Исходная дата публикации: 13 января 2026 г.
Идентификатор базы знаний: 5073381
Окончание срока действия сертификата безопасной загрузки Windows
Важно: Срок действия сертификатов безопасной загрузки, используемых большинством устройств с Windows, истекает начиная с июня 2026 г. Это может повлиять на возможность безопасной загрузки определенных личных и бизнес-устройств, если сертификаты не будут своевременно обновлены. Чтобы избежать перебоев в работе, рекомендуем ознакомиться с руководством и принять меры по заблаговременному обновлению сертификатов. Дополнительные сведения и шаги подготовки см. в статье Срок действия сертификатов безопасной загрузки Windows и обновления ЦС.
В этой статье
Краткое содержание
Обновления Windows, выпущенные 13 января 2026 г. и позже, содержат средства защиты от уязвимости с помощью протокола проверки подлинности Kerberos. Обновления Windows устраняют уязвимость раскрытия информации, которая может позволить злоумышленнику получить билеты на службу со слабыми или устаревшими типами шифрования, такими как RC4, и выполнять атаки в автономном режиме для восстановления пароля учетной записи службы.
Чтобы защитить и защитить среду, установите обновление Windows, выпущенное 13 января 2026 г. или позже, на всех серверах Windows, перечисленных в разделе "Применимо к", запущенном в качестве контроллера домена. Дополнительные сведения об уязвимостях см. в разделе CVE-2026-20833.
Чтобы устранить эту уязвимость, изменяется значение по умолчанию DefaultDomainSupportedEncTypes (DDSET), чтобы все контроллеры домена поддерживали только билеты с шифрованием расширенного шифрования Standard (AES-SHA1) для учетных записей без явной конфигурации типа шифрования Kerberos. Дополнительные сведения см. в разделе Битовые флаги поддерживаемых типов шифрования.
На контроллерах домена с определенным значением реестра DefaultDomainSupportedEncTypes эти изменения не будут функционально влиять на поведение. Однако событие аудита KDCSVC Event ID: 205 может быть зарегистрировано в журнале системных событий, если существующая конфигурация DefaultDomainSupportedEncTypes небезопасна.
Своевременные действия
Чтобы защитить среду и предотвратить сбои, рекомендуется выполнить следующие действия.
-
ОБНОВЛЕНИЕ Контроллеры домена Microsoft Active Directory, начиная с обновлений Windows, выпущенных 13 января 2026 г. или позже.
-
МОНИТОРИНГ журнала системных событий для любых из 9 событий аудита, зарегистрированных на Windows Server 2012 и более новых контроллерах домена, которые определяют риски с включением защиты RC4.
-
СМЯГЧИТЬ События KDCSVC, зарегистрированные в журнале системных событий, препятствуют ручному или программному включению защиты RC4.
-
ВКЛЮЧИТЬ Режим принудительного применения для устранения уязвимостей, устраненных в CVE-2026-20833 в вашей среде, когда события предупреждения, блокировки или политики больше не регистрируются.
ВАЖНО Установка обновлений, выпущенных 13 января 2026 г. или позже, по умолчанию не устраняет уязвимости, описанные в разделе CVE-2026-20833 для контроллеров домена Active Directory. Чтобы полностью устранить уязвимость, необходимо как можно скорее перейти в режим Принудительно (описано в шаге 3) на всех контроллерах домена.
С апреля 2026 г. режим принудительного применения будет включен на всех контроллерах домена Windows и будет блокировать уязвимые подключения с устройств, не соответствующих требованиям. В это время вы не сможете отключить аудит, но можете вернуться к параметру Режим аудита. Режим аудита будет удален в июле 2026 г., как описано в разделе "Время обновления ", а режим принудительного применения будет включен на всех контроллерах домена Windows и будет блокировать уязвимые подключения с несоответствующих устройств.
Если вам нужно использовать RC4 после апреля 2026 г., рекомендуется явно включить RC4 в битовой маске msds-SupportedEncryptionTypes для служб, которые должны будут принимать использование RC4.
Сроки обновления
13 января 2026 г. — этап первоначального развертывания
Начальный этап развертывания начинается с обновлений, выпущенных с 13 января 2026 г., и продолжается с последующими обновлениями Windows до этапа принудительного применения . Этот этап предназначен для предупреждения клиентов о новых мерах безопасности, которые будут внедрены на втором этапе развертывания. Это обновление:
-
Предоставляет события аудита для предупреждения клиентов, на которых может негативно повлиять предстоящее усиление безопасности.
-
Вводит значение реестра RC4DefaultDisablementPhase для упреждающего включения изменения путем установки значения 2 на контроллерах домена, когда события аудита KDCSVC указывают на то, что это безопасно.
Апрель 2026 г. — второй этап развертывания
Это обновление изменяет значение DefaultDomainSupportedEncTypes по умолчанию для операций KDC, чтобы использовать AES-SHA1 для учетных записей, для которых не определен явный атрибут active directory msds-SupportedEncryptionTypes.
На этом этапе значение по умолчанию для DefaultDomainSupportedEncTypes изменяется на только AES-SHA1: 0x18.
Июль 2026 г. — этап принудительного применения
Обновления Windows, выпущенные в июле 2026 г. или позже, отключат поддержку подраздела реестра RC4DefaultDisablementPhase.
Рекомендации по развертыванию
Чтобы развернуть обновления Windows, выпущенные 13 января 2026 г. или позже, выполните следующие действия.
-
ОБНОВите контроллеры домена с обновлением Windows, выпущенным 13 января 2026 г. или позже.
-
СОБЫТИЯ MONITOR , регистрируемые на начальном этапе развертывания, чтобы защитить среду.
-
Переместите контроллеры домена в режим принудительного применения с помощью раздела Параметры реестра.
Шаг 1. ОБНОВЛЕНИЕ
Разверните обновление Windows, выпущенное 13 января 2026 г. или позже, во всех применимых службах Windows Active Directory, работающих в качестве контроллера домена после развертывания обновления.
-
События аудита будут отображаться в журналах системных событий, если контроллер домена получает запросы на запросы службы Kerberos, для которых требуется использовать шифр RC4, но учетная запись службы имеет конфигурацию шифрования по умолчанию.
-
События аудита будут регистрироваться в журнале системных событий, если контроллер домена имеет явную конфигурацию DefaultDomainSupportedEncTypes для разрешения шифрования RC4.
Шаг 2. МОНИТОРИНГ
После обновления контроллеров домена, если события аудита не отображаются, переключитесь в режим принудительного применения , изменив значение RC4DefaultDisablementPhase на 2.
Если создаются события аудита, необходимо либо удалить зависимости RC4, либо явно настроить учетные записи, поддерживаемые Kerberos типами шифрования. После этого вы сможете перейти в режим принудительного применения .
Сведения о том, как обнаруживать использование RC4 в домене, выполнять аудит учетных записей устройств и пользователей, которые по-прежнему зависят от RC4, а также принимать меры по исправлению использования в пользу более надежных типов шифрования или управлению зависимостями RC4, см. в статье Обнаружение и исправление использования RC4 в Kerberos.
Шаг 3. ВКЛЮЧЕНИЕ
Включите режим принудительного применения для устранения уязвимостей CVE-2026-20833 в вашей среде.
-
Если KDC запрашивает предоставить билет службы RC4 для учетной записи с конфигурациями по умолчанию, событие ошибки регистрируется.
-
Для любой небезопасной конфигурации DefaultDomainSupportedEncTypes по-прежнему отображаетсяидентификатор события: 205.
Параметры реестра
После установки обновлений Windows, выпущенных 13 января 2026 г. или позже, для протокола Kerberos будет доступен следующий раздел реестра.
Этот раздел реестра используется для регистрации развертывания изменений Kerberos. Этот раздел реестра является временным и больше не будет считываться после даты принудительного применения.
|
Раздел реестра |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Тип данных |
REG_DWORD |
|
Имя значения |
RC4DefaultDisablementPhase |
|
Данные значения |
0 — нет аудита, нет изменений 1 . События предупреждений будут регистрироваться при использовании rc4 по умолчанию. (этап 1 по умолчанию) 2 . Kerberos будет запущен при условии, что rc4 не включен по умолчанию. (Этап 2 по умолчанию) |
|
Требуется перезапуск? |
Да |
События аудита
После установки обновлений Windows, выпущенных 13 января 2026 г. или позже, следующие типы событий аудита добавляются в Windows Server 2012 и более поздних версий в качестве контроллера домена.
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
201 |
|
Текст события |
Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes не определена, а клиент поддерживает только небезопасные типы шифрования. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Идентификатор события: 201 будет зарегистрирован, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
202 |
|
Текст события |
Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes не определена и учетная запись службы имеет только небезопасные ключи. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие предупреждения 202 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
203 |
|
Текст события |
Центр распространения ключей заблокировал использование шифра, так как служба msds-SupportedEncryptionTypes не определена и клиент поддерживает только небезопасные типы шифрования. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие ошибки 203 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
204 |
|
Текст события |
Центр распространения ключей заблокировал использование шифра, так как служба msds-SupportedEncryptionTypes не определена, а учетная запись службы содержит только небезопасные ключи. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие ошибки 204 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
205 |
|
Текст события |
Центр распространения ключей обнаружил явное включение шифра в конфигурации политики поддерживаемых доменом типов шифрования по умолчанию. Шифры<включенные небезопасные шифры> DefaultDomainSupportedEncTypes: <Настроено значение DefaultDomainSupportedEncTypes> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие предупреждения 205 будет зарегистрировано в журнале, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
206 |
|
Текст события |
Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes настроена для поддержки только AES-SHA1, но клиент не рекламирует AES-SHA1. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие предупреждения 206 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
207 |
|
Текст события |
Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes настроена для поддержки только AES-SHA1, но учетная запись службы не имеет ключей AES-SHA1. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие предупреждения 207 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
208 |
|
Текст события |
Центр распространения ключей намеренно запретил использование шифров, так как служба msds-SupportedEncryptionTypes настроена для поддержки только AES-SHA1, но клиент не рекламирует AES-SHA1. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие ошибки 208 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
209 |
|
Текст события |
Центр распространения ключей намеренно запретил использование шифров, так как служба msds-SupportedEncryptionTypes настроена только для поддержки AES-SHA1, но у учетной записи службы нет ключей AES-SHA1. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие ошибки 209 будет зарегистрировано, если:
|
Примечание
Если вы обнаружите, что какое-либо из этих предупреждающих сообщений зарегистрировано на контроллере домена, скорее всего, все контроллеры домена не обновлены с обновлением Windows, выпущенным 13 января 2026 г. или позже. Чтобы устранить эту уязвимость, вам потребуется дополнительно изучить домен, чтобы найти контроллеры домена, которые не являются актуальными.
Если вы видите идентификатор события: 0x8000002A вошел в контроллер домена, см. KB5021131. Управление изменениями протокола Kerberos, связанными с CVE-2022-37966.
Часто задаваемые вопросы
Это усиление защиты влияет на контроллеры домена Windows при выдаче билетов службы. Поток доверия и рефералов Kerberos не влияет.
Сторонние доменные устройства, которые не могут обработать AES-SHA1, уже должны быть явно настроены на разрешение AES-SHA1.
Нет. Мы зарегистрируем события предупреждений для небезопасных конфигураций для DefaultDomainSupportedEncTypes. Кроме того, мы не будем игнорировать конфигурацию, явно заданную клиентом.
Ресурсы
KB5020805. Управление изменениями протокола Kerberos, связанными с CVE-2022-37967
KB5021131. Управление изменениями протокола Kerberos, связанными с CVE-2022-37966
