Oryginalna data publikacji: 13 stycznia 2026 r.
Identyfikator bazy wiedzy: 5073381
Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji
Ważne: Certyfikaty bezpiecznego rozruchu używane przez większość urządzeń z systemem Windows wygasają od czerwca 2026 r. Może to mieć wpływ na możliwość bezpiecznego rozruchu niektórych urządzeń osobistych i biznesowych, jeśli nie zostaną zaktualizowane na czas. Aby uniknąć zakłóceń, zalecamy wcześniejsze zapoznanie się ze wskazówkami i podjęcie działań w celu zaktualizowania certyfikatów. Aby uzyskać szczegółowe informacje i instrukcje przygotowania, zobacz Wygaśnięcie certyfikatu bezpiecznego rozruchu systemu Windows i aktualizacje urzędu certyfikacji
W tym artykule
Podsumowanie
Aktualizacje systemu Windows wydane 13 stycznia 2026 r. zawierają zabezpieczenia przed luką w zabezpieczeniach związaną z protokołem uwierzytelniania Kerberos. Aktualizacje systemu Windows usuwają lukę w zabezpieczeniach związaną z ujawnianiem informacji, która może umożliwić osobie atakującej uzyskanie biletów usługowych o słabych lub starszych typach szyfrowania, takich jak RC4, i przeprowadzenie ataków w trybie offline w celu odzyskania hasła do konta usługi.
Aby zabezpieczyć i ulepszyć środowisko, zainstaluj aktualizację systemu Windows wydaną 13 stycznia 2026 r. lub później na wszystkich serwerach systemu Windows wymienionych w sekcji "Dotyczy" działającej jako kontroler domeny. Aby dowiedzieć się więcej o lukach w zabezpieczeniach, zobacz CVE-2026-20833.
Aby ograniczyć tę lukę w zabezpieczeniach, zmieniana jest domyślna wartość parametru DefaultDomainSupportedEncTypes (DDSET), dzięki czemu wszystkie kontrolery domeny obsługują tylko zaszyfrowane bilety AES-SHA1 dla kont bez jawnej konfiguracji typu szyfrowania Kerberos. Aby uzyskać więcej informacji, zobacz Obsługiwane typy szyfrowania — flagi bitowe.
Na kontrolerach domeny ze zdefiniowaną wartością rejestru DefaultDomainSupportedEncTypes te zmiany nie będą działać. Jednak zdarzenie inspekcji identyfikator zdarzenia KDCSVC: 205 może być rejestrowane w dzienniku zdarzeń systemowych, jeśli istniejąca konfiguracja DefaultDomainSupportedEncTypes jest niebezpieczna.
Aktywne działanie
Aby pomóc chronić środowisko i zapobiec awariom, zalecamy wykonać następujące czynności:
-
AKTUALIZACJI Kontrolery domeny usługi Microsoft Active Directory, począwszy od aktualizacji systemu Windows wydanych 13 stycznia 2026 r. lub później.
-
MONITORUJ dziennik zdarzeń systemowych dla dowolnego z 9 zdarzeń inspekcji rejestrowanych na Windows Server 2012 i nowszych kontrolerach domeny identyfikujących zagrożenia z włączeniem ochrony RC4.
-
ZŁAGODZENIA Zdarzenia KDCSVC zarejestrowane w dzienniku zdarzeń systemowych uniemożliwiające ręczne lub programowe włączenie zabezpieczeń RC4.
-
WŁĄCZYĆ Tryb wymuszania eliminujący luki w zabezpieczeniach opisane w cve-2026-20833 w środowisku, gdy nie są już rejestrowane ostrzeżenia, blokowanie lub zdarzenia zasad.
WAŻNE Instalowanie aktualizacji wydanych 13 stycznia 2026 r. w okresie od 13 stycznia 2026 r . NIE będzie uwzględniać domyślnie luk opisanych w cve-2026-20833 dla kontrolerów domeny usługi Active Directory. Aby całkowicie ograniczyć lukę, musisz jak najszybciej przejść do trybu wymuszonego (opisanego w kroku 3) na wszystkich kontrolerach domeny.
Począwszy od kwietnia 2026 r., tryb wymuszania będzie włączony na wszystkich kontrolerach domeny systemu Windows i będzie blokować wrażliwe połączenia z niezgodnych urządzeń. W tym czasie nie będzie można wyłączyć inspekcji, ale może wrócić do ustawienia trybu inspekcji. Tryb inspekcji zostanie usunięty w lipcu 2026 r., zgodnie z opisem w sekcji Chronometraż aktualizacji , a tryb wymuszania zostanie włączony na wszystkich kontrolerach domeny systemu Windows i zablokuje wrażliwe połączenia z urządzeń niezgodnych.
Jeśli chcesz wykorzystać RC4 po kwietniu 2026 r., zalecamy jawne włączenie RC4 w maskach bitowych msds-SupportedEncryptionTypes w usługach, które będą musiały zaakceptować użycie RC4.
Chronometraż aktualizacji
13 stycznia 2026 r. — początkowa faza wdrażania
Początkowa faza wdrażania rozpoczyna się od aktualizacji wydanych 13 stycznia 2026 r. i po tej aktualizacji, a następnie do fazy wymuszania . Ta faza ma ostrzegać klientów o nowych wymuszaniach zabezpieczeń, które zostaną wprowadzone w drugiej fazie wdrażania. Ta aktualizacja:
-
Udostępnia zdarzenia inspekcji, aby ostrzegać klientów, którzy mogą mieć negatywny wpływ na nadchodzące zaostrzenie zabezpieczeń.
-
Wprowadza wartość rejestru RC4DefaultDisablementPhase, aby aktywnie włączyć zmianę, ustawiając wartość na 2 na kontrolerach domeny, gdy zdarzenia inspekcji KDCSVC wskazują, że jest to bezpieczne.
Kwiecień 2026 r. — druga faza wdrażania
Ta aktualizacja zmienia domyślną wartość DefaultDomainSupportedEncTypes dla operacji usługi łączności danych biznesowych w celu wykorzystania AES-SHA1 dla kont, dla których nie zdefiniowano jawnego atrybutu msds-SupportedEncryptionTypes usługi Active Directory.
Ta faza zmienia wartość domyślną właściwości DefaultDomainSupportedEncTypes tylko na wartość AES-SHA1: 0x18.
Lipiec 2026 r. — faza wymuszania
Aktualizacje systemu Windows wydane w lipcu 2026 r. lub później usuną obsługę podklucza rejestru RC4DefaultDisablementPhase.
Wskazówki dotyczące wdrażania
Aby wdrożyć aktualizacje systemu Windows wydane 13 stycznia 2026 r. lub później, wykonaj następujące czynności:
-
Zaktualizuj kontrolery domeny za pomocą aktualizacji systemu Windows wydanej 13 stycznia 2026 r. lub później.
-
Monitoruj zdarzenia zarejestrowane w początkowej fazie wdrażania, aby zabezpieczyć środowisko.
-
Przenieś kontrolery domeny do trybu wymuszania za pomocą sekcji Ustawienia rejestru.
Krok 1. AKTUALIZACJA
Zainstaluj aktualizację systemu Windows wydaną 13 stycznia 2026 r. lub później we wszystkich odpowiednich usługach Windows Active Directory działających jako kontroler domeny po wdrożeniu aktualizacji.
-
Zdarzenia inspekcji będą wyświetlane w dziennikach zdarzeń systemu, jeśli kontroler domeny otrzymuje żądania biletów usługi Kerberos wymagające użycia szyfrowania RC4, ale konto usługi ma domyślną konfigurację szyfrowania.
-
Zdarzenia inspekcji będą rejestrowane w dzienniku zdarzeń systemu, jeśli kontroler domeny ma jawną konfigurację DefaultDomainSupportedEncTypes , aby umożliwić szyfrowanie RC4.
Krok 2. MONITOR
Po zaktualizowaniu kontrolerów domeny, jeśli nie widzisz żadnych zdarzeń inspekcji, przełącz się na tryb wymuszania , zmieniając wartość RC4DefaultDisablementPhase na 2.
W przypadku wygenerowania zdarzeń inspekcji konieczne będzie usunięcie współzależności RC4 lub jawne skonfigurowanie typów szyfrowania obsługiwanych przez protokół Kerberos. Następnie będzie można przejść do trybu wymuszania .
Aby dowiedzieć się, jak wykrywać użycie RC4 w swojej domenie, przeprowadzać inspekcję na urządzeniu i kontach użytkowników, które nadal zależą od RC4, i podjąć kroki w celu rozwiązania problemów z użyciem na rzecz silniejszych typów szyfrowania lub zarządzania zależnościami RC4, zobacz Wykrywanie i naprawianie użycia RC4 w protokółach Kerberos.
Krok 3. WŁĄCZANIE
Włącz tryb wymuszania , aby usunąć luki CVE-2026-20833 w środowisku.
-
W przypadku żądania udostępnienia biletu usługi RC4 dla konta z konfiguracjami domyślnymi zostanie zarejestrowane zdarzenie błędu.
-
Nadal będzie widoczny identyfikator zdarzenia: 205 rejestrowane dla każdej niezabezpieczonej konfiguracji DefaultDomainSupportedEncTypes.
Ustawienia rejestru
Po zainstalowaniu aktualizacji systemu Windows, które zostały wydane 13 stycznia 2026 r. lub później, dla protokołu Kerberos jest dostępny następujący klucz rejestru.
Ten klucz rejestru służy do bramy wdrażania zmian Kerberos. Ten klucz rejestru jest tymczasowy i nie będzie już odczytywany po dacie wykonania.
|
Klucz rejestru |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Typ danych |
REG_DWORD |
|
Nazwa wartości |
RC4DefaultDisablementPhase |
|
Dane wartości |
0 — Brak inspekcji, brak zmian 1 . Zdarzenia ostrzegawcze zostaną zarejestrowane przy domyślnym użyciu RC4. (Domyślna faza 1) 2 — Protokół Kerberos rozpocznie się przy założeniu, że RC4 nie jest domyślnie włączony. (Domyślna faza 2) |
|
Wymagane jest ponowne uruchomienie komputera? |
Tak |
Inspekcja zdarzeń
Po zainstalowaniu aktualizacji systemu Windows wydanych 13 stycznia 2026 r. lub później następujące typy zdarzeń inspekcji są dodawane do Windows Server 2012, a następnie uruchomione jako kontroler domeny.
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
201 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło użycie <nazwa szyfrowania> użycia, które nie będzie obsługiwane w fazie wymuszania, ponieważ nie zdefiniowano typów szyfrowania Msds-SupportedEncryptionTypes usługi, a klient obsługuje tylko niezabezpieczone typy szyfrowania. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne: <dostępne> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Identyfikator zdarzenia: 201 zostanie zarejestrowany, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
202 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło użycie <nazwa szyfrowania> użycia, które nie będzie obsługiwane w fazie wymuszania, ponieważ nie zdefiniowano nazwy msds-SupportedEncryptionTypes usługi, a konto usługi ma tylko niezabezpieczone klucze. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne: <dostępne> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 202 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
203 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy zablokowało użycie szyfrowania, ponieważ nie zdefiniowano typów szyfrowania Msds-SupportedEncryptionTypes usługi, a klient obsługuje tylko niezabezpieczone typy szyfrowania. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne: <dostępne> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 203 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
204 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy zablokowało użycie szyfrowania, ponieważ nie zdefiniowano usługi msds-SupportedEncryptionTypes, a konto usługi ma tylko niezabezpieczone klucze. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne: <dostępne> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 204 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
205 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło jawne włączenie szyfrowania w konfiguracji zasad Domyślne typy szyfrowania obsługiwane przez domenę. Szyfrowanie: <włączone niezabezpieczone szyfrowanie> DefaultDomainSupportedEncTypes: <skonfigurowana wartość DefaultDomainSupportedEncTypes> Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 205 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
206 |
|
Tekst zdarzenia |
The Key Distribution Center detected <Cipher Name> usage that will be unsupported in enforcement phase because service msds-SupportedEncryptionTypes is configured to only support AES-SHA1 but the client doesn’t advertize AES-SHA1 Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne: <dostępne> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 206 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
207 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło <nazwa szyfrowania> użycia, które nie będzie obsługiwane w fazie wymuszania, ponieważ funkcja Msds-SupportedEncryptionTypes usługi jest skonfigurowana tak, aby obsługiwała tylko AES-SHA1, ale konto usługi nie ma kluczy AES-SHA1. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne: <dostępne> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 207 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
208 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy celowo odmówiło użycia szyfrowania, ponieważ w usłudze msds-SupportedEncryptionTypes skonfigurowano tylko obsługę AES-SHA1, ale klient nie analizować AES-SHA1 Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne: <dostępne> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 208 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
209 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy celowo odmówiło użycia szyfrowania, ponieważ w usłudze msds-SupportedEncryptionTypes skonfigurowano tylko obsługę AES-SHA1, ale konto usługi nie ma kluczy AES-SHA1 Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne: <dostępne> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 209 zostanie zarejestrowane, jeśli:
|
Uwaga
Jeśli okaże się, że którykolwiek z tych komunikatów ostrzegawczych jest zalogowany na kontrolerze domeny, prawdopodobnie wszystkie kontrolery domeny w Twojej domenie nie są zaktualizowane za pomocą aktualizacji systemu Windows wydanej 13 stycznia 2026 r. lub później. Aby ograniczyć lukę w zabezpieczeniach, należy dokładniej zbadać domenę, aby znaleźć nieaktualne kontrolery domeny.
Jeśli widzisz identyfikator zdarzenia: 0x8000002A zalogowany na kontrolerze domeny, zobacz KB5021131: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37966.
Często zadawane pytania (często zadawane pytania)
To zaostrzenie wpływa na kontrolery domeny systemu Windows, gdy wydają bilety usługi. Przepływ poleceń i zaufania Kerberos nie ma na to zmian.
Urządzenia z domenami innych firm, które nie mogą przetwarzać AES-SHA1, powinny już zostać jawnie skonfigurowane, aby zezwolić na AES-SHA1.
Nie. Będziemy rejestrować zdarzenia ostrzegawcze dla niezabezpieczonych konfiguracji defaultdomainSupportedEncTypes. Ponadto nie będziemy ignorować żadnej konfiguracji jawnie ustawionej przez klienta.
Zasoby
KB5020805: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37967
KB5021131: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37966
