Применяется к
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Исходная дата публикации: 13 января 2026 г.

Идентификатор базы знаний: 5073381

В этой статье

Сводка

Обновления Windows, выпущенные 13 января 2026 г. и позже, содержат средства защиты от уязвимости с помощью протокола проверки подлинности Kerberos. Обновления Windows устраняют уязвимость раскрытия информации в CVE-2026-20833 , которая может позволить злоумышленнику получить билеты на обслуживание со слабыми или устаревшими типами шифрования, такими как RC4, для выполнения атак в автономном режиме для восстановления пароля учетной записи службы.

Чтобы устранить эту уязвимость, обновления Windows, выпущенные 14 апреля 2026 г. и позже, измените значение центра распространения ключей Kerberos (KDC) по умолчанию для DefaultDomainSupportedEncTypes, если администраторы не включили режим принудительного применения ранее. Обновленные контроллеры домена, работающие в режиме принудительного применения, предполагают поддержку конфигураций типов шифровани Standard я AES только в том случае, если не указана явная конфигурация. Дополнительные сведения см. в разделе Битовые флаги поддерживаемых типов шифрования. Значение по умолчанию для DefaultDomainSupportedEncTypes применяется при отсутствии явного значения.

На контроллерах домена с определенным значением реестра DefaultDomainSupportedEncTypes эти изменения не будут функционально влиять на поведение. Однако событие аудита KDCSVC Event ID: 205 будет зарегистрировано в журнале системных событий, если существующая конфигурация DefaultDomainSupportedEncTypes небезопасна (например, при использовании шифра RC4).

к началу

Своевременные действия

Чтобы защитить среду и предотвратить сбои, мы рекомендуем: 

  • ОБНОВЛЕНИЕ Контроллеры домена Microsoft Active Directory, начиная с обновлений Windows, выпущенных 13 января 2026 г. или позже.

  • МОНИТОРИНГ журнала системных событий для любого из девяти событий KDCSVC 201 > 209 Audit, зарегистрированных на Windows Server 2012 и более новых контроллерах домена, которые определяют риски с включением защиты RC4.

  • СМЯГЧИТЬ События KDCSVC, зарегистрированные в журнале системных событий, препятствуют ручному или программному включению защиты RC4.

  • ВКЛЮЧИТЬ Режим принудительного применения для устранения уязвимостей, устраненных в CVE-2026-20833 в вашей среде, когда события предупреждения, блокировки или политики больше не регистрируются.

ВАЖНО Установка обновлений, выпущенных 13 января 2026 г. или позже, по умолчанию не устраняет уязвимости, описанные в разделе CVE-2026-20833 для контроллеров домена Active Directory. Чтобы полностью устранить уязвимость, необходимо вручную включить режим принудительного применения (описано в разделе Шаг 3. Включение) на всех контроллерах домена. Установка Windows Обновления, выпущенная в июле 2026 г. и после нее, позволит программно включить этап принудительного применения.

Режим принудительного применения будет автоматически включен путем установки Windows Обновления выпущенного в апреле 2026 г. или позже на всех контроллерах домена Windows, и будет блокировать уязвимые подключения с устройств, не соответствующих требованиям.  В это время вы не сможете отключить аудит, но можете вернуться к параметру Режим аудита. Режим аудита будет удален в июле 2026 г., как описано в разделе "Время обновления ", а режим принудительного применения будет включен на всех контроллерах домена Windows и будет блокировать уязвимые подключения с несоответствующих устройств.

Если вам нужно использовать RC4 после апреля 2026 г., рекомендуется явно включить RC4 в битовой маске msds-SupportedEncryptionTypes для служб, которые должны будут принимать использование RC4. 

к началу 

Сроки обновления

13 января 2026 г. — этап первоначального развертывания 

Начальный этап развертывания начинается с обновлений, выпущенных с 13 января 2026 г., и продолжается с последующими обновлениями Windows до этапа принудительного применения . Этот этап предназначен для предупреждения клиентов о новых мерах безопасности, которые будут внедрены на втором этапе развертывания. Это обновление: 

  • Предоставляет события аудита для предупреждения клиентов, на которых может негативно повлиять предстоящее усиление безопасности.

  • Добавлена поддержка значения реестра RC4DefaultDisablementPhase после того, как администратор заранее включает изменение, задавая значение 2 на контроллерах домена, когда события аудита KDCSVC указывают на то, что это безопасно.

14 апреля 2026 г. — этап принудительного применения с откатом вручную 

Это обновление изменяет значение DefaultDomainSupportedEncTypes по умолчанию для операций KDC, чтобы использовать AES-SHA1 для учетных записей, для которых не определен явный атрибут active directory msds-SupportedEncryptionTypes

На этом этапе значение по умолчанию для DefaultDomainSupportedEncTypes изменяется на только AES-SHA1: 0x18

На этом этапе также можно вручную настроить значение отката RC4DefaultDisablementPhase до применения программного применения в июле 2026 г.

Июль 2026 г. — этап принудительного применения 

Обновления Windows, выпущенные в июле 2026 г. или позже, отключат поддержку подраздела реестра RC4DefaultDisablementPhase

к началу 

Рекомендации по развертыванию

Чтобы развернуть обновления Windows, выпущенные 13 января 2026 г. или позже, выполните следующие действия. 

  1. ОБНОВите контроллеры домена с обновлением Windows, выпущенным 13 января 2026 г. или позже.

  2. СОБЫТИЯ MONITOR , регистрируемые на начальном этапе развертывания, чтобы защитить среду.

  3. Переместите контроллеры домена в режим принудительного применения с помощью раздела Параметры реестра.

Шаг 1. ОБНОВЛЕНИЕ  

Разверните обновление Windows, выпущенное 13 января 2026 г. или позже, во всех применимых службах Windows Active Directory, работающих в качестве контроллера домена после развертывания обновления.

  • События аудита будут отображаться в журналах системных событий, если контроллеры домена Windows Server 2012 или более поздней версии получают запросы на запросы на запросы службы Kerberos, для которых требуется использовать шифр RC4, но учетная запись службы имеет конфигурацию шифрования по умолчанию.

  • Событие аудита 205 будет зарегистрировано в журнале системных событий, если контроллер домена имеет явную конфигурацию DefaultDomainSupportedEncTypes для разрешения шифрования RC4.

Шаг 2. МОНИТОРИНГ

После обновления контроллеров домена, если вы не видите события аудита, описанные в этой статье, переключитесь в режим принудительного применения , изменив значение реестра RC4DefaultDisablementPhase на 2.   

Если создаются события аудита, необходимо либо удалить зависимости RC4, либо явно настроить атрибут учетных записей msds-SupportedEncryptionTypes для поддержки дальнейшего использования RC4 после ручного или автоматического включения режима принудительного применения .

Администраторам, заинтересованным в исправлении использования RC4 более широко, чем описано в этой статье, мы рекомендуем ознакомиться с разделом Обнаружение и исправление использования RC4 в Kerberos.

ВАЖНО События аудита, связанные с этим изменением, создаются только в том случае, если Active Directory не может выдать билеты службы AES-SHA1 или ключи сеанса. Отсутствие событий аудита не гарантирует, что все устройства, отличные от Windows, успешно примут проверку подлинности Kerberos после апрельского обновления. Клиенты должны проверить взаимодействие, отличное от Windows, с помощью тестирования, прежде чем широко включить это поведение.

Шаг 3. ВКЛЮЧЕНИЕ

Включите режим принудительного применения для устранения уязвимостей CVE-2026-20833 в вашей среде. 

  • Если KDC запрашивает предоставить билет службы RC4 для учетной записи с конфигурациями по умолчанию, событие ошибки регистрируется.

  • Для любой небезопасной конфигурации DefaultDomainSupportedEncTypes по-прежнему будет отображаться идентификатор события: 205.

к началу 

Параметры реестра

После установки обновлений Windows, выпущенных 13 января 2026 г. или позже, для протокола Kerberos будет доступен следующий раздел реестра.

RC4DefaultDisablementPhase

Этот раздел реестра используется для регистрации развертывания изменений Kerberos. Этот раздел реестра является временным и больше не будет считываться после даты принудительного применения.

Раздел реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Тип данных

REG_DWORD

Имя значения

RC4DefaultDisablementPhase

Данные значения

0 — нет аудита, нет изменений 

1 . События предупреждений будут регистрироваться при использовании rc4 по умолчанию. (этап 1 по умолчанию) 

2 . Kerberos будет запущен при условии, что rc4 не включен по умолчанию.  (Этап 2 по умолчанию) 

Требуется перезапуск?

Да

к началу 

События аудита

После установки обновлений Windows, выпущенных 13 января 2026 г. или позже, следующие типы событий аудита KSCSVC добавляются в журнал системных событий Windows Server 2012 и более поздних версий в качестве контроллера домена.

В этом разделе:

к началу 

Идентификатор события: 201

Журнал событий

Система

Тип мероприятия

Предупреждение

Источник события

Kdcsvc

Идентификатор события

201

Текст события

Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes не определена, а клиент поддерживает только небезопасные типы шифрования. 

Сведения об учетной записи 

    Имя учетной записи: <имя учетной записи> 

    Указанное имя области: <предоставленное имя области> 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> 

    Доступные ключи: <доступные ключи> 

Сведения о службе: 

    Имя службы: <имя службы> 

    Идентификатор службы: <идентификатор безопасности службы> 

    msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> 

    Доступные ключи: доступные ключи службы <> 

Сведения о контроллере домена: 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Доступные ключи: <доступные ключи контроллера домена> 

Сведения о сети: 

    Адрес клиента: <IP-адрес клиента> 

    Порт клиента:> порта клиента < 

    Рекламные Etypes: <типы шифрования Kerberos> 

Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. 

Примечания

Идентификатор события: 201 будет зарегистрирован, если:

  • Клиент рекламирует только RC4 в качестве рекламных Etypes

  • Для целевой службы не определен msds-SET.

  • Для контроллера домена не определен DDSET.

  • Для параметра RC4DefaultDisablementPhase задано значение 1.

  • Событие предупреждения 201 переходит в событие Ошибки 203 в режиме принудительного применения

  • Это событие регистрируется в журнале для каждого запроса

  • Предупреждение Событие 201 не регистрируется, если DefaultDomainSupportedEncTypes определен вручную

вернуться к событиям аудита 

Идентификатор события: 202

Журнал событий

Система

Тип мероприятия

Предупреждение

Источник события

Kdcsvc

Идентификатор события

202

Текст события

Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes не определена и учетная запись службы имеет только небезопасные ключи.  

Сведения об учетной записи 

    Имя учетной записи: <имя учетной записи> 

    Указанное имя области: <предоставленное имя области> 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> 

    Доступные ключи: <доступные ключи> 

Сведения о службе: 

    Имя службы: <имя службы> 

    Идентификатор службы: <идентификатор безопасности службы> 

    msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> 

    Доступные ключи: доступные ключи службы <> 

Сведения о контроллере домена: 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Доступные ключи: <доступные ключи контроллера домена> 

Сведения о сети: 

    Адрес клиента: <IP-адрес клиента> 

    Порт клиента:> порта клиента < 

    Рекламные Etypes: <типы шифрования Kerberos> 

Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. 

Примечания

Событие предупреждения 202 будет зарегистрировано, если:

  • У целевой службы нет ключей AES

  • Для целевой службы не определен msds-SET.

  • Для контроллера домена не определен DDSET.

  • Для параметра RC4DefaultDisablementPhase задано значение 1.

  • Событие ошибки 202 переходит в ошибку 204 в режиме принудительного применения

  • Событие предупреждения 202 регистрируется в каждом запросе

  • Событие предупреждения 202 НЕ регистрируется, если DefaultDomainSupportedEncTypes определен вручную

вернуться к событиям аудита 

Идентификатор события: 203

Журнал событий

Система

Тип мероприятия

Предупреждение

Источник события

Kdcsvc

Идентификатор события

203

Текст события

Центр распространения ключей заблокировал использование шифра, так как служба msds-SupportedEncryptionTypes не определена и клиент поддерживает только небезопасные типы шифрования. 

Сведения об учетной записи 

    Имя учетной записи: <имя учетной записи> 

    Указанное имя области: <предоставленное имя области> 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> 

    Доступные ключи: <доступные ключи> 

Сведения о службе: 

    Имя службы: <имя службы> 

    Идентификатор службы: <идентификатор безопасности службы> 

    msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> 

    Доступные ключи: доступные ключи службы <> 

Сведения о контроллере домена: 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Доступные ключи: <доступные ключи контроллера домена> 

Сведения о сети: 

    Адрес клиента: <IP-адрес клиента> 

    Порт клиента:> порта клиента < 

    Рекламные Etypes: <типы шифрования Kerberos> 

Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. 

Примечания

Событие ошибки 203 будет зарегистрировано, если:

  • Клиент рекламирует только RC4 в качестве рекламных Etypes

  • Для целевой службы не определен msds-SET.

  • Для контроллера домена не определен DDSET.

  • Для параметра RC4DefaultDisablementPhase задано значение 2.

  • За запрос

вернуться к событиям аудита 

Идентификатор события: 204

Журнал событий

Система

Тип мероприятия

Предупреждение

Источник события

Kdcsvc

Идентификатор события

204

Текст события

Центр распространения ключей заблокировал использование шифра, так как служба msds-SupportedEncryptionTypes не определена, а учетная запись службы содержит только небезопасные ключи.  

Сведения об учетной записи 

    Имя учетной записи: <имя учетной записи> 

    Указанное имя области: <предоставленное имя области> 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> 

    Доступные ключи: <доступные ключи> 

Сведения о службе: 

    Имя службы: <имя службы> 

    Идентификатор службы: <идентификатор безопасности службы> 

    msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> 

    Доступные ключи: доступные ключи службы <> 

Сведения о контроллере домена: 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Доступные ключи: <доступные ключи контроллера домена> 

Сведения о сети: 

    Адрес клиента: <IP-адрес клиента> 

    Порт клиента:> порта клиента < 

    Рекламные Etypes: <типы шифрования Kerberos> 

Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. 

Примечания

Событие ошибки 204 будет зарегистрировано, если:

  • У целевой службы нет ключей AES

  • Для целевой службы не определен msds-SET.

  • Для контроллера домена не определен DDSET.

  • Для параметра RC4DefaultDisablementPhase задано значение 2.

  • За запрос

вернуться к событиям аудита 

Идентификатор события: 205

Журнал событий

Система

Тип мероприятия

Предупреждение

Источник события

Kdcsvc

Идентификатор события

205

Текст события

Центр распространения ключей обнаружил явное включение шифра в конфигурации политики поддерживаемых доменом типов шифрования по умолчанию. 

Шифры<включенные небезопасные шифры> 

DefaultDomainSupportedEncTypes: <Настроено значение DefaultDomainSupportedEncTypes> 

Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614.

Примечания

Событие предупреждения 205 будет зарегистрировано в журнале, если:

  • Контроллер домена HAS DDSET определен для включения чего-либо, кроме AES-SHA1.

  • Для параметра RC4DefaultDisablementPhase задано значение 1, 2.

  • Это никогда не приведет к ошибке

  • Цель заключается в том, чтобы клиент знал о небезопасном поведении, которое мы не изменим

  • Регистрируется каждый раз при запуске KDCSVC

вернуться к событиям аудита 

Идентификатор события: 206

Журнал событий

Система

Тип мероприятия

Предупреждение

Источник события

Kdcsvc

Идентификатор события

206

Текст события

Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes настроена для поддержки только AES-SHA1, но клиент не рекламирует AES-SHA1. 

Сведения об учетной записи 

    Имя учетной записи: <имя учетной записи> 

    Указанное имя области: <предоставленное имя области> 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> 

    Доступные ключи: <доступные ключи> 

Сведения о службе: 

    Имя службы: <имя службы> 

    Идентификатор службы: <идентификатор безопасности службы> 

    msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> 

    Доступные ключи: доступные ключи службы <> 

Сведения о контроллере домена: 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Доступные ключи: <доступные ключи контроллера домена> 

Сведения о сети: 

    Адрес клиента: <IP-адрес клиента> 

    Порт клиента:> порта клиента < 

    Рекламные Etypes: <типы шифрования Kerberos> 

Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. 

Примечания

Событие предупреждения 206 будет зарегистрировано, если:

  • Клиент рекламирует только RC4 как advertized Etypes

  • Происходит одно из следующих действий:

    • Целевая служба имеет msds-SET, определенный только для AES-SHA1.

    • Контроллер домена HAS DDSET, определенный только для AES-SHA1

  • Для параметра RC4DefaultDisablementPhase задано значение 1.

  • Событие предупреждения 2016 переходит в событие Error 2018 в режиме принудительного применения

  • Вход в систему для каждого запроса

вернуться к событиям аудита 

Идентификатор события: 207

Журнал событий

Система

Тип мероприятия

Предупреждение

Источник события

Kdcsvc

Идентификатор события

207

Текст события

Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes настроена для поддержки только AES-SHA1, но учетная запись службы не имеет ключей AES-SHA1.  

Сведения об учетной записи 

    Имя учетной записи: <имя учетной записи> 

    Указанное имя области: <предоставленное имя области> 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> 

    Доступные ключи: <доступные ключи> 

Сведения о службе: 

    Имя службы: <имя службы> 

    Идентификатор службы: <идентификатор безопасности службы> 

    msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> 

    Доступные ключи: доступные ключи службы <> 

Сведения о контроллере домена: 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Доступные ключи: <доступные ключи контроллера домена> 

Сведения о сети: 

    Адрес клиента: <IP-адрес клиента> 

    Порт клиента:> порта клиента < 

    Рекламные Etypes: <типы шифрования Kerberos> 

Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. 

Примечания

Событие предупреждения 207 будет зарегистрировано, если:

  • У целевой службы нет ключей AES

  • Происходит одно из следующих действий:

    • Целевая служба имеет msds-SET, определенный только для AES-SHA1.

    • Контроллер домена HAS DDSET, определенный только для AES-SHA1

  • Для параметра RC4DefaultDisablementPhase задано значение 1.

  • Это превратится в 209 (ошибка) в режиме принудительного применения

  • За запрос

вернуться к событиям аудита 

Идентификатор события: 208

Журнал событий

Система

Тип мероприятия

Предупреждение

Источник события

Kdcsvc

Идентификатор события

208

Текст события

Центр распространения ключей намеренно запретил использование шифров, так как служба msds-SupportedEncryptionTypes настроена для поддержки только AES-SHA1, но клиент не рекламирует AES-SHA1. 

Сведения об учетной записи 

    Имя учетной записи: <имя учетной записи> 

    Указанное имя области: <предоставленное имя области> 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> 

    Доступные ключи: <доступные ключи> 

Сведения о службе: 

    Имя службы: <имя службы> 

    Идентификатор службы: <идентификатор безопасности службы> 

    msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> 

    Доступные ключи: доступные ключи службы <> 

Сведения о контроллере домена: 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Доступные ключи: <доступные ключи контроллера домена> 

Сведения о сети: 

    Адрес клиента: <IP-адрес клиента> 

    Порт клиента:> порта клиента < 

    Рекламные Etypes: <типы шифрования Kerberos> 

Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. 

Примечания

Событие ошибки 208 будет зарегистрировано, если:

  • Клиент рекламирует только RC4 в качестве рекламных Etypes

  • Происходит следующее:

    • Целевая служба имеет msds-SET, определенный только для AES-SHA1.

    • Контроллер домена HAS DDSET, определенный только для AES-SHA1

  • Для параметра RC4DefaultDisablementPhase задано значение 2.

  • За запрос

вернуться к событиям аудита 

Идентификатор события: 209

Журнал событий

Система

Тип мероприятия

Предупреждение

Источник события

Kdcsvc

Идентификатор события

209

Текст события

Центр распространения ключей намеренно запретил использование шифров, так как служба msds-SupportedEncryptionTypes настроена только для поддержки AES-SHA1, но у учетной записи службы нет ключей AES-SHA1. 

Сведения об учетной записи 

    Имя учетной записи: <имя учетной записи> 

    Указанное имя области: <предоставленное имя области> 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> 

    Доступные ключи: <доступные ключи> 

Сведения о службе: 

    Имя службы: <имя службы> 

    Идентификатор службы: <идентификатор безопасности службы> 

    msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> 

    Доступные ключи: доступные ключи службы <> 

Сведения о контроллере домена: 

    msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Доступные ключи: <доступные ключи контроллера домена> 

Сведения о сети: 

    Адрес клиента: <IP-адрес клиента> 

    Порт клиента:> порта клиента < 

    Рекламные Etypes: <типы шифрования Kerberos> 

Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. 

Примечания

Событие ошибки 209 будет зарегистрировано, если:

  • У целевой службы нет ключей AES

  • Происходит одно из следующих действий:

    • Целевая служба имеет msds-SET, определенный только для AES-SHA1.

    • Контроллер домена HAS DDSET, определенный только для AES-SHA1

  • Для параметра RC4DefaultDisablementPhase задано значение 2.

  • За запрос

вернуться к событиям аудита

Примечание

Что касается неявного изменения в выборе шифрования билетов службы, корпорация Майкрософт имеет ограниченный доступ к причинам, по которым устройство, отличное от Windows, может не принимать проверку подлинности Kerberos после применения KDCs апрельского обновления и перехода к поведению по умолчанию AES-SHA1, если не указано. Мы рекомендуем проверить эти изменения с помощью тестирования в собственной среде, прежде чем включать это поведение в широком смысле.

Чаще всего это происходит на устройствах, которые используют keytabs Kerberos. Если keytab Kerberos экспортирован только с ключами RC4, но учетная запись целевой службы имеет ключи AES-SHA1 и не имеет msds-SupportedEncryptionTypes, существует вероятность сбоя проверки подлинности для указанной службы. Скорее всего, это будет проявляться в виде ошибок проверки подлинности из целевой службы, а не из KDC. 

Наша основная рекомендация заключается в работе с поставщиком устройства, отличного от Windows. Как правило, сбои на устройствах, отличных от Windows, при приеме проверки подлинности Kerberos не являются уникальными для апрельских изменений и могут быть вызваны ограничениями, характерными для конкретного устройства или реализации.

Если после этого изменения возникают проблемы с проверкой подлинности Kerberos на устройствах, отличных от Windows, а исправление поставщика нецелесообразно, мы рекомендуем следующие рекомендации:

  • В затронутой учетной записи службы явно определите msDS-SupportedEncryptionTypes , чтобы включить RC4 с ключами сеанса AES (0x24).

  • Если это нецелесообразно, в крайнем случае вручную настройте значение реестра DefaultDomainSupportedEncTypes для всех соответствующих KDC, чтобы включить RC4 с ключами сеанса AES-SHA1 (0x24). Обратите внимание, что все учетные записи в домене становятся уязвимыми для CVE-2026-20833.

Важно отметить, что эта конфигурация небезопасна, и мы рекомендуем перенести устройства, отличные от Windows, в версии, поддерживающие шифрование билетов AES-SHA1 Kerberos.

вернуться к событиям аудита

Часто задаваемые вопросы

Вопрос 1. Как это изменение взаимодействует с доменами, имеющими сторонние KDC?

Это изменение защиты влияет только на контроллеры домена Windows. Поток доверия и рефералов Kerberos с другими контроллерами домена Windows или сторонними KDC не затрагивается.

Вопрос 2. Как это изменение взаимодействует с доменами, у которых есть доменные устройства, отличные от Windows?

Сторонние доменные устройства, которые не могут обработать шифрование AES-SHA1, уже должны быть явно настроены на разрешение шифрования RC4. Службы, которые не могут обработать билеты AES-SHA1, должны быть исправлены или явно настроены в active Diretory для обеспечения шифрования RC4, как указано выше. Тщательно проверьте эти изменения. 

Вопрос 3. Будет ли корпорация Майкрософт удалять возможность настройки DefaultDomainSupportedEncTypes?

Нет. Мы зарегистрируем события предупреждений для небезопасных конфигураций для DefaultDomainSupportedEncTypes. Кроме того, мы будем учитывать любую конфигурацию, явно заданную администратором.

к началу 

Ресурсы

к началу 

Журнал изменений

Дата изменения

Описание изменений

14 апреля 2026 г.

  • Обновлена дата за апрель 2026 г., чтобы отразить фактическую дату выпуска для этапа принудительного применения с откатом вручную.

  • Определение kerberos KDC в первом предложении второго абзаца раздела "Сводка".От: Чтобы устранить эту уязвимость, значение defaultDomainSupportedEncTypes изменяется Обновления Windows, выпущенное 14 апреля 2026 г. и позже, или администраторы, включиющие режим принудительного применения раньше.Кому: Чтобы устранить эту уязвимость, обновления Windows, выпущенные 14 апреля 2026 г. и позже, измените значение центра распространения ключей Kerberos (KDC) по умолчанию для DefaultDomainSupportedEncTypes, если администраторы не включили режим принудительного применения ранее.

7 апреля 2026 г.

  • Переформулировал второй абзац в разделе "Сводка" для ясности.

  • Поместите примечание ВАЖНО в разделе "Шаг 2: МОНИТОР", чтобы подчеркнуть важность. Обратите внимание на важное примечание.

  • Добавлен новый второй абзац в примечание над разделом часто задаваемых вопросов.

16 марта 2026 г.

  • Для ясности слово "Шаг 2: МОНИТОР" в разделе "Рекомендации по развертыванию".

  • Изменен для ясности ответ на вопрос "Как это изменение взаимодействует с доменами, которые не являются устройствами домена Windows?" Вопросы и ответы. Добавлено специальное примечание о том, как эти изменения могут повлиять на службы, не относящиеся к Windows.

10 февраля 2026 г.

  • Добавлена ссылка на документацию по вхождениям DefaultDomainSupportedEncTypes.

  • Исправлена формулировка второго маркера в разделе "Шаг 3: включение".От: Вводит значение реестра RC4DefaultDisablementPhase для упреждающего включения изменения путем установки значения 2 на контроллерах домена, когда события аудита KDCSVC указывают на то, что это безопасно.Кому: Добавлена поддержка значения реестра RC4DefaultDisablementPhase после того, как администратор заранее включает изменение, задавая значение 2 на контроллерах домена, когда события аудита KDCSVC указывают на то, что это безопасно.

  • Под примечанием Важно в разделе "Принять меры" первое предложение абзаца изменено, чтобы указать, когда будет включен режим принудительного применения.От: С апреля 2026 г. режим принудительного применения будет включен на всех контроллерах домена Windows и будет блокировать уязвимые подключения с устройств, не соответствующих требованиям.Кому: Режим принудительного применения будет автоматически включен путем установки Windows Обновления выпущенного в апреле 2026 г. или позже на всех контроллерах домена Windows, и будет блокировать уязвимые подключения с устройств, не соответствующих требованиям.

  • Добавлена формулировка для упоминание это изменение в windows Обновления выпущена 13 января 2026 г. и позже и CVE-2026-20833.

к началу 

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей