Datum izvirne objave: 13. januar 2026
ID zbirke znanja: 5073381
V tem članku
Povzetek
Posodobitve sistema Windows, izdane 13. januarja 2026 in po njem, vsebujejo zaščito za ranljivost s protokolom preverjanja pristnosti Kerberos. Posodobitve sistema Windows odpravljajo ranljivost razkritja informacij v CVE-2026-20833 , ki lahko napadalcu omogoči pridobivanje naročil storitev s šibkimi ali podedovanimi vrstami šifriranja, kot je RC4, za izvajanje napadov brez povezave za obnovitev gesla za račun storitve.
Za zmanjšanje te ranljivosti, posodobitve sistema Windows, izdane 14. aprila 2026 in po njem, spremenijo privzeto vrednost Kerberos Key Distribution Center (KDC) za DefaultDomainSupportedEncTypes, razen če skrbniki predhodno omogočijo način uveljavljanja. Posodobljeni krmilniki domene, ki se izvajajo v načinu uveljavljanja, bodo predvidevali le podporo za konfiguracije šifriranja Advanced Encryption Standard (AES), če ni določena nobena eksplicitna konfiguracija. Če želite več informacij, glejte Bitne zastavice podprtih vrst šifriranja. Privzeta vrednost za DefaultDomainSupportedEncTypes velja, če ni izrecne vrednosti.
V krmilnikih domene z določeno registrsko vrednostjo DefaultDomainSupportedEncTypes te spremembe ne bodo funkcionalno vplivale na delovanje. Vendar pa bo dogodek nadzora ID dogodka KDCSVC: 205 zabeležen v dnevnik dogodkov sistema, če je obstoječa konfiguracija DefaultDomainSupportedEncTypes nezaščitena (ko je na primer uporabljen šifer RC4).
Vzemite stvari v svoje roke
Če želite zaščititi svoje okolje in preprečiti izpade, priporočamo, da:
-
POSODOBITEV Krmilniki domene imenika Microsoft Active Directory se začenjajo s posodobitvami sistema Windows, izdanimi 13. januarja 2026 ali po tem.
-
SPREMLJAJTE dnevnik sistemskih dogodkov za katerega koli od devetih krmilnikov domene KDCSVC 201 > 209, zabeleženih v sistemu Windows Server 2012, in novejših krmilnikov domene, ki prepoznajo tveganja z omogočanjem zaščite RC4.
-
UBLAŽITEV Dogodki KDCSVC, zabeleženi v dnevnik sistemskih dogodkov, ki preprečujejo ročno ali programsko omogočanje zaščite RC4.
-
OMOGOČI Način uveljavljanja za preprečevanje ranljivosti, ki so v okolju obravnavane v CVE-2026-20833, ko opozorila, blokiranje ali dogodki pravilnika niso več zabeleženi.
POMEMBNO Namestitev posodobitev, izdanih 13. januarja 2026 ali po tem, NE bo odpravljala ranljivosti, opisanih v CVE-2026-20833 za krmilnike domene imenika Active Directory. Če želite v celoti ublažiti ranljivost, morate ročno omogočiti način uveljavljanja (opisan v 3. koraku: ENABLE) v vseh krmilnikih domene. Namestitev sistema Windows Posodobitve in po juliju 2026 bo programsko omogočena faza uveljavljanja.
Način uveljavljanja bo samodejno omogočen z namestitvijo sistema Windows Posodobitve, izdane aprila 2026 ali po aprilu 2026, v vse krmilnike domene sistema Windows in blokirate ranljive povezave neskladnih naprav. V tem času nadzora ne boste mogli onemogočiti, lahko pa se premaknete nazaj na nastavitev načina nadzora. Način nadzora bo julija 2026 odstranjen, kot je opisano v razdelku Časovna usklajenost posodobitev, način uveljavljanja pa bo omogočen v vseh krmilnikih domene sistema Windows in blokiral ranljive povezave neskladnih naprav.
Če morate po aprilu 2026 izkoristiti RC4, priporočamo, da izrecno omogočite RC4 v bitni vrstici msds-SupportedEncryptionTypes v storitvah, ki morajo sprejeti uporabo RC4.
Časovna usklajenost posodobitev
13. januar 2026 – faza začetne uvedbe
Faza začetnega uvajanja se začne s posodobitvami, izdanimi 13. januarja 2026 in se nadaljuje s poznejšimi posodobitvami sistema Windows do faze uveljavljanja . V tej fazi je treba stranke opozoriti na nove varnostne uveljavitev, ki bodo uvedene v drugi fazi uvajanja. Ta posodobitev:
-
Zagotavlja dogodke nadzora za opozorilo strank, ki jih bo prihajajoče varnostno utrjevanje morda negativno vplivalo.
-
Predstavlja podporo za vrednost registra RC4DefaultDisablementPhase , ko skrbnik proaktivno omogoči spremembo tako, da vrednost v krmilnikih domene nastavi na 2 , ko dogodki nadzora KDCSVC kažejo, da je to varno.
14. april 2026 – faza izvajanja z ročno povrniti
S to posodobitvijo spremenite privzeto vrednost DefaultDomainSupportedEncTypes za postopke KDC, da izkoristite AES-SHA1 za račune, ki nimajo opredeljenega izrecnega atributa msds-SupportedEncryptionTypes active directory.
Ta faza spremeni privzeto vrednost za DefaultDomainSupportedEncTypes le v AES-SHA1: 0x18.
Ta faza omogoča tudi ročno konfiguracijo povratne vrednosti RC4DefaultDisablementPhase do programskega uveljavljanja julija 2026.
Julij 2026 – faza izvrševanja
Posodobitve sistema Windows, izdane v juliju 2026 ali po tem, bodo odstranile podporo za registrski podključ RC4DefaultDisablementPhase.
Smernice za uvajanje
Če želite uvesti posodobitve sistema Windows, izdane 13. januarja 2026 ali po tem, sledite tem korakom:
-
POSODOBITe krmilnike domene s posodobitvijo sistema Windows, izdano 13. januarja 2026 ali po tem.
-
SPREMLJAjte dogodke, zabeležene med začetno fazo uvajanja, da zavarujete svoje okolje.
-
Premaknite krmilnike domene v način uveljavljanja v razdelku Nastavitve registra.
1. korak: POSODOBITEV
Posodobitev sistema Windows, izdana 13. januarja 2026 ali po tem, lahko uvedete za vse veljavne imenike Windows Active Directory, ki se po uvedbi posodobitve izvajajo kot krmilnik domene.
-
Dogodki nadzora bodo prikazani v dnevnikih dogodkov sistema, če vaši krmilniki domene za Windows Server 2012 ali novejšo različico prejemajo zahteve naročil storitve Kerberos, ki zahtevajo uporabo šifer RC4, vendar ima račun storitve privzeto konfiguracijo šifriranja.
-
Dogodek nadzora 205 bo zabeležen v dnevnik sistemskih dogodkov, če ima krmilnik domene izrecno konfiguracijo DefaultDomainSupportedEncTypes , ki omogoča šifriranje RC4.
2. korak: MONITOR
Ko so krmilniki domene posodobljeni, če dogodki nadzora niso dokumentirani v tem članku, preklopite na način uveljavljanja tako, da spremenite vrednost registra RC4DefaultDisablementPhase na 2.
Če so ustvarjeni dogodki nadzora, morate odstraniti odvisnosti RC4 ali izrecno konfigurirati atribut accounts msds-SupportedEncryptionTypes, da boste podpirali nadaljnjo uporabo rc4 po ročnem ali samodejnem omogočanja načina uveljavljanja.
Za skrbnike, ki se zanimajo za odpravljanje težav z uporabo RC4 širše, kot je obravnavano v tem članku, priporočamo, da pregledate možnost za zaznavanje in odpravljanje težav z uporabo RC4 v brskalniku Kerberos, kjer boste našli več informacij.
POMEMBNO Dogodki nadzora, povezani s to spremembo, se ustvarijo le, če imenik Active Directory ne more izdajati vstopnic ali ključev seje storitve AES-SHA1. Odsotnost dogodkov nadzora ne zagotavlja, da bodo vse naprave, ki niso windows, po aprilski posodobitvi uspešno sprejele preverjanje pristnosti Kerberos. Stranke morajo preveriti interoperabilnost sistema, ki niso Windows, s preskušanjem, preden široko omogočijo to vedenje.
3. korak: OMOGOČITE
Omogočite način uveljavljanja, če želite naslova ranljivosti CVE-2026-20833 v vašem okolju.
-
Če KDC zahteva, da posreduje vstopnico storitve RC4 za račun s privzetimi konfiguracijami, se zabeleži dogodek napake.
-
Še naprej boste videli ID dogodka: 205, zabeleženo za katero koli negotovo konfiguracijo DefaultDomainSupportedEncTypes.
Nastavitve registra
Po namestitvi posodobitev sistema Windows, izdanih 13. januarja 2026 ali po tem, je za protokol Kerberos na voljo naslednji registrski ključ.
RC4DefaultDisablementPhase
Ta registrski ključ se uporablja za zadržanje uvajanja sprememb Kerberos. Ta registrski ključ je začasen in ne bo več prebran po datumu uveljavljanja.
|
Registrski ključ |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Vrsta podatkov |
REG_DWORD |
|
Ime vrednosti |
RC4DefaultDisablementPhase |
|
Podatki za vrednost |
0 – Brez revizije, brez sprememb 1 – Opozorilni dogodki bodo prijavljeni v privzeto uporabo RC4. (Privzeto v 1. fazi) 2 – Kerberos bo začel ob predvidevanju RC4 ni omogočen privzeto. (Privzeto v 2. fazi) |
|
Ali je potreben vnovični zagon? |
Da |
Dogodki nadzora
Ko namestite posodobitve sistema Windows, izdane 13. januarja 2026 ali pozneje, so v dnevnik dogodkov sistema Windows Server 2012 in novejše, ki se izvajajo kot krmilnik domene, dodane te vrste dogodkov nadzora KSCSVC.
V tem razdelku
ID dogodka: 201
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
201 |
|
Besedilo dogodka |
Središče za porazdelitev ključa je zaznalo <Ime šifera> ki ne bo podprto v fazi uvajanja, ker vrsta storitve msds-SupportedEncryptionTypes ni določena in odjemalec podpira le nezaščitene vrste šifriranja. Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
ID dogodka: 201 bo zabeležen, če:
|
ID dogodka: 202
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
202 |
|
Besedilo dogodka |
Središče za porazdelitev ključev je zaznalo <Ime šifera> uporaba, ki ne bo podprta v fazi uvajanja, ker storitev msds-SupportedEncryptionTypes ni določena, račun storitve pa ima le nezaščitene ključe. Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Opozorilni dogodek 202 bo zabeležen, če:
|
ID dogodka: 203
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
203 |
|
Besedilo dogodka |
V središču za porazdelitev ključa je blokirana uporaba šifer, ker storitev msds-SupportedEncryptionTypes ni določena in odjemalec podpira le negotove vrste šifriranja. Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Napaka 203 bo zabeležena, če:
|
ID dogodka: 204
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
204 |
|
Besedilo dogodka |
V središču za porazdelitev ključev je blokirana uporaba šifer, ker storitev msds-SupportedEncryptionTypes ni določena, račun storitve pa ima le nezaščitene ključe. Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Napaka dogodka 204 bo zabeležena, če:
|
ID dogodka: 205
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
205 |
|
Besedilo dogodka |
Središče za porazdelitev ključa je zaznalo izrecno omogočanje šifer v konfiguraciji pravilnika Privzeti pravilniki za podprte vrste šifriranja domene. Cipher(s): <Insecure Ciphers> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes vrednost> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Opozorilni dogodek 205 bo zabeležen, če:
|
ID dogodka: 206
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
206 |
|
Besedilo dogodka |
Središče za porazdelitev ključa je zaznalo <Ime šifera> uporaba, ki ne bo podprta v fazi uvajanja, ker je storitev msds-SupportedEncryptionTypes konfigurirana tako, da podpira le AES-SHA1, vendar odjemalec ne advertize AES-SHA1 Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Opozorilni dogodek 206 bo zabeležen, če:
|
ID dogodka: 207
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
207 |
|
Besedilo dogodka |
Središče za porazdelitev ključev je zaznalo <Ime šifera> uporaba, ki ne bo podprta v fazi uvajanja, ker je storitev msds-SupportedEncryptionTypes konfigurirana tako, da podpira le AES-SHA1, vendar račun storitve nima ključev AES-SHA1. Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Opozorilni dogodek 207 bo zabeležen, če:
|
ID dogodka: 208
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
208 |
|
Besedilo dogodka |
Središče za porazdelitev ključa je namerno zavrnilo uporabo šifer, ker je storitev msds-SupportedEncryptionTypes konfigurirana tako, da podpira le AES-SHA1, vendar odjemalec ne advertize AES-SHA1 Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Napaka dogodka 208 bo zabeležena, če:
|
ID dogodka: 209
|
Dnevnik dogodkov |
Sistem |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Kdcsvc |
|
ID dogodka |
209 |
|
Besedilo dogodka |
Središče za porazdelitev ključev je namerno zavrnilo uporabo šifriranja, ker je storitev msds-SupportedEncryptionTypes konfigurirana tako, da podpira le AES-SHA1, vendar račun storitve nima ključev AES-SHA1 Informacije o računu Ime računa: <računa> Poda Realm Ime: <sfero Ime> Msds-SupportedEncryptionTypes: <Podprte vrste šifriranja> Razpoložljivi ključi: <razpoložljive> Informacije o storitvi: Ime storitve: <ime storitve> ID storitve: <sid storitve> Msds-SupportedEncryptionTypes: <vrste šifriranja, ki jih podpira> Ključi, ki so na voljo: <ključi, ki so na voljo za> Informacije o krmilniku domene: Msds-SupportedEncryptionTypes: <šifriranje vrste šifriranja, ki jih> DefaultDomainSupportedEncTypes: <Vrednost DefaultDomainSupportedEncTypes> Razpoložljivi ključi: <ključi, ki so na voljo za krmilnik> Informacije o omrežju: Naslov odjemalca: <naslov IP odjemalca> Odjemalska vrata: <odjemalca> Advertized Etypes: <Advertized Kerberos Encryption Types> Če želite https://go.microsoft.com/fwlink/?linkid=2344614 več informacij, glejte Temo za urejanje. |
|
Pripombe |
Napaka dogodka 209 bo zabeležena, če:
|
Opomba
Glede implicitne spremembe izbire šifriranja servisne vozovnice ima Microsoft omejeno vidnost razlogov, zakaj naprava, ki ni Windows, morda ne more sprejeti preverjanja pristnosti Kerberos, ko KDCs-ji uporabijo aprilsko posodobitev in se premaknejo na privzeto vedenje AES-SHA1, ko ni navedeno. Priporočamo, da te spremembe preverite s preskušanjem v svojem okolju, preden omogočite to delovanje širše.
Najpogostejše mesto, kjer boste naleteli na to, so naprave, ki uporabljajo zavihke s tipkami Kerberos. Če je bila tipka Kerberos izvožena le s ključi RC4, vendar ima ciljni račun storitve ključe AES-SHA1 in nima definirane msds-SupportedEncryptionTypes, potem obstaja možnost napake preverjanja pristnosti za to storitev. To se bo najverjetneje prikazalo v obliki napak pri preverjanju pristnosti iz ciljne storitve in ne v KDC-ju.
Naše glavno priporočilo je, da sodelujete z dobaviteljem naprave, ki ne uporablja sistema Windows. Na splošno napake naprav, ki niso naprave s sistemom Windows, da bi sprejele preverjanje pristnosti Kerberos, niso enolične za aprilne spremembe in so lahko posledica omejitev, specifičnih za napravo ali izvajanje.
Če po tej spremembi opazimo težave s preverjanjem pristnosti Kerberos z napravami, ki niso naprave s sistemom Windows, in popravek prodajalca ni izvedljiv, so naša priporočila takšna:
-
V prizadetem računu storitve izrecno določite vrste msDS-SupportedEncryptionTypes , da vključite RC4 s ključi seje AES (0x24).
-
Če to ni mogoče, kot zadnjo možnost, ročno konfigurirajte vrednost registra DefaultDomainSupportedEncTypes v vseh ustreznih KDCs tako, da vključuje RC4 s ključi seje AES-SHA1 (0x24). Upoštevajte, da zaradi tega ostanejo vsi računi v domeni ranljivi za CVE-2026-20833.
Upoštevajte, da je ta konfiguracija negotova, naše dolgoročno priporočilo pa je, da naprave, ki niso s sistemom Windows, preselimo v različice, ki podpirajo šifriranje vstopnic AES-SHA1 Kerberos.
Pogosta vprašanja
V1: Kako je ta sprememba v interakciji z domenami, ki imajo KDCs drugih ponudnikov?
Ta sprememba utrjenega spreminjanju vpliva le na krmilnike domene sistema Windows. Na tok zaupanja in napotitve kerberos z drugimi krmilniki domene sistema Windows ali KD-ji drugih ponudnikov ne vpliva.
V2: Kako ta sprememba vpliva na domene, ki imajo naprave z domeno, ki ne uporabljajo sistema Windows?
Naprave z domenami drugih ponudnikov, ki ne morejo obdelati šifriranja AES-SHA1, bi morale biti že izrecno konfigurirane tako, da dovolijo šifriranje RC4. Storitve, ki ne morejo obdelati vstopnic AES-SHA1, je treba fiksno ali izrecno konfigurirati v aktivni diretory za zagotavljanje šifriranja RC4, kot je navedeno zgoraj. Temeljito preverite veljavnost teh sprememb.
V3: Ali Microsoft odstrani možnost konfiguracije DefaultDomainSupportedEncTypes?
Ne. Zabeležili bomo opozorilne dogodke za negotove konfiguracije za DefaultDomainSupportedEncTypes. Poleg tega bomo upoštevali vse konfiguracije, ki jih je izrecno nastavil skrbnik.
Viri
Dnevnik sprememb
|
Spremeni datum |
Opis spremembe |
|
14. april 2026 |
|
|
7. april 2026 |
|
|
16. marec 2026 |
|
|
10. februar 2026 |
|
