Primenjuje se na
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Originalni datum objavljivanja: 13. januar 2026.

KB ID: 5073381

Promeni datum

Promeni opis

10. februar 2026.

  • Dodata je veza dokumentacije u pojavljivanja DefaultDomainSupportedEncTypes.

  • Ispravljeno je reči druge tačke za nabrajanje u odeljku "3. korak: omogućavanje".Iz: Predstavlja vrednost registratora RC4DefaultDisablementPhase radi proaktivnog omogućavanja promene tako što postavlja vrednost na 2 u kontrolerima domena kada događaji KDCSVC nadzora ukazuju na to da je bezbedno to uraditi.Da: Uvodi podršku za vrednost registratora RC4DefaultDisablementPhase kada administrator proaktivno omogući promenu tako što postavlja vrednost na 2 na kontrolerima domena kada događaji KDCSVC nadzora ukazuju na to da je bezbedno to uraditi.

  • Ispod napomene Važno u odeljku "Preduzimanje radnje" promenjena je prva rečenica pasusa kako bi ukazala na približno kada će režim sprovođenja biti omogućen.Iz: Počevši od aprila 2026. godine, režim sprovođenja će biti omogućen na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni.Da: Režim sprovođenja će automatski biti omogućen instaliranjem operativnog sistema Windows Novosti objavljenog aprila 2026. ili posle aprila 2026. na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni.

  • Windows Novosti je objavio 13. januara 2026. i CVE-2026-20833.

U ovom članku

Rezime

Ispravke za Windows objavljene 13. januara 2026. i posle toga sadrže zaštitu za ranjivost kerberos protokola za potvrdu identiteta. Ispravke operativnog sistema Windows rešavaju ranjivost otkrivanja informacija u cve-2026-20833 koja može da omogući napadacu da nabavi tikete za uslugu sa slabim ili zastarelim tipovima šifrovanja kao što je RC4 za izvršavanje napada van mreže radi oporavka lozinke naloga usluge.

Da bi se ublažila ova ranjivost, podrazumevana vrednost defaultDomainSupportedEncTypes se menja omogućavanjem režima sprovođenja. Ažurirani kontroleri domena pokrenuti u režimu sprovođenja podržavaće samo konfiguracije tipa naprednog Standard (AES) šifrovanja. Više informacija potražite u članku Zastavice bita podržanih tipova šifrovanja. Podrazumevana vrednost za DefaultDomainSupportedEncTypes primenjuje se u odsustvu eksplicitne vrednosti

Na kontrolere domena sa definisanom vrednošću registratora DefaultDomainSupportedEncTypes, ove promene neće uticati na ponašanje. Međutim, ID događaja nadzora KDCSVC događaja: 205 će biti evidentiran u sistemskoj evidenciji događaja ako je postojeća Konfiguracija DefaultDomainSupportedEncTypes nesigurna (na primer, kada se koristi RC4 cipher).

Aktivirajte se

Da biste zaštitili okruženje i sprečili prekede, preporučujemo vam da: 

  • AŽURIRANJE Microsoft Active Directory kontrolera domena počinju windows ispravkama objavljenim 13. januara 2026. ili posle njih.

  • NADGLEDAJTE evidenciju događaja "Sistem" za bilo koji od devet događaja događaja KDCSVC 201 > 209 Nadzor prijavljenih u sistemu Windows Server 2012 i novijim kontrolerima domena koji identifikuju rizike uz omogućavanje RC4 zaštite.

  • UMANJIVANJE KDCSVC događaji evidentirani u evidenciji događaja sistema koji sprečavaju ručno ili programsko omogućavanje RC4 zaštite.

  • OMOGUĆI Režim sprovođenja za adresiranje ranjivosti adresiranih u izdanjima CVE-2026-20833 u okruženju kada se događaji upozorenja, blokiranja ili smernica više ne evidentiraju.

VAŽNO Instaliranje ispravki objavljenih 13. januara 2026. ili posle toga NEĆE rešiti ranjivosti opisane u cve-2026-20833 za kontrolere domena aktivnog direktorijuma podrazumevano. Da biste u potpunosti umanjili ranjivost, trebalo bi ručno da omogućite režim sprovođenja (opisan u 3. koraku: OMOGUĆAVANJE) na svim kontrolere domena. Instalacija operativnog sistema Windows Novosti objavljena 2026. i posle jula 2026. programski će omogućiti fazu sprovođenja.

Režim sprovođenja će automatski biti omogućen instaliranjem operativnog sistema Windows Novosti objavljenog aprila 2026. ili posle aprila 2026. na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni.  Tada nećete moći da onemogućite nadzor, ali ćete se možda vratiti na postavku režima nadzora. Režim nadzora će biti uklonjen u julu 2026. kao što je navedeno u odeljku Podešavanje vremena ispravki, a režim sprovođenja će biti omogućen na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni.

Ako treba da iskoristite RC4 posle aprila 2026, preporučujemo da eksplicitno omogućite RC4 u okviru maske bita msds-SupportedEncryptionTypes za usluge koje će morati da prihvate RC4 upotrebu. 

Podešavanje vremena ispravki

13. januar 2026. - Faza početne primene 

Početna faza primene počinje ispravkama objavljenim 13. januara 2026. i nastavlja se sa novijim ispravkama operativnog sistema Windows do faze sprovođenja . Ova faza predstavlja upozorenje kupcima novih bezbednosnih službi koje će biti uvedene u drugoj fazi primene. Ova ispravka: 

  • Obezbeđuje događaje nadzora radi upozorenja klijenata na koje može negativno da utiče predstojeće bezbednosno otežanje.

  • Uvodi podršku za vrednostregistratora R C4DefaultDisablementPhase kada administrator proaktivno omogući promenu tako što postavlja vrednost na 2 na kontrolere domena kada događaji KDCSVC nadzora ukazuju na to da je bezbedno to uraditi.

April 2026. – Faza sprovođenja sa ručnim vraćanjem 

Ova ispravka menja podrazumevanu vrednost DefaultDomainSupportedEncTypes za operacije u KDC-u kako bi iskoristila AES-SHA1 za naloge koji nisu definisani atribut "msds-SupportedEncryptionTypes active directory". 

Ova faza menja podrazumevanu vrednost za DefaultDomainSupportedEncTypes samo u AES-SHA1: 0x18

Ova faza takođe omogućava ručnu konfiguraciju povratne vrednosti RC4DefaultDisablementPhase do programskog sprovođenja u julu 2026.

Jul 2026. - Faza sprovođenja 

Ispravke za Windows objavljene u julu 2026. ili posle jula 2026. ukloniće podršku za potključ registratora RC4DefaultDisablementPhase

Uputstva za primenu

Da biste primenili ispravke za Windows objavljene 13. januara 2026. ili posle njih, pratite ove korake: 

  1. AŽURIRAJTE kontrolera domena pomoću Windows ispravke objavljene 13. januara 2026. ili posle toga.

  2. NADGLEDAJTE događaje evidentirane tokom početne faze primene da biste obezbedili okruženje.

  3. PREMESTIte kontrolere domena u režim sprovođenja pomoću odeljka Postavke registratora.

1. korak: AŽURIRANJE  

Primenite Windows ispravku objavljenu 13. januara 2026. ili posle toga na sve važeće Windows Active Directory pokrenute kao kontroler domena nakon primene ispravke.

  • Događaji nadzora će se pojaviti u evidencijama sistemskih događaja ako kontrolori domena za Windows Server 2012 ili novije verzije primaju kerberos zahteve tiketa za uslugu koji zahtevaju da se koristi RC4 šifrovanje, ali nalog usluge ima podrazumevanu konfiguraciju šifrovanja.

  • Događaj nadgledanja 205 biće evidentiran u sistemskoj evidenciji događaja ako kontroler domena ima eksplicitnu DefaultDomainSupportedEncTypes konfiguraciju koja dozvoljava RC4 šifrovanje.

2. korak: NADGLEDANJE

Kada se kontrolori domena ažuriraju, ako ne vidite nijedan događaj nadzora, prebacite se u režim sprovođenja tako što ćete promeniti vrednost RC4DefaultDisablementPhase na 2.   

Ako su generisani događaji nadzora, moraćete da uklonite RC4 zavisne elemente ili da izričito konfigurišete naloge koje je Kerberos podržavao tipove šifrovanja da biste podržali nastavak korišćenja RC4 pomoću ručnog ili automatskog omogućavanja režima sprovođenja.

Da biste saznali kako da otkrijete RC4 upotrebu u domenu, nadzor će identifikovati naloge uređaja i korisnika koji i dalje zavise od RC4. Administratori bi trebalo da preduzete korake za ponovno ponovno korišćenje u korist jačih tipova šifrovanja ili da upravljaju zavisnim elementima RC4. Više informacija potražite u članku Otkrivanje i ponovno podešavanje upotrebe RC4 servera u programu Kerberos.

3. korak: OMOGUĆAVANJE  

Omogućite režim sprovođenja da biste rešili ranjivosti CVE-2026-20833 u okruženju. 

  • Ako se od KDC-a zatraži da obezbedi tiket za uslugu RC4 za nalog sa podrazumevanim konfiguracijama, biće evidentiran događaj greške.

  • ID događaja ćete i dalje videti: 205 evidentiran za konfiguraciju koja nije bezbedna za DefaultDomainSupportedEncTypes.

Postavke registratora

Kada se Windows ispravke objave 13. januara 2026. ili posle toga, sledeći ključ registratora je dostupan za Kerberos protokol.

Ovaj ključ registratora se koristi za mrežnu primenu Kerberos promena. Ovaj ključ registratora je privremen i više neće biti pročitan nakon datuma sprovođenja.

Ključ registratora

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Tip podataka

REG_DWORD

Ime vrednosti

RC4DefaultDisablementPhase

Podaci o vrednosti

0 – Bez nadzora, bez promene 

1 – Događaji upozorenja će biti prijavljeni na podrazumevanoj upotrebi RC4 servera. (Podrazumevana faza 1) 

2 – Kerberos će početi da pretpostavlja da RC4 nije podrazumevano omogućen.  (Podrazumevana faza 2) 

Potrebno je ponovno pokretanje?

Da

Događaji nadzora

Kada se windows ispravke objave 13. januara 2026. ili posle toga, sledeći tipovi događaja "KSCSVC nadzor" dodaju se u sistemsku evidenciju događaja za Windows Server 2012 i kasnije pokrenute kao kontroler domena.

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

201

Tekst događaja

Centar za ključnu distribuciju otkrio je <ime šifrovanja> koji neće biti podržan u fazi sprovođenja jer usluga msds-SupportedEncryptionTypes nije definisana i klijent podržava samo tipove nebezbednog šifrovanja. 

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

ID događaja: 201 će biti evidentiran ako:

  • Klijent samo oglašava RC4 kao advertizovane Etypes

  • Ciljna usluga NEMA definisan msds-SET

  • Kontroler domena NEMA definisan DDSET

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1

  • Warning Event 201 transitions into Error event 203 in Enforcement mode

  • Ovaj događaj se evidentira po zahtevu

  • Događaj upozorenja 201 nije evidentiran ako je defaultDomainSupportedEncTypes ručno definisan

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

202

Tekst događaja

Centar za distribuciju ključa je otkrio <Ime šifre> koja neće biti podržana u fazi sprovođenja jer usluga msds-SupportedEncryptionTypes nije definisana, a nalog usluge ima samo ključeve koji nisu bezbedni.  

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj upozorenja 202 će biti evidentiran ako:

  • Ciljna usluga nema AES ključeve

  • Ciljna usluga NEMA definisan msds-SET

  • Kontroler domena NEMA definisan DDSET

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1

  • Error event 202 transitions into Error 204 in Enforcement mode

  • Događaj upozorenja 202 je prijavljen na zahtev

  • Događaj upozorenja 202 nije evidentiran ako je defaultDomainSupportedEncTypes ručno definisan

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

203

Tekst događaja

Centar za distribuciju ključa je blokirao upotrebu šifrovanja zato što usluga msds-SupportedEncryptionTypes nije definisana, a klijent podržava samo tipove šifrovanja koji nisu bezbedni. 

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj greške 203 će biti evidentiran ako:

  • Klijent samo oglašava RC4 kao advertizovane Etypes

  • Ciljna usluga NEMA definisan msds-SET

  • Kontroler domena NEMA definisan DDSET

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2

  • Po zahtevu

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

204

Tekst događaja

Centar za distribuciju ključa je blokirao upotrebu kodera zato što usluga msds-SupportedEncryptionTypes nije definisana, a nalog usluge ima samo ključeve koji nisu bezbedni.  

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj greške 204 će biti evidentiran ako:

  • Ciljna usluga nema AES ključeve

  • Ciljna usluga NEMA definisan msds-SET

  • Kontroler domena NEMA definisan DDSET

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2

  • Po zahtevu

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

205

Tekst događaja

Centar za ključnu distribuciju otkrio je eksplicitnu omogućenost šifrovanja u konfiguraciji smernica Podrazumevani tipovi šifrovanja podržani domena. 

Cipher(e): <omogućene nebeske> 

DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes vrednost> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.

Komentari

Događaj upozorenja 205 će biti evidentiran ako:

  • Kontroler domena IMA DDSET definisan tako da uključuje sve osim AES-SHA1.

  • Vrednost registratora RC4DefaultDisablementPhase postavljena je na 1, 2

  • Ovo se NIKADA neće pretvoriti u grešku

  • Svrha je da klijent bude svestan nesigurnog ponašanja koje nećemo menjati

  • Svaki put se evidentira na početku KDCSVC

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

206

Tekst događaja

Centar za distribuciju ključa je otkrio <Ime šifre> koja neće biti podržana u fazi sprovođenja jer je usluga msds-SupportedEncryptionTypes konfigurisana tako da podržava samo AES-SHA1, ali klijent ne daje advertovanje AES-SHA1 

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj upozorenja 206 će biti evidentiran ako:

  • Klijent samo reklamira RC4 kao advertizovane Etypes

  • Dešava se nešto od sledećeg:

    • Ciljna usluga IMA msds-SET definisan samo u AES-SHA1

    • Kontroler domena IMA DDSET definisan samo u AES-SHA1

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1

  • Warning event 2016 transitions to Error event 2018 in Enforcement mode

  • Evidentirano na osnovu zahteva

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

207

Tekst događaja

Centar za distribuciju ključa je otkrio <Ime šifre> koja neće biti podržana u fazi sprovođenja jer je usluga msds-SupportedEncryptionTypes konfigurisana tako da podržava samo AES-SHA1, ali nalog usluge nema AES-SHA1 ključeve.  

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj upozorenja 207 će biti evidentiran ako:

  • Ciljna usluga nema AES ključeve

  • Dešava se nešto od sledećeg:

    • Ciljna usluga IMA msds-SET definisan samo u AES-SHA1

    • Kontroler domena IMA DDSET definisan samo u AES-SHA1

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1

  • Ovo će se pretvoriti u 209 (greška) u režimu sprovođenja

  • Po zahtevu

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

208

Tekst događaja

Centar za ključnu distribuciju je namerno odbio upotrebu kodera zato što je usluga msds-SupportedEncryptionTypes konfigurisana tako da podržava samo AES-SHA1, ali klijent ne odobrava AES-SHA1 

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj greške 208 će biti evidentiran ako:

  • Klijent samo oglašava RC4 kao advertizovane Etypes

  • Sve od sledećeg se dešava:

    • Ciljna usluga IMA msds-SET definisan samo u AES-SHA1

    • Kontroler domena IMA DDSET definisan samo u AES-SHA1

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2

  • Po zahtevu

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

209

Tekst događaja

Centar za ključnu distribuciju je namerno odbio upotrebu kodera zato što usluga msds-SupportedEncryptionTypes je konfigurisana tako da podržava samo AES-SHA1, ali nalog usluge nema AES-SHA1 ključeve 

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj greške 209 će biti evidentiran ako:

  • Ciljna usluga nema AES ključeve

  • Dešava se nešto od sledećeg:

    • Ciljna usluga IMA msds-SET definisan samo u AES-SHA1

    • Kontroler domena IMA DDSET definisan samo u AES-SHA1

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2

  • Po zahtevu

Napomena

Ako pronađete da je bilo koja od ovih poruka upozorenja prijavljena na kontroleru domena, verovatno svi kontrolori domena u domenu nisu ažurirani sa Windows ispravkom objavljenom 13. januara 2026. ili posle njega. Da biste umanjili ranjivost, moraćete dodatno da istražite domen da biste pronašli kontrolere domena koji nisu ažurirani.  

Ako vidite ID događaja: 0x8000002A prijavljen na kontroler domena, pročitajte članak KB5021131: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37966.

Najčešća pitanja (najčešća pitanja)

Ova očvrsnu promena utiče samo na Windows kontrolera domena. Tok Kerberos poverenja i preporuka sa drugim Windows kontrolorima domena ili KDC-ovima nezavisnih proizvođača ne utiče.

Uređaji domena nezavisnih proizvođača koji ne mogu da obrade AES-SHA1 šifrovanje trebalo bi da su već izričito konfigurisani tako da dozvoljavaju AES-SHA1 šifrovanje.

Ne. Evidentiraćemo događaje upozorenja za nesigurne konfiguracije za DefaultDomainSupportedEncTypes. Pored toga, poštoovaćemo svaku konfiguraciju koju je izričito postavio administrator.

Resursi

KB5020805: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37967

KB5021131: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37966

Podržane zastavice bita tipova šifrovanja

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost