วันที่เผยแพร่ต้นฉบับ: วันที่ 13 มกราคม 2569
KB ID: 5073381
การหมดอายุของใบรับรองการบูตแบบปลอดภัยของ Windows
สำคัญ: ใบรับรองการบูตแบบปลอดภัยที่อุปกรณ์ Windows ส่วนใหญ่ใช้จะถูกตั้งค่าให้หมดอายุตั้งแต่เดือนมิถุนายน 2026 ซึ่งอาจส่งผลกระทบต่อความสามารถของอุปกรณ์ส่วนตัวและธุรกิจบางอย่างในการเริ่มต้นระบบอย่างปลอดภัย หากไม่ได้อัปเดตในเวลาที่กำหนด เราขอแนะนำให้ตรวจสอบคำแนะนำและใช้การดำเนินการเพื่ออัปเดตใบรับรองล่วงหน้า สำหรับรายละเอียดและขั้นตอนการเตรียมการ ให้ดูการหมดอายุของใบรับรองการบูตแบบปลอดภัยของ Windows และการอัปเดต CA
ในบทความนี้
บทสรุป
การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 และหลังจากนั้นจะมีการป้องกันช่องโหว่ด้วยโพรโทคอลการรับรองความถูกต้อง Kerberos การอัปเดต Windows แก้ไขช่องโหว่การเปิดเผยข้อมูลที่อาจทําให้ผู้โจมตีสามารถขอรับตั๋วบริการที่มีชนิดการเข้ารหัสลับที่อ่อนแอหรือแบบดั้งเดิม เช่น RC4 และดําเนินการโจมตีแบบออฟไลน์เพื่อกู้คืนรหัสผ่านของบัญชีบริการ
เพื่อช่วยรักษาความปลอดภัยและทําให้สภาพแวดล้อมของคุณปลอดภัย ให้ติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น ไปยังเซิร์ฟเวอร์ Windows ทั้งหมดที่แสดงในส่วน "นําไปใช้กับ" ที่ทํางานเป็นตัวควบคุมโดเมน เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ดู CVE-2026-20833
เมื่อต้องการลดช่องโหว่นี้ ค่าเริ่มต้นของ DefaultDomainSupportedEncTypes (DDSET) กําลังถูกเปลี่ยนแปลง เพื่อให้ตัวควบคุมโดเมนทั้งหมดสนับสนุนเฉพาะตั๋วที่เข้ารหัสลับ Advanced Encryption Standard (AES-SHA1) สําหรับบัญชีที่ไม่มีการกําหนดค่าชนิดการเข้ารหัส Kerberos ที่ชัดเจน สําหรับข้อมูลเพิ่มเติม ให้ดู การตั้งค่าสถานะบิตชนิดการเข้ารหัสลับที่สนับสนุน
บนตัวควบคุมโดเมนที่มีค่ารีจิสทรี DefaultDomainSupportedEncTypes ที่กําหนด ลักษณะการทํางานจะไม่ได้รับผลกระทบจากการเปลี่ยนแปลงเหล่านี้ อย่างไรก็ตาม เหตุการณ์การตรวจสอบรหัสเหตุการณ์ KDCSVC: 205 อาจถูกบันทึกในบันทึกเหตุการณ์ของระบบถ้าการกําหนดค่า DefaultDomainSupportedEncTypes ที่มีอยู่ไม่ปลอดภัย
จัดการงาน
เพื่อช่วยปกป้องสภาพแวดล้อมของคุณและป้องกันการหยุดทํางาน เราขอแนะนําให้คุณทําตามขั้นตอนต่อไปนี้:
-
ปรับ ปรุง ตัวควบคุมโดเมน Microsoft Active Directory ที่เริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น
-
ตรวจสอบบันทึกเหตุการณ์ของระบบสําหรับเหตุการณ์การตรวจสอบ 9 เหตุการณ์ที่เข้าสู่ระบบ Windows Server 2012 และตัวควบคุมโดเมนที่ใหม่กว่าที่ระบุความเสี่ยงด้วยการเปิดใช้งานการป้องกัน RC4
-
MITIGATE เหตุการณ์ KDCSVC ที่บันทึกไว้ในบันทึกเหตุการณ์ของระบบที่ป้องกันไม่ให้มีการเปิดใช้งานการป้องกัน RC4 ด้วยตนเองหรือทางโปรแกรม
-
เปิด โหมดการบังคับใช้เพื่อแก้ไขช่องโหว่ที่อยู่ใน CVE-2026-20833 ในสภาพแวดล้อมของคุณเมื่อคําเตือน การบล็อก หรือเหตุการณ์นโยบายจะไม่ถูกบันทึกอีกต่อไป
สำคัญ การติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น จะไม่ แก้ไขช่องโหว่ที่อธิบายไว้ใน CVE-2026-20833 สําหรับตัวควบคุมโดเมน Active Directory ตามค่าเริ่มต้น เพื่อลดช่องโหว่อย่างเต็มรูปแบบ คุณต้องย้ายไปยังโหมด บังคับใช้ (ตามที่อธิบายไว้ใน ขั้นตอนที่ 3) โดยเร็วที่สุดบนตัวควบคุมโดเมนทั้งหมด
ตั้งแต่เดือนเมษายน 2026 โหมดการบังคับใช้จะเปิดใช้งานบนตัวควบคุมโดเมน Windows ทั้งหมด และจะบล็อกการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ที่ไม่ปฏิบัติตามข้อกําหนด ในเวลานั้น คุณจะไม่สามารถปิดใช้งานการตรวจสอบได้ แต่อาจย้ายกลับไปยังการตั้งค่าโหมดตรวจสอบ โหมดการตรวจสอบจะถูกลบออกในเดือนกรกฎาคม 2026 ตามที่ระบุไว้ในส่วน การกําหนดเวลาของการอัปเดต และโหมดการบังคับใช้จะเปิดใช้งานบนตัวควบคุมโดเมน Windows ทั้งหมด และจะบล็อกการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ที่ไม่ตรงตามมาตรฐาน
หากคุณต้องการใช้ประโยชน์จาก RC4 หลังจากเดือนเมษายน 2026 เราขอแนะนําให้เปิดใช้งาน RC4 อย่างชัดเจนภายใน msds-SupportedEncryptionTypes บิตมาสก์ในบริการที่จะต้องยอมรับการใช้งาน RC4
เวลาของการอัปเดต
13 มกราคม 2026 - ระยะการปรับใช้เบื้องต้น
ขั้นตอนการปรับใช้ครั้งแรกจะเริ่มต้นด้วยการอัปเดตที่เผยแพร่ในวันที่ 13 มกราคม 2026 และจะดําเนินการต่อกับการอัปเดต Windows ที่ใหม่กว่าจนกว่าจะถึงระยะการบังคับใช้ ขั้นตอนนี้คือการเตือนลูกค้าของการบังคับใช้ความปลอดภัยใหม่ที่จะนํามาใช้ในระยะการปรับใช้ที่สอง การอัปเดตนี้:
-
ให้เหตุการณ์การตรวจสอบเพื่อเตือนลูกค้าที่อาจได้รับผลกระทบจากการเพิ่มความปลอดภัยที่กําลังจะมาถึง
-
แนะนําค่ารีจิสทรี RC4DefaultDisablementPhase เพื่อเปิดใช้งานการเปลี่ยนแปลงเชิงรุกโดยการตั้งค่าเป็น 2 บนตัวควบคุมโดเมนเมื่อเหตุการณ์การตรวจสอบ KDCSVC ระบุว่าปลอดภัยที่จะทําเช่นนั้น
เมษายน 2026 - ระยะการปรับใช้ที่สอง
การอัปเดตนี้เปลี่ยนค่า DefaultDomainSupportedEncTypes เริ่มต้นสําหรับการดําเนินการ KDC เพื่อใช้ประโยชน์จาก AES-SHA1 สําหรับบัญชีที่ไม่มีการกําหนดแอตทริบิวต์ active directory msds-SupportedEncryptionTypes อย่างชัดเจน
ระยะนี้เปลี่ยนค่าเริ่มต้นสําหรับ DefaultDomainSupportedEncTypes เป็น AES-SHA1 เท่านั้น: 0x18
กรกฎาคม 2026 - ระยะการบังคับใช้
การอัปเดต Windows ที่เผยแพร่ในหรือหลังเดือนกรกฎาคม 2026 จะเอาการสนับสนุนสําหรับคีย์ย่อยของรีจิสทรี RC4DefaultDisablementPhase ออก
แนวทางการปรับใช้
เมื่อต้องการปรับใช้การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น ให้ทําตามขั้นตอนเหล่านี้:
-
อัปเดตตัวควบคุมโดเมนของคุณด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น
-
ตรวจสอบ เหตุการณ์ที่บันทึกในช่วงระยะการปรับใช้เริ่มต้นเพื่อช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมของคุณ
-
ย้ายตัวควบคุมโดเมนของคุณไปยังโหมดการบังคับใช้โดยใช้ส่วนการตั้งค่ารีจิสทรี
ขั้นตอนที่ 1: อัปเดต
ปรับใช้การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้นกับ Windows Active Directory ทั้งหมดที่ใช้เป็นตัวควบคุมโดเมนหลังจากการปรับใช้การอัปเดต
-
เหตุการณ์การตรวจสอบจะปรากฏในบันทึกเหตุการณ์ของระบบถ้าตัวควบคุมโดเมนของคุณได้รับการร้องขอตั๋วบริการ Kerberos ที่จําเป็นต้องใช้ตัวเข้ารหัส RC4 แต่บัญชีบริการมีการกําหนดค่าการเข้ารหัสเริ่มต้น
-
เหตุการณ์การตรวจสอบจะถูกบันทึกในบันทึกเหตุการณ์ของระบบถ้าตัวควบคุมโดเมนของคุณมีการกําหนดค่า DefaultDomainSupportedEncTypes ที่ชัดเจนเพื่ออนุญาตการเข้ารหัสลับ RC4
ขั้นตอนที่ 2: จอภาพ
เมื่ออัปเดตตัวควบคุมโดเมนแล้ว ถ้าคุณไม่เห็นเหตุการณ์การตรวจสอบให้สลับไปยังโหมดการบังคับใช้โดยการเปลี่ยนค่า RC4DefaultDisablementPhase เป็น 2
ถ้ามีเหตุการณ์การตรวจสอบที่สร้างขึ้น คุณจะต้องลบการขึ้นต่อกันของ RC4 หรือกําหนดค่าชนิดการเข้ารหัสลับที่ Kerberos สนับสนุนอย่างชัดเจน จากนั้น คุณจะสามารถย้ายไปยังโหมดการบังคับใช้
หากต้องการเรียนรู้วิธีการตรวจหาการใช้งาน RC4 ในโดเมนของคุณ อุปกรณ์ตรวจสอบและบัญชีผู้ใช้ที่ยังคงใช้ RC4 และทําตามขั้นตอนในการแก้ไขการใช้งานแทนชนิดการเข้ารหัสที่เข้มแข็งกว่า หรือจัดการการอ้างอิง RC4 ให้ดู ตรวจหาและแก้ไขการใช้งาน RC4 ใน Kerberos
ขั้นตอนที่ 3: เปิดใช้งาน
เปิดใช้งานโหมด การบังคับใช้ เพื่อแก้ไขช่องโหว่ CVE-2026-20833 ในสภาพแวดล้อมของคุณ
-
หากมีการร้องขอ KDC ให้ใส่ตั๋วบริการ RC4 สําหรับบัญชีที่มีการกําหนดค่าเริ่มต้น จะบันทึกเหตุการณ์ข้อผิดพลาด
-
คุณจะยังคงเห็น ID เหตุการณ์: 205 ที่บันทึกสําหรับการกําหนดค่าที่ไม่ปลอดภัยของ DefaultDomainSupportedEncTypes
การตั้งค่ารีจิสทรี
หลังจากการอัปเดตของ Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้นจะได้รับการติดตั้ง รีจิสทรีคีย์ต่อไปนี้จะพร้อมใช้งานสําหรับโพรโทคอล Kerberos
รีจิสทรีคีย์นี้ใช้สําหรับปิดการปรับใช้ของการเปลี่ยนแปลง Kerberos รีจิสทรีคีย์นี้เป็นรีจิสทรีคีย์ชั่วคราว และจะไม่อ่านอีกต่อไปหลังจากวันที่บังคับใช้
|
รีจิสทรีคีย์ |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
ชนิดข้อมูล |
REG_DWORD |
|
ชื่อค่า |
RC4DefaultDisablementPhase |
|
ข้อมูลค่า |
0 – ไม่มีการตรวจสอบ ไม่มีการเปลี่ยนแปลง 1 - เหตุการณ์คําเตือนจะถูกเข้าสู่ระบบในการใช้งาน RC4 เริ่มต้น (ค่าเริ่มต้นขั้นตอนที่ 1) 2 – Kerberos จะเริ่มทํางานถ้าไม่ได้เปิดใช้งาน RC4 ตามค่าเริ่มต้น (ค่าเริ่มต้นเฟส 2) |
|
จําเป็นต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่ |
ใช่ |
ตรวจสอบเหตุการณ์
หลังจากการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น ชนิดเหตุการณ์การตรวจสอบต่อไปนี้จะถูกเพิ่มลงใน Windows Server 2012 และใหม่กว่าซึ่งทํางานเป็นตัวควบคุมโดเมน
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
201 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ตรวจพบ <การใช้ชื่อ Cipher name> ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจากไม่ได้กําหนด service msds-SupportedEncryptionTypes และไคลเอ็นต์สนับสนุนเฉพาะชนิดการเข้ารหัสลับที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
รหัสเหตุการณ์: 201 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
202 |
|
ข้อความเหตุการณ์ |
Key Distribution Center ตรวจพบ <Cipher Name> usage ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจากไม่ได้กําหนด service msds-SupportedEncryptionTypes และบัญชีผู้ใช้บริการมีคีย์ที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 202 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
203 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ได้บล็อกการใช้การเข้ารหัสเนื่องจากไม่ได้กําหนดบริการ msds-SupportedEncryptionTypes และไคลเอ็นต์สนับสนุนเฉพาะชนิดการเข้ารหัสลับที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 203 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
204 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ได้บล็อกการใช้การเข้ารหัสเนื่องจากไม่ได้กําหนด service msds-SupportedEncryptionTypes และบัญชีบริการมีคีย์ที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 204 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
205 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ตรวจพบการเปิดใช้งานตัวเข้ารหัสอย่างชัดเจนในการกําหนดค่านโยบายชนิดการเข้ารหัสลับเริ่มต้นที่สนับสนุนโดเมน Cipher: <เปิดใช้งานตัวทําการเข้ารหัสที่ไม่ปลอดภัย> DefaultDomainSupportedEncTypes: <ค่า DefaultDomainSupportedEncTypes ที่กําหนดค่า> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 205 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
206 |
|
ข้อความเหตุการณ์ |
Key Distribution Center ตรวจพบ <Cipher Name> usage ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจากบริการ msds-SupportedEncryptionTypes ถูกกําหนดค่าให้สนับสนุน AES-SHA1 เท่านั้น แต่ไคลเอ็นต์ไม่โฆษณา AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 206 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
207 |
|
ข้อความเหตุการณ์ |
Key Distribution Center ตรวจพบ <Cipher Name> usage ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจาก Service msds-SupportedEncryptionTypes ถูกกําหนดค่าให้สนับสนุน AES-SHA1 เท่านั้น แต่บัญชีผู้ใช้บริการไม่มีคีย์ AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 207 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
208 |
|
ข้อความเหตุการณ์ |
การใช้การเข้ารหัสของศูนย์การแจกจ่ายหลักถูกปฏิเสธโดยเจตนา เนื่องจากบริการ msds-SupportedEncryptionTypes ได้รับการกําหนดค่าให้สนับสนุน AES-SHA1 เท่านั้น แต่ไคลเอ็นต์ไม่โฆษณา AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 208 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
209 |
|
ข้อความเหตุการณ์ |
การใช้การเข้ารหัสของศูนย์การแจกจ่ายคีย์ถูกปฏิเสธโดยเจตนา เนื่องจากบริการ msds-SupportedEncryptionTypes ได้รับการกําหนดค่าให้สนับสนุนเฉพาะ AES-SHA1 แต่บัญชีบริการไม่มีคีย์ AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 209 จะถูกบันทึกถ้า:
|
หมายเหตุ
หากคุณพบข้อความเตือนเหล่านี้ถูกบันทึกไว้ในตัวควบคุมโดเมน อาจเป็นไปได้ว่าตัวควบคุมโดเมนทั้งหมดในโดเมนของคุณไม่ได้รับการอัปเดตด้วย Windows Update ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น เพื่อลดช่องโหว่คุณจะต้องตรวจสอบโดเมนของคุณเพิ่มเติมเพื่อค้นหาตัวควบคุมโดเมนที่ไม่มีข้อมูลล่าสุด
ถ้าคุณเห็น ID เหตุการณ์: 0x8000002A เข้าสู่ระบบบนตัวควบคุมโดเมน โปรดดู KB5021131: วิธีจัดการการเปลี่ยนแปลงโพรโทคอล Kerberos ที่เกี่ยวข้องกับ CVE-2022-37966
คําถามที่ถามบ่อย (คําถามที่ถามบ่อย)
การทําให้แข็งตัวนี้จะส่งผลกระทบต่อตัวควบคุมโดเมน Windows เมื่อออกตั๋วบริการ Kerberos Trust และขั้นตอนการอ้างอิงไม่ได้รับผลกระทบ
อุปกรณ์โดเมนของบริษัทอื่นที่ไม่สามารถประมวลผล AES-SHA1 ควรได้รับการกําหนดค่าอย่างชัดเจนให้อนุญาต AES-SHA1 แล้ว
ไม่ เราจะบันทึกเหตุการณ์คําเตือนสําหรับการกําหนดค่าที่ไม่ปลอดภัยสําหรับ DefaultDomainSupportedEncTypes นอกจากนี้ เราจะไม่เพิกเฉยต่อการกําหนดค่าใดๆ ที่ลูกค้ากําหนดไว้อย่างชัดเจน
แหล่งข้อมูล
KB5020805: วิธีจัดการการเปลี่ยนแปลงโพรโทคอล Kerberos ที่เกี่ยวข้องกับ CVE-2022-37967
KB5021131: วิธีจัดการการเปลี่ยนแปลงโพรโทคอล Kerberos ที่เกี่ยวข้องกับ CVE-2022-37966
