Kako da upravljate Kerberos KDC upotrebom RC4 tiketa za izdavanje tiketa za nalog usluge povezane sa CVE-2026-20833

Originalni datum objavljivanja: 13. januar 2026.

KB ID: 5073381

Promeni datum	Promeni opis
7. april 2026.	Drugi pasus u odeljku "Rezime" je ponovo napisan radi jasnoće. Stavite belešku VAŽNO u odeljak "2. korak: MONITOR" da biste istakli da je ona važna. Obratite paznje na VAŽNU belešku. Dodao je novi drugi pasus u belešku iznad odeljka "Najčešća pitanja".
16. mart 2026.	Ponovo napisano radi jasnoće "2. korak: MONITOR" u odeljku "Uputstva za primenu". Odgovor na pitanje "Kako ova promena vrši interakciju sa domenima koji nisu windows uređaji za domene?" Najčešća pitanja. Dodata je posebna napomena o tome kako ove promene mogu uticati na usluge koje nisu Windows.
10. februar 2026.	Dodata je veza dokumentacije u pojavljivanja DefaultDomainSupportedEncTypes. Ispravljeno je reči druge tačke za nabrajanje u odeljku "3. korak: omogućavanje".Iz: Predstavlja vrednost registratora RC4DefaultDisablementPhase radi proaktivnog omogućavanja promene tako što postavlja vrednost na 2 u kontrolerima domena kada događaji KDCSVC nadzora ukazuju na to da je bezbedno to uraditi.Da: Uvodi podršku za vrednost registratora RC4DefaultDisablementPhase kada administrator proaktivno omogući promenu tako što postavlja vrednost na 2 na kontrolerima domena kada događaji KDCSVC nadzora ukazuju na to da je bezbedno to uraditi. Ispod napomene Važno u odeljku "Preduzimanje radnje" promenjena je prva rečenica pasusa kako bi ukazala na približno kada će režim sprovođenja biti omogućen.Iz: Počevši od aprila 2026. godine, režim sprovođenja će biti omogućen na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni.Da: Režim sprovođenja će automatski biti omogućen instaliranjem operativnog sistema Windows Novosti objavljenog aprila 2026. ili posle aprila 2026. na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni. Windows Novosti je objavio 13. januara 2026. i CVE-2026-20833.

Rezime

Ispravke za Windows objavljene 13. januara 2026. i posle toga sadrže zaštitu za ranjivost kerberos protokola za potvrdu identiteta. Ispravke operativnog sistema Windows rešavaju ranjivost otkrivanja informacija u cve-2026-20833 koja može da omogući napadacu da nabavi tikete za uslugu sa slabim ili zastarelim tipovima šifrovanja kao što je RC4 za izvršavanje napada van mreže radi oporavka lozinke naloga usluge.

Da bi ublažio ovu ranjivost, podrazumevanu vrednost defaultDomainSupportedEncTypes menja Windows Novosti objavljen 14. aprila 2026. ili administratori koji omogućavaju režim sprovođenja ranije. Ažurirani kontroleri domena pokrenuti u režimu sprovođenja će preuzeti podršku samo za konfiguracije tipa naprednog šifrovanja Standard (AES) ako nije navedena eksplicitna konfiguracija. Više informacija potražite u članku Zastavice bita podržanih tipova šifrovanja. Podrazumevana vrednost za DefaultDomainSupportedEncTypes primenjuje se u odsustvu eksplicitne vrednosti.

Na kontrolere domena sa definisanom vrednošću registratora DefaultDomainSupportedEncTypes, ove promene neće uticati na ponašanje. Međutim, ID događaja nadzora KDCSVC događaja: 205 će biti evidentiran u sistemskoj evidenciji događaja ako je postojeća Konfiguracija DefaultDomainSupportedEncTypes nesigurna (na primer, kada se koristi RC4 cipher).

Aktivirajte se

Da biste zaštitili okruženje i sprečili prekede, preporučujemo vam da:

AŽURIRANJE Microsoft Active Directory kontrolera domena počinju windows ispravkama objavljenim 13. januara 2026. ili posle njih.
NADGLEDAJTE evidenciju događaja "Sistem" za bilo koji od devet događaja događaja KDCSVC 201 > 209 Nadzor prijavljenih u sistemu Windows Server 2012 i novijim kontrolerima domena koji identifikuju rizike uz omogućavanje RC4 zaštite.
UMANJIVANJE KDCSVC događaji evidentirani u evidenciji događaja sistema koji sprečavaju ručno ili programsko omogućavanje RC4 zaštite.
OMOGUĆI Režim sprovođenja za adresiranje ranjivosti adresiranih u izdanjima CVE-2026-20833 u okruženju kada se događaji upozorenja, blokiranja ili smernica više ne evidentiraju.

VAŽNO Instaliranje ispravki objavljenih 13. januara 2026. ili posle toga NEĆE rešiti ranjivosti opisane u cve-2026-20833 za kontrolere domena aktivnog direktorijuma podrazumevano. Da biste u potpunosti umanjili ranjivost, trebalo bi ručno da omogućite režim sprovođenja (opisan u 3. koraku: OMOGUĆAVANJE) na svim kontrolere domena. Instalacija operativnog sistema Windows Novosti objavljena 2026. i posle jula 2026. programski će omogućiti fazu sprovođenja.

Režim sprovođenja će automatski biti omogućen instaliranjem operativnog sistema Windows Novosti objavljenog aprila 2026. ili posle aprila 2026. na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni.  Tada nećete moći da onemogućite nadzor, ali ćete se možda vratiti na postavku režima nadzora. Režim nadzora će biti uklonjen u julu 2026. kao što je navedeno u odeljku Podešavanje vremena ispravki, a režim sprovođenja će biti omogućen na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni.

Ako treba da iskoristite RC4 posle aprila 2026, preporučujemo da eksplicitno omogućite RC4 u okviru maske bita msds-SupportedEncryptionTypes za usluge koje će morati da prihvate RC4 upotrebu.

Podešavanje vremena ispravki

13. januar 2026. - Faza početne primene

Početna faza primene počinje ispravkama objavljenim 13. januara 2026. i nastavlja se sa novijim ispravkama operativnog sistema Windows do faze sprovođenja . Ova faza predstavlja upozorenje kupcima novih bezbednosnih službi koje će biti uvedene u drugoj fazi primene. Ova ispravka:

Obezbeđuje događaje nadzora radi upozorenja klijenata na koje može negativno da utiče predstojeće bezbednosno otežanje.
Uvodi podršku za vrednost registratora RC4DefaultDisablementPhase kada administrator proaktivno omogući promenu tako što postavlja vrednost na 2 na kontrolerima domena kada događaji KDCSVC nadzora ukazuju na to da je bezbedno to uraditi.

April 2026. – Faza sprovođenja sa ručnim vraćanjem

Ova ispravka menja podrazumevanu vrednost DefaultDomainSupportedEncTypes za operacije u KDC-u kako bi iskoristila AES-SHA1 za naloge koji nisu definisani atribut "msds-SupportedEncryptionTypes active directory".

Ova faza menja podrazumevanu vrednost za DefaultDomainSupportedEncTypes samo u AES-SHA1: 0x18.

Ova faza takođe omogućava ručnu konfiguraciju povratne vrednosti RC4DefaultDisablementPhase do programskog sprovođenja u julu 2026.

Jul 2026. - Faza sprovođenja

Ispravke za Windows objavljene u julu 2026. ili posle jula 2026. ukloniće podršku za potključ registratora RC4DefaultDisablementPhase.

Uputstva za primenu

Da biste primenili ispravke za Windows objavljene 13. januara 2026. ili posle njih, pratite ove korake:

AŽURIRAJTE kontrolera domena pomoću Windows ispravke objavljene 13. januara 2026. ili posle toga.
NADGLEDAJTE događaje evidentirane tokom početne faze primene da biste obezbedili okruženje.
PREMESTIte kontrolere domena u režim sprovođenja pomoću odeljka Postavke registratora.

1. korak: AŽURIRANJE 

Primenite Windows ispravku objavljenu 13. januara 2026. ili posle toga na sve važeće Windows Active Directory pokrenute kao kontroler domena nakon primene ispravke.

Događaji nadzora će se pojaviti u evidencijama sistemskih događaja ako kontrolori domena za Windows Server 2012 ili novije verzije primaju kerberos zahteve tiketa za uslugu koji zahtevaju da se koristi RC4 šifrovanje, ali nalog usluge ima podrazumevanu konfiguraciju šifrovanja.
Događaj nadgledanja 205 biće evidentiran u sistemskoj evidenciji događaja ako kontroler domena ima eksplicitnu DefaultDomainSupportedEncTypes konfiguraciju koja dozvoljava RC4 šifrovanje.

2. korak: NADGLEDANJE 

Kada se kontrolori domena ažuriraju, ako ne vidite događaje nadzora dokumentovane u ovom članku, prebacite se na režim sprovođenja promenom vrednosti registratora RC4DefaultDisablementPhase na 2.  

Ako su generisani događaji nadzora, moraćete da uklonite RC4 zavisne elemente ili da izričito konfigurišete atribut nalozi msds-SupportedEncryptionTypes da biste podržali nastavak korišćenja RC4 pomoću ručnog ili automatskog omogućavanja režima sprovođenja.

Za administratore koji su zainteresovani za remećenje upotrebe RC4 servera šire nego što je prikazano u ovom članku, preporučujemo da za više informacija pregledate članak Otkrivanje i ponovno korišćenje RC4 servera u programu Kerberos.

VAŽNO Događaji nadzora povezani sa ovom promenom generišu se samo kada Active Directory ne može da izda tikete usluge AES-SHA1 ili ključeve sesije. Odsustvo događaja nadzora ne garantuje da će svi uređaji koji nisu Windows uspešno prihvatiti Kerberos potvrdu identiteta nakon ispravke iz aprila. Klijenti bi trebalo da provere međuoperanost koja nije Windows putem testiranja pre nego što je omogući.

3. korak: OMOGUĆAVANJE 

Omogućite režim sprovođenja da biste rešili ranjivosti CVE-2026-20833 u okruženju.

Ako se od KDC-a zatraži da obezbedi tiket za uslugu RC4 za nalog sa podrazumevanim konfiguracijama, biće evidentiran događaj greške.
ID događaja ćete i dalje videti: 205 evidentiran za konfiguraciju koja nije bezbedna za DefaultDomainSupportedEncTypes.

Postavke registratora

Kada se Windows ispravke objave 13. januara 2026. ili posle toga, sledeći ključ registratora je dostupan za Kerberos protokol.

Ovaj ključ registratora se koristi za mrežnu primenu Kerberos promena. Ovaj ključ registratora je privremen i više neće biti pročitan nakon datuma sprovođenja.

Ključ registratora	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Tip podataka	REG_DWORD
Ime vrednosti	RC4DefaultDisablementPhase
Podaci o vrednosti	0 – Bez nadzora, bez promene 1 – Događaji upozorenja će biti prijavljeni na podrazumevanoj upotrebi RC4 servera. (Podrazumevana faza 1) 2 – Kerberos će početi da pretpostavlja da RC4 nije podrazumevano omogućen. (Podrazumevana faza 2)
Potrebno je ponovno pokretanje?	Da

Događaji nadzora

Kada se windows ispravke objave 13. januara 2026. ili posle toga, sledeći tipovi događaja "KSCSVC nadzor" dodaju se u sistemsku evidenciju događaja za Windows Server 2012 i kasnije pokrenute kao kontroler domena.

Evidencija događaja	Sistem
Tip događaja	Upozorenje
Izvor događaja	Kdcsvc
ID događaja	201
Tekst događaja	Centar za ključnu distribuciju otkrio je <ime šifrovanja> koji neće biti podržan u fazi sprovođenja jer usluga msds-SupportedEncryptionTypes nije definisana i klijent podržava samo tipove nebezbednog šifrovanja. Informacije o nalogu     Ime naloga: <naloga>     Navedeno ime realma: <navedeno ime zemljišta>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja>     Dostupni ključevi: <tasteri> Informacije o usluzi:     Ime usluge: <ime usluge>     ID usluge: <SID usluge>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge>     Dostupni ključevi: <dostupni ključevi usluge> Informacije o kontroloru domena:     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena>     DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value>     Dostupni ključevi: <dostupni tasteri kontrolera domena> Informacije o mreži:     Adresa klijenta: <IP adresa klijenta>     Port klijenta: <klijentskog porta>     Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.
Komentari	ID događaja: 201 će biti evidentiran ako: Klijent samo oglašava RC4 kao advertizovane Etypes Ciljna usluga NEMA definisan msds-SET Kontroler domena NEMA definisan DDSET Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1 Warning Event 201 transitions into Error event 203 in Enforcement mode Ovaj događaj se evidentira po zahtevu Događaj upozorenja 201 nije evidentiran ako je defaultDomainSupportedEncTypes ručno definisan

Evidencija događaja	Sistem
Tip događaja	Upozorenje
Izvor događaja	Kdcsvc
ID događaja	202
Tekst događaja	Centar za distribuciju ključa je otkrio <Ime šifre> koja neće biti podržana u fazi sprovođenja jer usluga msds-SupportedEncryptionTypes nije definisana, a nalog usluge ima samo ključeve koji nisu bezbedni.  Informacije o nalogu     Ime naloga: <naloga>     Navedeno ime realma: <navedeno ime zemljišta>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja>     Dostupni ključevi: <tasteri> Informacije o usluzi:     Ime usluge: <ime usluge>     ID usluge: <SID usluge>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge>     Dostupni ključevi: <dostupni ključevi usluge> Informacije o kontroloru domena:     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena>     DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value>     Dostupni ključevi: <dostupni tasteri kontrolera domena> Informacije o mreži:     Adresa klijenta: <IP adresa klijenta>     Port klijenta: <klijentskog porta>     Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.
Komentari	Događaj upozorenja 202 će biti evidentiran ako: Ciljna usluga nema AES ključeve Ciljna usluga NEMA definisan msds-SET Kontroler domena NEMA definisan DDSET Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1 Error event 202 transitions into Error 204 in Enforcement mode Događaj upozorenja 202 je prijavljen na zahtev Događaj upozorenja 202 nije evidentiran ako je defaultDomainSupportedEncTypes ručno definisan

Evidencija događaja	Sistem
Tip događaja	Upozorenje
Izvor događaja	Kdcsvc
ID događaja	203
Tekst događaja	Centar za distribuciju ključa je blokirao upotrebu šifrovanja zato što usluga msds-SupportedEncryptionTypes nije definisana, a klijent podržava samo tipove šifrovanja koji nisu bezbedni. Informacije o nalogu     Ime naloga: <naloga>     Navedeno ime realma: <navedeno ime zemljišta>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja>     Dostupni ključevi: <tasteri> Informacije o usluzi:     Ime usluge: <ime usluge>     ID usluge: <SID usluge>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge>     Dostupni ključevi: <dostupni ključevi usluge> Informacije o kontroloru domena:     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena>     DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value>     Dostupni ključevi: <dostupni tasteri kontrolera domena> Informacije o mreži:     Adresa klijenta: <IP adresa klijenta>     Port klijenta: <klijentskog porta>     Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.
Komentari	Događaj greške 203 će biti evidentiran ako: Klijent samo oglašava RC4 kao advertizovane Etypes Ciljna usluga NEMA definisan msds-SET Kontroler domena NEMA definisan DDSET Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2 Po zahtevu

Evidencija događaja	Sistem
Tip događaja	Upozorenje
Izvor događaja	Kdcsvc
ID događaja	204
Tekst događaja	Centar za distribuciju ključa je blokirao upotrebu kodera zato što usluga msds-SupportedEncryptionTypes nije definisana, a nalog usluge ima samo ključeve koji nisu bezbedni.  Informacije o nalogu     Ime naloga: <naloga>     Navedeno ime realma: <navedeno ime zemljišta>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja>     Dostupni ključevi: <tasteri> Informacije o usluzi:     Ime usluge: <ime usluge>     ID usluge: <SID usluge>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge>     Dostupni ključevi: <dostupni ključevi usluge> Informacije o kontroloru domena:     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena>     DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value>     Dostupni ključevi: <dostupni tasteri kontrolera domena> Informacije o mreži:     Adresa klijenta: <IP adresa klijenta>     Port klijenta: <klijentskog porta>     Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.
Komentari	Događaj greške 204 će biti evidentiran ako: Ciljna usluga nema AES ključeve Ciljna usluga NEMA definisan msds-SET Kontroler domena NEMA definisan DDSET Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2 Po zahtevu

Evidencija događaja	Sistem
Tip događaja	Upozorenje
Izvor događaja	Kdcsvc
ID događaja	205
Tekst događaja	Centar za ključnu distribuciju otkrio je eksplicitnu omogućenost šifrovanja u konfiguraciji smernica Podrazumevani tipovi šifrovanja podržani domena. Cipher(e): <omogućene nebeske> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes vrednost> Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.
Komentari	Događaj upozorenja 205 će biti evidentiran ako: Kontroler domena IMA DDSET definisan tako da uključuje sve osim AES-SHA1. Vrednost registratora RC4DefaultDisablementPhase postavljena je na 1, 2 Ovo se NIKADA neće pretvoriti u grešku Svrha je da klijent bude svestan nesigurnog ponašanja koje nećemo menjati Svaki put se evidentira na početku KDCSVC

Evidencija događaja	Sistem
Tip događaja	Upozorenje
Izvor događaja	Kdcsvc
ID događaja	206
Tekst događaja	Centar za distribuciju ključa je otkrio <Ime šifre> koja neće biti podržana u fazi sprovođenja jer je usluga msds-SupportedEncryptionTypes konfigurisana tako da podržava samo AES-SHA1, ali klijent ne daje advertovanje AES-SHA1 Informacije o nalogu     Ime naloga: <naloga>     Navedeno ime realma: <navedeno ime zemljišta>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja>     Dostupni ključevi: <tasteri> Informacije o usluzi:     Ime usluge: <ime usluge>     ID usluge: <SID usluge>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge>     Dostupni ključevi: <dostupni ključevi usluge> Informacije o kontroloru domena:     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena>     DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value>     Dostupni ključevi: <dostupni tasteri kontrolera domena> Informacije o mreži:     Adresa klijenta: <IP adresa klijenta>     Port klijenta: <klijentskog porta>     Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.
Komentari	Događaj upozorenja 206 će biti evidentiran ako: Klijent samo reklamira RC4 kao advertizovane Etypes Dešava se nešto od sledećeg: Ciljna usluga IMA msds-SET definisan samo u AES-SHA1 Kontroler domena IMA DDSET definisan samo u AES-SHA1 Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1 Warning event 2016 transitions to Error event 2018 in Enforcement mode Evidentirano na osnovu zahteva

Evidencija događaja	Sistem
Tip događaja	Upozorenje
Izvor događaja	Kdcsvc
ID događaja	207
Tekst događaja	Centar za distribuciju ključa je otkrio <Ime šifre> koja neće biti podržana u fazi sprovođenja jer je usluga msds-SupportedEncryptionTypes konfigurisana tako da podržava samo AES-SHA1, ali nalog usluge nema AES-SHA1 ključeve.  Informacije o nalogu     Ime naloga: <naloga>     Navedeno ime realma: <navedeno ime zemljišta>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja>     Dostupni ključevi: <tasteri> Informacije o usluzi:     Ime usluge: <ime usluge>     ID usluge: <SID usluge>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge>     Dostupni ključevi: <dostupni ključevi usluge> Informacije o kontroloru domena:     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena>     DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value>     Dostupni ključevi: <dostupni tasteri kontrolera domena> Informacije o mreži:     Adresa klijenta: <IP adresa klijenta>     Port klijenta: <klijentskog porta>     Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.
Komentari	Događaj upozorenja 207 će biti evidentiran ako: Ciljna usluga nema AES ključeve Dešava se nešto od sledećeg: Ciljna usluga IMA msds-SET definisan samo u AES-SHA1 Kontroler domena IMA DDSET definisan samo u AES-SHA1 Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1 Ovo će se pretvoriti u 209 (greška) u režimu sprovođenja Po zahtevu

Evidencija događaja	Sistem
Tip događaja	Upozorenje
Izvor događaja	Kdcsvc
ID događaja	208
Tekst događaja	Centar za ključnu distribuciju je namerno odbio upotrebu kodera zato što je usluga msds-SupportedEncryptionTypes konfigurisana tako da podržava samo AES-SHA1, ali klijent ne odobrava AES-SHA1 Informacije o nalogu     Ime naloga: <naloga>     Navedeno ime realma: <navedeno ime zemljišta>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja>     Dostupni ključevi: <tasteri> Informacije o usluzi:     Ime usluge: <ime usluge>     ID usluge: <SID usluge>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge>     Dostupni ključevi: <dostupni ključevi usluge> Informacije o kontroloru domena:     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena>     DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value>     Dostupni ključevi: <dostupni tasteri kontrolera domena> Informacije o mreži:     Adresa klijenta: <IP adresa klijenta>     Port klijenta: <klijentskog porta>     Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.
Komentari	Događaj greške 208 će biti evidentiran ako: Klijent samo oglašava RC4 kao advertizovane Etypes Sve od sledećeg se dešava: Ciljna usluga IMA msds-SET definisan samo u AES-SHA1 Kontroler domena IMA DDSET definisan samo u AES-SHA1 Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2 Po zahtevu

Evidencija događaja	Sistem
Tip događaja	Upozorenje
Izvor događaja	Kdcsvc
ID događaja	209
Tekst događaja	Centar za ključnu distribuciju je namerno odbio upotrebu kodera zato što usluga msds-SupportedEncryptionTypes je konfigurisana tako da podržava samo AES-SHA1, ali nalog usluge nema AES-SHA1 ključeve Informacije o nalogu     Ime naloga: <naloga>     Navedeno ime realma: <navedeno ime zemljišta>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja>     Dostupni ključevi: <tasteri> Informacije o usluzi:     Ime usluge: <ime usluge>     ID usluge: <SID usluge>     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge>     Dostupni ključevi: <dostupni ključevi usluge> Informacije o kontroloru domena:     msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena>     DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value>     Dostupni ključevi: <dostupni tasteri kontrolera domena> Informacije o mreži:     Adresa klijenta: <IP adresa klijenta>     Port klijenta: <klijentskog porta>     Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.
Komentari	Događaj greške 209 će biti evidentiran ako: Ciljna usluga nema AES ključeve Dešava se nešto od sledećeg: Ciljna usluga IMA msds-SET definisan samo u AES-SHA1 Kontroler domena IMA DDSET definisan samo u AES-SHA1 Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2 Po zahtevu

Napomena

U vezi sa implicitnim promenama u izboru šifrovanja tiketa za uslugu, Microsoft ima ograničenu vidljivost u razlozima zbog kojih uređaj koji nije windows možda ne može da prihvati Kerberos potvrdu identiteta nakon što KDC-i primene ispravku iz aprila i pređite na podrazumevano ponašanje AES-SHA1 kada nije navedeno. Predlažemo da proverite valjanost ovih promena testiranjem u okviru sopstvenog okruženja pre nego što se ovo omogući u širokom okruženju.

Najčešći način na koji će se to pronaći jeste uređaji koji koriste Kerberos keytabs. Ako je Kerberos keytab izvezen samo pomoću RC4 ključeva, ali nalog ciljne usluge ima tastere AES-SHA1 i nema definisan msds-SupportedEncryptionTypes, onda postoji mogućnost neuspeha potvrde identiteta za navedenu uslugu. To će se najverovatnije manifestovati u obliku neuspešnih potvrda identiteta iz ciljne usluge, a ne iz KDC-a.

Naša primarna preporuka je da radite sa prodavcem uređaja koji ne radi pod operativnim sistemom Windows. Uopšte uzev, neuspela prihvatanja Kerberos potvrde identiteta nisu jedinstvena za aprilske promene i mogu biti zbog ograničenja specifičnih za uređaje ili ograničenja specifičnih za primenu.

Ako se posle ove promene uoče problemi sa Kerberos potvrdom identiteta na uređajima koji nisu Windows, a ispravka prodavca nije izvodljiv, naše preporuke su sledeće:

Na nalogu ugrožene usluge izričito definišite msDS-SupportedEncryptionTypes da biste uključili RC4 sa tasterima AES sesije (0x24).
Ako to nije moguće, kao poslednje odmaralište, ručno konfigurišite vrednost registratora DefaultDomainSupportedEncTypes na svim relevantnim KDC-ovima da biste uključili RC4 sa AES-SHA1 ključevima sesije (0x24). Imajte na umu da sve naloge u domenu ostavljate ranjivim na CVE-2026-20833.

Važno je da zapamtite da ova konfiguracija nije bezbedna, a dugoročno preporučujemo da migrirate uređaje koji nisu windows u verzije koje podržavaju AES-SHA1 Kerberos šifrovanje tiketa.

Najčešća pitanja (najčešća pitanja)

Ova očvrsnu promena utiče samo na Windows kontrolera domena. Tok Kerberos poverenja i preporuka sa drugim Windows kontrolorima domena ili KDC-ovima nezavisnih proizvođača ne utiče.

Uređaji domena nezavisnih proizvođača koji ne mogu da obrade AES-SHA1 šifrovanje trebalo bi da su već izričito konfigurisani tako da dozvoljavaju RC4 šifrovanje. Usluge koje ne mogu da obrade AES-SHA1 tikete treba popraviti ili izričito konfigurisati u aktivnom diretoryju da bi obezbedile RC4 šifrovanje kao što je gore navedeno. Detaljno proverite ove promene.

Ne. Evidentiraćemo događaje upozorenja za nesigurne konfiguracije za DefaultDomainSupportedEncTypes. Pored toga, poštoovaćemo svaku konfiguraciju koju je izričito postavio administrator.

Resursi

KB5020805: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37967

KB5021131: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37966

Podržane zastavice bita tipova šifrovanja

Kako da upravljate Kerberos KDC upotrebom RC4 tiketa za izdavanje tiketa za nalog usluge povezane sa CVE-2026-20833

U ovom članku

Rezime

Aktivirajte se

Podešavanje vremena ispravki

13. januar 2026. - Faza početne primene

April 2026. – Faza sprovođenja sa ručnim vraćanjem

Jul 2026. - Faza sprovođenja

Uputstva za primenu

1. korak: AŽURIRANJE

2. korak: NADGLEDANJE

3. korak: OMOGUĆAVANJE

Postavke registratora

Događaji nadzora

Napomena

Najčešća pitanja (najčešća pitanja)

Resursi

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Evidencija promena

U ovom članku

Rezime

Aktivirajte se

Podešavanje vremena ispravki

13. januar 2026. - Faza početne primene

April 2026. – Faza sprovođenja sa ručnim vraćanjem

Jul 2026. - Faza sprovođenja

Uputstva za primenu

1. korak: AŽURIRANJE

2. korak: NADGLEDANJE

3. korak: OMOGUĆAVANJE

Postavke registratora

RC4DefaultDisablementPhase

Događaji nadzora

ID događaja: 201

ID događaja: 202

ID događaja: 203

ID događaja: 204

ID događaja: 205

ID događaja: 206

ID događaja: 207

ID događaja: 208

ID događaja: 209

Napomena

Najčešća pitanja (najčešća pitanja)

Kako ova promena vrši interakciju sa domenima koji imaju KDC-ove nezavisnih proizvođača?

Kako ova promena vrši interakciju sa domenima koji imaju uređaje koji ne rade pod operativnim sistemom Windows?

Da li će Microsoft ukloniti mogućnost konfigurisanja DefaultDomainSupportedEncTypes?

Resursi

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

1. korak: AŽURIRANJE 

2. korak: NADGLEDANJE 

3. korak: OMOGUĆAVANJE 