Исходная дата публикации: 13 января 2026 г.
Идентификатор базы знаний: 5073381
|
Дата изменения |
Описание изменений |
|
10 февраля 2026 г. |
|
В этой статье
Сводка
Обновления Windows, выпущенные 13 января 2026 г. и позже, содержат средства защиты от уязвимости с помощью протокола проверки подлинности Kerberos. Обновления Windows устраняют уязвимость раскрытия информации в CVE-2026-20833 , которая может позволить злоумышленнику получить билеты на обслуживание со слабыми или устаревшими типами шифрования, такими как RC4, для выполнения атак в автономном режиме для восстановления пароля учетной записи службы.
Чтобы устранить эту уязвимость, значение по умолчанию DefaultDomainSupportedEncTypes изменяется путем включения режима принудительного применения. Обновленные контроллеры домена, работающие в режиме принудительного применения, поддерживают только конфигурации типов шифровани Standard я AES. Дополнительные сведения см. в разделе Битовые флаги поддерживаемых типов шифрования. Значение по умолчанию для DefaultDomainSupportedEncTypes применяется при отсутствии явного значения.
На контроллерах домена с определенным значением реестра DefaultDomainSupportedEncTypes эти изменения не будут функционально влиять на поведение. Однако событие аудита KDCSVC Event ID: 205 будет зарегистрировано в журнале системных событий, если существующая конфигурация DefaultDomainSupportedEncTypes небезопасна (например, при использовании шифра RC4).
Своевременные действия
Чтобы защитить среду и предотвратить сбои, мы рекомендуем:
-
ОБНОВЛЕНИЕ Контроллеры домена Microsoft Active Directory, начиная с обновлений Windows, выпущенных 13 января 2026 г. или позже.
-
МОНИТОРИНГ журнала системных событий для любого из девяти событий KDCSVC 201 > 209 Audit, зарегистрированных на Windows Server 2012 и более новых контроллерах домена, которые определяют риски с включением защиты RC4.
-
СМЯГЧИТЬ События KDCSVC, зарегистрированные в журнале системных событий, препятствуют ручному или программному включению защиты RC4.
-
ВКЛЮЧИТЬ Режим принудительного применения для устранения уязвимостей, устраненных в CVE-2026-20833 в вашей среде, когда события предупреждения, блокировки или политики больше не регистрируются.
ВАЖНО Установка обновлений, выпущенных 13 января 2026 г. или позже, по умолчанию не устраняет уязвимости, описанные в разделе CVE-2026-20833 для контроллеров домена Active Directory. Чтобы полностью устранить уязвимость, необходимо вручную включить режим принудительного применения (описано в разделе Шаг 3. Включение) на всех контроллерах домена. Установка Windows Обновления, выпущенная в июле 2026 г. и после нее, позволит программно включить этап принудительного применения.
Режим принудительного применения будет автоматически включен путем установки Windows Обновления выпущенного в апреле 2026 г. или позже на всех контроллерах домена Windows, и будет блокировать уязвимые подключения с устройств, не соответствующих требованиям. В это время вы не сможете отключить аудит, но можете вернуться к параметру Режим аудита. Режим аудита будет удален в июле 2026 г., как описано в разделе "Время обновления ", а режим принудительного применения будет включен на всех контроллерах домена Windows и будет блокировать уязвимые подключения с несоответствующих устройств.
Если вам нужно использовать RC4 после апреля 2026 г., рекомендуется явно включить RC4 в битовой маске msds-SupportedEncryptionTypes для служб, которые должны будут принимать использование RC4.
Сроки обновления
13 января 2026 г. — этап первоначального развертывания
Начальный этап развертывания начинается с обновлений, выпущенных с 13 января 2026 г., и продолжается с последующими обновлениями Windows до этапа принудительного применения . Этот этап предназначен для предупреждения клиентов о новых мерах безопасности, которые будут внедрены на втором этапе развертывания. Это обновление:
-
Предоставляет события аудита для предупреждения клиентов, на которых может негативно повлиять предстоящее усиление безопасности.
-
Добавлена поддержка значения реестра RC4DefaultDisablementPhase после того, как администратор заранее включает изменение, задавая значение 2 на контроллерах домена, если события аудита KDCSVC указывают на то, что это безопасно.
Апрель 2026 г. — этап принудительного применения с откатом вручную
Это обновление изменяет значение DefaultDomainSupportedEncTypes по умолчанию для операций KDC, чтобы использовать AES-SHA1 для учетных записей, для которых не определен явный атрибут active directory msds-SupportedEncryptionTypes.
На этом этапе значение по умолчанию для DefaultDomainSupportedEncTypes изменяется на только AES-SHA1: 0x18.
На этом этапе также можно вручную настроить значение отката RC4DefaultDisablementPhase до применения программного применения в июле 2026 г.
Июль 2026 г. — этап принудительного применения
Обновления Windows, выпущенные в июле 2026 г. или позже, отключат поддержку подраздела реестра RC4DefaultDisablementPhase.
Рекомендации по развертыванию
Чтобы развернуть обновления Windows, выпущенные 13 января 2026 г. или позже, выполните следующие действия.
-
ОБНОВите контроллеры домена с обновлением Windows, выпущенным 13 января 2026 г. или позже.
-
СОБЫТИЯ MONITOR , регистрируемые на начальном этапе развертывания, чтобы защитить среду.
-
Переместите контроллеры домена в режим принудительного применения с помощью раздела Параметры реестра.
Шаг 1. ОБНОВЛЕНИЕ
Разверните обновление Windows, выпущенное 13 января 2026 г. или позже, во всех применимых службах Windows Active Directory, работающих в качестве контроллера домена после развертывания обновления.
-
События аудита будут отображаться в журналах системных событий, если контроллеры домена Windows Server 2012 или более поздней версии получают запросы на запросы на запросы службы Kerberos, для которых требуется использовать шифр RC4, но учетная запись службы имеет конфигурацию шифрования по умолчанию.
-
Событие аудита 205 будет зарегистрировано в журнале системных событий, если контроллер домена имеет явную конфигурацию DefaultDomainSupportedEncTypes для разрешения шифрования RC4.
Шаг 2. МОНИТОРИНГ
После обновления контроллеров домена, если события аудита не отображаются, переключитесь в режим принудительного применения , изменив значение RC4DefaultDisablementPhase на 2.
Если создаются события аудита, необходимо удалить зависимости RC4 или явно настроить учетные записи, поддерживаемые Kerberos, для поддержки дальнейшего использования RC4 после ручного или автоматического включения режима принудительного применения .
Чтобы узнать, как определить использование RC4 в домене, при аудите будут определены учетные записи устройств и пользователей, которые по-прежнему зависят от RC4. Администраторы должны принять меры по исправлению использования в пользу более надежных типов шифрования или управлению зависимостями RC4. Дополнительные сведения см. в статье Обнаружение и исправление использования RC4 в Kerberos.
Шаг 3. ВКЛЮЧЕНИЕ
Включите режим принудительного применения для устранения уязвимостей CVE-2026-20833 в вашей среде.
-
Если KDC запрашивает предоставить билет службы RC4 для учетной записи с конфигурациями по умолчанию, событие ошибки регистрируется.
-
Для любой небезопасной конфигурации DefaultDomainSupportedEncTypes по-прежнему будет отображаться идентификатор события: 205.
Параметры реестра
После установки обновлений Windows, выпущенных 13 января 2026 г. или позже, для протокола Kerberos будет доступен следующий раздел реестра.
Этот раздел реестра используется для регистрации развертывания изменений Kerberos. Этот раздел реестра является временным и больше не будет считываться после даты принудительного применения.
|
Раздел реестра |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Тип данных |
REG_DWORD |
|
Имя значения |
RC4DefaultDisablementPhase |
|
Данные значения |
0 — нет аудита, нет изменений 1 . События предупреждений будут регистрироваться при использовании rc4 по умолчанию. (этап 1 по умолчанию) 2 . Kerberos будет запущен при условии, что rc4 не включен по умолчанию. (Этап 2 по умолчанию) |
|
Требуется перезапуск? |
Да |
События аудита
После установки обновлений Windows, выпущенных 13 января 2026 г. или позже, следующие типы событий аудита KSCSVC добавляются в журнал системных событий Windows Server 2012 и более поздних версий в качестве контроллера домена.
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
201 |
|
Текст события |
Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes не определена, а клиент поддерживает только небезопасные типы шифрования. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Идентификатор события: 201 будет зарегистрирован, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
202 |
|
Текст события |
Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes не определена и учетная запись службы имеет только небезопасные ключи. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие предупреждения 202 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
203 |
|
Текст события |
Центр распространения ключей заблокировал использование шифра, так как служба msds-SupportedEncryptionTypes не определена и клиент поддерживает только небезопасные типы шифрования. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие ошибки 203 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
204 |
|
Текст события |
Центр распространения ключей заблокировал использование шифра, так как служба msds-SupportedEncryptionTypes не определена, а учетная запись службы содержит только небезопасные ключи. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие ошибки 204 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
205 |
|
Текст события |
Центр распространения ключей обнаружил явное включение шифра в конфигурации политики поддерживаемых доменом типов шифрования по умолчанию. Шифры<включенные небезопасные шифры> DefaultDomainSupportedEncTypes: <Настроено значение DefaultDomainSupportedEncTypes> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие предупреждения 205 будет зарегистрировано в журнале, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
206 |
|
Текст события |
Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes настроена для поддержки только AES-SHA1, но клиент не рекламирует AES-SHA1. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие предупреждения 206 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
207 |
|
Текст события |
Центр распространения ключей обнаружил, <имя шифра> использование, которое не будет поддерживаться на этапе принудительного применения, так как служба msds-SupportedEncryptionTypes настроена для поддержки только AES-SHA1, но учетная запись службы не имеет ключей AES-SHA1. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие предупреждения 207 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
208 |
|
Текст события |
Центр распространения ключей намеренно запретил использование шифров, так как служба msds-SupportedEncryptionTypes настроена для поддержки только AES-SHA1, но клиент не рекламирует AES-SHA1. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие ошибки 208 будет зарегистрировано, если:
|
|
Журнал событий |
Система |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
209 |
|
Текст события |
Центр распространения ключей намеренно запретил использование шифров, так как служба msds-SupportedEncryptionTypes настроена только для поддержки AES-SHA1, но у учетной записи службы нет ключей AES-SHA1. Сведения об учетной записи Имя учетной записи: <имя учетной записи> Указанное имя области: <предоставленное имя области> msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования> Доступные ключи: <доступные ключи> Сведения о службе: Имя службы: <имя службы> Идентификатор службы: <идентификатор безопасности службы> msds-SupportedEncryptionTypes: типы шифрования, поддерживаемые службой <> Доступные ключи: доступные ключи службы <> Сведения о контроллере домена: msds-SupportedEncryptionTypes: <поддерживаемые типы шифрования контроллера домена> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Доступные ключи: <доступные ключи контроллера домена> Сведения о сети: Адрес клиента: <IP-адрес клиента> Порт клиента:> порта клиента < Рекламные Etypes: <типы шифрования Kerberos> Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примечания |
Событие ошибки 209 будет зарегистрировано, если:
|
Примечание
Если вы обнаружите, что какое-либо из этих предупреждающих сообщений зарегистрировано на контроллере домена, скорее всего, все контроллеры домена не обновлены с обновлением Windows, выпущенным 13 января 2026 г. или позже. Чтобы устранить эту уязвимость, вам потребуется дополнительно изучить домен, чтобы найти контроллеры домена, которые не являются актуальными.
Если вы видите идентификатор события: 0x8000002A вошел в контроллер домена, см. KB5021131. Управление изменениями протокола Kerberos, связанными с CVE-2022-37966.
Часто задаваемые вопросы
Это изменение защиты влияет только на контроллеры домена Windows. Поток доверия и рефералов Kerberos с другими контроллерами домена Windows или сторонними KDC не затрагивается.
Сторонние доменные устройства, которые не могут обработать шифрование AES-SHA1, уже должны быть явно настроены для разрешения шифрования AES-SHA1.
Нет. Мы зарегистрируем события предупреждений для небезопасных конфигураций для DefaultDomainSupportedEncTypes. Кроме того, мы будем учитывать любую конфигурацию, явно заданную администратором.
Ресурсы
KB5020805. Управление изменениями протокола Kerberos, связанными с CVE-2022-37967
KB5021131. Управление изменениями протокола Kerberos, связанными с CVE-2022-37966
