Data de publicare inițială: 13 ianuarie 2026
ID KB: 5073381
În acest articol
Rezumat
Actualizările Windows lansate la și după 13 ianuarie 2026 conțin protecții pentru o vulnerabilitate cu protocolul de autentificare Kerberos. Actualizările Windows tratează o vulnerabilitate de dezvăluire a informațiilor din CVE-2026-20833 , care poate permite unui atacator să obțină tichete de serviciu cu tipuri de criptare slabe sau moștenite, cum ar fi RC4, pentru a efectua atacuri offline pentru a recupera o parolă de cont de serviciu.
Pentru a atenua această vulnerabilitate, actualizările Windows lansate la și după 14 aprilie 2026 modifică valoarea implicită Kerberos Key Distribution Center (KDC) pentru DefaultDomainSupportedEncTypes, cu excepția cazului în care administratorii activează modul impunere mai devreme. Controlerele de domeniu actualizate care rulează în modul Impunere vor presupune suport doar pentru configurațiile de tip de criptare AES (Advanced Encryption Standard) dacă nu este specificată nicio configurație explicită. Pentru mai multe informații, consultați Semnalizatori biți pentru tipurile de criptare acceptate. Valoarea implicită pentru DefaultDomainSupportedEncTypes se aplică în absența unei valori explicite.
Pe controlerele de domeniu cu o valoare de registry DefaultDomainSupportedEncTypes definită, comportamentul nu va fi afectat funcțional de aceste modificări. Cu toate acestea, un ID de eveniment KDCSVC de audit: 205 va fi înregistrat în jurnalul de evenimente de sistem dacă configurația DefaultDomainSupportedEncTypes existentă este nesigură (de exemplu, atunci când se utilizează un cifru RC4).
Luați măsuri
Pentru a contribui la protejarea mediului și a preveni întreruperile, vă recomandăm să:
-
ACTUALIZARE Controlerele de domeniu Microsoft Active Directory începând cu actualizările Windows lansate la sau după 13 ianuarie 2026.
-
MONITORIZAȚI jurnalul de evenimente de sistem pentru oricare dintre cele nouă evenimente de auditare KDCSVC 201 > 209 conectate Windows Server 2012 și controlere de domeniu mai noi care identifică riscurile cu activarea protecțiilor RC4.
-
ATENUA Evenimente KDCSVC înregistrate în jurnalul de evenimente de sistem care împiedică activarea manuală sau programatică a protecțiilor RC4.
-
ACTIVA Modul impunere pentru a trata vulnerabilitățile abordate în CVE-2026-20833 în mediul dvs. atunci când avertismentele, blocările sau evenimentele de politică nu mai sunt înregistrate în jurnal.
IMPORTANT Instalarea actualizărilor lansate la sau după 13 ianuarie 2026 NU va trata vulnerabilitățile descrise în CVE-2026-20833 pentru controlerele de domeniu Active Directory în mod implicit. Pentru a atenua complet vulnerabilitatea, trebuie să activați manual modul Impunere (descris în Pasul 3: ENABLE) pe toate controlerele de domeniu. Instalarea Windows Actualizări lansată la și după iulie 2026 va activa prin programare Faza de impunere.
Modul impunere va fi activat automat prin instalarea Windows Actualizări lansat la sau după aprilie 2026 pe toate controlerele de domeniu Windows și va bloca conexiunile vulnerabile de la dispozitivele neconforme. În acel moment, nu veți putea să dezactivați auditarea, dar este posibil să reveniți la setarea mod auditare. Modul de auditare va fi eliminat în iulie 2026, așa cum se arată în secțiunea Temporizarea actualizărilor , iar modul Impunere va fi activat pe toate controlerele de domeniu Windows și va bloca conexiunile vulnerabile de la dispozitivele neconforme.
Dacă trebuie să utilizați RC4 după aprilie 2026, vă recomandăm să activați în mod explicit RC4 în msds-SupportedEncryptionTypes pentru serviciile care vor trebui să accepte utilizarea RC4.
Temporizarea actualizărilor
13 ianuarie 2026 - Faza inițială de implementare
Faza inițială de implementare începe cu actualizările lansate la și după 13 ianuarie 2026 și continuă cu actualizările Windows ulterioare până la faza de impunere . Această etapă este avertizarea clienților cu privire la noile impunere a securității care vor fi introduse în a doua fază de implementare. Această actualizare:
-
Furnizează evenimente de auditare pentru a avertiza clienții care ar putea fi afectați negativ de consolidarea securității viitoare.
-
Introduce suport pentru valoarea de registry RC4DefaultDisablementPhase după ce un administrator activează proactiv modificarea prin setarea valorii la 2 pe controlerele de domeniu atunci când evenimentele de audit KDCSVC indică faptul că este sigur să faceți acest lucru.
14 aprilie 2026 - Faza de impunere cu revenire manuală
Această actualizare modifică valoarea implicită DefaultDomainSupportedEncTypes pentru operațiunile KDC pentru a utiliza AES-SHA1 pentru conturile care nu au definit atributul explicit msds-SupportedEncryptionTypes active directory.
Această fază modifică valoarea implicită doar pentru DefaultDomainSupportedEncTypes la AES-SHA1: 0x18.
Această fază permite, de asemenea, configurarea manuală a valorii de revenire RC4DefaultDisablementPhase până la impunerea programatică în iulie 2026.
Iulie 2026 - Faza de impunere
Actualizările Windows lansate în sau după iulie 2026 vor elimina suportul pentru subcheia de registry RC4DefaultDisablementPhase.
Instrucțiuni de implementare
Pentru a implementa actualizările Windows lansate la sau după 13 ianuarie 2026, urmați acești pași:
-
ACTUALIZAți controlerele de domeniu cu o actualizare Windows lansată la sau după 13 ianuarie 2026.
-
Evenimente MONITOR înregistrate în timpul fazei de implementare inițiale pentru a contribui la securizarea mediului.
-
MUTAȚI controlerele de domeniu în modul Impunere utilizând secțiunea Setări Registry.
Pasul 1: ACTUALIZARE
Implementați actualizarea Windows lansată la sau după 13 ianuarie 2026 pentru toate Active Directory Windows care rulează ca controler de domeniu după implementarea actualizării.
-
Evenimentele de auditare vor apărea în jurnalele de evenimente de sistem dacă controlerele de domeniu Windows Server 2012 sau mai recente primesc solicitări de tichet de serviciu Kerberos care necesită utilizarea cifruului RC4, dar contul de serviciu are configurația de criptare implicită.
-
Evenimentul de auditare 205 va fi înregistrat în jurnalul de evenimente de sistem dacă controlerul de domeniu are o configurație implicită DefaultDomainSupportedEncTypes pentru a permite criptarea RC4.
Pasul 2: MONITOR
După ce sunt actualizate controlerele de domeniu, dacă nu vedeți evenimente de audit documentate în acest articol, comutați la modul Impunere modificând valoarea de registry RC4DefaultDisablementPhase la 2.
Dacă sunt generate evenimente de auditare, va trebui să eliminați dependențele RC4 sau să configurați în mod explicit atributul msds-SupportedEncryptionTypes pentru a accepta utilizarea continuă a RC4 după activarea manuală sau automată a modului Enforcement .
Pentru administratorii care sunt interesați de remedierea utilizării RC4 pe o scară mai largă decât este discutat în acest articol, vă recomandăm să consultați Detectarea și remedierea utilizării RC4 în Kerberos pentru mai multe informații.
IMPORTANT Evenimentele de audit legate de această modificare sunt generate doar atunci când Active Directory nu poate emite tichete de serviciu sau chei de sesiune AES-SHA1. Absența evenimentelor de audit nu garantează că toate dispozitivele non-Windows vor accepta cu succes autentificarea Kerberos după actualizarea din aprilie. Clienții ar trebui să valideze interoperabilitatea non-Windows prin testare înainte de a activa pe scară largă acest comportament.
Pasul 3: ACTIVARE
Activați modul Impunere pentru a trata vulnerabilitățile CVE-2026-20833 din mediul dvs.
-
Dacă un KDC este solicitat să furnizeze un tichet de serviciu RC4 pentru un cont cu configurații implicite, va fi înregistrat în jurnal un eveniment de eroare.
-
Veți vedea în continuare un ID de eveniment: 205 înregistrat pentru orice configurație nesigură a DefaultDomainSupportedEncTypes.
Setări registry
După ce se instalează actualizările Windows lansate la sau după 13 ianuarie 2026, este disponibilă următoarea cheie de registry pentru protocolul Kerberos.
RC4DefaultDisablementPhase
Această cheie de registry este utilizată pentru a impune implementarea modificărilor Kerberos. Această cheie de registry este temporară și nu va mai fi citită după data de impunere.
|
Cheia de registry |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Tip de date |
REG_DWORD |
|
Nume valoare |
RC4DefaultDisablementPhase |
|
Date valoare |
0 – Fără audit, nicio modificare 1 - Evenimentele de avertizare vor fi înregistrate la utilizarea RC4 implicită. (Faza 1 implicită) 2 – Kerberos va începe să presupunem că RC4 nu este activat în mod implicit. (Faza 2 implicită) |
|
Repornire necesară? |
Da |
Evenimente de audit
După ce se instalează actualizările Windows lansate la sau după 13 ianuarie 2026, următoarele tipuri de evenimente de audit KSCSVC sunt adăugate în jurnalul de evenimente de sistem al Windows Server 2012 și mai recente care rulează ca controler de domeniu.
În această secțiune
ID eveniment: 201
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Kdcsvc |
|
ID eveniment |
201 |
|
Text eveniment |
Centrul de distribuire cheie a detectat <nume de cifru> utilizare care nu va fi acceptată în faza de impunere, deoarece serviciul msds-SupportedEncryptionTypes nu este definit și clientul acceptă doar tipuri de criptare nesigure. Informații cont Nume cont: <nume cont> Numele domeniului furnizat: <numele domeniului furnizat> msds-SupportedEncryptionTypes: <tipurile de criptare acceptate> Taste disponibile: <tastele disponibile> Informații serviciu: Nume serviciu:> nume serviciu < ID serviciu:> SID serviciu < msds-SupportedEncryptionTypes: <tipurile de criptare acceptate de serviciu> Chei disponibile:> cheilor disponibile pentru serviciu < Informații controler de domeniu: msds-SupportedEncryptionTypes: <tipuri de criptare acceptate de controlerul de domeniu> DefaultDomainSupportedEncTypes: <valoare DefaultDomainSupportedEncTypes> Chei disponibile: tastele <controler de domeniu disponibile> Informații de rețea: Adresă client: <client IP Address> Port client: <port client> Etypes advertized: <tipuri de criptare Kerberos advertized> Consultați https://go.microsoft.com/fwlink/?linkid=2344614 pentru a afla mai multe. |
|
Comentarii |
ID eveniment: 201 va fi înregistrat în jurnal dacă:
|
ID eveniment: 202
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Kdcsvc |
|
ID eveniment |
202 |
|
Text eveniment |
Centrul de distribuire cheie a detectat <nume de cifru> utilizare care nu va fi acceptată în faza de impunere, deoarece serviciul msds-SupportedEncryptionTypes nu este definit și contul de serviciu are doar chei nesigure. Informații cont Nume cont: <nume cont> Numele domeniului furnizat: <numele domeniului furnizat> msds-SupportedEncryptionTypes: <tipurile de criptare acceptate> Taste disponibile: <tastele disponibile> Informații serviciu: Nume serviciu:> nume serviciu < ID serviciu:> SID serviciu < msds-SupportedEncryptionTypes: <tipurile de criptare acceptate de serviciu> Chei disponibile:> cheilor disponibile pentru serviciu < Informații controler de domeniu: msds-SupportedEncryptionTypes: <tipuri de criptare acceptate de controlerul de domeniu> DefaultDomainSupportedEncTypes: <valoare DefaultDomainSupportedEncTypes> Chei disponibile: tastele <controler de domeniu disponibile> Informații de rețea: Adresă client: <client IP Address> Port client: <port client> Etypes advertized: <tipuri de criptare Kerberos advertized> Consultați https://go.microsoft.com/fwlink/?linkid=2344614 pentru a afla mai multe. |
|
Comentarii |
Evenimentul de avertizare 202 va fi înregistrat în jurnal dacă:
|
ID eveniment: 203
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Kdcsvc |
|
ID eveniment |
203 |
|
Text eveniment |
Centrul de distribuire cheie a blocat utilizarea cifruului, deoarece serviciul msds-SupportedEncryptionTypes nu este definit și clientul acceptă doar tipuri de criptare nesigure. Informații cont Nume cont: <nume cont> Numele domeniului furnizat: <numele domeniului furnizat> msds-SupportedEncryptionTypes: <tipurile de criptare acceptate> Taste disponibile: <tastele disponibile> Informații serviciu: Nume serviciu:> nume serviciu < ID serviciu:> SID serviciu < msds-SupportedEncryptionTypes: <tipurile de criptare acceptate de serviciu> Chei disponibile:> cheilor disponibile pentru serviciu < Informații controler de domeniu: msds-SupportedEncryptionTypes: <tipuri de criptare acceptate de controlerul de domeniu> DefaultDomainSupportedEncTypes: <valoare DefaultDomainSupportedEncTypes> Chei disponibile: tastele <controler de domeniu disponibile> Informații de rețea: Adresă client: <client IP Address> Port client: <port client> Etypes advertized: <tipuri de criptare Kerberos advertized> Consultați https://go.microsoft.com/fwlink/?linkid=2344614 pentru a afla mai multe. |
|
Comentarii |
Evenimentul de eroare 203 va fi înregistrat în jurnal dacă:
|
ID eveniment: 204
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Kdcsvc |
|
ID eveniment |
204 |
|
Text eveniment |
Centrul de distribuire cheie a blocat utilizarea cifruului, deoarece serviciul msds-SupportedEncryptionTypes nu este definit și contul de serviciu are doar chei nesigure. Informații cont Nume cont: <nume cont> Numele domeniului furnizat: <numele domeniului furnizat> msds-SupportedEncryptionTypes: <tipurile de criptare acceptate> Taste disponibile: <tastele disponibile> Informații serviciu: Nume serviciu:> nume serviciu < ID serviciu:> SID serviciu < msds-SupportedEncryptionTypes: <tipurile de criptare acceptate de serviciu> Chei disponibile:> cheilor disponibile pentru serviciu < Informații controler de domeniu: msds-SupportedEncryptionTypes: <tipuri de criptare acceptate de controlerul de domeniu> DefaultDomainSupportedEncTypes: <valoare DefaultDomainSupportedEncTypes> Chei disponibile: tastele <controler de domeniu disponibile> Informații de rețea: Adresă client: <client IP Address> Port client: <port client> Etypes advertized: <tipuri de criptare Kerberos advertized> Consultați https://go.microsoft.com/fwlink/?linkid=2344614 pentru a afla mai multe. |
|
Comentarii |
Evenimentul de eroare 204 va fi înregistrat în jurnal dacă:
|
ID eveniment: 205
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Kdcsvc |
|
ID eveniment |
205 |
|
Text eveniment |
Centrul de distribuire a cheilor a detectat activarea explicită a cifruului în configurația politicii pentru tipurile de criptare implicite acceptate de domeniu. Cifruri: <> nesigure activate DefaultDomainSupportedEncTypes: <valoarea DefaultDomainSupportedEncTypes configurată> Consultați https://go.microsoft.com/fwlink/?linkid=2344614 pentru a afla mai multe. |
|
Comentarii |
Evenimentul de avertizare 205 va fi înregistrat în jurnal dacă:
|
ID eveniment: 206
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Kdcsvc |
|
ID eveniment |
206 |
|
Text eveniment |
Centrul de distribuire cheie a detectat <nume de cifru> utilizare care nu va fi acceptată în faza de impunere, deoarece serviciul msds-SupportedEncryptionTypes este configurat să accepte doar AES-SHA1, dar clientul nu face advertize AES-SHA1 Informații cont Nume cont: <nume cont> Numele domeniului furnizat: <numele domeniului furnizat> msds-SupportedEncryptionTypes: <tipurile de criptare acceptate> Taste disponibile: <tastele disponibile> Informații serviciu: Nume serviciu:> nume serviciu < ID serviciu:> SID serviciu < msds-SupportedEncryptionTypes: <tipurile de criptare acceptate de serviciu> Chei disponibile:> cheilor disponibile pentru serviciu < Informații controler de domeniu: msds-SupportedEncryptionTypes: <tipuri de criptare acceptate de controlerul de domeniu> DefaultDomainSupportedEncTypes: <valoare DefaultDomainSupportedEncTypes> Chei disponibile: tastele <controler de domeniu disponibile> Informații de rețea: Adresă client: <client IP Address> Port client: <port client> Etypes advertized: <tipuri de criptare Kerberos advertized> Consultați https://go.microsoft.com/fwlink/?linkid=2344614 pentru a afla mai multe. |
|
Comentarii |
Evenimentul de avertizare 206 va fi înregistrat dacă:
|
ID eveniment: 207
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Kdcsvc |
|
ID eveniment |
207 |
|
Text eveniment |
Centrul de distribuire cheie a detectat <nume de cifru> utilizare care nu va fi acceptată în faza de impunere, deoarece service msds-SupportedEncryptionTypes este configurat să accepte doar AES-SHA1, dar contul de serviciu nu are chei AES-SHA1. Informații cont Nume cont: <nume cont> Numele domeniului furnizat: <numele domeniului furnizat> msds-SupportedEncryptionTypes: <tipurile de criptare acceptate> Taste disponibile: <tastele disponibile> Informații serviciu: Nume serviciu:> nume serviciu < ID serviciu:> SID serviciu < msds-SupportedEncryptionTypes: <tipurile de criptare acceptate de serviciu> Chei disponibile:> cheilor disponibile pentru serviciu < Informații controler de domeniu: msds-SupportedEncryptionTypes: <tipuri de criptare acceptate de controlerul de domeniu> DefaultDomainSupportedEncTypes: <valoare DefaultDomainSupportedEncTypes> Chei disponibile: tastele <controler de domeniu disponibile> Informații de rețea: Adresă client: <client IP Address> Port client: <port client> Etypes advertized: <tipuri de criptare Kerberos advertized> Consultați https://go.microsoft.com/fwlink/?linkid=2344614 pentru a afla mai multe. |
|
Comentarii |
Evenimentul de avertizare 207 va fi înregistrat în jurnal dacă:
|
ID eveniment: 208
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Kdcsvc |
|
ID eveniment |
208 |
|
Text eveniment |
Centrul de distribuire cheie a refuzat intenționat utilizarea cifruului, deoarece serviciul msds-SupportedEncryptionTypes este configurat să accepte doar AES-SHA1, dar clientul nu face publicitate pentru AES-SHA1 Informații cont Nume cont: <nume cont> Numele domeniului furnizat: <numele domeniului furnizat> msds-SupportedEncryptionTypes: <tipurile de criptare acceptate> Taste disponibile: <tastele disponibile> Informații serviciu: Nume serviciu:> nume serviciu < ID serviciu:> SID serviciu < msds-SupportedEncryptionTypes: <tipurile de criptare acceptate de serviciu> Chei disponibile:> cheilor disponibile pentru serviciu < Informații controler de domeniu: msds-SupportedEncryptionTypes: <tipuri de criptare acceptate de controlerul de domeniu> DefaultDomainSupportedEncTypes: <valoare DefaultDomainSupportedEncTypes> Chei disponibile: tastele <controler de domeniu disponibile> Informații de rețea: Adresă client: <client IP Address> Port client: <port client> Etypes advertized: <tipuri de criptare Kerberos advertized> Consultați https://go.microsoft.com/fwlink/?linkid=2344614 pentru a afla mai multe. |
|
Comentarii |
Evenimentul de eroare 208 va fi înregistrat în jurnal dacă:
|
ID eveniment: 209
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Kdcsvc |
|
ID eveniment |
209 |
|
Text eveniment |
Centrul de distribuire cheie a refuzat intenționat utilizarea cifruului, deoarece serviciul msds-SupportedEncryptionTypes este configurat să accepte doar AES-SHA1, dar contul de serviciu nu are chei AES-SHA1 Informații cont Nume cont: <nume cont> Numele domeniului furnizat: <numele domeniului furnizat> msds-SupportedEncryptionTypes: <tipurile de criptare acceptate> Taste disponibile: <tastele disponibile> Informații serviciu: Nume serviciu:> nume serviciu < ID serviciu:> SID serviciu < msds-SupportedEncryptionTypes: <tipurile de criptare acceptate de serviciu> Chei disponibile:> cheilor disponibile pentru serviciu < Informații controler de domeniu: msds-SupportedEncryptionTypes: <tipuri de criptare acceptate de controlerul de domeniu> DefaultDomainSupportedEncTypes: <valoare DefaultDomainSupportedEncTypes> Chei disponibile: tastele <controler de domeniu disponibile> Informații de rețea: Adresă client: <client IP Address> Port client: <port client> Etypes advertized: <tipuri de criptare Kerberos advertized> Consultați https://go.microsoft.com/fwlink/?linkid=2344614 pentru a afla mai multe. |
|
Comentarii |
Evenimentul de eroare 209 va fi înregistrat în jurnal dacă:
|
Notă
În ceea ce privește modificarea implicită a selecției de criptare a tichetelor de serviciu, Microsoft are o vizibilitate limitată asupra motivelor pentru care un dispozitiv non-Windows nu poate accepta autentificarea Kerberos după ce KDC-urile aplică actualizarea din aprilie și trec la comportamentul AES-SHA1 implicit atunci când nu sunt specificate. Vă sugerăm validarea acestor modificări prin testarea în mediul dvs. înainte de a activa acest comportament pe scară largă.
Cel mai comun loc în care va fi întâlnită această problemă este utilizarea de către dispozitive a filelor de taste Kerberos. Dacă tasta keytab Kerberos a fost exportată doar cu chei RC4, dar contul serviciului țintă are chei AES-SHA1 și nu are definit un msds-SupportedEncryptionTypes, atunci există posibilitatea unei erori de autentificare la serviciul respectiv. Acest lucru se va manifesta cel mai probabil sub formă de erori de autentificare de la serviciul țintă, nu de la KDC.
Recomandarea noastră principală este să lucrăm cu furnizorul dispozitivului non-Windows. În general, erorile dispozitivelor non-Windows de a accepta autentificarea Kerberos nu sunt unice pentru modificările din aprilie și pot fi cauzate de limitări specifice dispozitivului sau specifice implementării.
Dacă se observă probleme de autentificare Kerberos cu dispozitive non-Windows după această modificare și remedierea furnizorului nu este fezabilă, recomandările noastre sunt următoarele:
-
În contul de serviciu afectat, definiți în mod explicit msDS-SupportedEncryptionTypes pentru a include RC4 cu chei de sesiune AES (0x24).
-
Dacă acest lucru nu este posibil, ca ultimă soluție, configurați manual valoarea de registry DefaultDomainSupportedEncTypes pe toate KB-urile relevante pentru a include RC4 cu chei de sesiune AES-SHA1 (0x24). Rețineți că acest lucru lasă toate conturile din domeniu vulnerabile la CVE-2026-20833.
Este important să rețineți că această configurație este nesigură, iar recomandarea noastră pe termen lung este migrarea dispozitivelor non-Windows la versiuni care acceptă criptarea tichetelor AES-SHA1 Kerberos.
Întrebări frecvente (Întrebări frecvente)
Î1: Cum interacționează această modificare cu domenii care au KDC-uri terțe?
Această modificare de consolidare afectează doar controlerele de domeniu Windows. Autorizarea Kerberos și fluxul de recomandări cu alte controlere de domeniu Windows sau KDC-uri terțe nu sunt afectate.
Î2: Cum interacționează această modificare cu domenii care au dispozitive de domeniu non-Windows?
Dispozitivele de domeniu terțe care nu pot procesa criptarea AES-SHA1 ar fi trebuit configurate deja în mod explicit pentru a permite criptarea RC4. Serviciile care nu pot procesa tichetele AES-SHA1 trebuie să fie fixe sau configurate în mod explicit în Active Diretory pentru a furniza criptare RC4, după cum este menționat mai sus. Validați cu atenție aceste modificări.
Q3: Microsoft va elimina capacitatea de a configura DefaultDomainSupportedEncTypes?
Nu. Vom înregistra în jurnal evenimente de avertizare pentru configurații nesigure pentru DefaultDomainSupportedEncTypes. În plus, vom onora orice configurație setată explicit de un administrator.
Resurse
Jurnal de modificări
|
Modificare dată |
Modificare descriere |
|
14 aprilie 2026 |
|
|
7 aprilie 2026 |
|
|
16 martie 2026 |
|
|
10 februarie 2026 |
|
