Pôvodný dátum publikovania: 13. januára 2026
IDENTIFIKÁCIA DATABÁZY KB: 5073381
Uplynutie platnosti certifikátu zabezpečeného spustenia Windowsu
Dôležité: Platnosť certifikátov zabezpečeného spustenia, ktoré používajú väčšina zariadení s Windowsom, vyprší v júni 2026. To môže ovplyvniť schopnosť niektorých osobných a firemných zariadení bezpečne sa spúšťať, ak nebudú včas aktualizované. Aby ste sa vyhli prerušeniu, odporúčame si prečítať pokyny a vopred podniknúť kroky na aktualizáciu certifikátov. Podrobnosti a kroky prípravy nájdete v časti Vypršanie platnosti certifikátu zabezpečenej spúšťacej funkcie systému Windows a aktualizácie certifikačnej autority.
Obsah tohto článku
Súhrn
Aktualizácie Windowsu vydané 13. januára 2026 a po ich vydaní obsahujú ochranu pred zraniteľnosťou overovacieho protokolu Kerberos. Aktualizácie Windowsu riešia zraniteľnosť pri zverejňovaní informácií, ktorá môže útočníkovi umožniť získať lístky na službu so slabými alebo staršími typmi šifrovania, ako je napríklad RC4, a vykonať offline útoky na obnovenie hesla konta služby.
Ak chcete zabezpečiť a stvrdnúť svoje prostredie, nainštalujte aktualizáciu windowsu vydanú 13. januára 2026 alebo po jej skončení na všetky servery systému Windows uvedené v časti Vzťahuje sa na spustenú ako radič domény. Ďalšie informácie o zraniteľných miestach nájdete v téme CVE-2026-20833.
Na zmiernenie tohto nedostatočného rizika sa predvolená hodnota defaultDomainSupportedEncTypes (DDSET) zmení tak, aby všetky radiče domény podporovali iba žiadosti šifrované protokolom Advanced Encryption Standard (AES-SHA1) pre kontá bez explicitnej konfigurácie typu šifrovania Kerberos. Ďalšie informácie nájdete v téme Bitové príznaky podporovaných typov šifrovania.
V radičoch domény s definovanou hodnotou databázy Registry DefaultDomainSupportedEncTypes nebudú tieto zmeny funkčne ovplyvnené správaním. Udalosť auditu KDCSVC Id udalosti: 205 sa môže zapísať do denníka systémových udalostí, ak je existujúca konfigurácia DefaultDomainSupportedEncTypes nezabezpečená.
Dajte sa do toho
Ak chcete chrániť svoje prostredie a zabrániť výpadkom, odporúčame vykonať tieto kroky:
-
AKTUALIZÁCIA Radiče domény služby Microsoft Active Directory začínajúce aktualizáciami Windowsu vydanými 13. januára 2026 alebo po ich vydaní.
-
MONITORUJTE denník systémových udalostí pre ktorúkoľvek z 9 udalostí auditu prihlásených v Windows Server 2012 a novších radičoch domén, ktoré identifikujú riziká s povolením ochrany RC4.
-
ZMIERNENIE Udalosti KDCSVC zaznamenané v denníku systémových udalostí, ktoré bránia manuálne alebo programové povolenie RC4 ochrany.
-
POVOLIŤ Režim presadzovania na riešenie zraniteľných miest riešených v CVE-2026-20833 vo vašom prostredí, keď sa už nezapisujú upozornenia, blokovanie alebo udalosti politiky.
DÔLEŽITÉ Pri inštalácii aktualizácií vydaných 13. januára 2026 alebo po 13. januári 2026 sa chyby popísané v CVE-2026-20833 pre radiče domény služby Active Directory predvolene nevyriešia. Na úplné zmiernenie zraniteľnosti je potrebné prejsť na vynútený režim (popísaný v kroku 3) čo najskôr na všetkých radičoch domény.
Od apríla 2026 bude režim presadzovania povolený vo všetkých radičoch domény systému Windows a zablokuje zraniteľné pripojenia z nevyhovujúcich zariadení. V tom čase nebudete môcť auditovanie zakázať, ale môžete sa vrátiť na nastavenie režimu auditu. Režim auditu sa odstráni v júli 2026, ako je uvedené v časti Časovanie aktualizácií , a režim presadzovania sa zapne vo všetkých radičoch domény systému Windows a zablokuje zraniteľné pripojenia z nevyhovujúcich zariadení.
Ak potrebujete využiť RC4 po apríli 2026, odporúčame explicitne povoliť RC4 v rámci bitovej masky msds-SupportedEncryptionTypes v službách, ktoré budú musieť prijať používanie RC4.
Časovanie aktualizácií
13. januára 2026 – počiatočná fáza nasadenia
Počiatočná fáza nasadenia sa začína aktualizáciami vydanými 13. januára 2026 a pokračuje s neskoršími aktualizáciami windowsu až do fázy vynútenia . Táto fáza je upozorniť zákazníkov na nové vynútenia zabezpečenia, ktoré budú zavedené v druhej fáze nasadenia. Táto aktualizácia:
-
Poskytuje udalosti auditu, ktoré upozorňujú zákazníkov, ktorí môžu byť negatívne ovplyvnení nadchádzajúcim spevnením zabezpečenia.
-
Predstavuje hodnotu databázy Registry RC4DefaultDisablementPhase proaktívne povoliť zmenu nastavením hodnoty na 2 v radičoch domény, keď udalosti auditu KDCSVC naznačujú, že je to bezpečné.
Apríl 2026 – druhá fáza nasadenia
Táto aktualizácia zmení predvolenú hodnotu DefaultDomainSupportedEncTypes pre operácie KDC na využitie AES-SHA1 pre kontá, ktoré nemajú definovaný explicitný atribút msds-SupportedEncryptionTypes služby Active Directory.
Táto fáza zmení predvolenú hodnotu pre defaultDomainSupportedEncTypes iba na AES-SHA1: 0x18.
Júl 2026 – Fáza presadzovania
Aktualizácie Windowsu vydané v júli 2026 alebo po jeho skončení odstránia podporu podkľúča databázy Registry RC4DefaultDisablementPhase.
Pokyny na nasadenie
Ak chcete nasadiť aktualizácie Windowsu vydané 13. januára 2026 alebo po nich, postupujte takto:
-
AKTUALIZUJTE radiče domény aktualizáciou Windowsu vydanou 13. januára 2026 alebo po jej vydaní.
-
Monitorovanie udalostí zaznamenaných počas počiatočnej fázy nasadenia na zabezpečenie vášho prostredia.
-
Presuňte radiče domény do režimu vynútenia pomocou časti Nastavenia databázy Registry.
Krok 1: AKTUALIZÁCIA
Nasaďte aktualizáciu Windowsu vydanú 13. januára 2026 alebo po jej skončení do všetkých príslušných služieb Windows Active Directory spustených ako radič domény po nasadení aktualizácie.
-
Udalosti auditu sa zobrazia v denníkoch systémových udalostí, ak radič domény prijíma žiadosti o lístok služby Kerberos, ktoré vyžadujú použitie šifry RC4, ale konto služby má predvolenú konfiguráciu šifrovania.
-
Udalosti auditu sa zapíšu do denníka systémových udalostí, ak má radič domény explicitnú konfiguráciu DefaultDomainSupportedEncTypes na povolenie šifrovania RC4.
Krok 2: MONITOR
Po aktualizácii radičov domény, ak sa nezobrazujú žiadne udalosti auditu, prepnite do režimu presadzovania zmenou hodnoty RC4DefaultDisablementPhase na hodnotu 2.
Ak sa vygenerujú udalosti auditu, budete musieť odstrániť závislosti RC4 alebo explicitne nakonfigurovať kontá, ktoré podporuje protokol Kerberos. Potom sa budete môcť presunúť do režimu presadzovania .
Ak chcete zistiť, ako zistiť používanie RC4 vo vašej doméne, auditovať zariadenia a používateľské kontá, ktoré stále závisia od RC4, a vykonať kroky na nápravu používania v prospech silnejších typov šifrovania alebo spravovať závislosti RC4, pozrite si tému Zisťovanie a náprava používania RC4 v protokole Kerberos.
Krok 3: POVOLENIE
Povoľte režim presadzovania na riešenie slabých miest CVE-2026-20833 vo vašom prostredí.
-
Ak sa vyžaduje, aby KDC poskytlo lístok služby RC4 pre konto s predvolenou konfiguráciou, zaznamená sa chybová udalosť.
-
Stále sa bude zobrazovať identifikácia udalosti: 205 prihlásený pre všetky nezabezpečené konfigurácie DefaultDomainSupportedEncTypes.
Nastavenie databázy Registry
Po nainštalovaní aktualizácií Windowsu vydaných 13. januára 2026 alebo po ich nainštalovaní je pre protokol Kerberos k dispozícii nasledujúci kľúč databázy Registry.
Tento kľúč databázy Registry sa používa na bránu nasadenia zmien protokolu Kerberos. Tento kľúč databázy Registry je dočasný a nebude sa čítať po dátume výkonu.
|
Kľúč databázy Registry |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Typ údajov |
REG_DWORD |
|
Value name (Názov hodnoty) |
RC4DefaultDisablementPhase |
|
Value data (Údaje hodnoty) |
0 – Žiadny audit, žiadna zmena 1 – Udalosti upozornenia sa zapíšu do denníka pri predvolenom používaní RC4. (Predvolená fáza 1) 2 – Protokol Kerberos sa začne za predpokladu, že RC4 nie je predvolene povolené. (Predvolená fáza 2) |
|
Vyžaduje sa reštartovanie? |
Áno |
Udalosti auditu
Po nainštalovaní aktualizácií Windowsu vydaných 13. januára 2026 alebo po ich nainštalovaní sa do Windows Server 2012 a novších verzií spustené ako radič domény pridajú nasledujúce typy udalostí auditu.
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kdcsvc |
|
Identifikačné číslo udalosti |
201 |
|
Text udalosti |
Centrum distribúcie kľúčov zistilo, <názov šifry> použitie, ktoré bude vo fáze vynútenia nepodporované, pretože typy msds-SupportedEncryptionTypes služby nie sú definované a klient podporuje iba nezabezpečené typy šifrovania. Informácie o konte Názov konta: <názov konta> Dodávané Realm Name: <Dodávané Realm Name> msds-SupportedEncryptionTypes: <podporované typy šifrovania> Dostupné klávesy: <dostupné klávesy> Informácie o službe: Názov služby: <názov služby> Identifikácia služby: <identifikátor SID služby> typy šifrovania podporované službou msds-SupportedEncryptionTypes: <typy šifrovania podporované službou> Dostupné kľúče: dostupné kľúče služby <> Informácie o radiči domény: msds-SupportedEncryptionTypes: podporované typy šifrovania radiča domény <> DefaultDomainSupportedEncTypes: <Hodnota DefaultDomainSupportedEncTypes> Dostupné kľúče: dostupné kľúče <radiča domény> Informácie o sieti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Etypy s reklamou: <typy šifrovania Kerberos s reklamami> Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáre |
Identifikácia udalosti: 201 sa zapíše do denníka, ak:
|
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kdcsvc |
|
Identifikačné číslo udalosti |
202 |
|
Text udalosti |
Centrum distribúcie kľúčov zistilo, <názov šifry> použitie, ktoré bude vo fáze vynútenia nepodporované, pretože typy msds-SupportedEncryptionTypes služby nie sú definované a konto služby má iba nezabezpečené kľúče. Informácie o konte Názov konta: <názov konta> Dodávané Realm Name: <Dodávané Realm Name> msds-SupportedEncryptionTypes: <podporované typy šifrovania> Dostupné klávesy: <dostupné klávesy> Informácie o službe: Názov služby: <názov služby> Identifikácia služby: <identifikátor SID služby> typy šifrovania podporované službou msds-SupportedEncryptionTypes: <typy šifrovania podporované službou> Dostupné kľúče: dostupné kľúče služby <> Informácie o radiči domény: msds-SupportedEncryptionTypes: podporované typy šifrovania radiča domény <> DefaultDomainSupportedEncTypes: <Hodnota DefaultDomainSupportedEncTypes> Dostupné kľúče: dostupné kľúče <radiča domény> Informácie o sieti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Etypy s reklamou: <typy šifrovania Kerberos s reklamami> Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáre |
Udalosť upozornenia 202 sa zapíše do denníka, ak:
|
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kdcsvc |
|
Identifikačné číslo udalosti |
203 |
|
Text udalosti |
Centrum distribúcie kľúčov zablokovalo používanie šifry, pretože služba msds-SupportedEncryptionTypes nie je definovaná a klient podporuje iba nezabezpečené typy šifrovania. Informácie o konte Názov konta: <názov konta> Dodávané Realm Name: <Dodávané Realm Name> msds-SupportedEncryptionTypes: <podporované typy šifrovania> Dostupné klávesy: <dostupné klávesy> Informácie o službe: Názov služby: <názov služby> Identifikácia služby: <identifikátor SID služby> typy šifrovania podporované službou msds-SupportedEncryptionTypes: <typy šifrovania podporované službou> Dostupné kľúče: dostupné kľúče služby <> Informácie o radiči domény: msds-SupportedEncryptionTypes: podporované typy šifrovania radiča domény <> DefaultDomainSupportedEncTypes: <Hodnota DefaultDomainSupportedEncTypes> Dostupné kľúče: dostupné kľúče <radiča domény> Informácie o sieti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Etypy s reklamou: <typy šifrovania Kerberos s reklamami> Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáre |
Udalosť chyby 203 sa zapíše do denníka, ak:
|
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kdcsvc |
|
Identifikačné číslo udalosti |
204 |
|
Text udalosti |
Centrum distribúcie kľúčov zablokovalo používanie šifry, pretože služba msds-SupportedEncryptionTypes nie je definovaná a konto služby má iba nezabezpečené kľúče. Informácie o konte Názov konta: <názov konta> Dodávané Realm Name: <Dodávané Realm Name> msds-SupportedEncryptionTypes: <podporované typy šifrovania> Dostupné klávesy: <dostupné klávesy> Informácie o službe: Názov služby: <názov služby> Identifikácia služby: <identifikátor SID služby> typy šifrovania podporované službou msds-SupportedEncryptionTypes: <typy šifrovania podporované službou> Dostupné kľúče: dostupné kľúče služby <> Informácie o radiči domény: msds-SupportedEncryptionTypes: podporované typy šifrovania radiča domény <> DefaultDomainSupportedEncTypes: <Hodnota DefaultDomainSupportedEncTypes> Dostupné kľúče: dostupné kľúče <radiča domény> Informácie o sieti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Etypy s reklamou: <typy šifrovania Kerberos s reklamami> Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáre |
Udalosť chyby 204 sa zapíše do denníka, ak:
|
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kdcsvc |
|
Identifikačné číslo udalosti |
205 |
|
Text udalosti |
Centrum distribúcie kľúčov zistilo explicitné povolenie šifrovania v konfigurácii politiky šifrovania podporovaného predvolenou doménou. Šifry: <Povolené nezabezpečené šifry> DefaultDomainSupportedEncTypes: <Nakonfigurovaná hodnota DefaultDomainSupportedEncTypes> Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáre |
Udalosť upozornenia 205 sa zapíše do denníka, ak:
|
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kdcsvc |
|
Identifikačné číslo udalosti |
206 |
|
Text udalosti |
Centrum distribúcie kľúčov zistilo, <názov šifry> použitie, ktoré bude vo fáze vynútenia nepodporované, pretože typy msds-SupportedEncryptionTypes služby sú nakonfigurované tak, aby podporovali iba AES-SHA1, ale klient neinzervuje AES-SHA1 Informácie o konte Názov konta: <názov konta> Dodávané Realm Name: <Dodávané Realm Name> msds-SupportedEncryptionTypes: <podporované typy šifrovania> Dostupné klávesy: <dostupné klávesy> Informácie o službe: Názov služby: <názov služby> Identifikácia služby: <identifikátor SID služby> typy šifrovania podporované službou msds-SupportedEncryptionTypes: <typy šifrovania podporované službou> Dostupné kľúče: dostupné kľúče služby <> Informácie o radiči domény: msds-SupportedEncryptionTypes: podporované typy šifrovania radiča domény <> DefaultDomainSupportedEncTypes: <Hodnota DefaultDomainSupportedEncTypes> Dostupné kľúče: dostupné kľúče <radiča domény> Informácie o sieti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Etypy s reklamou: <typy šifrovania Kerberos s reklamami> Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáre |
Udalosť upozornenia 206 sa zapíše do denníka, ak:
|
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kdcsvc |
|
Identifikačné číslo udalosti |
207 |
|
Text udalosti |
Centrum distribúcie kľúčov zistilo, <názov šifry> použitie, ktoré nebude podporované vo fáze vynútenia, pretože typy msds-SupportedEncryptionTypes služby sú nakonfigurované tak, aby podporovali iba AES-SHA1, ale konto služby nemá kľúče AES-SHA1. Informácie o konte Názov konta: <názov konta> Dodávané Realm Name: <Dodávané Realm Name> msds-SupportedEncryptionTypes: <podporované typy šifrovania> Dostupné klávesy: <dostupné klávesy> Informácie o službe: Názov služby: <názov služby> Identifikácia služby: <identifikátor SID služby> typy šifrovania podporované službou msds-SupportedEncryptionTypes: <typy šifrovania podporované službou> Dostupné kľúče: dostupné kľúče služby <> Informácie o radiči domény: msds-SupportedEncryptionTypes: podporované typy šifrovania radiča domény <> DefaultDomainSupportedEncTypes: <Hodnota DefaultDomainSupportedEncTypes> Dostupné kľúče: dostupné kľúče <radiča domény> Informácie o sieti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Etypy s reklamou: <typy šifrovania Kerberos s reklamami> Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáre |
Udalosť upozornenia 207 sa zapíše do denníka, ak:
|
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kdcsvc |
|
Identifikačné číslo udalosti |
208 |
|
Text udalosti |
Centrum distribúcie kľúčov zámerne poprelo používanie šifry, pretože služba msds-SupportedEncryptionTypes je nakonfigurovaná tak, aby podporovala iba AES-SHA1, ale klient neinzeruje AES-SHA1 Informácie o konte Názov konta: <názov konta> Dodávané Realm Name: <Dodávané Realm Name> msds-SupportedEncryptionTypes: <podporované typy šifrovania> Dostupné klávesy: <dostupné klávesy> Informácie o službe: Názov služby: <názov služby> Identifikácia služby: <identifikátor SID služby> typy šifrovania podporované službou msds-SupportedEncryptionTypes: <typy šifrovania podporované službou> Dostupné kľúče: dostupné kľúče služby <> Informácie o radiči domény: msds-SupportedEncryptionTypes: podporované typy šifrovania radiča domény <> DefaultDomainSupportedEncTypes: <Hodnota DefaultDomainSupportedEncTypes> Dostupné kľúče: dostupné kľúče <radiča domény> Informácie o sieti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Etypy s reklamou: <typy šifrovania Kerberos s reklamami> Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáre |
Udalosť chyby 208 sa zapíše do denníka, ak:
|
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Kdcsvc |
|
Identifikačné číslo udalosti |
209 |
|
Text udalosti |
Centrum distribúcie kľúčov zámerne poprelo používanie šifry, pretože služba msds-SupportedEncryptionTypes je nakonfigurovaná tak, aby podporovala iba AES-SHA1, ale konto služby nemá kľúče AES-SHA1 Informácie o konte Názov konta: <názov konta> Dodávané Realm Name: <Dodávané Realm Name> msds-SupportedEncryptionTypes: <podporované typy šifrovania> Dostupné klávesy: <dostupné klávesy> Informácie o službe: Názov služby: <názov služby> Identifikácia služby: <identifikátor SID služby> typy šifrovania podporované službou msds-SupportedEncryptionTypes: <typy šifrovania podporované službou> Dostupné kľúče: dostupné kľúče služby <> Informácie o radiči domény: msds-SupportedEncryptionTypes: podporované typy šifrovania radiča domény <> DefaultDomainSupportedEncTypes: <Hodnota DefaultDomainSupportedEncTypes> Dostupné kľúče: dostupné kľúče <radiča domény> Informácie o sieti: Adresa klienta: <IP adresa klienta> Port klienta: <port klienta> Etypy s reklamou: <typy šifrovania Kerberos s reklamami> Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Komentáre |
Udalosť chyby 209 sa zapíše do denníka, ak:
|
Poznámka
Ak zistíte, že niektoré z týchto hlásení s upozornením sú prihlásené na radiči domény, je pravdepodobné, že všetky radiče domény vo vašej doméne nie sú aktuálne s aktualizáciou Windowsu vydanou 13. januára 2026 alebo po ňom. Na zmiernenie zraniteľnosti budete musieť preskúmať svoju doménu ďalej, aby ste našli radiče domény, ktoré nie sú aktuálne.
Ak sa zobrazí ID udalosti: 0x8000002A prihlásený na radiči domény, pozrite si tému KB5021131: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37966.
Najčastejšie otázky
Toto stvrdnutie má vplyv na radiče domény systému Windows pri vydávaní žiadostí o službu. Tok dôveryhodnosti a odporúčania protokolu Kerberos nie je ovplyvnený.
Domény tretích strán, ktoré nedokážu spracovať AES-SHA1, už mali byť explicitne nakonfigurované tak, aby povoľovali AES-SHA1.
Nie. Zaznamenáme udalosti upozornenia pre nezabezpečené konfigurácie pre defaultDomainSupportedEncTypes. Okrem toho nebudeme ignorovať žiadnu konfiguráciu explicitne nastavenú zákazníkom.
Zdroje
KB5020805: Spravovanie zmien protokolu Kerberos súvisiacich s CVE-2022-37967
KB5021131: Spravovanie zmien protokolu Kerberos súvisiacich s CVE-2022-37966
