Van toepassing op
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Oorspronkelijke publicatiedatum: dinsdag 13 januari 2026

KB-id: 5073381

In dit artikel

Overzicht

Windows-updates die zijn uitgebracht op en na 13 januari 2026, bevatten beveiligingen voor een beveiligingsprobleem met het Kerberos-verificatieprotocol. De Windows-updates verhelpen een kwetsbaarheid voor het vrijgeven van informatie in CVE-2026-20833 waardoor een aanvaller servicetickets kan verkrijgen met zwakke of verouderde versleutelingstypen, zoals RC4, om offlineaanvallen uit te voeren om het wachtwoord van een serviceaccount te herstellen.

Om dit beveiligingsprobleem te verhelpen, wijzigen Windows-updates die zijn uitgebracht op en na 14 april 2026 de standaardwaarde van het Kerberos Key Distribution Center (KDC) voor DefaultDomainSupportedEncTypes, tenzij beheerders de afdwingingsmodus eerder inschakelen. Bijgewerkte domeincontrollers die worden uitgevoerd in de afdwingingsmodus, nemen alleen ondersteuning voor AES-versleutelingstypeconfiguraties (Advanced Encryption Standard) over als er geen expliciete configuratie is opgegeven. Zie Ondersteunde versleutelingstypen bitvlagmen voor meer informatie. De standaardwaarde voor DefaultDomainSupportedEncTypes is van toepassing als er geen expliciete waarde is.

Op domeincontrollers met een gedefinieerde registerwaarde DefaultDomainSupportedEncTypes wordt het gedrag niet beïnvloed door deze wijzigingen. Een KDCSVC-gebeurtenis-id van een auditgebeurtenis: 205 wordt echter geregistreerd in het systeemgebeurtenislogboek als de bestaande configuratie DefaultDomainSupportedEncTypes onveilig is (bijvoorbeeld wanneer een RC4-codering wordt gebruikt).

terug naar boven

Actie ondernemen

Om uw omgeving te beschermen en storingen te voorkomen, raden we u aan het volgende te doen: 

  • UPDATE Microsoft Active Directory-domeincontrollers beginnen met Windows-updates die zijn uitgebracht op of na 13 januari 2026.

  • BEWAak het systeemgebeurtenislogboek voor een van de negen KDCSVC 201 > 209 Auditgebeurtenissen die zijn geregistreerd op Windows Server 2012 en nieuwere domeincontrollers die risico's identificeren met rc4-beveiliging.

  • VERZACHTEN KDCSVC-gebeurtenissen die zijn geregistreerd in het gebeurtenislogboek van het systeem, waardoor de handmatige of programmatische inschakeling van RC4-beveiligingen wordt voorkomen.

  • INSCHAKELEN Afdwingingsmodus voor het oplossen van beveiligingsproblemen die zijn opgelost in CVE-2026-20833 in uw omgeving wanneer waarschuwingen, blokkeringen of beleidsgebeurtenissen niet meer worden geregistreerd.

BELANGRIJK Als u updates installeert die zijn uitgebracht op of na 13 januari 2026, worden de beveiligingsproblemen die standaard worden beschreven in CVE-2026-20833 voor Active Directory-domeincontrollersNIET opgelost. Als u het beveiligingsprobleem volledig wilt beperken, moet u de afdwingingsmodus (beschreven in Stap 3: ENABLE) handmatig inschakelen op alle domeincontrollers. De installatie van Windows Updates uitgebracht op en na juli 2026 zal de afdwingingsfase programmatisch inschakelen.

De afdwingingsmodus wordt automatisch ingeschakeld door het installeren van Windows Updates uitgebracht op of na april 2026 op alle Windows-domeincontrollers en zal kwetsbare verbindingen van niet-compatibele apparaten blokkeren.  Op dat moment kunt u de controle niet uitschakelen, maar kunt u teruggaan naar de instelling Controlemodus. De controlemodus wordt in juli 2026 verwijderd, zoals beschreven in de sectie Timing van updates , en de afdwingingsmodus wordt ingeschakeld op alle Windows-domeincontrollers en blokkeert kwetsbare verbindingen van niet-compatibele apparaten.

Als u RC4 na april 2026 wilt gebruiken, raden we u aan rc4 expliciet in te schakelen in het bitmasker msds-SupportedEncryptionTypes voor services die RC4-gebruik moeten accepteren. 

terug naar boven 

Timing van updates

13 januari 2026 - Eerste implementatiefase 

De eerste implementatiefase begint met de updates die zijn uitgebracht op en na 13 januari 2026 en gaat verder met latere Windows-updates tot de afdwingingsfase . Deze fase is bedoeld om klanten te waarschuwen voor nieuwe beveiligingshandhavingen die in de tweede implementatiefase worden geïntroduceerd. Deze update: 

  • Biedt auditgebeurtenissen om klanten te waarschuwen die mogelijk negatief worden beïnvloed door de komende beveiligingsproblemen.

  • Introduceert ondersteuning voor de registerwaarde RC4DefaultDisablementPhase nadat een beheerder de wijziging proactief inschakelt door de waarde in te stellen op 2 op domeincontrollers wanneer KDCSVC-auditgebeurtenissen aangeven dat dit veilig is.

14 april 2026 - Afdwingingsfase met handmatig terugdraaien 

Deze update wijzigt de standaardwaarde DefaultDomainSupportedEncTypes voor KDC-bewerkingen om gebruik te maken van AES-SHA1 voor accounts waarvoor geen expliciet active directory-kenmerk msds-SupportedEncryptionTypes is gedefinieerd. 

In deze fase wordt de standaardwaarde voor DefaultDomainSupportedEncTypes gewijzigd in alleen AES-SHA1: 0x18

Deze fase maakt ook de handmatige configuratie van de rc4DefaultDisablementPhase-terugdraaiwaarde mogelijk tot programmatisch afdwingen in juli 2026.

Juli 2026 - Afdwingingsfase 

De Windows-updates die in of na juli 2026 zijn uitgebracht, zullen de ondersteuning voor de registersubsleutel RC4DefaultDisablementPhase verwijderen. 

terug naar boven 

Implementatierichtlijnen

Voer de volgende stappen uit om de Windows-updates te implementeren die zijn uitgebracht op of na 13 januari 2026: 

  1. WERK uw domeincontrollers bij met een Windows-update die is uitgebracht op of na 13 januari 2026.

  2. GEBEURTENISSEN BEWAKEN die zijn geregistreerd tijdens de eerste implementatiefase om uw omgeving te beveiligen.

  3. Verplaats uw domeincontrollers naar de afdwingingsmodus met behulp van de sectie Registerinstellingen.

Stap 1: BIJWERKEN  

Implementeer de Windows-update die is uitgebracht op of na 13 januari 2026 naar alle toepasselijke Windows Active Directory die wordt uitgevoerd als een domeincontroller na het implementeren van de update.

  • Controlegebeurtenissen worden weergegeven in systeemgebeurtenissenlogboeken als uw Windows Server 2012 of latere domeincontrollers Kerberos-serviceticketaanvragen ontvangen waarvoor RC4-codering moet worden gebruikt, maar het serviceaccount een standaardversleutelingsconfiguratie heeft.

  • Auditgebeurtenis 205 wordt geregistreerd in het systeemgebeurtenislogboek als uw domeincontroller een expliciete DefaultDomainSupportedEncTypes-configuratie heeft om RC4-versleuteling toe te staan.

Stap 2: BEWAKEN

Zodra domeincontrollers zijn bijgewerkt en u geen controlegebeurtenissen ziet die in dit artikel worden beschreven, schakelt u over naar de afdwingingsmodus door de registerwaarde RC4DefaultDisablementPhase te wijzigen in 2.   

Als er controlegebeurtenissen worden gegenereerd, moet u RC4-afhankelijkheden verwijderen of het account msds-SupportedEncryptionTypes-kenmerk expliciet configureren om het voortgezette gebruik van RC4 te ondersteunen na de handmatige of automatische inschakeling van de afdwingingsmodus .

Voor beheerders die geïnteresseerd zijn in het herstellen van RC4-gebruik in bredere zin dan in dit artikel wordt besproken, raden we u aan RC4-gebruik in Kerberos detecteren en herstellen te raadplegen voor meer informatie.

BELANGRIJK Controlegebeurtenissen met betrekking tot deze wijziging worden alleen gegenereerd wanneer Active Directory geen AES-SHA1-servicetickets of sessiesleutels kan uitgeven. De afwezigheid van controlegebeurtenissen garandeert niet dat alle niet-Windows-apparaten Kerberos-verificatie na de update van april accepteren. Klanten moeten niet-Windows-interoperabiliteit valideren door middel van tests voordat ze dit gedrag in grote lijnen mogelijk maken.

Stap 3: INSCHAKELEN

Schakel de afdwingingsmodus in om de CVE-2026-20833-beveiligingsproblemen in uw omgeving aan te pakken. 

  • Als een KDC wordt gevraagd om een RC4-serviceticket te verstrekken voor een account met standaardconfiguraties, wordt er een foutgebeurtenis geregistreerd.

  • Er wordt nog steeds een gebeurtenis-id: 205 geregistreerd voor een onveilige configuratie van DefaultDomainSupportedEncTypes.

terug naar boven 

Registerinstellingen

Nadat de Windows-updates die zijn uitgebracht op of na 13 januari 2026, zijn geïnstalleerd, is de volgende registersleutel beschikbaar voor het Kerberos-protocol.

RC4DefaultDisablementPhase

Deze registersleutel wordt gebruikt om de implementatie van de Kerberos-wijzigingen te gateen. Deze registersleutel is tijdelijk en wordt niet meer gelezen na de afdwingingsdatum.

Registersleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Gegevenstype

REG_DWORD

Waardenaam

RC4DefaultDisablementPhase

Waardegegevens

0 – Geen controle, geen wijziging 

1 - Waarschuwingsgebeurtenissen worden geregistreerd bij standaard RC4-gebruik. (Standaard fase 1) 

2 : Kerberos gaat ervan uit dat RC4 niet standaard is ingeschakeld.  (Standaard fase 2) 

Opnieuw opstarten vereist?

Ja

terug naar boven 

Controlegebeurtenissen

Nadat de Windows-updates die zijn uitgebracht op of na 13 januari 2026, zijn geïnstalleerd, worden de volgende KSCSVC-auditgebeurtenistypen toegevoegd aan het systeemgebeurtenislogboek van Windows Server 2012 en later worden uitgevoerd als een domeincontroller.

In deze sectie

terug naar boven 

Gebeurtenis-id: 201

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

201

Gebeurtenistekst

Het sleuteldistributiecentrum heeft <coderingsnaam gedetecteerd> gebruik dat niet wordt ondersteund in de afdwingingsfase, omdat service msds-SupportedEncryptionTypes niet is gedefinieerd en de client alleen onveilige versleutelingstypen ondersteunt. 

Accountgegevens 

    Accountnaam: <accountnaam> 

    Opgegeven realmnaam: <opgegeven realmnaam> 

    msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <beschikbare sleutels> 

Service-informatie: 

    Servicenaam: <servicenaam> 

    Service-id: <service-SID-> 

    msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <Service Beschikbare sleutels> 

Domeincontrollergegevens: 

    msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> 

    DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> 

    Beschikbare sleutels: <domeincontroller beschikbare sleutels> 

Netwerkgegevens: 

    Clientadres: <IP-adres van client> 

    Clientpoort: <clientpoort> 

    Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> 

Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. 

Opmerkingen

Gebeurtenis-id: 201 wordt geregistreerd als:

  • De client adverteert alleen RC4 als een geadvertentiede Etypes

  • De doelservice heeft GEEN msds-SET gedefinieerd

  • DDSET is NIET gedefinieerd op de domeincontroller

  • De registerwaarde RC4DefaultDisablementPhase is ingesteld op 1

  • Waarschuwingsgebeurtenis 201 gaat over naar foutgebeurtenis 203 in de afdwingingsmodus

  • Deze gebeurtenis wordt per aanvraag geregistreerd

  • Waarschuwingsgebeurtenis 201 wordt NIET geregistreerd als DefaultDomainSupportedEncTypes handmatig is gedefinieerd

terug naar Controlegebeurtenissen 

Gebeurtenis-id: 202

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

202

Gebeurtenistekst

Het sleuteldistributiecentrum heeft gedetecteerd <coderingsnaam> gebruik dat niet wordt ondersteund in de afdwingingsfase, omdat de service msds-SupportedEncryptionTypes niet is gedefinieerd en het serviceaccount alleen onveilige sleutels heeft.  

Accountgegevens 

    Accountnaam: <accountnaam> 

    Opgegeven realmnaam: <opgegeven realmnaam> 

    msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <beschikbare sleutels> 

Service-informatie: 

    Servicenaam: <servicenaam> 

    Service-id: <service-SID-> 

    msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <Service Beschikbare sleutels> 

Domeincontrollergegevens: 

    msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> 

    DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> 

    Beschikbare sleutels: <domeincontroller beschikbare sleutels> 

Netwerkgegevens: 

    Clientadres: <IP-adres van client> 

    Clientpoort: <clientpoort> 

    Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> 

Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. 

Opmerkingen

Waarschuwingsgebeurtenis 202 wordt geregistreerd als:

  • De doelservice heeft geen AES-sleutels

  • De doelservice heeft GEEN msds-SET gedefinieerd

  • DDSET is NIET gedefinieerd op de domeincontroller

  • De registerwaarde RC4DefaultDisablementPhase is ingesteld op 1

  • Foutgebeurtenis 202 gaat over naar fout 204 in de afdwingingsmodus

  • Waarschuwingsgebeurtenis 202 wordt per aanvraag geregistreerd

  • Waarschuwingsgebeurtenis 202 wordt NIET geregistreerd als DefaultDomainSupportedEncTypes handmatig is gedefinieerd

terug naar Controlegebeurtenissen 

Gebeurtenis-id: 203

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

203

Gebeurtenistekst

Het sleuteldistributiecentrum heeft het gebruik van codering geblokkeerd omdat service msds-SupportedEncryptionTypes niet is gedefinieerd en de client alleen onveilige versleutelingstypen ondersteunt. 

Accountgegevens 

    Accountnaam: <accountnaam> 

    Opgegeven realmnaam: <opgegeven realmnaam> 

    msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <beschikbare sleutels> 

Service-informatie: 

    Servicenaam: <servicenaam> 

    Service-id: <service-SID-> 

    msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <Service Beschikbare sleutels> 

Domeincontrollergegevens: 

    msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> 

    DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> 

    Beschikbare sleutels: <domeincontroller beschikbare sleutels> 

Netwerkgegevens: 

    Clientadres: <IP-adres van client> 

    Clientpoort: <clientpoort> 

    Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> 

Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. 

Opmerkingen

Foutgebeurtenis 203 wordt geregistreerd als:

  • De client adverteert alleen RC4 als een geadvertentiede Etypes

  • De doelservice heeft GEEN msds-SET gedefinieerd

  • DDSET is NIET gedefinieerd op de domeincontroller

  • De registerwaarde RC4DefaultDisablementPhase is ingesteld op 2

  • Per aanvraag

terug naar Controlegebeurtenissen 

Gebeurtenis-id: 204

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

204

Gebeurtenistekst

Het sleuteldistributiecentrum heeft het gebruik van codering geblokkeerd omdat de service msds-SupportedEncryptionTypes niet is gedefinieerd en het serviceaccount alleen onveilige sleutels heeft.  

Accountgegevens 

    Accountnaam: <accountnaam> 

    Opgegeven realmnaam: <opgegeven realmnaam> 

    msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <beschikbare sleutels> 

Service-informatie: 

    Servicenaam: <servicenaam> 

    Service-id: <service-SID-> 

    msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <Service Beschikbare sleutels> 

Domeincontrollergegevens: 

    msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> 

    DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> 

    Beschikbare sleutels: <domeincontroller beschikbare sleutels> 

Netwerkgegevens: 

    Clientadres: <IP-adres van client> 

    Clientpoort: <clientpoort> 

    Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> 

Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. 

Opmerkingen

Foutgebeurtenis 204 wordt geregistreerd als:

  • De doelservice heeft geen AES-sleutels

  • De doelservice heeft GEEN msds-SET gedefinieerd

  • DDSET is NIET gedefinieerd op de domeincontroller

  • De registerwaarde RC4DefaultDisablementPhase is ingesteld op 2

  • Per aanvraag

terug naar Controlegebeurtenissen 

Gebeurtenis-id: 205

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

205

Gebeurtenistekst

Het Sleuteldistributiecentrum heeft expliciete codering gedetecteerd in de beleidsconfiguratie Standaarddomein ondersteunde versleutelingstypen. 

Codering(en): <ingeschakelde onveilige coderingen> 

DefaultDomainSupportedEncTypes: <configured DefaultDomainSupportedEncTypes value> 

Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie.

Opmerkingen

Waarschuwingsgebeurtenis 205 wordt geregistreerd als:

  • De domeincontroller HEEFT DDSET gedefinieerd voor alles behalve AES-SHA1.

  • De registerwaarde RC4DefaultDisablementPhase is ingesteld op 1, 2

  • Dit verandert NOOIT in een fout

  • Doel is om de klant bewust te maken van onveilig gedrag dat we niet zullen veranderen

  • Elke keer geregistreerd aan het begin van de KDCSVC

terug naar Controlegebeurtenissen 

Gebeurtenis-id: 206

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

206

Gebeurtenistekst

Het sleuteldistributiecentrum heeft <coderingsnaam gedetecteerd> gebruik dat niet wordt ondersteund in de afdwingingsfase omdat de service msds-SupportedEncryptionTypes is geconfigureerd om alleen AES-SHA1 te ondersteunen, maar de client AES-SHA1 niet adverteert 

Accountgegevens 

    Accountnaam: <accountnaam> 

    Opgegeven realmnaam: <opgegeven realmnaam> 

    msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <beschikbare sleutels> 

Service-informatie: 

    Servicenaam: <servicenaam> 

    Service-id: <service-SID-> 

    msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <Service Beschikbare sleutels> 

Domeincontrollergegevens: 

    msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> 

    DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> 

    Beschikbare sleutels: <domeincontroller beschikbare sleutels> 

Netwerkgegevens: 

    Clientadres: <IP-adres van client> 

    Clientpoort: <clientpoort> 

    Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> 

Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. 

Opmerkingen

Waarschuwingsgebeurtenis 206 wordt geregistreerd als:

  • De client adverteert alleen RC4 als een geadvertentiede Etypes

  • Een van de volgende handelingen treedt op:

    • De doelservice HEEFT msds-SET gedefinieerd op alleen AES-SHA1

    • De domeincontroller HEEFT DDSET gedefinieerd voor alleen AES-SHA1

  • De registerwaarde RC4DefaultDisablementPhase is ingesteld op 1

  • Waarschuwingsevenement 2016 gaat over naar fout gebeurtenis 2018 in de afdwingingsmodus

  • Geregistreerd op basis van een aanvraag

terug naar Controlegebeurtenissen 

Gebeurtenis-id: 207

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

207

Gebeurtenistekst

Het sleuteldistributiecentrum heeft <coderingsnaam gedetecteerd> gebruik dat niet wordt ondersteund in de afdwingingsfase omdat service msds-SupportedEncryptionTypes is geconfigureerd om alleen AES-SHA1 te ondersteunen, maar het serviceaccount geen AES-SHA1-sleutels heeft.  

Accountgegevens 

    Accountnaam: <accountnaam> 

    Opgegeven realmnaam: <opgegeven realmnaam> 

    msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <beschikbare sleutels> 

Service-informatie: 

    Servicenaam: <servicenaam> 

    Service-id: <service-SID-> 

    msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <Service Beschikbare sleutels> 

Domeincontrollergegevens: 

    msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> 

    DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> 

    Beschikbare sleutels: <domeincontroller beschikbare sleutels> 

Netwerkgegevens: 

    Clientadres: <IP-adres van client> 

    Clientpoort: <clientpoort> 

    Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> 

Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. 

Opmerkingen

Waarschuwingsgebeurtenis 207 wordt geregistreerd als:

  • De doelservice heeft geen AES-sleutels

  • Een van de volgende handelingen treedt op:

    • De doelservice HEEFT msds-SET gedefinieerd op alleen AES-SHA1

    • De domeincontroller HEEFT DDSET gedefinieerd voor alleen AES-SHA1

  • De registerwaarde RC4DefaultDisablementPhase is ingesteld op 1

  • Dit verandert in 209 (fout) in de afdwingingsmodus

  • Per aanvraag

terug naar Controlegebeurtenissen 

Gebeurtenis-id: 208

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

208

Gebeurtenistekst

Het sleuteldistributiecentrum heeft opzettelijk het gebruik van codering geweigerd omdat service msds-SupportedEncryptionTypes is geconfigureerd om alleen AES-SHA1 te ondersteunen, maar de client AES-SHA1 niet adverteert 

Accountgegevens 

    Accountnaam: <accountnaam> 

    Opgegeven realmnaam: <opgegeven realmnaam> 

    msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <beschikbare sleutels> 

Service-informatie: 

    Servicenaam: <servicenaam> 

    Service-id: <service-SID-> 

    msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <Service Beschikbare sleutels> 

Domeincontrollergegevens: 

    msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> 

    DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> 

    Beschikbare sleutels: <domeincontroller beschikbare sleutels> 

Netwerkgegevens: 

    Clientadres: <IP-adres van client> 

    Clientpoort: <clientpoort> 

    Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> 

Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. 

Opmerkingen

Foutgebeurtenis 208 wordt geregistreerd als:

  • De client adverteert alleen RC4 als een geadvertentiede Etypes

  • EIther van de volgende treedt op:

    • De doelservice HEEFT msds-SET gedefinieerd op alleen AES-SHA1

    • De domeincontroller HEEFT DDSET gedefinieerd voor alleen AES-SHA1

  • De registerwaarde RC4DefaultDisablementPhase is ingesteld op 2

  • Per aanvraag

terug naar Controlegebeurtenissen 

Gebeurtenis-id: 209

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

209

Gebeurtenistekst

Het sleuteldistributiecentrum heeft het gebruik van codering met opzet geweigerd omdat service msds-SupportedEncryptionTypes is geconfigureerd om alleen AES-SHA1 te ondersteunen, maar het serviceaccount heeft geen AES-SHA1-sleutels 

Accountgegevens 

    Accountnaam: <accountnaam> 

    Opgegeven realmnaam: <opgegeven realmnaam> 

    msds-SupportedEncryptionTypes: <Ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <beschikbare sleutels> 

Service-informatie: 

    Servicenaam: <servicenaam> 

    Service-id: <service-SID-> 

    msds-SupportedEncryptionTypes: <service ondersteunde versleutelingstypen> 

    Beschikbare sleutels: <Service Beschikbare sleutels> 

Domeincontrollergegevens: 

    msds-SupportedEncryptionTypes: <domeincontroller ondersteunde versleutelingstypen> 

    DefaultDomainSupportedEncTypes: <waarde voor DefaultDomainSupportedEncTypes> 

    Beschikbare sleutels: <domeincontroller beschikbare sleutels> 

Netwerkgegevens: 

    Clientadres: <IP-adres van client> 

    Clientpoort: <clientpoort> 

    Geadvertentie etypes: <geadvertentie kerberos-versleutelingstypen> 

Zie https://go.microsoft.com/fwlink/?linkid=2344614 voor meer informatie. 

Opmerkingen

Foutgebeurtenis 209 wordt geregistreerd als:

  • De doelservice heeft geen AES-sleutels

  • Een van de volgende handelingen treedt op:

    • De doelservice HEEFT msds-SET gedefinieerd op alleen AES-SHA1

    • De domeincontroller HEEFT DDSET gedefinieerd voor alleen AES-SHA1

  • De registerwaarde RC4DefaultDisablementPhase is ingesteld op 2

  • Per aanvraag

terug naar Controlegebeurtenissen

Opmerking

Met betrekking tot impliciete wijzigingen in de selectie van de versleuteling van servicetickets heeft Microsoft beperkte zichtbaarheid in de redenen waarom een niet-Windows-apparaat kerberos-verificatie mogelijk niet kan accepteren nadat KDC's de update van april toepassen en overstappen op standaard AES-SHA1-gedrag wanneer dit niet is opgegeven. We raden u aan deze wijzigingen te valideren door middel van tests in uw eigen omgeving voordat u dit gedrag breed inschakelt.

De meest voorkomende plaats waar dit wordt aangetroffen, is met apparaten die gebruikmaken van Kerberos Keytabs. Als de Kerberos Keytab alleen is geëxporteerd met RC4-sleutels, maar het doelserviceaccount AES-SHA1-sleutels heeft en geen msds-SupportedEncryptionTypes gedefinieerd, is er een mogelijkheid van een verificatiefout voor deze service. Dit zal zich waarschijnlijk manifesteren in de vorm van verificatiefouten van de doelservice in plaats van van de KDC. 

Onze primaire aanbeveling is om te werken met de leverancier van het niet-Windows-apparaat. Over het algemeen zijn fouten van niet-Windows-apparaten om Kerberos-verificatie te accepteren niet uniek voor de wijzigingen in april en kunnen deze worden veroorzaakt door apparaatspecifieke of implementatiespecifieke beperkingen.

Als er na deze wijziging kerberos-verificatieproblemen worden waargenomen met niet-Windows-apparaten en herstel van de leverancier niet haalbaar is, zijn onze aanbevelingen als volgt:

  • Definieer in het betrokken serviceaccount expliciet msDS-SupportedEncryptionTypes om RC4 met AES-sessiesleutels (0x24) op te nemen.

  • Als dit niet haalbaar is, configureert u als laatste redmiddel de registerwaarde DefaultDomainSupportedEncTypes handmatig op alle relevante KDC's om RC4 met AES-SHA1-sessiesleutels (0x24) op te nemen. Houd er rekening mee dat alle accounts in het domein kwetsbaar zijn voor CVE-2026-20833.

Het is belangrijk om te weten dat deze configuratie onveilig is en onze langetermijnaanbeveling is om niet-Windows-apparaten te migreren naar versies die AES-SHA1 Kerberos-ticketversleuteling ondersteunen.

terug naar Controlegebeurtenissen

Veelgestelde vragen (FAQ)

V1: Hoe werkt deze wijziging met domeinen met KDC's van derden?

Deze wijziging in beveiliging is alleen van invloed op Windows-domeincontrollers. De Kerberos-vertrouwens- en verwijzingsstroom met andere Windows-domeincontrollers of KDC's van derden wordt niet beïnvloed.

V2: Hoe werkt deze wijziging met domeinen met niet-Windows-domeinapparaten?

Domeinapparaten van derden die AES-SHA1-versleuteling niet kunnen verwerken, moeten al expliciet zijn geconfigureerd om RC4-versleuteling toe te staan. Services die geen AES-SHA1-tickets kunnen verwerken, moeten worden opgelost of expliciet worden geconfigureerd in Active Diretory om RC4-versleuteling te bieden, zoals hierboven vermeld. Valideer deze wijzigingen grondig. 

V3: Verwijdert Microsoft de mogelijkheid om DefaultDomainSupportedEncTypes te configureren?

Nee. We registreren waarschuwingsgebeurtenissen voor onveilige configuraties voor DefaultDomainSupportedEncTypes. Daarnaast wordt elke configuratie die expliciet door een beheerder is ingesteld, uitgevoerd.

terug naar boven 

Resources

terug naar boven 

Wijzigingslogboek

Datum wijzigen

Beschrijving wijzigen

14 april 2026

  • De datum van april 2026 is bijgewerkt om de werkelijke datum van de release voor de 'Afdwingingsfase met handmatig terugdraaien' weer te geven.

  • Kerberos KDC gedefinieerd in de eerste zin van de tweede alinea van de sectie 'Samenvatting'.Van: Om dit beveiligingsprobleem te verhelpen, wordt de standaardwaarde van DefaultDomainSupportedEncTypes gewijzigd door Windows Updates uitgebracht op en na 14 april 2026 of beheerders die de afdwingingsmodus vroeg inschakelen.Aan: Om dit beveiligingsprobleem te verhelpen, wijzigen Windows-updates die zijn uitgebracht op en na 14 april 2026 de standaardwaarde van het Kerberos Key Distribution Center (KDC) voor DefaultDomainSupportedEncTypes, tenzij beheerders de afdwingingsmodus eerder inschakelen.

dinsdag 7 april 2026

  • De tweede alinea in de sectie 'Samenvatting' voor de duidelijkheid opnieuw opgegeven.

  • Plaats de opmerking BELANGRIJK in de sectie 'Stap 2: CONTROLEREN' om het belang ervan te benadrukken. Let op de BELANGRIJKE opmerking.

  • Er is een nieuwe tweede alinea toegevoegd aan de opmerking boven de sectie Veelgestelde vragen.

dinsdag 16 maart 2026

  • Herformuleerd voor de duidelijkheid 'Stap 2: MONITOR' in de sectie Implementatierichtlijnen.

  • Het antwoord op de vraag 'Hoe werkt deze wijziging met domeinen die niet-Windows-domeinapparaten zijn? Veelgestelde vragen. Er is een speciale opmerking toegevoegd over de gevolgen van deze wijzigingen voor niet-Windows-services.

dinsdag 10 februari 2026

  • De documentatiekoppeling toegevoegd aan de exemplaren van DefaultDomainSupportedEncTypes.

  • De tekst van het tweede opsommingsteken in de sectie Stap3: Inschakelen is gecorrigeerd.Van: Introduceert de registerwaarde RC4DefaultDisablementPhase om de wijziging proactief in te schakelen door de waarde in te stellen op 2 op domeincontrollers wanneer KDCSVC-auditgebeurtenissen aangeven dat dit veilig is.Aan: Introduceert ondersteuning voor de registerwaarde RC4DefaultDisablementPhase nadat een beheerder de wijziging proactief inschakelt door de waarde in te stellen op 2 op domeincontrollers wanneer KDCSVC-auditgebeurtenissen aangeven dat dit veilig is.

  • Onder de belangrijke opmerking in de sectie Actie ondernemen is de eerste zin van de alinea gewijzigd om ongeveer aan te geven wanneer de afdwingingsmodus wordt ingeschakeld.Van: Vanaf april 2026 wordt de afdwingingsmodus ingeschakeld op alle Windows-domeincontrollers en worden kwetsbare verbindingen van niet-compatibele apparaten geblokkeerd.Aan: De afdwingingsmodus wordt automatisch ingeschakeld door het installeren van Windows Updates uitgebracht op of na april 2026 op alle Windows-domeincontrollers en zal kwetsbare verbindingen van niet-compatibele apparaten blokkeren.

  • Tekst toegevoegd om te vermelden dat deze wijziging is aangebracht door Windows Updates uitgebracht op en na 13 januari 2026 en CVE-2026-20833.

terug naar boven 

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum