Gäller för
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Ursprungligt publiceringsdatum: den 13 januari 2026

KB-ID: 5073381

Artikelinnehåll

Sammanfattning

Windows-uppdateringar som släpptes 13 januari 2026 och som släpptes 13 januari 2026 innehåller skydd för en säkerhetsrisk med Kerberos-autentiseringsprotokollet. Windows-uppdateringarna åtgärdar en säkerhetsrisk för informationsläckage i CVE-2026-20833 som kan göra det möjligt för en angripare att få serviceärenden med svaga eller äldre krypteringstyper som RC4 för att utföra offlineattacker för att återställa ett lösenord för ett tjänstkonto.

För att minimera den här säkerhetsrisken kan Windows-uppdateringar som släpptes den 14 april 2026 och ändra standardvärdet för Kerberos Key Distribution Center (KDC) för DefaultDomainSupportedEncTypes, såvida inte administratörer aktiverar tvingande läge tidigare. Uppdaterade domänkontrollanter som körs i tvingande läge får endast stöd för konfigurationer av AES-krypteringstyper (Advanced Encryption Standard) om ingen explicit konfiguration anges. Mer information finns i Bitflaggor för krypteringstyper som stöds. Standardvärdet för DefaultDomainSupportedEncTypes gäller i avsaknad av ett explicit värde.

På domänkontrollanter med ett definierat DefaultDomainSupportedEncTypes-registervärde påverkas inte beteendet funktionellt av dessa ändringar. En granskningshändelse KDCSVC-händelse-ID: 205 loggas dock i systemhändelseloggen om den befintliga DefaultDomainSupportedEncTypes-konfigurationen är osäker (till exempel när ett RC4-chiffer används).

tillbaka till början

Agera

För att skydda din miljö och förhindra avbrott rekommenderar vi att du: 

  • UPPDATERING Microsoft Active Directory-domänkontrollanter börjar med Windows-uppdateringar som släppts den 13 januari 2026 eller senare.

  • ÖVERVAKA systemhändelseloggen för någon av de nio KDCSVC 201-> 209-granskningshändelser som loggats på Windows Server 2012 och nyare domänkontrollanter som identifierar risker med aktivering av RC4-skydd.

  • MILDRA KDCSVC-händelser som loggas i systemhändelseloggen som förhindrar manuell eller programmatisk aktivering av RC4-skydd.

  • AKTIVERA Tvingande läge för att åtgärda de sårbarheter som åtgärdas i CVE-2026-20833 i din miljö när varnings-, blockerings- eller principhändelser inte längre loggas.

VIKTIGT När du installerar uppdateringar som släpptes den 13 januari 2026 eller senare åtgärdar du INTE de sårbarheter som beskrivs i CVE-2026-20833 för Active Directory-domänkontrollanter som standard. För att minska säkerhetsproblemet helt bör du aktivera tvingande läge manuellt (beskrivs i steg 3: AKTIVERA) på alla domänkontrollanter. Installationen av Windows Uppdateringar som släpptes i och efter juli 2026 aktiverar programmässigt tvingande fas.

Tvingande läge aktiveras automatiskt genom att Windows Uppdateringar installeras på eller efter april 2026 på alla Windows-domänkontrollanter och sårbara anslutningar blockeras från icke-kompatibla enheter.  Då kan du inte inaktivera granskningen, men du kan gå tillbaka till inställningen Granskningsläge. Granskningsläget tas bort i juli 2026, enligt beskrivningen i avsnittet Tidsinställning för uppdateringar , och tvingande läge aktiveras på alla Windows-domänkontrollanter och blockerar sårbara anslutningar från icke-kompatibla enheter.

Om du behöver utnyttja RC4 efter april 2026 rekommenderar vi att du uttryckligen aktiverar RC4 inom bitmasken msds-SupportedEncryptionTypes för tjänster som måste acceptera RC4-användning. 

tillbaka till början 

Tidsinställning för uppdateringar

13 januari 2026 – inledande distributionsfas 

Den första distributionsfasen börjar med uppdateringarna som släpptes den 13 januari 2026 och fortsätter med senare Windows-uppdateringar fram till tvingande fas. Den här fasen är att varna kunder för nya säkerhetsåtgärder som kommer att införas i den andra distributionsfasen. Den här uppdateringen: 

  • Tillhandahåller granskningshändelser för att varna kunder som kan påverkas negativt av den kommande säkerhetshärdningen.

  • Introducerar stöd för registervärdet RC4DefaultDisablementPhase efter att en administratör proaktivt aktiverar ändringen genom att ange värdet till 2 på domänkontrollanter när KDCSVC-granskningshändelser anger att det är säkert att göra det.

14 april 2026 – tillämpningsfas med manuell återställning 

Den här uppdateringen ändrar standardvärdet för DefaultDomainSupportedEncTypes för KDC-åtgärder för att utnyttja AES-SHA1 för konton som inte har ett explicit msds-SupportedEncryptionTypes active directory-attribut definierat. 

I den här fasen ändras standardvärdet för DefaultDomainSupportedEncTypes till endast AES-SHA1: 0x18

Den här fasen möjliggör även manuell konfiguration av RC4DefaultDisablementPhase-återställningsvärdet tills programmatisk tillämpning sker i juli 2026.

Juli 2026 – tillämpningsfas 

Windows-uppdateringarna som släpptes i eller efter juli 2026 tar bort stöd för registerundernyckeln RC4DefaultDisablementPhase

tillbaka till början 

Riktlinjer för distribution

Så här distribuerar du Windows-uppdateringarna som släpptes den 13 januari 2026 eller senare: 

  1. UPPDATERA domänkontrollanterna med en Windows-uppdatering som släpptes 13 januari 2026 eller senare.

  2. MONITOR-händelser som loggats under den första distributionsfasen för att skydda din miljö.

  3. FLYTTA domänkontrollanterna till tvingande läge med hjälp av avsnittet Registerinställningar.

Steg 1: UPPDATERA  

Distribuera Windows-uppdateringen som släpptes den 13 januari 2026 eller senare till alla tillämpliga Windows Active Directory som körs som domänkontrollant efter att uppdateringen har distribuerats.

  • Granskningshändelser visas i systemhändelseloggar om dina Windows Server 2012 eller senare domänkontrollanter tar emot Kerberos-serviceärenden som kräver att RC4-chiffer används, men tjänstkontot har standardkrypteringskonfiguration.

  • Granskningshändelse 205 loggas i systemhändelseloggen om domänkontrollanten har en explicit DefaultDomainSupportedEncTypes-konfiguration som tillåter RC4-kryptering.

Steg 2: BILDSKÄRM

När domänkontrollanterna har uppdaterats och du inte ser granskningshändelser som beskrivs i den här artikeln växlar du till tvingande läge genom att ändra registervärdet RC4DefaultDisablementPhase till 2.   

Om det genereras granskningshändelser måste du antingen ta bort RC4-beroenden eller uttryckligen konfigurera attributet accounts msds-SupportedEncryptionTypes för att stödja fortsatt användning av RC4 efter manuell eller automatisk aktivering av tvingande läge.

För administratörer som är intresserade av att åtgärda RC4-användningen mer allmänt än vad som diskuteras i den här artikeln rekommenderar vi att du granskar Identifiera och åtgärda RC4-användning i Kerberos för mer information.

VIKTIGT Granskningshändelser relaterade till den här ändringen genereras bara när Active Directory inte kan utfärda AES-SHA1-tjänstbiljetter eller sessionsnycklar. Avsaknaden av granskningshändelser garanterar inte att alla enheter som inte är windows accepterar Kerberos-autentisering efter apriluppdateringen. Kunderna bör validera icke-Windows-interoperabilitet genom testning innan de aktiverar det här beteendet i stort.

Steg 3: AKTIVERA

Aktivera tvingande läge för att åtgärda CVE-2026-20833-säkerhetsrisker i din miljö. 

  • Om en KDC begärs för att tillhandahålla ett RC4-serviceärende för ett konto med standardkonfigurationer loggas en felhändelse.

  • Du fortsätter att se ett händelse-ID: 205 loggat för osäker konfiguration av DefaultDomainSupportedEncTypes.

tillbaka till början 

Registerinställningar

När Windows-uppdateringarna som släpptes den 13 januari 2026 eller senare har installerats är följande registernyckel tillgänglig för Kerberos-protokollet.

RC4DefaultDisablementPhase

Den här registernyckeln används för att gate distributionen av Kerberos-ändringarna. Registernyckeln är tillfällig och kommer inte längre att läsas efter tillämpningsdatumet.

Registernyckel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Datatyp

REG_DWORD

Värdenamn

RC4DefaultDisablementPhase

Värdedata

0 – Ingen granskning, ingen ändring 

1 – Varningshändelser loggas på rc4-standardanvändningen. (Standardinställning för fas 1) 

2 – Kerberos börjar anta att RC4 inte är aktiverat som standard.  (Standardinställning för fas 2) 

Krävs en omstart?

Ja

tillbaka till början 

Granska händelser

När Windows-uppdateringarna som släpptes den 13 januari 2026 eller senare har installerats läggs följande KSCSVC-granskningshändelsetyper till i systemhändelseloggen för Windows Server 2012 och senare körs som domänkontrollant.

I det här avsnittet

tillbaka till början 

Händelse-ID: 201

Händelselogg

System

Händelsetyp

Varning!

Händelsekälla

Kdcsvc

Händelse-ID

201

Händelsetext

Nyckeldistributionscentret upptäckte <chiffernamn> användning som inte stöds i tvingande fas eftersom tjänsten msds-SupportedEncryptionTypes inte är definierad och klienten bara stöder osäkra krypteringstyper. 

Kontoinformation 

    Kontonamn: <kontonamn> 

    Medföljande sfärnamn: <> 

    msds-SupportedEncryptionTypes: <krypteringstyper som stöds> 

    Tillgängliga tangenter: <Tillgängliga tangenter> 

Tjänstinformation: 

    Tjänstnamn: <tjänstnamn> 

    Tjänst-ID: <Service SID> 

    msds-SupportedEncryptionTypes: <Service Supported Encryption Types> 

    Tillgängliga nycklar: <Service Available Keys> 

Information om domänkontrollanten: 

    msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> 

Nätverksinformation: 

    Klientadress: <-klientens IP-adress> 

    Klientport: <klientport> 

    Annonserade Etypes: <annonserade Kerberos-krypteringstyper> 

Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentarer

Händelse-ID: 201 loggas om:

  • Klienten annonserar bara RC4 som en adiserad Etypes

  • Måltjänsten har INTE en msds-SET definierad

  • Domänkontrollanten har INTE DDSET definierat

  • Registervärdet RC4DefaultDisablementPhase är inställt på 1

  • Varningshändelse 201 övergår till Felhändelse 203 i tvingande läge

  • Händelsen loggas per begäran

  • Varningshändelse 201 loggas INTE om DefaultDomainSupportedEncTypes har definierats manuellt

tillbaka till Granskningshändelser 

Händelse-ID: 202

Händelselogg

System

Händelsetyp

Varning!

Händelsekälla

Kdcsvc

Händelse-ID

202

Händelsetext

Nyckeldistributionscentret upptäckte <chiffernamn> användning som inte stöds i tvingande fas eftersom tjänsten msds-SupportedEncryptionTypes inte är definierad och tjänstkontot har bara osäkra nycklar.  

Kontoinformation 

    Kontonamn: <kontonamn> 

    Medföljande sfärnamn: <> 

    msds-SupportedEncryptionTypes: <krypteringstyper som stöds> 

    Tillgängliga tangenter: <Tillgängliga tangenter> 

Tjänstinformation: 

    Tjänstnamn: <tjänstnamn> 

    Tjänst-ID: <Service SID> 

    msds-SupportedEncryptionTypes: <Service Supported Encryption Types> 

    Tillgängliga nycklar: <Service Available Keys> 

Information om domänkontrollanten: 

    msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> 

Nätverksinformation: 

    Klientadress: <-klientens IP-adress> 

    Klientport: <klientport> 

    Annonserade Etypes: <annonserade Kerberos-krypteringstyper> 

Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentarer

Varningshändelse 202 loggas om:

  • Måltjänsten har inga AES-nycklar

  • Måltjänsten har INTE en msds-SET definierad

  • Domänkontrollanten har INTE DDSET definierat

  • Registervärdet RC4DefaultDisablementPhase är inställt på 1

  • Felhändelse 202 övergår till fel 204 i tvingande läge

  • Varningshändelse 202 loggas på en per begäran

  • Varningshändelse 202 loggas INTE om DefaultDomainSupportedEncTypes har definierats manuellt

tillbaka till Granskningshändelser 

Händelse-ID: 203

Händelselogg

System

Händelsetyp

Varning!

Händelsekälla

Kdcsvc

Händelse-ID

203

Händelsetext

Nyckeldistributionscentret blockerade chifferanvändningen eftersom tjänsten msds-SupportedEncryptionTypes inte är definierad och klienten bara stöder osäkra krypteringstyper. 

Kontoinformation 

    Kontonamn: <kontonamn> 

    Medföljande sfärnamn: <> 

    msds-SupportedEncryptionTypes: <krypteringstyper som stöds> 

    Tillgängliga tangenter: <Tillgängliga tangenter> 

Tjänstinformation: 

    Tjänstnamn: <tjänstnamn> 

    Tjänst-ID: <Service SID> 

    msds-SupportedEncryptionTypes: <Service Supported Encryption Types> 

    Tillgängliga nycklar: <Service Available Keys> 

Information om domänkontrollanten: 

    msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> 

Nätverksinformation: 

    Klientadress: <-klientens IP-adress> 

    Klientport: <klientport> 

    Annonserade Etypes: <annonserade Kerberos-krypteringstyper> 

Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentarer

Felhändelse 203 loggas om:

  • Klienten annonserar bara RC4 som en adiserad Etypes

  • Måltjänsten har INTE en msds-SET definierad

  • Domänkontrollanten har INTE DDSET definierat

  • Registervärdet RC4DefaultDisablementPhase är inställt på 2

  • Per begäran

tillbaka till Granskningshändelser 

Händelse-ID: 204

Händelselogg

System

Händelsetyp

Varning!

Händelsekälla

Kdcsvc

Händelse-ID

204

Händelsetext

Nyckeldistributionscentret blockerade användningen av chiffer eftersom tjänsten msds-SupportedEncryptionTypes inte är definierad och tjänstkontot har bara osäkra nycklar.  

Kontoinformation 

    Kontonamn: <kontonamn> 

    Medföljande sfärnamn: <> 

    msds-SupportedEncryptionTypes: <krypteringstyper som stöds> 

    Tillgängliga tangenter: <Tillgängliga tangenter> 

Tjänstinformation: 

    Tjänstnamn: <tjänstnamn> 

    Tjänst-ID: <Service SID> 

    msds-SupportedEncryptionTypes: <Service Supported Encryption Types> 

    Tillgängliga nycklar: <Service Available Keys> 

Information om domänkontrollanten: 

    msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> 

Nätverksinformation: 

    Klientadress: <-klientens IP-adress> 

    Klientport: <klientport> 

    Annonserade Etypes: <annonserade Kerberos-krypteringstyper> 

Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentarer

Felhändelse 204 loggas om:

  • Måltjänsten har inga AES-nycklar

  • Måltjänsten har INTE en msds-SET definierad

  • Domänkontrollanten har INTE DDSET definierat

  • Registervärdet RC4DefaultDisablementPhase är inställt på 2

  • Per begäran

tillbaka till Granskningshändelser 

Händelse-ID: 205

Händelselogg

System

Händelsetyp

Varning!

Händelsekälla

Kdcsvc

Händelse-ID

205

Händelsetext

Nyckeldistributionscentret upptäckte explicit chifferaktivering i principkonfigurationen Standarddomäntyper som stöds. 

Chiffer: <aktiverade osäkra chiffer> 

DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> 

Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614.

Kommentarer

Varningshändelse 205 loggas om:

  • Domänkontrollanten har definierat DDSET som innehåller allt utom AES-SHA1.

  • Registervärdet RC4DefaultDisablementPhase är inställt på 1, 2

  • Det här blir ALDRIG ett fel

  • Syftet är att göra kunden medveten om osäkra beteenden att vi inte kommer att förändras

  • Loggas varje gång KDCSVC startar

tillbaka till Granskningshändelser 

Händelse-ID: 206

Händelselogg

System

Händelsetyp

Varning!

Händelsekälla

Kdcsvc

Händelse-ID

206

Händelsetext

Nyckeldistributionscentret upptäckte <chiffernamn> användning som inte stöds i tvingande fas eftersom tjänsten msds-SupportedEncryptionTypes är konfigurerad att endast stödja AES-SHA1 men klienten annonserar inte AES-SHA1 

Kontoinformation 

    Kontonamn: <kontonamn> 

    Medföljande sfärnamn: <> 

    msds-SupportedEncryptionTypes: <krypteringstyper som stöds> 

    Tillgängliga tangenter: <Tillgängliga tangenter> 

Tjänstinformation: 

    Tjänstnamn: <tjänstnamn> 

    Tjänst-ID: <Service SID> 

    msds-SupportedEncryptionTypes: <Service Supported Encryption Types> 

    Tillgängliga nycklar: <Service Available Keys> 

Information om domänkontrollanten: 

    msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> 

Nätverksinformation: 

    Klientadress: <-klientens IP-adress> 

    Klientport: <klientport> 

    Annonserade Etypes: <annonserade Kerberos-krypteringstyper> 

Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentarer

Varningshändelse 206 loggas om:

  • Klienten annonserar bara RC4 som en Adized Etypes

  • Något av följande inträffar:

    • Måltjänsten HAR msds-SET definierad endast till AES-SHA1

    • Domänkontrollanten HAR endast DDSET definierat till AES-SHA1

  • Registervärdet RC4DefaultDisablementPhase är inställt på 1

  • Varningshändelse 2016 övergår till Felhändelse 2018 i tvingande läge

  • Inloggad per begäran

tillbaka till Granskningshändelser 

Händelse-ID: 207

Händelselogg

System

Händelsetyp

Varning!

Händelsekälla

Kdcsvc

Händelse-ID

207

Händelsetext

Nyckeldistributionscentret upptäckte <chiffernamn> användning som inte stöds i tvingande fas eftersom tjänsten msds-SupportedEncryptionTypes har konfigurerats för att endast stödja AES-SHA1, men tjänstkontot har inte AES-SHA1-nycklar.  

Kontoinformation 

    Kontonamn: <kontonamn> 

    Medföljande sfärnamn: <> 

    msds-SupportedEncryptionTypes: <krypteringstyper som stöds> 

    Tillgängliga tangenter: <Tillgängliga tangenter> 

Tjänstinformation: 

    Tjänstnamn: <tjänstnamn> 

    Tjänst-ID: <Service SID> 

    msds-SupportedEncryptionTypes: <Service Supported Encryption Types> 

    Tillgängliga nycklar: <Service Available Keys> 

Information om domänkontrollanten: 

    msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> 

Nätverksinformation: 

    Klientadress: <-klientens IP-adress> 

    Klientport: <klientport> 

    Annonserade Etypes: <annonserade Kerberos-krypteringstyper> 

Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentarer

Varningshändelse 207 loggas om:

  • Måltjänsten har inga AES-nycklar

  • Något av följande inträffar:

    • Måltjänsten HAR msds-SET definierad endast till AES-SHA1

    • Domänkontrollanten HAR endast DDSET definierat till AES-SHA1

  • Registervärdet RC4DefaultDisablementPhase är inställt på 1

  • Detta omvandlas till 209 (fel) i tvingande läge

  • Per begäran

tillbaka till Granskningshändelser 

Händelse-ID: 208

Händelselogg

System

Händelsetyp

Varning!

Händelsekälla

Kdcsvc

Händelse-ID

208

Händelsetext

Nyckeldistributionscentret nekade avsiktligt användningen av chiffer eftersom tjänsten msds-SupportedEncryptionTypes är konfigurerad för att endast stödja AES-SHA1, men klienten annonserar inte AES-SHA1 

Kontoinformation 

    Kontonamn: <kontonamn> 

    Medföljande sfärnamn: <> 

    msds-SupportedEncryptionTypes: <krypteringstyper som stöds> 

    Tillgängliga tangenter: <Tillgängliga tangenter> 

Tjänstinformation: 

    Tjänstnamn: <tjänstnamn> 

    Tjänst-ID: <Service SID> 

    msds-SupportedEncryptionTypes: <Service Supported Encryption Types> 

    Tillgängliga nycklar: <Service Available Keys> 

Information om domänkontrollanten: 

    msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> 

Nätverksinformation: 

    Klientadress: <-klientens IP-adress> 

    Klientport: <klientport> 

    Annonserade Etypes: <annonserade Kerberos-krypteringstyper> 

Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentarer

Felhändelse 208 loggas om:

  • Klienten annonserar bara RC4 som en adiserad Etypes

  • EIther av följande inträffar:

    • Måltjänsten HAR msds-SET definierad endast till AES-SHA1

    • Domänkontrollanten HAR endast DDSET definierat till AES-SHA1

  • Registervärdet RC4DefaultDisablementPhase är inställt på 2

  • Per begäran

tillbaka till Granskningshändelser 

Händelse-ID: 209

Händelselogg

System

Händelsetyp

Varning!

Händelsekälla

Kdcsvc

Händelse-ID

209

Händelsetext

Nyckeldistributionscentret har avsiktligt nekat användning av chiffer eftersom tjänsten msds-SupportedEncryptionTypes är konfigurerad för att endast stödja AES-SHA1, men tjänstkontot har inte AES-SHA1-nycklar 

Kontoinformation 

    Kontonamn: <kontonamn> 

    Medföljande sfärnamn: <> 

    msds-SupportedEncryptionTypes: <krypteringstyper som stöds> 

    Tillgängliga tangenter: <Tillgängliga tangenter> 

Tjänstinformation: 

    Tjänstnamn: <tjänstnamn> 

    Tjänst-ID: <Service SID> 

    msds-SupportedEncryptionTypes: <Service Supported Encryption Types> 

    Tillgängliga nycklar: <Service Available Keys> 

Information om domänkontrollanten: 

    msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> 

    DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 

    Tillgängliga nycklar: <tillgängliga domänkontrollantnycklar> 

Nätverksinformation: 

    Klientadress: <-klientens IP-adress> 

    Klientport: <klientport> 

    Annonserade Etypes: <annonserade Kerberos-krypteringstyper> 

Mer information finns i https://go.microsoft.com/fwlink/?linkid=2344614. 

Kommentarer

Felhändelse 209 loggas om:

  • Måltjänsten har inga AES-nycklar

  • Något av följande inträffar:

    • Måltjänsten HAR msds-SET definierad endast till AES-SHA1

    • Domänkontrollanten HAR endast DDSET definierat till AES-SHA1

  • Registervärdet RC4DefaultDisablementPhase är inställt på 2

  • Per begäran

tillbaka till Granskningshändelser

Obs

När det gäller implicit ändring av valet av kryptering av serviceärende har Microsoft begränsad insyn i orsakerna till varför en icke-Windows-enhet kanske inte kan acceptera Kerberos-autentisering efter att KDCs tillämpat apriluppdateringen och gått över till standardbeteendet AES-SHA1 när det är ospecificerat. Vi föreslår att du verifierar dessa ändringar genom testning i din egen miljö innan du aktiverar det här beteendet i stort.

Den vanligaste platsen där detta påträffas är med enheter som utnyttjar Kerberos-tangenter. Om Kerberos-nyckeltabellen bara har exporterats med RC4-nycklar, men måltjänstkontot har AES-SHA1-nycklar och inte har en msds-SupportedEncryptionTypes definierad, finns det en möjlighet till ett autentiseringsfel för den tjänsten. Detta kommer troligen att visas i form av autentiseringsfel från måltjänsten i stället för från KDC. 

Vår primära rekommendation är att arbeta med leverantören av icke-Windows-enheten. I allmänhet är inte felen för icke-Windows-enheter att acceptera Kerberos-autentisering unika för apriländringarna och kan bero på enhetsspecifika eller implementeringsspecifika begränsningar.

Om Kerberos-autentiseringsproblem observeras med enheter som inte är Windows-enheter efter den här ändringen, och leverantörsåtgärder inte är genomförbara, är våra rekommendationer följande:

  • På det berörda tjänstkontot definierar du uttryckligen msDS-SupportedEncryptionTypes så att RC4 inkluderas med AES-sessionsnycklar (0x24).

  • Om det inte är möjligt konfigurerar du registervärdet DefaultDomainSupportedEncTypes manuellt på alla relevanta KDC:er så att RC4 inkluderas med AES-SHA1-sessionsnycklar (0x24). Observera att detta gör alla konton i domänen sårbara för CVE-2026-20833.

Det är viktigt att observera att den här konfigurationen är osäker, och vår långsiktiga rekommendation är att migrera icke-Windows-enheter till versioner som stöder AES-SHA1 Kerberos-biljettkryptering.

tillbaka till Granskningshändelser

Vanliga frågor och svar (vanliga frågor och svar)

F1: Hur interagerar den här ändringen med domäner som har KDCs från tredje part?

Den härdningsändringen påverkar bara Windows domänkontrollanter. Kerberos Trust och hänvisningsflödet med andra Windows-domänkontrollanter eller KDCs från tredje part påverkas inte.

F2: Hur interagerar den här ändringen med domäner som har icke-Windows-domänenheter?

Domänenheter från tredje part som inte kan bearbeta AES-SHA1-kryptering bör redan ha konfigurerats uttryckligen för att tillåta RC4-kryptering. Tjänster som inte kan bearbeta AES-SHA1-biljetter måste vara fasta eller uttryckligen konfigurerade i Active Diretory för att tillhandahålla RC4-kryptering enligt ovan. Kontrollera ändringarna noggrant. 

F3: Tar Microsoft bort möjligheten att konfigurera DefaultDomainSupportedEncTypes?

Nej. Vi loggar varningshändelser för osäkra konfigurationer för DefaultDomainSupportedEncTypes. Dessutom följer vi alla konfigurationer som uttryckligen angetts av en administratör.

tillbaka till början 

Resurser

tillbaka till början 

Ändra logg

Ändra datum

Ändra beskrivning

14 april 2026

  • Uppdaterade datumet i april 2026 för att återspegla det faktiska datumet för utgivningen för "Tillämpningsfasen med manuell återställning".

  • Definierade Kerberos KDC i den första meningen i det andra stycket i avsnittet "Sammanfattning".Från: För att minimera den här säkerhetsrisken ändras standardvärdet för DefaultDomainSupportedEncTypes av Windows Uppdateringar som släpptes den 14 april 2026 eller administratörer som aktiverade tvingande läge tidigt.Att: För att minimera den här säkerhetsrisken kan Windows-uppdateringar som släpptes den 14 april 2026 och ändra standardvärdet för Kerberos Key Distribution Center (KDC) för DefaultDomainSupportedEncTypes, såvida inte administratörer aktiverar tvingande läge tidigare.

den 7 april 2026

  • Omformulerade det andra stycket i avsnittet "Sammanfattning" för tydlighets skull.

  • Skriv viktigt i avsnittet "Steg 2: MONITOR" för att framhäva dess betydelse. Notera viktig information.

  • Lade till ett nytt andra stycke i anteckningen ovanför avsnittet Vanliga frågor och svar.

den 16 mars 2026

  • Omordnad för tydlighetens skull "Steg 2: MONITOR" i avsnittet "Riktlinjer för distribution".

  • Omformulerad för tydlighetens skull svaret på "Hur interagerar den här ändringen med domäner som inte är Windows-domänenheter?" Vanliga frågor och svar. Lade till en särskild anteckning för hur icke-Windows-tjänster kan påverkas av dessa ändringar.

den 10 februari 2026

  • Lade till dokumentationslänken till förekomsterna av DefaultDomainSupportedEncTypes.

  • Korrigerade formuleringen i den andra punkten i avsnittet "Steg3: Aktivera".Från: Introducerar registervärdet RC4DefaultDisablementPhase för att proaktivt aktivera ändringen genom att ange värdet till 2 på domänkontrollanter när KDCSVC-granskningshändelser anger att det är säkert att göra det.Att: Introducerar stöd för registervärdet RC4DefaultDisablementPhase efter att en administratör proaktivt aktiverar ändringen genom att ange värdet till 2 på domänkontrollanter när KDCSVC-granskningshändelser anger att det är säkert att göra det.

  • Under viktigt meddelande i avsnittet "Vidta åtgärd" ändrade du den första meningen i stycket för att ange ungefär när tvingande läge ska aktiveras.Från: Från och med april 2026 aktiveras tvingande läge på alla Windows-domänkontrollanter och blockerar sårbara anslutningar från icke-kompatibla enheter.Att: Tvingande läge aktiveras automatiskt genom att Windows Uppdateringar installeras på eller efter april 2026 på alla Windows-domänkontrollanter och sårbara anslutningar blockeras från icke-kompatibla enheter.

  • Formuleringar som lagts till för att nämna den här ändringen görs av Windows Uppdateringar som släpptes den 13 januari 2026 och CVE-2026-20833.

tillbaka till början 

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter