Oryginalna data publikacji: 13 stycznia 2026 r.
Identyfikator bazy wiedzy: 5073381
|
Zmień datę |
Zmień opis |
|
10 lutego 2026 r. |
|
W tym artykule
Podsumowanie
Aktualizacje systemu Windows wydane 13 stycznia 2026 r. zawierają zabezpieczenia przed luką w zabezpieczeniach związaną z protokołem uwierzytelniania Kerberos. Aktualizacje systemu Windows usuwają lukę w zabezpieczeniach cve-2026-20833 , która może umożliwić osobie atakującej uzyskanie biletów usługowych o słabych lub starszych typach szyfrowania, takich jak RC4, na przeprowadzanie ataków w trybie offline w celu odzyskania hasła do konta usługi.
Aby ograniczyć tę lukę w zabezpieczeniach, wartość domyślna parametru DefaultDomainSupportedEncTypes jest zmieniana przez włączenie trybu wymuszania. Zaktualizowane kontrolery domeny działające w trybie wymuszania będą obsługiwać tylko konfiguracje typu szyfrowania AES (Advanced Encryption Standard). Aby uzyskać więcej informacji, zobacz Obsługiwane typy szyfrowania — flagi bitowe. Wartość domyślna argumentu DefaultDomainSupportedEncTypes ma zastosowanie w przypadku braku wartości jawnej.
Na kontrolerach domeny ze zdefiniowaną wartością rejestru DefaultDomainSupportedEncTypes te zmiany nie będą działać. Jednak zdarzenie inspekcji identyfikator zdarzenia KDCSVC: 205 będzie rejestrowane w dzienniku zdarzeń systemowych, jeśli istniejąca konfiguracja DefaultDomainSupportedEncTypes jest niebezpieczna (na przykład gdy jest używany szyfrowanie RC4).
Aktywne działanie
Aby chronić środowisko i zapobiec awariom, zalecamy:
-
AKTUALIZACJI Kontrolery domeny usługi Microsoft Active Directory, począwszy od aktualizacji systemu Windows wydanych 13 stycznia 2026 r. lub później.
-
MONITORUJ dziennik zdarzeń systemowych dla dowolnego z dziewięciu zdarzeń inspekcji KDCSVC 201 > 209 zalogowanych na Windows Server 2012 i nowszych kontrolerach domeny identyfikujących zagrożenia z włączeniem ochrony RC4.
-
ZŁAGODZENIA Zdarzenia KDCSVC zarejestrowane w dzienniku zdarzeń systemowych uniemożliwiające ręczne lub programowe włączenie zabezpieczeń RC4.
-
WŁĄCZYĆ Tryb wymuszania eliminujący luki w zabezpieczeniach opisane w cve-2026-20833 w środowisku, gdy nie są już rejestrowane ostrzeżenia, blokowanie lub zdarzenia zasad.
WAŻNE Instalowanie aktualizacji wydanych 13 stycznia 2026 r. w okresie od 13 stycznia 2026 r . NIE będzie uwzględniać domyślnie luk opisanych w cve-2026-20833 dla kontrolerów domeny usługi Active Directory. Aby całkowicie ograniczyć lukę w zabezpieczeniach, należy ręcznie włączyć tryb wymuszenia (opisany w kroku 3: WŁĄCZ) na wszystkich kontrolerach domeny. Instalacja systemu Windows Aktualizacje wydana w lipcu 2026 r. i po tej dacie programowo włączy fazę wymuszania.
Tryb wymuszania zostanie automatycznie włączony przez zainstalowanie systemu Windows Aktualizacje wydanego w kwietniu 2026 r. lub później na wszystkich kontrolerach domeny systemu Windows i zablokuje wrażliwe połączenia z urządzeń niezgodnych. W tym czasie nie będzie można wyłączyć inspekcji, ale może wrócić do ustawienia trybu inspekcji. Tryb inspekcji zostanie usunięty w lipcu 2026 r., zgodnie z opisem w sekcji Chronometraż aktualizacji , a tryb wymuszania zostanie włączony na wszystkich kontrolerach domeny systemu Windows i zablokuje wrażliwe połączenia z urządzeń niezgodnych.
Jeśli chcesz wykorzystać RC4 po kwietniu 2026 r., zalecamy jawne włączenie RC4 w maskach bitowych msds-SupportedEncryptionTypes w usługach, które będą musiały zaakceptować użycie RC4.
Chronometraż aktualizacji
13 stycznia 2026 r. — początkowa faza wdrażania
Początkowa faza wdrażania rozpoczyna się od aktualizacji wydanych 13 stycznia 2026 r. i po tej aktualizacji, a następnie do fazy wymuszania . Ta faza ma ostrzegać klientów o nowych wymuszaniach zabezpieczeń, które zostaną wprowadzone w drugiej fazie wdrażania. Ta aktualizacja:
-
Udostępnia zdarzenia inspekcji, aby ostrzegać klientów, którzy mogą mieć negatywny wpływ na nadchodzące zaostrzenie zabezpieczeń.
-
Wprowadzenie obsługi wartości rejestruR C4DefaultDisablementPhase po tym, jak administrator aktywnie włączy tę zmianę, ustawiając wartość na 2 na kontrolerach domeny, gdy zdarzenia inspekcji KDCSVC wskazują, że jest to bezpieczne.
Kwiecień 2026 r. — faza wymuszania z ręcznym wycofywanie
Ta aktualizacja zmienia domyślną wartość DefaultDomainSupportedEncTypes dla operacji usługi łączności danych biznesowych w celu wykorzystania AES-SHA1 dla kont, dla których nie zdefiniowano jawnego atrybutu msds-SupportedEncryptionTypes usługi Active Directory.
Ta faza zmienia wartość domyślną właściwości DefaultDomainSupportedEncTypes tylko na wartość AES-SHA1: 0x18.
Ta faza umożliwia również ręczną konfigurację wartości wycofania RC4DefaultDisablementPhase do czasu wykonania programowego w lipcu 2026 r.
Lipiec 2026 r. — faza wymuszania
Aktualizacje systemu Windows wydane w lipcu 2026 r. lub później usuną obsługę podklucza rejestru RC4DefaultDisablementPhase.
Wskazówki dotyczące wdrażania
Aby wdrożyć aktualizacje systemu Windows wydane 13 stycznia 2026 r. lub później, wykonaj następujące czynności:
-
Zaktualizuj kontrolery domeny za pomocą aktualizacji systemu Windows wydanej 13 stycznia 2026 r. lub później.
-
Monitoruj zdarzenia zarejestrowane w początkowej fazie wdrażania, aby zabezpieczyć środowisko.
-
Przenieś kontrolery domeny do trybu wymuszania za pomocą sekcji Ustawienia rejestru.
Krok 1. AKTUALIZACJA
Zainstaluj aktualizację systemu Windows wydaną 13 stycznia 2026 r. lub później we wszystkich odpowiednich usługach Windows Active Directory działających jako kontroler domeny po wdrożeniu aktualizacji.
-
Zdarzenia inspekcji będą wyświetlane w dziennikach zdarzeń systemu, jeśli kontrolery domeny Windows Server 2012 lub nowsze otrzymują żądania biletów usługi Kerberos, które wymagają użycia szyfrowania RC4, ale konto usługi ma domyślną konfigurację szyfrowania.
-
Zdarzenie inspekcji 205 zostanie zarejestrowane w dzienniku zdarzeń systemu, jeśli kontroler domeny ma jawną konfigurację DefaultDomainSupportedEncTypes , aby umożliwić szyfrowanie RC4.
Krok 2. MONITOR
Po zaktualizowaniu kontrolerów domeny, jeśli nie widzisz żadnych zdarzeń inspekcji, przełącz się na tryb wymuszania , zmieniając wartość RC4DefaultDisablementPhase na 2.
W przypadku wygenerowania zdarzeń inspekcji należy albo usunąć współzależności RC4, albo jawnie skonfigurować typy szyfrowania obsługiwane przez protokół Kerberos w celu obsługi ciągłego używania protokołu RC4 zgodnie z ręcznym lub automatycznym włączaniem trybu wymuszania .
Aby dowiedzieć się, jak wykryć użycie RC4 w twojej domenie, inspekcja będzie identyfikować konta urządzeń i użytkowników, które nadal zależą od RC4. Administratorzy powinni podjąć kroki w celu skorygowania użycia na rzecz silniejszych typów szyfrowania lub zarządzania zależnościami RC4. Aby uzyskać więcej informacji, zobacz Wykrywanie i korygowanie użycia protokołu RC4 w protokółach Kerberos.
Krok 3. WŁĄCZANIE
Włącz tryb wymuszania , aby usunąć luki CVE-2026-20833 w środowisku.
-
W przypadku żądania udostępnienia biletu usługi RC4 dla konta z konfiguracjami domyślnymi zostanie zarejestrowane zdarzenie błędu.
-
Będzie nadal wyświetlany identyfikator zdarzenia: 205 rejestrowane dla wszelkich niezabezpieczonych konfiguracji DefaultDomainSupportedEncTypes.
Ustawienia rejestru
Po zainstalowaniu aktualizacji systemu Windows, które zostały wydane 13 stycznia 2026 r. lub później, dla protokołu Kerberos jest dostępny następujący klucz rejestru.
Ten klucz rejestru służy do bramy wdrażania zmian Kerberos. Ten klucz rejestru jest tymczasowy i nie będzie już odczytywany po dacie wykonania.
|
Klucz rejestru |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Typ danych |
REG_DWORD |
|
Nazwa wartości |
RC4DefaultDisablementPhase |
|
Dane wartości |
0 — Brak inspekcji, brak zmian 1 . Zdarzenia ostrzegawcze zostaną zarejestrowane przy domyślnym użyciu RC4. (Domyślna faza 1) 2 — Protokół Kerberos rozpocznie się przy założeniu, że RC4 nie jest domyślnie włączony. (Domyślna faza 2) |
|
Wymagane jest ponowne uruchomienie komputera? |
Tak |
Inspekcja zdarzeń
Po zainstalowaniu aktualizacji systemu Windows, które zostały wydane 13 stycznia 2026 r. lub później, następujące typy zdarzeń inspekcji KSCSVC są dodawane do dziennika zdarzeń systemu Windows Server 2012, a następnie uruchomione jako kontroler domeny.
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
201 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło użycie <nazwa szyfrowania> użycia, które nie będzie obsługiwane w fazie wymuszania, ponieważ nie zdefiniowano typów szyfrowania Msds-SupportedEncryptionTypes usługi, a klient obsługuje tylko niezabezpieczone typy szyfrowania. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Identyfikator zdarzenia: 201 zostanie zarejestrowany, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
202 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło użycie <nazwa szyfrowania> użycia, które nie będzie obsługiwane w fazie wymuszania, ponieważ nie zdefiniowano nazwy msds-SupportedEncryptionTypes usługi, a konto usługi ma tylko niezabezpieczone klucze. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 202 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
203 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy zablokowało użycie szyfrowania, ponieważ nie zdefiniowano typów szyfrowania Msds-SupportedEncryptionTypes usługi, a klient obsługuje tylko niezabezpieczone typy szyfrowania. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 203 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
204 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy zablokowało użycie szyfrowania, ponieważ nie zdefiniowano usługi msds-SupportedEncryptionTypes, a konto usługi ma tylko niezabezpieczone klucze. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 204 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
205 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło jawne włączenie szyfrowania w konfiguracji zasad Domyślne typy szyfrowania obsługiwane przez domenę. Szyfrowanie: <włączone niezabezpieczone szyfrowanie> DefaultDomainSupportedEncTypes: <skonfigurowana wartość DefaultDomainSupportedEncTypes> Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 205 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
206 |
|
Tekst zdarzenia |
The Key Distribution Center detected <Cipher Name> usage that will be unsupported in enforcement phase because service msds-SupportedEncryptionTypes is configured to only support AES-SHA1 but the client doesn’t advertize AES-SHA1 Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 206 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
207 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy wykryło <nazwa szyfrowania> użycia, które nie będzie obsługiwane w fazie wymuszania, ponieważ funkcja Msds-SupportedEncryptionTypes usługi jest skonfigurowana tak, aby obsługiwała tylko AES-SHA1, ale konto usługi nie ma kluczy AES-SHA1. Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie ostrzegawcze 207 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
208 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy celowo odmówiło użycia szyfrowania, ponieważ w usłudze msds-SupportedEncryptionTypes skonfigurowano tylko obsługę AES-SHA1, ale klient nie analizować AES-SHA1 Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 208 zostanie zarejestrowane, jeśli:
|
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Kdcsvc |
|
Identyfikator zdarzenia |
209 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy celowo odmówiło użycia szyfrowania, ponieważ w usłudze msds-SupportedEncryptionTypes skonfigurowano tylko obsługę AES-SHA1, ale konto usługi nie ma kluczy AES-SHA1 Informacje o koncie Nazwa konta: nazwa konta <> Supplied Realm Name: <Supplied Realm Name> msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania> Dostępne klawisze: <dostępne klawisze> Informacje o usłudze: Nazwa usługi: nazwa usługi <> Identyfikator usługi:> SID usługi < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Dostępne klucze: dostępne klucze usługi <> Informacje o kontrolerze domeny: msds-SupportedEncryptionTypes: <obsługiwane typy szyfrowania kontrolera domeny> DefaultDomainSupportedEncTypes: <wartość DefaultDomainSupportedEncTypes> Dostępne klucze: <dostępne klucze kontrolera domeny> Informacje o sieci: Adres klienta: adres IP klienta <> Port klienta:> <klienta Ośwzorkowane typy typ> ów: <typy szyfrowania Kerberos < Zobacz https://go.microsoft.com/fwlink/?linkid=2344614, aby dowiedzieć się więcej. |
|
Komentarze |
Zdarzenie błędu 209 zostanie zarejestrowane, jeśli:
|
Uwaga
Jeśli okaże się, że którykolwiek z tych komunikatów ostrzegawczych jest zalogowany na kontrolerze domeny, prawdopodobnie wszystkie kontrolery domeny w Twojej domenie nie są zaktualizowane za pomocą aktualizacji systemu Windows wydanej 13 stycznia 2026 r. lub później. Aby ograniczyć lukę w zabezpieczeniach, należy dokładniej zbadać domenę, aby znaleźć nieaktualne kontrolery domeny.
Jeśli widzisz identyfikator zdarzenia: 0x8000002A zalogowany na kontrolerze domeny, zobacz KB5021131: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37966.
Często zadawane pytania (często zadawane pytania)
Ta zmiana zaostrzająca wpływa tylko na kontrolery domeny systemu Windows. Przepływ poleceń i zaufania Kerberos z innymi kontrolerami domeny systemu Windows lub zewnętrznymi KDC nie matkę.
Urządzenia z domenami innych firm, które nie mogą przetwarzać szyfrowania AES-SHA1, powinny już zostać jawnie skonfigurowane, aby umożliwić szyfrowanie AES-SHA1.
Nie. Będziemy rejestrować zdarzenia ostrzegawcze dla niezabezpieczonych konfiguracji defaultdomainSupportedEncTypes. Ponadto uszanujemy każdą konfigurację jawnie ustawioną przez administratora.
Zasoby
KB5020805: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37967
KB5021131: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37966
