Primenjuje se na
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Originalni datum objavljivanja: 13. januar 2026.

KB ID: 5073381

Isticanje sertifikata za Windows Secure Boot 

Važno: Certifikati za bezbedno pokretanje koje koristi većina Windows uređaja ističu počev od juna 2026. To može da utiče na mogućnost određenih ličnih i poslovnih uređaja da se bezbedno pokrenu ako se ne ažuriraju na vreme. Da biste izbegli prekid, preporučujemo da pregledate uputstva i preduzmete akciju za ažuriranje certifikata unapred. Za detalje i korake pripreme, pogledajte ispravke za Isticanje sertifikata za Windows Secure Boot i CA.

U ovom članku

Rezime

Ispravke za Windows objavljene 13. januara 2026. i posle toga sadrže zaštitu za ranjivost kerberos protokola za potvrdu identiteta. Windows ispravke rešavaju ranjivost otkrivanja informacija koja može da omogući napadača da nabavi tikete za uslugu sa slabim ili zastarelim tipovima šifrovanja kao što je RC4 i izvrši vanmrežne napade da bi oporavio lozinku naloga usluge.

Da biste obezbedili i ojačili okruženje, instalirajte Windows ispravku objavljenu 13. januara 2026. ili posle 13. januara 2026. na sve Windows servere navedene u odeljku "Odnosi se na" pokrenutom kao kontroler domena. Da biste saznali više o ranjivostima, pogledajte CVE-2026-20833

Da bi umanjili ovu ranjivost, podrazumevana vrednost defaultDomainSupportedEncTypes (DDSET) menja se tako da svi kontrolori domena podržavaju samo tikete šifrovane pomoću tehnologije Advanced Encryption Standard (AES-SHA1) šifrovanih tiketa za naloge bez eksplicitne konfiguracije Tipa Kerberos šifrovanja. Više informacija potražite u članku Zastavice bita podržanih tipova šifrovanja.

Na kontrolere domena sa definisanom vrednošću registratora DefaultDomainSupportedEncTypes, ove promene neće uticati na ponašanje. Međutim, ID događaja nadzora KDCSVC događaja: 205 može biti evidentiran u sistemskoj evidenciji događaja ako postojeća konfiguracija DefaultDomainSupportedEncTypes nije bezbedna .

Aktivirajte se

Da biste zaštitili okruženje i sprečili prekede, preporučujemo da izvršite sledeće korake: 

  • AŽURIRANJE Microsoft Active Directory kontrolera domena počinju windows ispravkama objavljenim 13. januara 2026. ili posle njih.

  • NADGLEDAJTE evidenciju događaja "Sistem" za bilo koji od događaja nadzora 9 prijavljenih u sistemu Windows Server 2012 i novijim kontrolerima domena koji identifikuju rizike uz omogućavanje RC4 zaštite.

  • UMANJIVANJE KDCSVC događaji evidentirani u evidenciji događaja sistema koji sprečavaju ručno ili programsko omogućavanje RC4 zaštite.

  • OMOGUĆI Režim sprovođenja za adresiranje ranjivosti adresiranih u izdanjima CVE-2026-20833 u okruženju kada se događaji upozorenja, blokiranja ili smernica više ne evidentiraju.

VAŽNO Instaliranje ispravki objavljenih 13. januara 2026. ili posle toga NEĆE rešiti ranjivosti opisane u cve-2026-20833 za kontrolere domena aktivnog direktorijuma podrazumevano. Da biste u potpunosti umanjili ranjivost, morate što preći u nametnut režim (opisano u 3. koraku) na svim kontrolere domena. 

Počevši od aprila 2026. godine, režim sprovođenja će biti omogućen na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni.  Tada nećete moći da onemogućite nadzor, ali ćete se možda vratiti na postavku režima nadzora. Režim nadzora će biti uklonjen u julu 2026. kao što je navedeno u odeljku Podešavanje vremena ispravki, a režim sprovođenja će biti omogućen na svim Windows kontrolorima domena i blokiraće ranjive veze sa uređaja koji nisu usaglašeni.

Ako treba da iskoristite RC4 posle aprila 2026, preporučujemo da eksplicitno omogućite RC4 u okviru maske bita msds-SupportedEncryptionTypes za usluge koje će morati da prihvate RC4 upotrebu. 

Podešavanje vremena ispravki

13. januar 2026. - Faza početne primene 

Početna faza primene počinje ispravkama objavljenim 13. januara 2026. i nastavlja se sa novijim ispravkama operativnog sistema Windows do faze sprovođenja . Ova faza predstavlja upozorenje kupcima novih bezbednosnih službi koje će biti uvedene u drugoj fazi primene. Ova ispravka: 

  • Obezbeđuje događaje nadzora radi upozorenja klijenata na koje može negativno da utiče predstojeće bezbednosno otežanje.

  • Predstavlja vrednost registratora RC4DefaultDisablementPhase radi proaktivnog omogućavanja promene tako što postavlja vrednost na 2 u kontrolerima domena kada događaji KDCSVC nadzora ukazuju na to da je bezbedno to uraditi.

April 2026. - Druga faza primene 

Ova ispravka menja podrazumevanu vrednost DefaultDomainSupportedEncTypes za operacije u KDC-u kako bi iskoristila AES-SHA1 za naloge koji nisu definisani atribut "msds-SupportedEncryptionTypes active directory". 

Ova faza menja podrazumevanu vrednost za DefaultDomainSupportedEncTypes samo u AES-SHA1: 0x18

Jul 2026. - Faza sprovođenja 

Ispravke za Windows objavljene u julu 2026. ili posle jula 2026. ukloniće podršku za potključ registratora RC4DefaultDisablementPhase

Uputstva za primenu

Da biste primenili ispravke za Windows objavljene 13. januara 2026. ili posle njih, pratite ove korake: 

  1. AŽURIRAJTE kontrolera domena pomoću Windows ispravke objavljene 13. januara 2026. ili posle toga.

  2. NADGLEDAJTE događaje evidentirane tokom početne faze primene da biste obezbedili okruženje.

  3. PREMESTIte kontrolere domena u režim sprovođenja pomoću odeljka Postavke registratora.

1. korak: AŽURIRANJE  

Primenite Windows ispravku objavljenu 13. januara 2026. ili posle toga na sve važeće Windows Active Directory pokrenute kao kontroler domena nakon primene ispravke.

  • Događaji nadzora će se pojaviti u sistemskim evidencijama događaja ako kontroler domena prima zahteve tiketa za uslugu Kerberos koji zahtevaju da se koristi RC4 šifrovanje, ali nalog usluge ima podrazumevanu konfiguraciju šifrovanja.

  • Događaji nadzora će biti evidentirani u sistemskoj evidenciji događaja ako kontroler domena ima eksplicitnu DefaultDomainSupportedEncTypes konfiguraciju koja dozvoljava RC4 šifrovanje.

2. korak: NADGLEDANJE

Kada se kontrolori domena ažuriraju, ako ne vidite nijedan događaj nadzora, prebacite se u režim sprovođenja tako što ćete promeniti vrednost RC4DefaultDisablementPhase na 2.   

Ako su generisani događaji nadzora, moraćete da uklonite RC4 zavisnosti ili da izričito konfigurišete naloge koje je Kerberos podržavao tipove šifrovanja. Zatim ćete moći da pređete u režim sprovođenja .

Da biste saznali kako da otkrijete RC4 upotrebu u domenu, uređaj za nadzor i korisničke naloge koji i dalje zavise od RC4 servera i preduzmete korake za ponovno ponovno korišćenje u korist jačih tipova šifrovanja ili upravljanje RC4 zavisnostima, pogledajte članak Otkrivanje i remediacija RC4 upotrebe u programu Kerberos.

3. korak: OMOGUĆAVANJE  

Omogućite režim sprovođenja da biste rešili ranjivosti CVE-2026-20833 u okruženju. 

  • Ako se od KDC-a zatraži da obezbedi tiket za uslugu RC4 za nalog sa podrazumevanim konfiguracijama, biće evidentiran događaj greške.

  • I dalje ćete videti ID događaja: 205 evidentiran za konfiguraciju koja nije bezbedna za DefaultDomainSupportedEncTypes.

Postavke registratora

Kada se Windows ispravke objave 13. januara 2026. ili posle toga, sledeći ključ registratora je dostupan za Kerberos protokol.

Ovaj ključ registratora se koristi za mrežnu primenu Kerberos promena. Ovaj ključ registratora je privremen i više neće biti pročitan nakon datuma sprovođenja.

Ključ registratora

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Tip podataka

REG_DWORD

Ime vrednosti

RC4DefaultDisablementPhase

Podaci o vrednosti

0 – Bez nadzora, bez promene 

1 – Događaji upozorenja će biti prijavljeni na podrazumevanoj upotrebi RC4 servera. (Podrazumevana faza 1) 

2 – Kerberos će početi da pretpostavlja da RC4 nije podrazumevano omogućen.  (Podrazumevana faza 2) 

Potrebno je ponovno pokretanje?

Da

Događaji nadzora

Nakon što su ispravke za Windows objavljene 13. januara 2026. ili posle toga instalirane, sledeći tipovi događaja Nadzor dodaju se u Windows Server 2012 i kasnije pokrenuti kao kontroler domena.

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

201

Tekst događaja

Centar za ključnu distribuciju otkrio je <ime šifrovanja> koji neće biti podržan u fazi sprovođenja jer usluga msds-SupportedEncryptionTypes nije definisana i klijent podržava samo tipove nebezbednog šifrovanja. 

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

ID događaja: 201 će biti evidentiran ako:

  • Klijent samo oglašava RC4 kao advertizovane Etypes

  • Ciljna usluga NEMA definisan msds-SET

  • Kontroler domena NEMA definisan DDSET

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1

  • Warning Event 201 transitions into Error event 203 in Enforcement mode

  • Ovaj događaj se evidentira po zahtevu

  • Događaj upozorenja 201 nije evidentiran ako je defaultDomainSupportedEncTypes ručno definisan

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

202

Tekst događaja

Centar za distribuciju ključa je otkrio <Ime šifre> koja neće biti podržana u fazi sprovođenja jer usluga msds-SupportedEncryptionTypes nije definisana, a nalog usluge ima samo ključeve koji nisu bezbedni.  

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj upozorenja 202 će biti evidentiran ako:

  • Ciljna usluga nema AES ključeve

  • Ciljna usluga NEMA definisan msds-SET

  • Kontroler domena NEMA definisan DDSET

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1

  • Error event 202 transitions into Error 204 in Enforcement mode

  • Događaj upozorenja 202 je prijavljen na zahtev

  • Događaj upozorenja 202 nije evidentiran ako je defaultDomainSupportedEncTypes ručno definisan

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

203

Tekst događaja

Centar za distribuciju ključa je blokirao upotrebu šifrovanja zato što usluga msds-SupportedEncryptionTypes nije definisana, a klijent podržava samo tipove šifrovanja koji nisu bezbedni. 

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj greške 203 će biti evidentiran ako:

  • Klijent samo oglašava RC4 kao advertizovane Etypes

  • Ciljna usluga NEMA definisan msds-SET

  • Kontroler domena NEMA definisan DDSET

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2

  • Po zahtevu

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

204

Tekst događaja

Centar za distribuciju ključa je blokirao upotrebu kodera zato što usluga msds-SupportedEncryptionTypes nije definisana, a nalog usluge ima samo ključeve koji nisu bezbedni.  

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj greške 204 će biti evidentiran ako:

  • Ciljna usluga nema AES ključeve

  • Ciljna usluga NEMA definisan msds-SET

  • Kontroler domena NEMA definisan DDSET

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2

  • Po zahtevu

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

205

Tekst događaja

Centar za ključnu distribuciju otkrio je eksplicitnu omogućenost šifrovanja u konfiguraciji smernica Podrazumevani tipovi šifrovanja podržani domena. 

Cipher(e): <omogućene nebeske> 

DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes vrednost> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više.

Komentari

Događaj upozorenja 205 će biti evidentiran ako:

  • Kontroler domena IMA DDSET definisan tako da uključuje sve osim AES-SHA1.

  • Vrednost registratora RC4DefaultDisablementPhase postavljena je na 1, 2

  • Ovo se NIKADA neće pretvoriti u grešku

  • Svrha je da klijent bude svestan nesigurnog ponašanja koje nećemo menjati

  • Svaki put se evidentira na početku KDCSVC

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

206

Tekst događaja

Centar za distribuciju ključa je otkrio <Ime šifre> koja neće biti podržana u fazi sprovođenja jer je usluga msds-SupportedEncryptionTypes konfigurisana tako da podržava samo AES-SHA1, ali klijent ne daje advertovanje AES-SHA1 

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj upozorenja 206 će biti evidentiran ako:

  • Klijent samo reklamira RC4 kao advertizovane Etypes

  • Dešava se nešto od sledećeg:

    • Ciljna usluga IMA msds-SET definisan samo u AES-SHA1

    • Kontroler domena IMA DDSET definisan samo u AES-SHA1

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1

  • Warning event 2016 transitions to Error event 2018 in Enforcement mode

  • Evidentirano na osnovu zahteva

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

207

Tekst događaja

Centar za distribuciju ključa je otkrio <Ime šifre> koja neće biti podržana u fazi sprovođenja jer je usluga msds-SupportedEncryptionTypes konfigurisana tako da podržava samo AES-SHA1, ali nalog usluge nema AES-SHA1 ključeve.  

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj upozorenja 207 će biti evidentiran ako:

  • Ciljna usluga nema AES ključeve

  • Dešava se nešto od sledećeg:

    • Ciljna usluga IMA msds-SET definisan samo u AES-SHA1

    • Kontroler domena IMA DDSET definisan samo u AES-SHA1

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 1

  • Ovo će se pretvoriti u 209 (greška) u režimu sprovođenja

  • Po zahtevu

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

208

Tekst događaja

Centar za ključnu distribuciju je namerno odbio upotrebu kodera zato što je usluga msds-SupportedEncryptionTypes konfigurisana tako da podržava samo AES-SHA1, ali klijent ne odobrava AES-SHA1 

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj greške 208 će biti evidentiran ako:

  • Klijent samo oglašava RC4 kao advertizovane Etypes

  • Sve od sledećeg se dešava:

    • Ciljna usluga IMA msds-SET definisan samo u AES-SHA1

    • Kontroler domena IMA DDSET definisan samo u AES-SHA1

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2

  • Po zahtevu

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

209

Tekst događaja

Centar za ključnu distribuciju je namerno odbio upotrebu kodera zato što usluga msds-SupportedEncryptionTypes je konfigurisana tako da podržava samo AES-SHA1, ali nalog usluge nema AES-SHA1 ključeve 

Informacije o nalogu 

    Ime naloga: <naloga> 

    Navedeno ime realma: <navedeno ime zemljišta> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja> 

    Dostupni ključevi: <tasteri> 

Informacije o usluzi: 

    Ime usluge: <ime usluge> 

    ID usluge: <SID usluge> 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja usluge> 

    Dostupni ključevi: <dostupni ključevi usluge> 

Informacije o kontroloru domena: 

    msds-SupportedEncryptionTypes: <podržani tipovi šifrovanja kontrolera domena> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> 

    Dostupni ključevi: <dostupni tasteri kontrolera domena> 

Informacije o mreži: 

    Adresa klijenta: <IP adresa klijenta> 

    Port klijenta: <klijentskog porta> 

    Advertizovani Etypes: <Advertized Kerberos tipovi šifrovanja> 

Pogledajte https://go.microsoft.com/fwlink/?linkid=2344614 biste saznali više. 

Komentari

Događaj greške 209 će biti evidentiran ako:

  • Ciljna usluga nema AES ključeve

  • Dešava se nešto od sledećeg:

    • Ciljna usluga IMA msds-SET definisan samo u AES-SHA1

    • Kontroler domena IMA DDSET definisan samo u AES-SHA1

  • Vrednost registratora RC4DefaultDisablementPhase je postavljena na 2

  • Po zahtevu

Napomena

Ako pronađete da je bilo koja od ovih poruka upozorenja prijavljena na kontroleru domena, verovatno svi kontrolori domena u domenu nisu ažurirani sa Windows ispravkom objavljenom 13. januara 2026. ili posle njega. Da biste umanjili ranjivost, moraćete dodatno da istražite domen da biste pronašli kontrolere domena koji nisu ažurirani.  

Ako vidite ID događaja: 0x8000002A prijavljen na kontroler domena, pročitajte članak KB5021131: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37966.

Najčešća pitanja (najčešća pitanja)

Ovo ojačavanje utiče na Windows kontrolere domena kada izdaju tikete za uslugu. Tok Kerberos poverenja i preporuka ne utiče.

Uređaji domena nezavisnih proizvođača koji ne mogu da obrade AES-SHA1 trebalo bi da su već izričito konfigurisani tako da dozvoljavaju AES-SHA1.

Ne. Evidentiraćemo događaje upozorenja za nesigurne konfiguracije za DefaultDomainSupportedEncTypes. Pored toga, nećemo zanemariti konfiguraciju koju je izričito postavio klijent.

Resursi

KB5020805: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37967

KB5021131: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37966

Podržane zastavice bita tipova šifrovanja

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost