Data de publicação original: 13 de janeiro de 2026
ID da BDC: 5073381
Expiração do certificado de Inicialização Segura do Windows
Importante: Os certificados de Inicialização Segura usados pela maioria dos dispositivos Windows estão definidos para expirar a partir de junho de 2026. Isso pode afetar a capacidade de inicialização segura de determinados dispositivos pessoais e comerciais se não forem atualizados a tempo. Para evitar interrupções, recomendamos revisar as diretrizes e tomar medidas para atualizar os certificados com antecedência. Para obter detalhes e etapas de preparação, confira a expiração do certificado de Inicialização Segura do Windows e atualizações da AC.
Neste artigo
Resumo
As atualizações do Windows lançadas em e depois de 13 de janeiro de 2026 contêm proteções para uma vulnerabilidade com o protocolo de autenticação Kerberos. As atualizações do Windows abordam uma vulnerabilidade de divulgação de informações que pode permitir que um atacante obtenha pedidos de assistência com tipos de encriptação fracos ou legados, como RC4, e executar ataques offline para recuperar uma palavra-passe de conta de serviço.
Para ajudar a proteger e proteger o seu ambiente, instale a atualização do Windows lançada em ou depois de 13 de janeiro de 2026 para todos os servidores Windows listados na secção "Aplica-se a" em execução como controlador de domínio. Para saber mais sobre as vulnerabilidades, consulte CVE-2026-20833.
Para mitigar esta vulnerabilidade, o valor predefinido de DefaultDomainSupportedEncTypes (DDSET) está a ser alterado para que todos os controladores de domínio apenas suportem permissões encriptadas com encriptação AES-SHA1 (Advanced Encryption Standard) para contas sem uma configuração explícita do tipo de encriptação Kerberos. Para obter mais informações, veja Sinalizadores de Bits de Tipos de Encriptação Suportados.
Nos controladores de domínio com um valor de registo DefaultDomainSupportedEncTypes definido, o comportamento não será afetado funcionalmente por estas alterações. No entanto, um Evento de auditoria KDCSVC ID de Evento: 205 pode ser registado no registo de eventos do Sistema se a configuração DefaultDomainSupportedEncTypes existente for insegura.
Tome medidas
Para ajudar a proteger seu ambiente e evitar interrupções, recomendamos que você siga as seguintes etapas:
-
ATUALIZAR Controladores de domínio do Microsoft Active Directory a partir das atualizações do Windows lançadas a 13 de janeiro de 2026 ou depois de 13 de janeiro de 2026.
-
MONITORIZE o registo de eventos do Sistema para qualquer um dos 9 Eventos de auditoria registados no Windows Server 2012 e controladores de domínio mais recentes que identificam riscos com a ativação de proteções RC4.
-
MITIGAR Eventos KDCSVC registados no registo de eventos do Sistema que impedem a ativação manual ou programática de proteções RC4.
-
HABILITE Modo de imposição para resolver as vulnerabilidades abordadas no CVE-2026-20833 no seu ambiente quando os eventos de aviso, bloqueio ou política já não são registados.
IMPORTANTE A instalação das atualizações lançadas em ou depois de 13 de janeiro de 2026 NÃO abordará as vulnerabilidades descritas no CVE-2026-20833 para controladores de domínio do Active Directory por predefinição. Para mitigar totalmente a vulnerabilidade, tem de passar para o modo Imposto (descrito no Passo 3) o mais rapidamente possível em todos os controladores de domínio.
A partir de abril de 2026, o Modo de imposição será ativado em todos os controladores de domínio do Windows e bloqueará as ligações vulneráveis de dispositivos não conformes. Nessa altura, não poderá desativar a auditoria, mas poderá voltar à definição Modo de auditoria. O modo de auditoria será removido em julho de 2026, conforme descrito na secção Temporização das atualizações , e o Modo de imposição será ativado em todos os controladores de domínio do Windows e bloqueará ligações vulneráveis de dispositivos não conformes.
Se precisar de tirar partido da RC4 após abril de 2026, recomendamos que ative explicitamente o RC4 na máscara de bits msds-SupportedEncryptionTypes nos serviços que terão de aceitar a utilização de RC4.
Cronograma das atualizações
13 de janeiro de 2026 – Fase de Implementação Inicial
A fase de implementação inicial começa com as atualizações lançadas em e depois de 13 de janeiro de 2026 e continua com atualizações posteriores do Windows até à fase de Imposição . Esta fase consiste em alertar os clientes sobre novas imposiçãos de segurança que serão introduzidas na segunda fase de implementação. Esta atualização:
-
Fornece eventos de auditoria para avisar os clientes que podem ser afetados negativamente pela proteção de segurança futura.
-
Introduz o valor de registo RC4DefaultDisablementPhase para ativar proativamente a alteração ao definir o valor como 2 nos controladores de domínio quando os eventos de Auditoria KDCSVC indicam que é seguro fazê-lo.
Abril de 2026 – Segunda Fase de Implementação
Esta atualização altera o valor DefaultDomainSupportedEncTypes predefinido para operações KDC para tirar partido de AES-SHA1 para contas que não tenham um atributo do active directory msds-SupportedEncryptionTypes explícito definido.
Esta fase altera o valor predefinido para DefaultDomainSupportedEncTypes apenas para AES-SHA1: 0x18.
Julho de 2026 - Fase de Imposição
As atualizações do Windows lançadas em ou depois de julho de 2026 removerão o suporte para a subchave de registo RC4DefaultDisablementPhase.
Diretrizes de implantação
Para implementar as atualizações do Windows lançadas em ou depois de 13 de janeiro de 2026, siga estes passos:
-
ATUALIZE os controladores de domínio com uma atualização do Windows lançada a 13 de janeiro de 2026 ou depois de 13 de janeiro de 2026.
-
Monitorize os eventos registados durante a fase de implementação inicial para ajudar a proteger o seu ambiente.
-
Mova os controladores de domínio para o Modo de imposição com a secção Definições de registo.
Passo 1: ATUALIZAR
Implemente a atualização do Windows lançada em ou depois de 13 de janeiro de 2026 em todos os Windows Active Directory aplicáveis em execução como um controlador de domínio após a implementação da atualização.
-
Os eventos de auditoria serão apresentados nos Registos de eventos do sistema se o controlador de domínio estiver a receber pedidos de pedidos de pedidos de assistência Kerberos que exijam a utilização da cifra RC4, mas a conta de serviço tiver a configuração de encriptação predefinida.
-
Os eventos de auditoria serão registados no registo de eventos do Sistema se o controlador de domínio tiver uma configuração DefaultDomainSupportedEncTypes explícita para permitir a encriptação RC4.
Passo 2: MONITORIZAR
Assim que os controladores de domínio forem atualizados, se não vir nenhum evento de auditoria, mude para o Modo de imposição ao alterar o valor RC4DefaultDisablementPhase para 2.
Se existirem eventos de auditoria gerados, terá de remover dependências RC4 ou configurar explicitamente os tipos de encriptação suportados pelo Kerberos. Em seguida, poderá mudar para o Modo de imposição .
Para saber como detetar a utilização de RC4 no seu domínio, auditar contas de dispositivos e utilizadores que ainda dependem de RC4 e tomar medidas para remediar a utilização em favor de tipos de encriptação mais fortes ou gerir dependências RC4, veja Detetar e remediar a utilização de RC4 no Kerberos.
Passo 3: ATIVAR
Ative o Modo de imposição para abordar as vulnerabilidades CVE-2026-20833 no seu ambiente.
-
Se for pedido a um KDC que forneça uma permissão de serviço RC4 para uma conta com configurações predefinidas, será registado um evento de erro.
-
Continuará a ver um ID de Evento: 205 registado para qualquer configuração insegura de DefaultDomainSupportedEncTypes.
Configurações do Registro
Após a instalação das atualizações do Windows em ou depois de 13 de janeiro de 2026, a seguinte chave de registo está disponível para o protocolo Kerberos.
Esta chave de registo é utilizada para controlar a implementação das alterações de Kerberos. Esta chave de registo é temporária e deixará de ser lida após a data de imposição.
|
Chave do Registro |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Tipo de dados |
REG_DWORD |
|
Nome do valor |
RC4DefaultDisablementPhase |
|
Dados do valor |
0 – Sem auditoria, sem alterações 1 - Os eventos de aviso serão registados na utilização RC4 predefinida. (Predefinição da Fase 1) 2 – O Kerberos começará a assumir que o RC4 não está ativado por predefinição. (Fase 2 predefinida) |
|
Reinicialização necessária? |
Sim |
Eventos de auditoria
Após a instalação das atualizações do Windows em ou depois de 13 de janeiro de 2026, os seguintes tipos de eventos de Auditoria são adicionados a Windows Server 2012 e posteriormente executados como controladores de domínio.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
201 |
|
Texto do Evento |
O Centro de Distribuição de Chaves detetou <Nome da Cifra> utilização que não será suportada na fase de imposição porque o serviço msds-SupportedEncryptionTypes não está definido e o cliente só suporta tipos de encriptação inseguros. Informações da Conta Nome da conta: <nome da conta> Nome do realm fornecido: <> de nome de domínio fornecido Msds-SupportedEncryptionTypes: <tipos de criptografia com suporte> Chaves disponíveis: <chaves disponíveis> Informações de serviço: Nome do serviço:> nome do serviço < ID do serviço:> sid de serviço < Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com o serviço> Chaves disponíveis: <chaves disponíveis do serviço> Informações do Controlador de Domínio: Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com controlador de domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves disponíveis: <chaves disponíveis do controlador de domínio> Informações de rede: Endereço do cliente: <endereço IP do cliente> Porta do cliente: <porta do cliente> Etypes anúncios: <tipos de criptografia Kerberos publicitárias> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
ID do evento: 201 será registrado se:
|
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
202 |
|
Texto do Evento |
O Centro de Distribuição de Chaves detectou <uso de> nome de cifra que não será suportado na fase de execução porque o msds-SupportedEncryptionTypes do serviço não está definido e a conta de serviço só tem chaves inseguras. Informações da Conta Nome da conta: <nome da conta> Nome do realm fornecido: <> de nome de domínio fornecido Msds-SupportedEncryptionTypes: <tipos de criptografia com suporte> Chaves disponíveis: <chaves disponíveis> Informações de serviço: Nome do serviço:> nome do serviço < ID do serviço:> sid de serviço < Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com o serviço> Chaves disponíveis: <chaves disponíveis do serviço> Informações do Controlador de Domínio: Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com controlador de domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves disponíveis: <chaves disponíveis do controlador de domínio> Informações de rede: Endereço do cliente: <endereço IP do cliente> Porta do cliente: <porta do cliente> Etypes anúncios: <tipos de criptografia Kerberos publicitárias> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de aviso 202 será registrado se:
|
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
203 |
|
Texto do Evento |
O Centro de Distribuição de Chaves bloqueou o uso de criptografia porque o msds-SupportedEncryptionTypes do serviço não está definido e o cliente só dá suporte a tipos de criptografia inseguros. Informações da Conta Nome da conta: <nome da conta> Nome do realm fornecido: <> de nome de domínio fornecido Msds-SupportedEncryptionTypes: <tipos de criptografia com suporte> Chaves disponíveis: <chaves disponíveis> Informações de serviço: Nome do serviço:> nome do serviço < ID do serviço:> sid de serviço < Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com o serviço> Chaves disponíveis: <chaves disponíveis do serviço> Informações do Controlador de Domínio: Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com controlador de domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves disponíveis: <chaves disponíveis do controlador de domínio> Informações de rede: Endereço do cliente: <endereço IP do cliente> Porta do cliente: <porta do cliente> Etypes anúncios: <tipos de criptografia Kerberos publicitárias> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de erro 203 será registrado se:
|
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
204 |
|
Texto do Evento |
O Centro de Distribuição de Chaves bloqueou o uso de criptografia porque o serviço msds-SupportedEncryptionTypes não está definido e a conta de serviço só tem chaves inseguras. Informações da Conta Nome da conta: <nome da conta> Nome do realm fornecido: <> de nome de domínio fornecido Msds-SupportedEncryptionTypes: <tipos de criptografia com suporte> Chaves disponíveis: <chaves disponíveis> Informações de serviço: Nome do serviço:> nome do serviço < ID do serviço:> sid de serviço < Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com o serviço> Chaves disponíveis: <chaves disponíveis do serviço> Informações do Controlador de Domínio: Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com controlador de domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves disponíveis: <chaves disponíveis do controlador de domínio> Informações de rede: Endereço do cliente: <endereço IP do cliente> Porta do cliente: <porta do cliente> Etypes anúncios: <tipos de criptografia Kerberos publicitárias> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de erro 204 será registrado se:
|
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
205 |
|
Texto do Evento |
O Centro de Distribuição de Chaves detectou habilitação explícita de criptografia na configuração da política Tipos de Criptografia Com Suporte de Domínio Padrão. Cipher(s): <> de cifras inseguras habilitadas DefaultDomainSupportedEncTypes: <Valor DefaultDomainSupportedEncTypes configurado> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de aviso 205 será registrado se:
|
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
206 |
|
Texto do Evento |
O Centro de Distribuição de Chaves detectou <uso do> nome da criptografia que não será suportado na fase de execução porque o msds-SupportedEncryptionTypes do serviço está configurado para dar suporte apenas ao AES-SHA1, mas o cliente não alerta o AES-SHA1 Informações da Conta Nome da conta: <nome da conta> Nome do realm fornecido: <> de nome de domínio fornecido Msds-SupportedEncryptionTypes: <tipos de criptografia com suporte> Chaves disponíveis: <chaves disponíveis> Informações de serviço: Nome do serviço:> nome do serviço < ID do serviço:> sid de serviço < Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com o serviço> Chaves disponíveis: <chaves disponíveis do serviço> Informações do Controlador de Domínio: Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com controlador de domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves disponíveis: <chaves disponíveis do controlador de domínio> Informações de rede: Endereço do cliente: <endereço IP do cliente> Porta do cliente: <porta do cliente> Etypes anúncios: <tipos de criptografia Kerberos publicitárias> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de aviso 206 será registrado se:
|
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
207 |
|
Texto do Evento |
O Centro de Distribuição de Chaves detectou <uso do> nome da cifra que não será suportado na fase de execução porque o msds-SupportedEncryptionTypes do serviço está configurado para dar suporte apenas ao AES-SHA1, mas a conta de serviço não tem chaves AES-SHA1. Informações da Conta Nome da conta: <nome da conta> Nome do realm fornecido: <> de nome de domínio fornecido Msds-SupportedEncryptionTypes: <tipos de criptografia com suporte> Chaves disponíveis: <chaves disponíveis> Informações de serviço: Nome do serviço:> nome do serviço < ID do serviço:> sid de serviço < Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com o serviço> Chaves disponíveis: <chaves disponíveis do serviço> Informações do Controlador de Domínio: Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com controlador de domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves disponíveis: <chaves disponíveis do controlador de domínio> Informações de rede: Endereço do cliente: <endereço IP do cliente> Porta do cliente: <porta do cliente> Etypes anúncios: <tipos de criptografia Kerberos publicitárias> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de aviso 207 será registrado se:
|
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
208 |
|
Texto do Evento |
O Centro de Distribuição de Chaves negou intencionalmente o uso de criptografia porque o msds-SupportedEncryptionTypes do serviço está configurado para dar suporte apenas ao AES-SHA1, mas o cliente não alerta o AES-SHA1 Informações da Conta Nome da conta: <nome da conta> Nome do realm fornecido: <> de nome de domínio fornecido Msds-SupportedEncryptionTypes: <tipos de criptografia com suporte> Chaves disponíveis: <chaves disponíveis> Informações de serviço: Nome do serviço:> nome do serviço < ID do serviço:> sid de serviço < Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com o serviço> Chaves disponíveis: <chaves disponíveis do serviço> Informações do Controlador de Domínio: Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com controlador de domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves disponíveis: <chaves disponíveis do controlador de domínio> Informações de rede: Endereço do cliente: <endereço IP do cliente> Porta do cliente: <porta do cliente> Etypes anúncios: <tipos de criptografia Kerberos publicitárias> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de erro 208 será registrado se:
|
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
209 |
|
Texto do Evento |
O Centro de Distribuição de Chaves negou intencionalmente o uso de criptografia porque o msds-SupportedEncryptionTypes do serviço está configurado para dar suporte apenas ao AES-SHA1, mas a conta de serviço não tem chaves AES-SHA1 Informações da Conta Nome da conta: <nome da conta> Nome do realm fornecido: <> de nome de domínio fornecido Msds-SupportedEncryptionTypes: <tipos de criptografia com suporte> Chaves disponíveis: <chaves disponíveis> Informações de serviço: Nome do serviço:> nome do serviço < ID do serviço:> sid de serviço < Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com o serviço> Chaves disponíveis: <chaves disponíveis do serviço> Informações do Controlador de Domínio: Msds-SupportedEncryptionTypes: <tipos de criptografia compatíveis com controlador de domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves Disponíveis: chaves disponíveis do controlador de domínio <> Informações de rede: Endereço do Cliente: <endereço IP do cliente> Porta de Cliente: <porta de cliente> Etypes Anunciados: <Tipos de Encriptação Kerberos> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de erro 209 será registado se:
|
Observação
Se encontrar alguma destas mensagens de aviso registadas num controlador de domínio, é provável que todos os controladores de domínio no seu domínio não estejam atualizados com uma atualização do Windows lançada a 13 de janeiro de 2026 ou depois de 13 de janeiro de 2026. Para mitigar a vulnerabilidade, terá de investigar ainda mais o seu domínio para encontrar os controladores de domínio que não estão atualizados.
Se vir um ID de Evento: 0x8000002A com sessão iniciada num controlador de domínio, consulte KB5021131: Como gerir as alterações do protocolo Kerberos relacionadas com o CVE-2022-37966.
Perguntas mais frequentes (FAQ)
Esta proteção afeta os controladores de domínio do Windows quando emitem pedidos de assistência. A Fidedignidade kerberos e o fluxo de referência não são afetados.
Os dispositivos de domínio de terceiros que não conseguem processar AES-SHA1 já deveriam ter sido explicitamente configurados para permitir AES-SHA1.
Não. Vamos registar eventos de aviso para configurações inseguras para DefaultDomainSupportedEncTypes. Além disso, não ignoraremos nenhuma configuração explicitamente definida por um cliente.
Recursos
KB5020805: Como gerir alterações ao protocolo Kerberos relacionadas com o CVE-2022-37967
KB5021131: Como gerir as alterações do protocolo Kerberos relacionadas com o CVE-2022-37966
