Oryginalna data publikacji: 13 stycznia 2026 r.
Identyfikator bazy wiedzy: 5073381
W tym artykule
Podsumowanie
Aktualizacje systemu Windows wydane 13 stycznia 2026 r. zawierają zabezpieczenia przed luką w zabezpieczeniach związaną z protokołem uwierzytelniania Kerberos. Aktualizacje systemu Windows usuwają lukę w zabezpieczeniach cve-2026-20833 , która może umożliwić osobie atakującej uzyskanie biletów usługowych o słabych lub starszych typach szyfrowania, takich jak RC4, na przeprowadzanie ataków w trybie offline w celu odzyskania hasła do konta usługi.
Aby ograniczyć tę lukę w zabezpieczeniach, aktualizacje systemu Windows wydane 14 kwietnia 2026 r. zmieniają wartość domyślną Centrum dystrybucji kluczy Kerberos (KDC) dla wartości domyślnej DefaultDomainSupportedEncTypes, chyba że administratorzy włączą wcześniej tryb wymuszania. Zaktualizowane kontrolery domeny działające w trybie wymuszania zakładają obsługę konfiguracji typu szyfrowania Advanced Encryption Standard (AES), jeśli nie określono jawnej konfiguracji. Aby uzyskać więcej informacji, zobacz Obsługiwane typy szyfrowania — flagi bitowe. Wartość domyślna argumentu DefaultDomainSupportedEncTypes ma zastosowanie w przypadku braku wartości jawnej.
Na kontrolerach domeny ze zdefiniowaną wartością rejestru DefaultDomainSupportedEncTypes te zmiany nie będą działać. Jednak zdarzenie inspekcji identyfikator zdarzenia KDCSVC: 205 będzie rejestrowane w dzienniku zdarzeń systemowych, jeśli istniejąca konfiguracja DefaultDomainSupportedEncTypes jest niebezpieczna (na przykład gdy jest używany szyfrowanie RC4).
Aktywne działanie
Aby chronić środowisko i zapobiec awariom, zalecamy:
-
AKTUALIZACJI Kontrolery domeny usługi Microsoft Active Directory, począwszy od aktualizacji systemu Windows wydanych 13 stycznia 2026 r. lub później.
-
MONITORUJ dziennik zdarzeń systemowych dla dowolnego z dziewięciu zdarzeń inspekcji KDCSVC 201 > 209 zalogowanych na Windows Server 2012 i nowszych kontrolerach domeny identyfikujących zagrożenia z włączeniem ochrony RC4.
-
ZŁAGODZENIA Zdarzenia KDCSVC zarejestrowane w dzienniku zdarzeń systemowych uniemożliwiające ręczne lub programowe włączenie zabezpieczeń RC4.
-
WŁĄCZYĆ Tryb wymuszania eliminujący luki w zabezpieczeniach opisane w cve-2026-20833 w środowisku, gdy nie są już rejestrowane ostrzeżenia, blokowanie lub zdarzenia zasad.
WAŻNE Instalowanie aktualizacji wydanych 13 stycznia 2026 r. w okresie od 13 stycznia 2026 r . NIE będzie uwzględniać domyślnie luk opisanych w cve-2026-20833 dla kontrolerów domeny usługi Active Directory. Aby całkowicie ograniczyć lukę w zabezpieczeniach, należy ręcznie włączyć tryb wymuszenia (opisany w kroku 3: WŁĄCZ) na wszystkich kontrolerach domeny. Instalacja systemu Windows Aktualizacje wydana w lipcu 2026 r. i po tej dacie programowo włączy fazę wymuszania.
Tryb wymuszania zostanie automatycznie włączony przez zainstalowanie systemu Windows Aktualizacje wydanego w kwietniu 2026 r. lub później na wszystkich kontrolerach domeny systemu Windows i zablokuje wrażliwe połączenia z urządzeń niezgodnych. W tym czasie nie będzie można wyłączyć inspekcji, ale może wrócić do ustawienia trybu inspekcji. Tryb inspekcji zostanie usunięty w lipcu 2026 r., zgodnie z opisem w sekcji Chronometraż aktualizacji , a tryb wymuszania zostanie włączony na wszystkich kontrolerach domeny systemu Windows i zablokuje wrażliwe połączenia z urządzeń niezgodnych.
Jeśli chcesz wykorzystać RC4 po kwietniu 2026 r., zalecamy jawne włączenie RC4 w maskach bitowych msds-SupportedEncryptionTypes w usługach, które będą musiały zaakceptować użycie RC4.
Chronometraż aktualizacji
13 stycznia 2026 r. — początkowa faza wdrażania
Początkowa faza wdrażania rozpoczyna się od aktualizacji wydanych 13 stycznia 2026 r. i po tej aktualizacji, a następnie do fazy wymuszania . Ta faza ma ostrzegać klientów o nowych wymuszaniach zabezpieczeń, które zostaną wprowadzone w drugiej fazie wdrażania. Ta aktualizacja:
-
Udostępnia zdarzenia inspekcji, aby ostrzegać klientów, którzy mogą mieć negatywny wpływ na nadchodzące zaostrzenie zabezpieczeń.
-
Wprowadzenie obsługi wartości rejestru RC4DefaultDisablementPhase po tym, jak administrator aktywnie włączy tę zmianę, ustawiając wartość na wartość 2 na kontrolerach domeny, gdy zdarzenia inspekcji KDCSVC wskazują, że jest to bezpieczne.
14 kwietnia 2026 r. — faza wymuszania z ręcznym wycofaniem
Ta aktualizacja zmienia domyślną wartość DefaultDomainSupportedEncTypes dla operacji usługi łączności danych biznesowych w celu wykorzystania AES-SHA1 dla kont, dla których nie zdefiniowano jawnego atrybutu msds-SupportedEncryptionTypes usługi Active Directory.
Ta faza zmienia wartość domyślną właściwości DefaultDomainSupportedEncTypes tylko na wartość AES-SHA1: 0x18.
Ta faza umożliwia również ręczną konfigurację wartości wycofania RC4DefaultDisablementPhase do czasu wykonania programowego w lipcu 2026 r.
Lipiec 2026 r. — faza wymuszania
Aktualizacje systemu Windows wydane w lipcu 2026 r. lub później usuną obsługę podklucza rejestru RC4DefaultDisablementPhase.
Wskazówki dotyczące wdrażania
Aby wdrożyć aktualizacje systemu Windows wydane 13 stycznia 2026 r. lub później, wykonaj następujące czynności:
-
Zaktualizuj kontrolery domeny za pomocą aktualizacji systemu Windows wydanej 13 stycznia 2026 r. lub później.
-
Monitoruj zdarzenia zarejestrowane w początkowej fazie wdrażania, aby zabezpieczyć środowisko.
-
Przenieś kontrolery domeny do trybu wymuszania za pomocą sekcji Ustawienia rejestru.
Krok 1. AKTUALIZACJA
Zainstaluj aktualizację systemu Windows wydaną 13 stycznia 2026 r. lub później we wszystkich odpowiednich usługach Windows Active Directory działających jako kontroler domeny po wdrożeniu aktualizacji.
-
Zdarzenia inspekcji będą wyświetlane w dziennikach zdarzeń systemu, jeśli kontrolery domeny Windows Server 2012 lub nowsze otrzymują żądania biletów usługi Kerberos, które wymagają użycia szyfrowania RC4, ale konto usługi ma domyślną konfigurację szyfrowania.
-
Zdarzenie inspekcji 205 zostanie zarejestrowane w dzienniku zdarzeń systemu, jeśli kontroler domeny ma jawną konfigurację DefaultDomainSupportedEncTypes , aby umożliwić szyfrowanie RC4.
Krok 2. MONITOR
Jeśli po zaktualizowaniu kontrolerów domeny nie widzisz zdarzeń inspekcji opisanych w tym artykule, przełącz się na tryb wymuszania , zmieniając wartość rejestru RC4DefaultDisablementPhase na 2.
Jeśli są generowane zdarzenia inspekcji, należy albo usunąć współzależności RC4 lub jawnie skonfigurować atrybut msds-SupportedEncryptionTypes kont w celu obsługi dalszego używania RC4 po ręcznym lub automatycznym włączeniu trybu wymuszania .
W przypadku administratorów, którzy są zainteresowani rozwiązywaniem problemów z użyciem protokołu RC4 szerzej niż opisano w tym artykule, zalecamy zapoznanie się z tematem Wykrywanie i korygowanie użycia RC4 w kerberos, aby uzyskać więcej informacji.
WAŻNE Zdarzenia inspekcji związane z tą zmianą są generowane tylko wtedy, gdy usługa Active Directory nie może wystawić biletów usługi AES-SHA1 ani kluczy sesji. Brak zdarzeń inspekcji nie gwarantuje, że wszystkie urządzenia spoza systemu Windows pomyślnie zaakceptują uwierzytelnianie Kerberos po kwietniowej aktualizacji. Klienci powinni zweryfikować współdziałanie systemów innych niż Windows poprzez testowanie przed ogólnym włączeniem tego zachowania.
Krok 3. WŁĄCZANIE
Włącz tryb wymuszania , aby usunąć luki CVE-2026-20833 w środowisku.
-
W przypadku żądania udostępnienia biletu usługi RC4 dla konta z konfiguracjami domyślnymi zostanie zarejestrowane zdarzenie błędu.
-
Będzie nadal wyświetlany identyfikator zdarzenia: 205 rejestrowane dla wszelkich niezabezpieczonych konfiguracji DefaultDomainSupportedEncTypes.
Ustawienia rejestru
Po zainstalowaniu aktualizacji systemu Windows, które zostały wydane 13 stycznia 2026 r. lub później, dla protokołu Kerberos jest dostępny następujący klucz rejestru.
RC4DefaultDisablementPhase
Ten klucz rejestru służy do bramy wdrażania zmian Kerberos. Ten klucz rejestru jest tymczasowy i nie będzie już odczytywany po dacie wykonania.
|
Klucz rejestru |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Typ danych |
REG_DWORD |
|
Nazwa wartości |
RC4DefaultDisablementPhase |
|
Dane wartości |
0 — Brak inspekcji, brak zmian 1 . Zdarzenia ostrzegawcze zostaną zarejestrowane przy domyślnym użyciu RC4. (Domyślna faza 1) 2 — Protokół Kerberos rozpocznie się przy założeniu, że RC4 nie jest domyślnie włączony. (Domyślna faza 2) |
|
Wymagane jest ponowne uruchomienie komputera? |
Tak |
Inspekcja zdarzeń
Po zainstalowaniu aktualizacji systemu Windows, które zostały wydane 13 stycznia 2026 r. lub później, następujące typy zdarzeń inspekcji KSCSVC są dodawane do dziennika zdarzeń systemu Windows Server 2012, a następnie uruchomione jako kontroler domeny.
W tej sekcji
Identyfikator zdarzenia: 201
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
201 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło użycie <nazwa szyfrowania> użycia, które nie będzie obsługiwane w fazie wymuszania, ponieważ nie zdefiniowano typów szyfrowania Msds-SupportedEncryptionTypes usługi, a klient obsługuje tylko niezabezpieczone typy szyfrowania. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Identyfikator zdarzenia: 201 zostanie zarejestrowany, jeśli:
|
Identyfikator zdarzenia: 202
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
202 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło użycie <nazwa szyfrowania> użycia, które nie będzie obsługiwane w fazie wymuszania, ponieważ nie zdefiniowano nazwy msds-SupportedEncryptionTypes usługi, a konto usługi ma tylko niezabezpieczone klucze. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 202 zostanie zarejestrowane, jeśli:
|
Identyfikator zdarzenia: 203
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
203 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy zablokowało użycie szyfrowania, ponieważ nie zdefiniowano typów szyfrowania Msds-SupportedEncryptionTypes usługi, a klient obsługuje tylko niezabezpieczone typy szyfrowania. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 203 zostanie zarejestrowane, jeśli:
|
Identyfikator zdarzenia: 204
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
204 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy zablokowało użycie szyfrowania, ponieważ nie zdefiniowano usługi msds-SupportedEncryptionTypes, a konto usługi ma tylko niezabezpieczone klucze. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 204 zostanie zarejestrowane, jeśli:
|
Identyfikator zdarzenia: 205
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
205 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło jawne włączenie szyfrowania w konfiguracji zasad Domyślne typy szyfrowania obsługiwane przez domenę. Szyfrowanie: <włączone niezabezpieczone szyfrowanie> DefaultDomainSupportedEncTypes: <skonfigurowana wartość DefaultDomainSupportedEncTypes> Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 205 zostanie zarejestrowane, jeśli:
|
Identyfikator zdarzenia: 206
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
206 |
|
Tekst zdarzenia |
The Key Distribution Center detected <Cipher Name> usage that will be unsupported in enforcement phase because service msds-SupportedEncryptionTypes is configured to only support AES-SHA1 but the client doesn’t advertize AES-SHA1 Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 206 zostanie zarejestrowane, jeśli:
|
Identyfikator zdarzenia: 207
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
207 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło <nazwa szyfrowania> użycia, które nie będzie obsługiwane w fazie wymuszania, ponieważ funkcja Msds-SupportedEncryptionTypes usługi jest skonfigurowana tak, aby obsługiwała tylko AES-SHA1, ale konto usługi nie ma kluczy AES-SHA1. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 207 zostanie zarejestrowane, jeśli:
|
Identyfikator zdarzenia: 208
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
208 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy celowo odmówiło użycia szyfrowania, ponieważ w usłudze msds-SupportedEncryptionTypes skonfigurowano tylko obsługę AES-SHA1, ale klient nie analizować AES-SHA1 Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 208 zostanie zarejestrowane, jeśli:
|
Identyfikator zdarzenia: 209
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
209 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy celowo odmówiło użycia szyfrowania, ponieważ w usłudze msds-SupportedEncryptionTypes skonfigurowano tylko obsługę AES-SHA1, ale konto usługi nie ma kluczy AES-SHA1 Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 209 zostanie zarejestrowane, jeśli:
|
Uwaga
Jeśli chodzi o niejawną zmianę w wyborze szyfrowania biletów usługi, firma Microsoft ma ograniczony wgląd w przyczyny, dla których urządzenie spoza systemu Windows może nie akceptować uwierzytelniania Kerberos po zastosowaniu aktualizacji kwietniowej przez KDC i przejściu do domyślnego zachowania AES-SHA1, gdy jest nieokreślone. Przed włączeniem tego zachowania zalecamy sprawdzenie poprawności tych zmian za pośrednictwem testowania w Twoim środowisku.
Najczęstszym miejscem, w którym będzie to napotkać, są urządzenia korzystające z kart klawiszy Kerberos. Jeśli karta klawiszy Kerberos została wyeksportowana tylko z kluczami RC4, ale docelowe konto usługi ma klucze AES-SHA1 i nie zdefiniowano msds-SupportedEncryptionTypes, istnieje możliwość niepowodzenia uwierzytelniania tej usługi. Będzie to najprawdopodobniej objawiać się w postaci niepowodzeń uwierzytelniania z usługi docelowej, a nie z usługi KDC.
Naszym podstawowym zaleceniem jest współpraca z dostawcą urządzenia spoza systemu Windows. Ogólnie rzecz biorąc, niepowodzenia akceptowania uwierzytelniania Kerberos na urządzeniach innych niż Windows nie są unikatowe dla kwietniowych zmian i mogą być spowodowane ograniczeniami specyficznymi dla urządzenia lub implementacji.
Jeśli po tej zmianie wystąpią problemy z uwierzytelnianiem Kerberos na urządzeniach innych niż Windows, a działania naprawcze ze strony dostawców nie są możliwe, nasze zalecenia są następujące:
-
Na koncie usługi, którego dotyczy problem, jawnie zdefiniuj msDS-SupportedEncryptionTypes , aby uwzględnić RC4 z kluczami sesji AES (0x24).
-
Jeśli nie jest to możliwe, w ostateczności ręcznie skonfiguruj wartość rejestru DefaultDomainSupportedEncTypes na wszystkich odpowiednich KDC tak, aby uwzględniały RC4 z kluczami sesji AES-SHA1 (0x24). Należy pamiętać, że wszystkie konta w tej domenie są narażone na lukę CVE-2026-20833.
Należy pamiętać, że ta konfiguracja jest niebezpieczna, a naszym długoterminowym zaleceniem jest migracja urządzeń innych niż Windows do wersji obsługujących szyfrowanie biletów protokołu AES-SHA1 Kerberos.
Często zadawane pytania (często zadawane pytania)
P1: Jak ta zmiana wchodzi w interakcję z domenami, które mają KDC innych firm?
Ta zmiana zaostrzająca wpływa tylko na kontrolery domeny systemu Windows. Przepływ poleceń i zaufania Kerberos z innymi kontrolerami domeny systemu Windows lub zewnętrznymi KDC nie matkę.
P2. Jak ta zmiana wchodzi w interakcję z domenami, które mają urządzenia z domenami innych niż Windows?
Urządzenia z domenami innych firm, które nie mogą przetwarzać szyfrowania AES-SHA1, powinny już zostać jawnie skonfigurowane, aby umożliwić szyfrowanie RC4. Usługi, które nie mogą przetwarzać biletów AES-SHA1, muszą zostać naprawione lub jawnie skonfigurowane w Active Diretory w celu zapewnienia szyfrowania RC4, jak wspomniano powyżej. Sprawdź dokładnie te zmiany.
P3: Czy firma Microsoft usunie możliwość konfigurowania defaultdomainSupportedEncTypes?
Nie. Będziemy rejestrować zdarzenia ostrzegawcze dla niezabezpieczonych konfiguracji defaultdomainSupportedEncTypes. Ponadto uszanujemy każdą konfigurację jawnie ustawioną przez administratora.
Zasoby
Dziennik zmian
|
Zmień datę |
Zmień opis |
|
14 kwietnia 2026 r. |
|
|
7 kwietnia 2026 r. |
|
|
16 marca 2026 r. |
|
|
10 lutego 2026 r. |
|
