Datum izvirne objave: 13. januar 2026
ID zbirke znanja: 5073381
Potek potrdila za varni zagon sistema Windows
Pomembno: Potrdila za varni zagon, ki jih uporablja večina naprav s sistemom Windows, bodo začela potekati junija 2026. To lahko vpliva na zmožnost varnega zagona nekaterih osebnih in poslovnih naprav, če ne bodo pravočasno posodobljene. Da bi se izognili motnjam, priporočamo, da vnaprej pregledate navodila in ukrepate za posodobitev potrdil. Za podrobnosti in korake priprave glejte Potek potrdila za varni zagon sistema Windows in posodobitve overitelja digitalnih potrdil
V tem članku
Povzetek
Posodobitve sistema Windows, izdane 13. januarja 2026 in po njem, vsebujejo zaščito za ranljivost s protokolom preverjanja pristnosti Kerberos. Posodobitve sistema Windows odpravljajo ranljivost razkritja informacij, ki lahko napadalcu omogoči pridobivanje naročil storitev s šibkimi ali podedovanimi vrstami šifriranja, kot je RC4, in izvajanje napadov brez povezave za obnovitev gesla računa storitve.
Če želite zaščititi in utrjevanje okolja, namestite posodobitev sistema Windows, izdano 13. januarja 2026 ali po tem, v vse strežnike sistema Windows, navedene v razdelku »Velja za«, ki se izvaja kot krmilnik domene. Če želite izvedeti več o ranljivostih, glejte CVE-2026-20833.
Da bi ublažili to ranljivost, se spremeni privzeta vrednost za DefaultDomainSupportedEncTypes (DDSET), tako da vsi krmilniki domene podpirajo le vstopnice, šifrirane z naprednim šifriranjem Standard (AES-SHA1), za račune brez izrecne konfiguracije vrste šifriranja Kerberos. Če želite več informacij, glejte Bitne zastavice podprtih vrst šifriranja.
V krmilnikih domene z določeno registrsko vrednostjo DefaultDomainSupportedEncTypes te spremembe ne bodo funkcionalno vplivale na delovanje. Vendar pa je dogodek nadzora ID dogodka KDCSVC: 205 lahko zabeležen v dnevnik dogodkov sistema, če je obstoječa konfiguracija DefaultDomainSupportedEncTypes negotova.
Vzemite stvari v svoje roke
Če želite zaščititi svoje okolje in preprečiti izpade, priporočamo, da izvedete te korake:
-
POSODOBITEV Krmilniki domene imenika Microsoft Active Directory se začenjajo s posodobitvami sistema Windows, izdanimi 13. januarja 2026 ali po tem.
-
SPREMLJAJTE dnevnik sistemskih dogodkov za katerega koli od 9 dogodkov nadzora, prijavljenih v sistemu Windows Server 2012, in novejše krmilnike domene, ki prepoznajo tveganja z omogočanjem zaščite RC4.
-
UBLAŽITEV Dogodki KDCSVC, zabeleženi v dnevnik sistemskih dogodkov, ki preprečujejo ročno ali programsko omogočanje zaščite RC4.
-
OMOGOČI Način uveljavljanja za preprečevanje ranljivosti, ki so v okolju obravnavane v CVE-2026-20833, ko opozorila, blokiranje ali dogodki pravilnika niso več zabeleženi.
POMEMBNO Namestitev posodobitev, izdanih 13. januarja 2026 ali po tem, NE bo odpravljala ranljivosti, opisanih v CVE-2026-20833 za krmilnike domene imenika Active Directory. Če želite v celoti ublažiti ranljivost, morate v vseh krmilnikih domene čim prej pomakniti v način vsilite (opisan v 3. koraku).
Od aprila 2026 bo način uveljavljanja omogočen v vseh krmilnikih domene sistema Windows in blokiral ranljive povezave iz neskladnih naprav. V tem času nadzora ne boste mogli onemogočiti, lahko pa se premaknete nazaj na nastavitev načina nadzora. Način nadzora bo julija 2026 odstranjen, kot je opisano v razdelku Časovna usklajenost posodobitev, način uveljavljanja pa bo omogočen v vseh krmilnikih domene sistema Windows in blokiral ranljive povezave neskladnih naprav.
Če morate po aprilu 2026 izkoristiti RC4, priporočamo, da izrecno omogočite RC4 v bitni vrstici msds-SupportedEncryptionTypes v storitvah, ki morajo sprejeti uporabo RC4.
Časovna usklajenost posodobitev
13. januar 2026 – faza začetne uvedbe
Faza začetnega uvajanja se začne s posodobitvami, izdanimi 13. januarja 2026 in se nadaljuje s poznejšimi posodobitvami sistema Windows do faze uveljavljanja . V tej fazi je treba stranke opozoriti na nove varnostne uveljavitev, ki bodo uvedene v drugi fazi uvajanja. Ta posodobitev:
-
Zagotavlja dogodke nadzora za opozorilo strank, ki jih bo prihajajoče varnostno utrjevanje morda negativno vplivalo.
-
Uvede vrednost registra RC4DefaultDisablementPhase, da proaktivno omogoči spremembo tako, da vrednost v krmilnikih domene nastavi na 2 , ko dogodki nadzora KDCSVC kažejo, da je to varno.
April 2026 – faza druge uvedbe
S to posodobitvijo spremenite privzeto vrednost DefaultDomainSupportedEncTypes za postopke KDC, da izkoristite AES-SHA1 za račune, ki nimajo opredeljenega izrecnega atributa msds-SupportedEncryptionTypes active directory.
Ta faza spremeni privzeto vrednost za DefaultDomainSupportedEncTypes le v AES-SHA1: 0x18.
Julij 2026 – faza izvrševanja
Posodobitve sistema Windows, izdane v juliju 2026 ali po tem, bodo odstranile podporo za registrski podključ RC4DefaultDisablementPhase.
Smernice za uvajanje
Če želite uvesti posodobitve sistema Windows, izdane 13. januarja 2026 ali po tem, sledite tem korakom:
-
POSODOBITe krmilnike domene s posodobitvijo sistema Windows, izdano 13. januarja 2026 ali po tem.
-
SPREMLJAjte dogodke, zabeležene med začetno fazo uvajanja, da zavarujete svoje okolje.
-
Premaknite krmilnike domene v način uveljavljanja v razdelku Nastavitve registra.
1. korak: POSODOBITEV
Posodobitev sistema Windows, izdana 13. januarja 2026 ali po tem, lahko uvedete za vse veljavne imenike Windows Active Directory, ki se po uvedbi posodobitve izvajajo kot krmilnik domene.
-
Dogodki nadzora bodo prikazani v dnevnikih dogodkov sistema, če vaš krmilnik domene prejema zahteve naročila storitve Kerberos, ki zahtevajo uporabo šifer RC4, vendar ima račun storitve privzeto konfiguracijo šifriranja.
-
Dogodki nadzora bodo zabeleženi v dnevnik sistemskih dogodkov, če ima krmilnik domene izrecno konfiguracijo DefaultDomainSupportedEncTypes , ki omogoča šifriranje RC4.
2. korak: MONITOR
Ko so krmilniki domene posodobljeni, preklopite v način uveljavljanja tako, da vrednost RC4DefaultDisablementPhase spremenite na 2, če ne vidite nobenih dogodkov nadzora.
Če so ustvarjeni dogodki nadzora, morate odstraniti odvisnosti RC4 ali izrecno konfigurirati račune, ki jih podpira Kerberos. Nato se boste lahko premaknili v način uveljavljanja .
Če želite izvedeti, kako odkriti RC4 uporabo v vaši domeni, nadzor naprave in uporabniških računov, ki so še vedno odvisni od RC4, in sprejeti ukrepe za odpravo uporabe v korist močnejše vrste šifriranja ali upravljanje RC4 odvisnosti, si oglejte Detect and remediate RC4 usage in Kerberos.
3. korak: OMOGOČITE
Omogočite način uveljavljanja, če želite naslova ranljivosti CVE-2026-20833 v vašem okolju.
-
Če KDC zahteva, da posreduje vstopnico storitve RC4 za račun s privzetimi konfiguracijami, se zabeleži dogodek napake.
-
Še vedno boste videli ID dogodka: 205, zabeleženo za katero koli negotovo konfiguracijo DefaultDomainSupportedEncTypes.
Nastavitve registra
Po namestitvi posodobitev sistema Windows, izdanih 13. januarja 2026 ali po tem, je za protokol Kerberos na voljo naslednji registrski ključ.
Ta registrski ključ se uporablja za zadržanje uvajanja sprememb Kerberos. Ta registrski ključ je začasen in ne bo več prebran po datumu uveljavljanja.
|
Registrski ključ |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Vrsta podatkov |
REG_DWORD |
|
Ime vrednosti |
RC4DefaultDisablementPhase |
|
Podatki za vrednost |
0 – Brez revizije, brez sprememb 1 – Opozorilni dogodki bodo prijavljeni v privzeto uporabo RC4. (Privzeto v 1. fazi) 2 – Kerberos bo začel ob predvidevanju RC4 ni omogočen privzeto. (Privzeto v 2. fazi) |
|
Ali je potreben vnovični zagon? |
Da |
Dogodki nadzora
Ko namestite posodobitve sistema Windows, izdane 13. januarja 2026 ali pozneje, so v sistem Windows Server 2012 in novejše, ki se izvajajo kot krmilnik domene, dodane te vrste dogodkov nadzora.
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
201 |
|
Besedilo dogodka |
Središče za porazdelitev ključa je zaznalo <Ime šifera> ki ne bo podprto v fazi uvajanja, ker vrsta storitve msds-SupportedEncryptionTypes ni določena in odjemalec podpira le nezaščitene vrste šifriranja. Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
ID dogodka: 201 bo zabeležen, če:
|
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
202 |
|
Besedilo dogodka |
Središče za porazdelitev ključev je zaznalo <Ime šifera> uporaba, ki ne bo podprta v fazi uvajanja, ker storitev msds-SupportedEncryptionTypes ni določena, račun storitve pa ima le nezaščitene ključe. Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Opozorilni dogodek 202 bo zabeležen, če:
|
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
203 |
|
Besedilo dogodka |
V središču za porazdelitev ključa je blokirana uporaba šifer, ker storitev msds-SupportedEncryptionTypes ni določena in odjemalec podpira le negotove vrste šifriranja. Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Napaka 203 bo zabeležena, če:
|
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
204 |
|
Besedilo dogodka |
V središču za porazdelitev ključev je blokirana uporaba šifer, ker storitev msds-SupportedEncryptionTypes ni določena, račun storitve pa ima le nezaščitene ključe. Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Napaka dogodka 204 bo zabeležena, če:
|
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
205 |
|
Besedilo dogodka |
Središče za porazdelitev ključa je zaznalo izrecno omogočanje šifer v konfiguraciji pravilnika Privzeti pravilniki za podprte vrste šifriranja domene. Cipher(s): <Insecure Ciphers> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes vrednost> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Opozorilni dogodek 205 bo zabeležen, če:
|
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
206 |
|
Besedilo dogodka |
Središče za porazdelitev ključa je zaznalo <Ime šifera> uporaba, ki ne bo podprta v fazi uvajanja, ker je storitev msds-SupportedEncryptionTypes konfigurirana tako, da podpira le AES-SHA1, vendar odjemalec ne advertize AES-SHA1 Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Opozorilni dogodek 206 bo zabeležen, če:
|
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
207 |
|
Besedilo dogodka |
Središče za porazdelitev ključev je zaznalo <Ime šifera> uporaba, ki ne bo podprta v fazi uvajanja, ker je storitev msds-SupportedEncryptionTypes konfigurirana tako, da podpira le AES-SHA1, vendar račun storitve nima ključev AES-SHA1. Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Opozorilni dogodek 207 bo zabeležen, če:
|
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
208 |
|
Besedilo dogodka |
Središče za porazdelitev ključa je namerno zavrnilo uporabo šifer, ker je storitev msds-SupportedEncryptionTypes konfigurirana tako, da podpira le AES-SHA1, vendar odjemalec ne advertize AES-SHA1 Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Napaka dogodka 208 bo zabeležena, če:
|
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
209 |
|
Besedilo dogodka |
Središče za porazdelitev ključev je namerno zavrnilo uporabo šifriranja, ker je storitev msds-SupportedEncryptionTypes konfigurirana tako, da podpira le AES-SHA1, vendar račun storitve nima ključev AES-SHA1 Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Napaka dogodka 209 bo zabeležena, če:
|
Opomba
Če najdete katero od teh opozorilnih sporočil, ki so zabeležena v krmilniku domene, je verjetno, da vsi krmilniki domene v vaši domeni niso posodobljeni s posodobitvijo sistema Windows, izdano 13. januarja 2026 ali po njem. Če želite zmanjšati ranljivost, morate podrobneje raziskati svojo domeno, da boste našli krmilnike domene, ki niso posodobljeni.
Če vidite ID dogodka: 0x8000002A prijavljeni v krmilniku domene, glejte KB5021131: Upravljanje sprememb protokola Kerberos, povezanih s CVE-2022-37966.
Pogosta vprašanja
To utrjevanje vpliva na krmilnike domene sistema Windows, ko izdajajo naročila storitve. Na tok zaupanja in napotitve kerberos ne vplivata.
Third-party domain devices that are unable to process AES-SHA1 should have already been explicitly configured to allow AES-SHA1.
Ne. Zabeležili bomo opozorilne dogodke za negotove konfiguracije za DefaultDomainSupportedEncTypes. Poleg tega ne bomo prezrli konfiguracije, ki jo je izrecno nastavila stranka.
Viri
KB5020805: Kako upravljati spremembe protokola Kerberos, povezane s cve-2022-37967
KB5021131: Kako upravljati spremembe protokola Kerberos, povezane s protokolom CVE-2022-37966
