Data de publicação original: 13 de janeiro de 2026
ID da BDC: 5073381
Neste artigo
Resumo
As atualizações do Windows lançadas em e depois de 13 de janeiro de 2026 contêm proteções para uma vulnerabilidade com o protocolo de autenticação Kerberos. As atualizações do Windows abordam uma vulnerabilidade de divulgação de informações no CVE-2026-20833 que pode permitir que um atacante obtenha pedidos de assistência com tipos de encriptação fracos ou legados, como RC4, para realizar ataques offline para recuperar uma palavra-passe de conta de serviço.
Para mitigar esta vulnerabilidade, as atualizações do Windows lançadas em e depois de 14 de abril de 2026 alteram o valor predefinido do Centro de Distribuição de Chaves Kerberos (KDC) para DefaultDomainSupportedEncTypes, a menos que os administradores ativem o Modo de imposição anteriormente. Os controladores de domínio atualizados em execução no Modo de imposição apenas assumirão o suporte para configurações do tipo de encriptação AES (Advanced Encryption Standard) se não for especificada nenhuma configuração explícita. Para obter mais informações, veja Sinalizadores de Bits de Tipos de Encriptação Suportados. O valor predefinido para DefaultDomainSupportedEncTypes aplica-se na ausência de um valor explícito.
Nos controladores de domínio com um valor de registo DefaultDomainSupportedEncTypes definido, o comportamento não será afetado funcionalmente por estas alterações. No entanto, um Evento de auditoria KDCSVC ID de Evento: 205 será registado no registo de eventos do Sistema se a configuração defaultDomainSupportedEncTypes existente for insegura (por exemplo, quando é utilizada uma cifra RC4).
Tome medidas
Para ajudar a proteger o seu ambiente e evitar falhas, recomendamos que:
-
ATUALIZAR Controladores de domínio do Microsoft Active Directory a partir das atualizações do Windows lançadas a 13 de janeiro de 2026 ou depois de 13 de janeiro de 2026.
-
MONITORIZE o registo de eventos do Sistema para qualquer um dos nove eventos de Auditoria do KDCSVC 201 > 209 registados no Windows Server 2012 e controladores de domínio mais recentes que identificam riscos com a ativação de proteções RC4.
-
MITIGAR Eventos KDCSVC registados no registo de eventos do Sistema que impedem a ativação manual ou programática de proteções RC4.
-
ATIVAR Modo de imposição para resolver as vulnerabilidades abordadas no CVE-2026-20833 no seu ambiente quando os eventos de aviso, bloqueio ou política já não são registados.
IMPORTANTE A instalação das atualizações lançadas em ou depois de 13 de janeiro de 2026 NÃO abordará as vulnerabilidades descritas no CVE-2026-20833 para controladores de domínio do Active Directory por predefinição. Para mitigar totalmente a vulnerabilidade, deve ativar manualmente o Modo de imposição (descrito no Passo 3: ATIVAR) em todos os controladores de domínio. A instalação do Windows Atualizações lançada em e depois de julho de 2026 ativará programaticamente a Fase de Imposição.
O modo de imposição será ativado automaticamente ao instalar o Windows Atualizações lançado em ou depois de abril de 2026 em todos os controladores de domínio do Windows e bloqueará as ligações vulneráveis de dispositivos não conformes. Nessa altura, não poderá desativar a auditoria, mas poderá voltar à definição Modo de auditoria. O modo de auditoria será removido em julho de 2026, conforme descrito na secção Temporização das atualizações , e o Modo de imposição será ativado em todos os controladores de domínio do Windows e bloqueará ligações vulneráveis de dispositivos não conformes.
Se precisar de tirar partido da RC4 após abril de 2026, recomendamos que ative explicitamente o RC4 na máscara de bits msds-SupportedEncryptionTypes nos serviços que terão de aceitar a utilização de RC4.
Temporização das atualizações
13 de janeiro de 2026 – Fase de Implementação Inicial
A fase de implementação inicial começa com as atualizações lançadas em e depois de 13 de janeiro de 2026 e continua com atualizações posteriores do Windows até à fase de Imposição . Esta fase consiste em alertar os clientes sobre novas imposiçãos de segurança que serão introduzidas na segunda fase de implementação. Esta atualização:
-
Fornece eventos de auditoria para avisar os clientes que podem ser afetados negativamente pela proteção de segurança futura.
-
Apresenta suporte para o valor de registo RC4DefaultDisablementPhase depois de um administrador ativar proativamente a alteração ao definir o valor como 2 em controladores de domínio quando os eventos de Auditoria KDCSVC indicam que é seguro fazê-lo.
14 de abril de 2026 - Fase de Imposição com reversão manual
Esta atualização altera o valor DefaultDomainSupportedEncTypes predefinido para operações KDC para tirar partido de AES-SHA1 para contas que não tenham um atributo do active directory msds-SupportedEncryptionTypes explícito definido.
Esta fase altera o valor predefinido para DefaultDomainSupportedEncTypes apenas para AES-SHA1: 0x18.
Esta fase também permite a configuração manual do valor de reversão RC4DefaultDisablementPhase até à imposição programática em julho de 2026.
Julho de 2026 - Fase de Imposição
As atualizações do Windows lançadas em ou depois de julho de 2026 removerão o suporte para a subchave de registo RC4DefaultDisablementPhase.
Diretrizes de implementação
Para implementar as atualizações do Windows lançadas em ou depois de 13 de janeiro de 2026, siga estes passos:
-
ATUALIZE os controladores de domínio com uma atualização do Windows lançada a 13 de janeiro de 2026 ou depois de 13 de janeiro de 2026.
-
Monitorize os eventos registados durante a fase de implementação inicial para ajudar a proteger o seu ambiente.
-
Mova os controladores de domínio para o Modo de imposição com a secção Definições de registo.
Passo 1: ATUALIZAR
Implemente a atualização do Windows lançada em ou depois de 13 de janeiro de 2026 em todos os Windows Active Directory aplicáveis em execução como um controlador de domínio após a implementação da atualização.
-
Os eventos de auditoria serão apresentados nos Registos de eventos do sistema se os controladores de domínio Windows Server 2012 ou posteriores estiverem a receber pedidos de pedidos de permissão de serviço Kerberos que exijam a utilização da cifra RC4, mas a conta de serviço tiver a configuração de encriptação predefinida.
-
O Evento de Auditoria 205 será registado no registo de eventos do Sistema se o controlador de domínio tiver uma configuração DefaultDomainSupportedEncTypes explícita para permitir a encriptação RC4.
Passo 2: MONITORIZAR
Assim que os controladores de domínio forem atualizados, se não vir eventos de auditoria documentados neste artigo, mude para o Modo de imposição ao alterar o valor de registo RC4DefaultDisablementPhase para 2.
Se existirem eventos de auditoria gerados, terá de remover dependências RC4 ou configurar explicitamente o atributo accounts msds-SupportedEncryptionTypes para suportar a utilização contínua de RC4 ao seguir a ativação manual ou automática do modo de Imposição .
Para os administradores interessados em remediar a utilização do RC4 mais amplamente do que é discutido neste artigo, recomendamos que reveja Detetar e remediar a utilização de RC4 no Kerberos para obter mais informações.
IMPORTANTE Os eventos de auditoria relacionados com esta alteração só são gerados quando o Active Directory não consegue emitir pedidos de serviço ou chaves de sessão AES-SHA1. A ausência de eventos de auditoria não garante que todos os dispositivos não Windows aceitem com êxito a autenticação Kerberos após a atualização de abril. Os clientes devem validar a interoperabilidade não Windows através de testes antes de ativarem amplamente este comportamento.
Passo 3: ATIVAR
Ative o Modo de imposição para abordar as vulnerabilidades CVE-2026-20833 no seu ambiente.
-
Se for pedido a um KDC que forneça uma permissão de serviço RC4 para uma conta com configurações predefinidas, será registado um evento de erro.
-
Continuará a ver um ID de Evento: 205 registado para qualquer configuração insegura de DefaultDomainSupportedEncTypes.
Definições do registo
Após a instalação das atualizações do Windows em ou depois de 13 de janeiro de 2026, a seguinte chave de registo está disponível para o protocolo Kerberos.
RC4DefaultDisablementPhase
Esta chave de registo é utilizada para controlar a implementação das alterações de Kerberos. Esta chave de registo é temporária e deixará de ser lida após a data de imposição.
|
Chave de registo |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Tipo de dados |
REG_DWORD |
|
Nome do valor |
RC4DefaultDisablementPhase |
|
Dados de valor |
0 – Sem auditoria, sem alterações 1 - Os eventos de aviso serão registados na utilização RC4 predefinida. (Predefinição da Fase 1) 2 – O Kerberos começará a assumir que o RC4 não está ativado por predefinição. (Fase 2 predefinida) |
|
É necessário reiniciar? |
Sim |
Eventos de auditoria
Após a instalação das atualizações do Windows em ou depois de 13 de janeiro de 2026, os seguintes tipos de eventos de Auditoria KSCSVC são adicionados ao registo de eventos do Sistema de Windows Server 2012 e posteriormente executados como controlador de domínio.
Nesta secção
ID do Evento: 201
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
201 |
|
Texto do Evento |
O Centro de Distribuição de Chaves detetou <Nome da Cifra> utilização que não será suportada na fase de imposição porque o serviço msds-SupportedEncryptionTypes não está definido e o cliente só suporta tipos de encriptação inseguros. Informações da Conta Nome da Conta: <Nome da Conta> Nome do Realm Fornecido: <Nome de Realm Fornecido> msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados> Chaves Disponíveis: <Chaves Disponíveis> Informações do Serviço: Nome do Serviço: <Nome do Serviço> ID do Serviço:> SID do Serviço < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chaves Disponíveis: Chaves Disponíveis do Serviço <> Informações do Controlador de Domínio: msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados pelo Controlador de Domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves Disponíveis: chaves disponíveis do controlador de domínio <> Informações de Rede: Endereço do Cliente: <endereço IP do cliente> Porta de Cliente: <porta de cliente> Etypes Anunciados: <Tipos de Encriptação Kerberos> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
ID do Evento: 201 será registado se:
|
ID do Evento: 202
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
202 |
|
Texto do Evento |
O Centro de Distribuição de Chaves detetou <Nome da Cifra> utilização que não será suportada na fase de imposição porque o serviço msds-SupportedEncryptionTypes não está definido e a conta de serviço tem apenas chaves inseguras. Informações da Conta Nome da Conta: <Nome da Conta> Nome do Realm Fornecido: <Nome de Realm Fornecido> msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados> Chaves Disponíveis: <Chaves Disponíveis> Informações do Serviço: Nome do Serviço: <Nome do Serviço> ID do Serviço:> SID do Serviço < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chaves Disponíveis: Chaves Disponíveis do Serviço <> Informações do Controlador de Domínio: msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados pelo Controlador de Domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves Disponíveis: chaves disponíveis do controlador de domínio <> Informações de Rede: Endereço do Cliente: <endereço IP do cliente> Porta de Cliente: <porta de cliente> Etypes Anunciados: <Tipos de Encriptação Kerberos> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de aviso 202 será registado se:
|
ID do Evento: 203
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
203 |
|
Texto do Evento |
O Centro de Distribuição de Chaves bloqueou a utilização de cifras porque o serviço msds-SupportedEncryptionTypes não está definido e o cliente só suporta tipos de encriptação inseguros. Informações da Conta Nome da Conta: <Nome da Conta> Nome do Realm Fornecido: <Nome de Realm Fornecido> msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados> Chaves Disponíveis: <Chaves Disponíveis> Informações do Serviço: Nome do Serviço: <Nome do Serviço> ID do Serviço:> SID do Serviço < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chaves Disponíveis: Chaves Disponíveis do Serviço <> Informações do Controlador de Domínio: msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados pelo Controlador de Domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves Disponíveis: chaves disponíveis do controlador de domínio <> Informações de Rede: Endereço do Cliente: <endereço IP do cliente> Porta de Cliente: <porta de cliente> Etypes Anunciados: <Tipos de Encriptação Kerberos> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de erro 203 será registado se:
|
ID do Evento: 204
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
204 |
|
Texto do Evento |
O Centro de Distribuição de Chaves bloqueou a utilização de cifras porque o serviço msds-SupportedEncryptionTypes não está definido e a conta de serviço tem apenas chaves inseguras. Informações da Conta Nome da Conta: <Nome da Conta> Nome do Realm Fornecido: <Nome de Realm Fornecido> msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados> Chaves Disponíveis: <Chaves Disponíveis> Informações do Serviço: Nome do Serviço: <Nome do Serviço> ID do Serviço:> SID do Serviço < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chaves Disponíveis: Chaves Disponíveis do Serviço <> Informações do Controlador de Domínio: msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados pelo Controlador de Domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves Disponíveis: chaves disponíveis do controlador de domínio <> Informações de Rede: Endereço do Cliente: <endereço IP do cliente> Porta de Cliente: <porta de cliente> Etypes Anunciados: <Tipos de Encriptação Kerberos> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de erro 204 será registado se:
|
ID do Evento: 205
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
205 |
|
Texto do Evento |
O Centro de Distribuição de Chaves detetou a ativação explícita de cifras na configuração da política Tipos de Encriptação Suportados pelo Domínio Predefinido. Cifra(s): <Cifras Inseguras Ativadas> DefaultDomainSupportedEncTypes: <Valor DefaultDomainSupportedEncTypes Configurado> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de aviso 205 será registado se:
|
ID do Evento: 206
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
206 |
|
Texto do Evento |
O Centro de Distribuição de Chaves detetou <Nome da Cifra> utilização que não será suportada na fase de imposição porque o serviço msds-SupportedEncryptionTypes está configurado para suportar apenas AES-SHA1, mas o cliente não advertiu AES-SHA1 Informações da Conta Nome da Conta: <Nome da Conta> Nome do Realm Fornecido: <Nome de Realm Fornecido> msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados> Chaves Disponíveis: <Chaves Disponíveis> Informações do Serviço: Nome do Serviço: <Nome do Serviço> ID do Serviço:> SID do Serviço < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chaves Disponíveis: Chaves Disponíveis do Serviço <> Informações do Controlador de Domínio: msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados pelo Controlador de Domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves Disponíveis: chaves disponíveis do controlador de domínio <> Informações de Rede: Endereço do Cliente: <endereço IP do cliente> Porta de Cliente: <porta de cliente> Etypes Anunciados: <Tipos de Encriptação Kerberos> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de aviso 206 será registado se:
|
ID do Evento: 207
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
207 |
|
Texto do Evento |
O Centro de Distribuição de Chaves detetou <Nome da Cifra> utilização que não será suportada na fase de imposição porque o serviço msds-SupportedEncryptionTypes está configurado para suportar apenas AES-SHA1, mas a conta de serviço não tem chaves AES-SHA1. Informações da Conta Nome da Conta: <Nome da Conta> Nome do Realm Fornecido: <Nome de Realm Fornecido> msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados> Chaves Disponíveis: <Chaves Disponíveis> Informações do Serviço: Nome do Serviço: <Nome do Serviço> ID do Serviço:> SID do Serviço < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chaves Disponíveis: Chaves Disponíveis do Serviço <> Informações do Controlador de Domínio: msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados pelo Controlador de Domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves Disponíveis: chaves disponíveis do controlador de domínio <> Informações de Rede: Endereço do Cliente: <endereço IP do cliente> Porta de Cliente: <porta de cliente> Etypes Anunciados: <Tipos de Encriptação Kerberos> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de aviso 207 será registado se:
|
ID do Evento: 208
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
208 |
|
Texto do Evento |
O Centro de Distribuição de Chaves negou intencionalmente a utilização de cifras porque o serviço msds-SupportedEncryptionTypes está configurado para suportar apenas AES-SHA1, mas o cliente não advertiu AES-SHA1 Informações da Conta Nome da Conta: <Nome da Conta> Nome do Realm Fornecido: <Nome de Realm Fornecido> msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados> Chaves Disponíveis: <Chaves Disponíveis> Informações do Serviço: Nome do Serviço: <Nome do Serviço> ID do Serviço:> SID do Serviço < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chaves Disponíveis: Chaves Disponíveis do Serviço <> Informações do Controlador de Domínio: msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados pelo Controlador de Domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves Disponíveis: chaves disponíveis do controlador de domínio <> Informações de Rede: Endereço do Cliente: <endereço IP do cliente> Porta de Cliente: <porta de cliente> Etypes Anunciados: <Tipos de Encriptação Kerberos> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de erro 208 será registado se:
|
ID do Evento: 209
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
209 |
|
Texto do Evento |
O Centro de Distribuição de Chaves negou intencionalmente a utilização de cifras porque o serviço msds-SupportedEncryptionTypes está configurado para suportar apenas AES-SHA1, mas a conta de serviço não tem chaves AES-SHA1 Informações da Conta Nome da Conta: <Nome da Conta> Nome do Realm Fornecido: <Nome de Realm Fornecido> msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados> Chaves Disponíveis: <Chaves Disponíveis> Informações do Serviço: Nome do Serviço: <Nome do Serviço> ID do Serviço:> SID do Serviço < msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Chaves Disponíveis: Chaves Disponíveis do Serviço <> Informações do Controlador de Domínio: msds-SupportedEncryptionTypes: <Tipos de Encriptação Suportados pelo Controlador de Domínio> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Chaves Disponíveis: chaves disponíveis do controlador de domínio <> Informações de Rede: Endereço do Cliente: <endereço IP do cliente> Porta de Cliente: <porta de cliente> Etypes Anunciados: <Tipos de Encriptação Kerberos> Consulte https://go.microsoft.com/fwlink/?linkid=2344614 para saber mais. |
|
Comentários |
O evento de erro 209 será registado se:
|
Nota
Relativamente à alteração implícita na seleção de encriptação de pedidos de serviço, a Microsoft tem visibilidade limitada sobre os motivos pelos quais um dispositivo não Windows pode não conseguir aceitar a autenticação Kerberos após os KDCs aplicarem a atualização de abril e moverem para o comportamento AES-SHA1 predefinido quando não forem especificados. Sugerimos que valide estas alterações através de testes no seu próprio ambiente antes de ativar este comportamento amplamente.
O local mais comum onde isto será encontrado é com dispositivos que tiram partido de Keytabs Kerberos. Se o Kerberos Keytab só tiver sido exportado com chaves RC4, mas a conta de serviço de destino tiver chaves AES-SHA1 e não tiver um msds-SupportedEncryptionTypes definido, existe a possibilidade de uma falha de autenticação no referido serviço. Isto irá provavelmente manifestar-se sob a forma de falhas de autenticação do serviço de destino e não do KDC.
A nossa principal recomendação é trabalhar com o fornecedor do dispositivo não Windows. Em geral, as falhas de dispositivos não Windows para aceitar a autenticação Kerberos não são exclusivas das alterações de abril e podem dever-se a limitações específicas do dispositivo ou específicas da implementação.
Se forem observados problemas de autenticação Kerberos com dispositivos não Windows após esta alteração e a remediação do fornecedor não for viável, as nossas recomendações são as seguintes:
-
Na conta de serviço afetada, defina explicitamente msDS-SupportedEncryptionTypes para incluir RC4 com chaves de sessão AES (0x24).
-
Se tal não for viável, como último recurso, configure manualmente o valor de registo DefaultDomainSupportedEncTypes em todos os KDCs relevantes para incluir RC4 com chaves de sessão AES-SHA1 (0x24). Tenha em atenção que isto deixa todas as contas no domínio vulneráveis ao CVE-2026-20833.
É importante ter em atenção que esta configuração é insegura e a nossa recomendação a longo prazo é migrar dispositivos não Windows para versões que suportem a encriptação de pedidos Kerberos AES-SHA1.
Perguntas mais frequentes (FAQ)
T1: Como é que esta alteração interage com domínios que têm KDCs de terceiros?
Esta alteração de proteção só afeta os controladores de domínio do Windows. A Fidedignidade kerberos e o fluxo de referência com outros controladores de domínio do Windows ou KDCs de terceiros não são afetados.
Q2: Como é que esta alteração interage com domínios que têm dispositivos de domínio não Windows?
Os dispositivos de domínio de terceiros que não conseguem processar a encriptação AES-SHA1 já deveriam ter sido explicitamente configurados para permitir a encriptação RC4. Os serviços que não conseguem processar pedidos AES-SHA1 têm de ser corrigidos ou configurados explicitamente no Active Directory para fornecer encriptação RC4, conforme indicado acima. Valide estas alterações cuidadosamente.
T3: A Microsoft removerá a capacidade de configurar DefaultDomainSupportedEncTypes?
Não. Vamos registar eventos de aviso para configurações inseguras para DefaultDomainSupportedEncTypes. Além disso, respeitaremos qualquer configuração explicitamente definida por um administrador.
Recursos
Registo de alterações
|
Alterar data |
Alterar descrição |
|
14 de abril de 2026 |
|
|
7 de abril de 2026 |
|
|
16 de março de 2026 |
|
|
10 de fevereiro de 2026 |
|
