Ursprungligt publiceringsdatum: den 13 januari 2026
KB-ID: 5073381
Förfallodatum för Windows Secure Boot-certifikat
Viktigt: Certifikat för säker start som används av de flesta Windows-enheter upphör att gälla från och med juni 2026. Det kan påverka möjligheten för vissa personliga enheter och företagsenheter att starta på ett säkert sätt om de inte uppdateras i tid. För att undvika störningar rekommenderar vi att du läser vägledningen och vidtar åtgärder för att uppdatera certifikaten i förväg. Mer information och förberedelser finns i Förfallodatum för Windows Secure Boot-certifikat och CA-uppdateringar.
Artikelinnehåll
Sammanfattning
Windows-uppdateringar som släpptes 13 januari 2026 och som släpptes 13 januari 2026 innehåller skydd för en säkerhetsrisk med Kerberos-autentiseringsprotokollet. Windows-uppdateringarna åtgärdar en säkerhetsrisk för informationsläckage som kan göra det möjligt för en angripare att skaffa serviceärenden med svaga eller äldre krypteringstyper, till exempel RC4, och utföra offlineattacker för att återställa ett lösenord för ett tjänstkonto.
För att skydda och härda din miljö installerar du Windows-uppdateringen som släpptes den 13 januari 2026 eller senare på alla Windows-servrar som anges i avsnittet "Gäller" som körs som domänkontrollant. Mer information om säkerhetsbristerna finns i CVE-2026-20833.
För att minimera den här säkerhetsrisken ändras standardvärdet för DefaultDomainSupportedEncTypes (DDSET) så att alla domänkontrollanter endast stöder AES-SHA1-krypterade biljetter för konton utan en explicit Kerberos-krypteringstypkonfiguration. Mer information finns i Bitflaggor för krypteringstyper som stöds.
På domänkontrollanter med ett definierat DefaultDomainSupportedEncTypes-registervärde påverkas inte beteendet funktionellt av dessa ändringar. En granskningshändelse KDCSVC-händelse-ID: 205 kan dock loggas i systemhändelseloggen om den befintliga DefaultDomainSupportedEncTypes-konfigurationen är osäker.
Agera
För att skydda din miljö och förhindra avbrott rekommenderar vi att du gör följande:
-
UPPDATERING Microsoft Active Directory-domänkontrollanter börjar med Windows-uppdateringar som släppts den 13 januari 2026 eller senare.
-
ÖVERVAKA systemhändelseloggen för någon av de 9 granskningshändelser som loggas på Windows Server 2012 och nyare domänkontrollanter som identifierar risker med aktivering av RC4-skydd.
-
MILDRA KDCSVC-händelser som loggas i systemhändelseloggen som förhindrar manuell eller programmatisk aktivering av RC4-skydd.
-
AKTIVERA Tvingande läge för att åtgärda de sårbarheter som åtgärdas i CVE-2026-20833 i din miljö när varnings-, blockerings- eller principhändelser inte längre loggas.
VIKTIGT När du installerar uppdateringar som släpptes den 13 januari 2026 eller senare åtgärdar du INTE de sårbarheter som beskrivs i CVE-2026-20833 för Active Directory-domänkontrollanter som standard. För att minska säkerhetsproblemet helt måste du gå till framtvingat läge (beskrivs i steg 3) så snart som möjligt på alla domänkontrollanter.
Från och med april 2026 aktiveras tvingande läge på alla Windows-domänkontrollanter och blockerar sårbara anslutningar från icke-kompatibla enheter. Då kan du inte inaktivera granskningen, men du kan gå tillbaka till inställningen Granskningsläge. Granskningsläget tas bort i juli 2026, enligt beskrivningen i avsnittet Tidsinställning för uppdateringar , och tvingande läge aktiveras på alla Windows-domänkontrollanter och blockerar sårbara anslutningar från icke-kompatibla enheter.
Om du behöver utnyttja RC4 efter april 2026 rekommenderar vi att du uttryckligen aktiverar RC4 inom bitmasken msds-SupportedEncryptionTypes för tjänster som måste acceptera RC4-användning.
Tidsinställning för uppdateringar
13 januari 2026 – inledande distributionsfas
Den första distributionsfasen börjar med uppdateringarna som släpptes den 13 januari 2026 och fortsätter med senare Windows-uppdateringar fram till tvingande fas. Den här fasen är att varna kunder för nya säkerhetsåtgärder som kommer att införas i den andra distributionsfasen. Den här uppdateringen:
-
Tillhandahåller granskningshändelser för att varna kunder som kan påverkas negativt av den kommande säkerhetshärdningen.
-
Introducerar registervärdet RC4DefaultDisablementPhase för att proaktivt aktivera ändringen genom att ange värdet till 2 på domänkontrollanter när KDCSVC-granskningshändelser anger att det är säkert att göra det.
April 2026 – andra distributionsfasen
Den här uppdateringen ändrar standardvärdet för DefaultDomainSupportedEncTypes för KDC-åtgärder för att utnyttja AES-SHA1 för konton som inte har ett explicit msds-SupportedEncryptionTypes active directory-attribut definierat.
I den här fasen ändras standardvärdet för DefaultDomainSupportedEncTypes till endast AES-SHA1: 0x18.
Juli 2026 – tillämpningsfas
Windows-uppdateringarna som släpptes i eller efter juli 2026 tar bort stöd för registerundernyckeln RC4DefaultDisablementPhase.
Riktlinjer för distribution
Så här distribuerar du Windows-uppdateringarna som släpptes den 13 januari 2026 eller senare:
-
UPPDATERA domänkontrollanterna med en Windows-uppdatering som släpptes 13 januari 2026 eller senare.
-
MONITOR-händelser som loggats under den första distributionsfasen för att skydda din miljö.
-
FLYTTA domänkontrollanterna till tvingande läge med hjälp av avsnittet Registerinställningar.
Steg 1: UPPDATERA
Distribuera Windows-uppdateringen som släpptes den 13 januari 2026 eller senare till alla tillämpliga Windows Active Directory som körs som domänkontrollant efter att uppdateringen har distribuerats.
-
Granskningshändelser visas i systemhändelseloggar om domänkontrollanten tar emot Kerberos-serviceärenden som kräver att RC4-chiffer används, men tjänstkontot har standardkrypteringskonfiguration.
-
Granskningshändelser loggas i systemhändelseloggen om domänkontrollanten har en explicit DefaultDomainSupportedEncTypes-konfiguration som tillåter RC4-kryptering.
Steg 2: BILDSKÄRM
När domänkontrollanterna har uppdaterats växlar du till tvingande läge om du inte ser några granskningshändelser genom att ändra värdet RC4DefaultDisablementPhase till 2.
Om det genereras granskningshändelser måste du antingen ta bort RC4-beroenden eller uttryckligen konfigurera kontona som Kerberos stöder krypteringstyper. Sedan kan du gå över till tvingande läge.
Mer information om hur du identifierar RC4-användning i domänen, granskar enheter och användarkonton som fortfarande är beroende av RC4 och vidtar åtgärder för att åtgärda användningen till förmån för starkare krypteringstyper eller hantera RC4-beroenden finns i Identifiera och åtgärda RC4-användning i Kerberos.
Steg 3: AKTIVERA
Aktivera tvingande läge för att åtgärda CVE-2026-20833-säkerhetsrisker i din miljö.
-
Om en KDC begärs för att tillhandahålla ett RC4-serviceärende för ett konto med standardkonfigurationer loggas en felhändelse.
-
Du kommer fortfarande att se ett händelse-ID: 205 loggat för alla osäkra konfigurationer av DefaultDomainSupportedEncTypes.
Registerinställningar
När Windows-uppdateringarna som släpptes den 13 januari 2026 eller senare har installerats är följande registernyckel tillgänglig för Kerberos-protokollet.
Den här registernyckeln används för att gate distributionen av Kerberos-ändringarna. Registernyckeln är tillfällig och kommer inte längre att läsas efter tillämpningsdatumet.
|
Registernyckel |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Datatyp |
REG_DWORD |
|
Värdenamn |
RC4DefaultDisablementPhase |
|
Värdedata |
0 – Ingen granskning, ingen ändring 1 – Varningshändelser loggas på rc4-standardanvändningen. (Standardinställning för fas 1) 2 – Kerberos börjar anta att RC4 inte är aktiverat som standard. (Standardinställning för fas 2) |
|
Krävs en omstart? |
Ja |
Granska händelser
När Windows-uppdateringarna som släpptes den 13 januari 2026 eller senare har installerats läggs följande granskningshändelsetyper till i Windows Server 2012 och körs senare som domänkontrollant.
|
Händelselogg |
System |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
201 |
|
Händelsetext |
Nyckeldistributionscentret upptäckte <chiffernamn> användning som inte stöds i tvingande fas eftersom tjänsten msds-SupportedEncryptionTypes inte är definierad och klienten bara stöder osäkra krypteringstyper. Kontoinformation Kontonamn: <kontonamn> Medföljande sfärnamn: <> msds-SupportedEncryptionTypes: <krypteringstyper som stöds> Tillgängliga tangenter: <Tillgängliga tangenter> Tjänstinformation: Tjänstnamn: <tjänstnamn> Tjänst-ID: <Service SID> msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Tillgängliga nycklar: <Service Available Keys> Information om domänkontrollanten: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> Nätverksinformation: Klientadress: <-klientens IP-adress> Klientport: <klientport> Annonserade Etypes: <annonserade Kerberos-krypteringstyper> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentarer |
Händelse-ID: 201 loggas om:
|
|
Händelselogg |
System |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
202 |
|
Händelsetext |
Nyckeldistributionscentret upptäckte <chiffernamn> användning som inte stöds i tvingande fas eftersom tjänsten msds-SupportedEncryptionTypes inte är definierad och tjänstkontot har bara osäkra nycklar. Kontoinformation Kontonamn: <kontonamn> Medföljande sfärnamn: <> msds-SupportedEncryptionTypes: <krypteringstyper som stöds> Tillgängliga tangenter: <Tillgängliga tangenter> Tjänstinformation: Tjänstnamn: <tjänstnamn> Tjänst-ID: <Service SID> msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Tillgängliga nycklar: <Service Available Keys> Information om domänkontrollanten: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> Nätverksinformation: Klientadress: <-klientens IP-adress> Klientport: <klientport> Annonserade Etypes: <annonserade Kerberos-krypteringstyper> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentarer |
Varningshändelse 202 loggas om:
|
|
Händelselogg |
System |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
203 |
|
Händelsetext |
Nyckeldistributionscentret blockerade chifferanvändningen eftersom tjänsten msds-SupportedEncryptionTypes inte är definierad och klienten bara stöder osäkra krypteringstyper. Kontoinformation Kontonamn: <kontonamn> Medföljande sfärnamn: <> msds-SupportedEncryptionTypes: <krypteringstyper som stöds> Tillgängliga tangenter: <Tillgängliga tangenter> Tjänstinformation: Tjänstnamn: <tjänstnamn> Tjänst-ID: <Service SID> msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Tillgängliga nycklar: <Service Available Keys> Information om domänkontrollanten: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> Nätverksinformation: Klientadress: <-klientens IP-adress> Klientport: <klientport> Annonserade Etypes: <annonserade Kerberos-krypteringstyper> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentarer |
Felhändelse 203 loggas om:
|
|
Händelselogg |
System |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
204 |
|
Händelsetext |
Nyckeldistributionscentret blockerade användningen av chiffer eftersom tjänsten msds-SupportedEncryptionTypes inte är definierad och tjänstkontot har bara osäkra nycklar. Kontoinformation Kontonamn: <kontonamn> Medföljande sfärnamn: <> msds-SupportedEncryptionTypes: <krypteringstyper som stöds> Tillgängliga tangenter: <Tillgängliga tangenter> Tjänstinformation: Tjänstnamn: <tjänstnamn> Tjänst-ID: <Service SID> msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Tillgängliga nycklar: <Service Available Keys> Information om domänkontrollanten: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> Nätverksinformation: Klientadress: <-klientens IP-adress> Klientport: <klientport> Annonserade Etypes: <annonserade Kerberos-krypteringstyper> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentarer |
Felhändelse 204 loggas om:
|
|
Händelselogg |
System |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
205 |
|
Händelsetext |
Nyckeldistributionscentret upptäckte explicit chifferaktivering i principkonfigurationen Standarddomäntyper som stöds. Chiffer: <aktiverade osäkra chiffer> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentarer |
Varningshändelse 205 loggas om:
|
|
Händelselogg |
System |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
206 |
|
Händelsetext |
Nyckeldistributionscentret upptäckte <chiffernamn> användning som inte stöds i tvingande fas eftersom tjänsten msds-SupportedEncryptionTypes är konfigurerad att endast stödja AES-SHA1 men klienten annonserar inte AES-SHA1 Kontoinformation Kontonamn: <kontonamn> Medföljande sfärnamn: <> msds-SupportedEncryptionTypes: <krypteringstyper som stöds> Tillgängliga tangenter: <Tillgängliga tangenter> Tjänstinformation: Tjänstnamn: <tjänstnamn> Tjänst-ID: <Service SID> msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Tillgängliga nycklar: <Service Available Keys> Information om domänkontrollanten: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> Nätverksinformation: Klientadress: <-klientens IP-adress> Klientport: <klientport> Annonserade Etypes: <annonserade Kerberos-krypteringstyper> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentarer |
Varningshändelse 206 loggas om:
|
|
Händelselogg |
System |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
207 |
|
Händelsetext |
Nyckeldistributionscentret upptäckte <chiffernamn> användning som inte stöds i tvingande fas eftersom tjänsten msds-SupportedEncryptionTypes har konfigurerats för att endast stödja AES-SHA1, men tjänstkontot har inte AES-SHA1-nycklar. Kontoinformation Kontonamn: <kontonamn> Medföljande sfärnamn: <> msds-SupportedEncryptionTypes: <krypteringstyper som stöds> Tillgängliga tangenter: <Tillgängliga tangenter> Tjänstinformation: Tjänstnamn: <tjänstnamn> Tjänst-ID: <Service SID> msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Tillgängliga nycklar: <Service Available Keys> Information om domänkontrollanten: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> Nätverksinformation: Klientadress: <-klientens IP-adress> Klientport: <klientport> Annonserade Etypes: <annonserade Kerberos-krypteringstyper> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentarer |
Varningshändelse 207 loggas om:
|
|
Händelselogg |
System |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
208 |
|
Händelsetext |
Nyckeldistributionscentret nekade avsiktligt användningen av chiffer eftersom tjänsten msds-SupportedEncryptionTypes är konfigurerad för att endast stödja AES-SHA1, men klienten annonserar inte AES-SHA1 Kontoinformation Kontonamn: <kontonamn> Medföljande sfärnamn: <> msds-SupportedEncryptionTypes: <krypteringstyper som stöds> Tillgängliga tangenter: <Tillgängliga tangenter> Tjänstinformation: Tjänstnamn: <tjänstnamn> Tjänst-ID: <Service SID> msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Tillgängliga nycklar: <Service Available Keys> Information om domänkontrollanten: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> Nätverksinformation: Klientadress: <-klientens IP-adress> Klientport: <klientport> Annonserade Etypes: <annonserade Kerberos-krypteringstyper> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentarer |
Felhändelse 208 loggas om:
|
|
Händelselogg |
System |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
209 |
|
Händelsetext |
Nyckeldistributionscentret har avsiktligt nekat användning av chiffer eftersom tjänsten msds-SupportedEncryptionTypes är konfigurerad för att endast stödja AES-SHA1, men tjänstkontot har inte AES-SHA1-nycklar Kontoinformation Kontonamn: <kontonamn> Medföljande sfärnamn: <> msds-SupportedEncryptionTypes: <krypteringstyper som stöds> Tillgängliga tangenter: <Tillgängliga tangenter> Tjänstinformation: Tjänstnamn: <tjänstnamn> Tjänst-ID: <Service SID> msds-SupportedEncryptionTypes: <Service Supported Encryption Types> Tillgängliga nycklar: <Service Available Keys> Information om domänkontrollanten: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> Nätverksinformation: Klientadress: <-klientens IP-adress> Klientport: <klientport> Annonserade Etypes: <annonserade Kerberos-krypteringstyper> Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Kommentarer |
Felhändelse 209 loggas om:
|
Obs
Om du upptäcker att något av dessa varningsmeddelanden är inloggade på en domänkontrollant är det troligt att alla domänkontrollanter i din domän inte är uppdaterade med en Windows-uppdatering som släpptes den 13 januari 2026 eller senare. För att minimera säkerhetsproblemet måste du undersöka domänen ytterligare för att hitta de domänkontrollanter som inte är uppdaterade.
Om du ser ett händelse-ID: 0x8000002A inloggad på en domänkontrollant läser du KB5021131: Så här hanterar du Kerberos-protokolländringar relaterade till CVE-2022-37966.
Vanliga frågor och svar (vanliga frågor och svar)
Den härdningen påverkar Windows domänkontrollanter när de utfärdar serviceärenden. Kerberos-förtroendet och referensflödet påverkas inte.
Domänenheter från tredje part som inte kan bearbeta AES-SHA1 bör redan ha konfigurerats uttryckligen för att tillåta AES-SHA1.
Nej. Vi loggar varningshändelser för osäkra konfigurationer för DefaultDomainSupportedEncTypes. Dessutom ignorerar vi inte någon konfiguration som uttryckligen anges av en kund.
Resurser
KB5020805: Hantera Kerberos protokolländringar relaterade till CVE-2022-37967
KB5021131: Hantera Kerberos-protokolländringar relaterade till CVE-2022-37966
