaam> Service-id: <service-SID-> msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> Beschikbare sleutels: <Service Beschikbare sleutels> Domeincontrollergegevens: msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> Beschikbare sleutels: <domeincontroller beschikbare sleutels> Netwerkgegevens: Clientadres: <IP-adres van client> Clientpoort: <clientpoort> Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. |
|
Opmerkingen |
Waarschuwingsgebeurtenis 206 wordt geregistreerd als:
|
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kdcsvc |
|
Gebeurtenis-id |
207 |
|
Gebeurtenistekst |
Het sleuteldistributiecentrum heeft <coderingsnaam gedetecteerd> gebruik dat niet wordt ondersteund in de afdwingingsfase omdat service msds-SupportedEncryptionTypes is geconfigureerd om alleen AES-SHA1 te ondersteunen, maar het serviceaccount geen AES-SHA1-sleutels heeft. Accountgegevens Accountnaam: <accountnaam> Opgegeven realmnaam: <opgegeven realmnaam> msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> Beschikbare sleutels: <beschikbare sleutels> Service-informatie: Servicenaam: <servicenaam> Service-id: <service-SID-> msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> Beschikbare sleutels: <Service Beschikbare sleutels> Domeincontrollergegevens: msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> Beschikbare sleutels: <domeincontroller beschikbare sleutels> Netwerkgegevens: Clientadres: <IP-adres van client> Clientpoort: <clientpoort> Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. |
|
Opmerkingen |
Waarschuwingsgebeurtenis 207 wordt geregistreerd als:
|
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kdcsvc |
|
Gebeurtenis-id |
208 |
|
Gebeurtenistekst |
Het sleuteldistributiecentrum heeft opzettelijk het gebruik van codering geweigerd omdat service msds-SupportedEncryptionTypes is geconfigureerd om alleen AES-SHA1 te ondersteunen, maar de client AES-SHA1 niet adverteert Accountgegevens Accountnaam: <accountnaam> Opgegeven realmnaam: <opgegeven realmnaam> msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> Beschikbare sleutels: <beschikbare sleutels> Service-informatie: Servicenaam: <servicenaam> Service-id: <service-SID-> msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> Beschikbare sleutels: <Service Beschikbare sleutels> Domeincontrollergegevens: msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> Beschikbare sleutels: <domeincontroller beschikbare sleutels> Netwerkgegevens: Clientadres: <IP-adres van client> Clientpoort: <clientpoort> Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. |
|
Opmerkingen |
Foutgebeurtenis 208 wordt geregistreerd als:
|
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kdcsvc |
|
Gebeurtenis-id |
209 |
|
Gebeurtenistekst |
Het sleuteldistributiecentrum heeft het gebruik van codering met opzet geweigerd omdat service msds-SupportedEncryptionTypes is geconfigureerd om alleen AES-SHA1 te ondersteunen, maar het serviceaccount heeft geen AES-SHA1-sleutels Accountgegevens Accountnaam: <accountnaam> Opgegeven realmnaam: <opgegeven realmnaam> msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> Beschikbare sleutels: <beschikbare sleutels> Service-informatie: Servicenaam: <servicenaam> Service-id: <service-SID-> msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> Beschikbare sleutels: <Service Beschikbare sleutels> Domeincontrollergegevens: msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> Beschikbare sleutels: <domeincontroller beschikbare sleutels> Netwerkgegevens: Clientadres: <IP-adres van client> Clientpoort: <clientpoort> Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. |
|
Opmerkingen |
Foutgebeurtenis 209 wordt geregistreerd als:
|
Opmerking
Als u merkt dat een van deze waarschuwingsberichten is geregistreerd op een domeincontroller, is het waarschijnlijk dat alle domeincontrollers in uw domein niet up-to-date zijn met een Windows-update die is uitgebracht op of na 13 januari 2026. Om het beveiligingsprobleem te verhelpen, moet u uw domein verder onderzoeken om de domeincontrollers te vinden die niet up-to-date zijn.
Als u een gebeurtenis-id ziet: 0x8000002A aangemeld op een domeincontroller, raadpleegt u KB5021131: De kerberos-protocolwijzigingen beheren met betrekking tot CVE-2022-37966.
Veelgestelde vragen (FAQ)
Deze beveiliging is van invloed op Windows-domeincontrollers wanneer ze servicetickets uitgeven. De Kerberos-vertrouwens- en verwijzingsstroom wordt niet beïnvloed.
Domeinapparaten van derden die AES-SHA1 niet kunnen verwerken, moeten al expliciet zijn geconfigureerd om AES-SHA1 toe te staan.
Nee. We registreren waarschuwingsgebeurtenissen voor onveilige configuraties voor DefaultDomainSupportedEncTypes. Bovendien worden configuraties die expliciet door een klant zijn ingesteld, niet genegeerd.
Resources
KB5020805: Kerberos-protocolwijzigingen beheren met betrekking tot CVE-2022-37967
KB5021131: De kerberos-protocolwijzigingen beheren met betrekking tot CVE-2022-37966
