วันที่เผยแพร่ต้นฉบับ: วันที่ 13 มกราคม 2569
KB ID: 5073381
|
เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
|
วันที่ 10 กุมภาพันธ์ 2569 |
|
ในบทความนี้
สรุป
การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 และหลังจากนั้นจะมีการป้องกันช่องโหว่ด้วยโพรโทคอลการรับรองความถูกต้อง Kerberos การอัปเดต Windows จะแก้ไขช่องโหว่การเปิดเผยข้อมูลใน CVE-2026-20833 ที่อาจทําให้ผู้โจมตีสามารถรับตั๋วบริการด้วยการเข้ารหัสลับแบบไม่มีประสิทธิภาพหรือแบบดั้งเดิม เช่น RC4 เพื่อทําการโจมตีแบบออฟไลน์เพื่อกู้คืนรหัสผ่านบัญชีบริการ
เมื่อต้องการลดช่องโหว่นี้ ค่าเริ่มต้นของ DefaultDomainSupportedEncTypes จะเปลี่ยนแปลงโดยการเปิดใช้งานโหมดการบังคับใช้ อัปเดตตัวควบคุมโดเมนที่ทํางานในโหมดการบังคับใช้จะสนับสนุนการกําหนดค่าชนิดการเข้ารหัสลับขั้นสูง Standard (AES) เท่านั้น สําหรับข้อมูลเพิ่มเติม ให้ดู การตั้งค่าสถานะบิตชนิดการเข้ารหัสลับที่สนับสนุน ค่าเริ่มต้นสําหรับ DefaultDomainSupportedEncTypes จะใช้ในกรณีที่ไม่มีค่าที่ชัดเจน
บนตัวควบคุมโดเมนที่มีค่ารีจิสทรี DefaultDomainSupportedEncTypes ที่กําหนด ลักษณะการทํางานจะไม่ได้รับผลกระทบจากการเปลี่ยนแปลงเหล่านี้ อย่างไรก็ตาม เหตุการณ์การตรวจสอบ KDCSVC รหัสเหตุการณ์: 205 จะถูกบันทึกในบันทึกเหตุการณ์ของระบบถ้าการกําหนดค่า DefaultDomainSupportedEncTypes ที่มีอยู่ไม่ปลอดภัย (ตัวอย่างเช่น เมื่อใช้ตัวเข้ารหัส RC4)
จัดการงาน
เพื่อช่วยป้องกันสภาพแวดล้อมของคุณและป้องกันการหยุดทํางาน เราขอแนะนําให้คุณ:
-
ปรับ ปรุง ตัวควบคุมโดเมน Microsoft Active Directory ที่เริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น
-
ตรวจสอบบันทึกเหตุการณ์ของระบบสําหรับ KDCSVC 201 > 209 เหตุการณ์การตรวจสอบใดๆ ที่เข้าสู่ระบบ Windows Server 2012 และตัวควบคุมโดเมนที่ใหม่กว่าที่ระบุความเสี่ยงด้วยการเปิดใช้งานการป้องกัน RC4
-
MITIGATE เหตุการณ์ KDCSVC ที่บันทึกไว้ในบันทึกเหตุการณ์ของระบบที่ป้องกันไม่ให้มีการเปิดใช้งานการป้องกัน RC4 ด้วยตนเองหรือทางโปรแกรม
-
เปิด โหมดการบังคับใช้เพื่อแก้ไขช่องโหว่ที่อยู่ใน CVE-2026-20833 ในสภาพแวดล้อมของคุณเมื่อคําเตือน การบล็อก หรือเหตุการณ์นโยบายจะไม่ถูกบันทึกอีกต่อไป
สำคัญ การติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น จะไม่ แก้ไขช่องโหว่ที่อธิบายไว้ใน CVE-2026-20833 สําหรับตัวควบคุมโดเมน Active Directory ตามค่าเริ่มต้น เพื่อลดช่องโหว่อย่างเต็มรูปแบบ คุณควรเปิดใช้งานโหมดการบังคับใช้ด้วยตนเอง (ตามที่อธิบายไว้ใน ขั้นตอนที่ 3: ENABLE) บนตัวควบคุมโดเมนทั้งหมด การติดตั้ง Windows Updates ที่เผยแพร่ในและหลังเดือนกรกฎาคม 2026 จะเปิดใช้งานระยะการบังคับใช้โดยทางโปรแกรม
โหมดการบังคับใช้จะเปิดใช้งานโดยอัตโนมัติโดยการติดตั้ง Windows Updates วางจําหน่ายในวันที่หรือหลังเดือนเมษายน 2026 บนตัวควบคุมโดเมน Windows ทั้งหมด และจะบล็อกการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ที่ไม่ตรงตามมาตรฐาน ในเวลานั้น คุณจะไม่สามารถปิดใช้งานการตรวจสอบได้ แต่อาจย้ายกลับไปยังการตั้งค่าโหมดตรวจสอบ โหมดการตรวจสอบจะถูกลบออกในเดือนกรกฎาคม 2026 ตามที่ระบุไว้ในส่วน การกําหนดเวลาของการอัปเดต และโหมดการบังคับใช้จะเปิดใช้งานบนตัวควบคุมโดเมน Windows ทั้งหมด และจะบล็อกการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ที่ไม่ตรงตามมาตรฐาน
หากคุณต้องการใช้ประโยชน์จาก RC4 หลังจากเดือนเมษายน 2026 เราขอแนะนําให้เปิดใช้งาน RC4 อย่างชัดเจนภายใน msds-SupportedEncryptionTypes บิตมาสก์ในบริการที่จะต้องยอมรับการใช้งาน RC4
เวลาของการอัปเดต
13 มกราคม 2026 - ระยะการปรับใช้เบื้องต้น
ขั้นตอนการปรับใช้ครั้งแรกจะเริ่มต้นด้วยการอัปเดตที่เผยแพร่ในวันที่ 13 มกราคม 2026 และจะดําเนินการต่อกับการอัปเดต Windows ที่ใหม่กว่าจนกว่าจะถึงระยะการบังคับใช้ ขั้นตอนนี้คือการเตือนลูกค้าของการบังคับใช้ความปลอดภัยใหม่ที่จะนํามาใช้ในระยะการปรับใช้ที่สอง การอัปเดตนี้:
-
ให้เหตุการณ์การตรวจสอบเพื่อเตือนลูกค้าที่อาจได้รับผลกระทบจากการเพิ่มความปลอดภัยที่กําลังจะมาถึง
-
ขอแนะนําการสนับสนุนสําหรับค่ารีจิสทรี RC4DefaultDisablementPhase หลังจากผู้ดูแลระบบเปิดใช้งานการเปลี่ยนแปลงเชิงรุกโดยการตั้งค่าเป็น 2 บนตัวควบคุมโดเมนเมื่อเหตุการณ์การตรวจสอบ KDCSVC ระบุว่าปลอดภัยที่จะทําเช่นนั้น
เมษายน 2026 - ระยะการบังคับใช้กับการย้อนกลับด้วยตนเอง
การอัปเดตนี้เปลี่ยนค่า DefaultDomainSupportedEncTypes เริ่มต้นสําหรับการดําเนินการ KDC เพื่อใช้ประโยชน์จาก AES-SHA1 สําหรับบัญชีที่ไม่มีการกําหนดแอตทริบิวต์ active directory msds-SupportedEncryptionTypes อย่างชัดเจน
ระยะนี้เปลี่ยนค่าเริ่มต้นสําหรับ DefaultDomainSupportedEncTypes เป็น AES-SHA1 เท่านั้น: 0x18
ขั้นตอนนี้ยังเปิดใช้งานการกําหนดค่าด้วยตนเองของค่าย้อนกลับ RC4DefaultDisablementPhase จนกว่าจะมีการบังคับใช้ทางโปรแกรมในเดือนกรกฎาคม 2026
กรกฎาคม 2026 - ระยะการบังคับใช้
การอัปเดต Windows ที่เผยแพร่ในหรือหลังเดือนกรกฎาคม 2026 จะเอาการสนับสนุนสําหรับคีย์ย่อยของรีจิสทรี RC4DefaultDisablementPhase ออก
แนวทางการปรับใช้
เมื่อต้องการปรับใช้การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น ให้ทําตามขั้นตอนเหล่านี้:
-
อัปเดตตัวควบคุมโดเมนของคุณด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น
-
ตรวจสอบ เหตุการณ์ที่บันทึกในช่วงระยะการปรับใช้เริ่มต้นเพื่อช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมของคุณ
-
ย้ายตัวควบคุมโดเมนของคุณไปยังโหมดการบังคับใช้โดยใช้ส่วนการตั้งค่ารีจิสทรี
ขั้นตอนที่ 1: อัปเดต
ปรับใช้การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้นกับ Windows Active Directory ทั้งหมดที่ใช้เป็นตัวควบคุมโดเมนหลังจากการปรับใช้การอัปเดต
-
เหตุการณ์การตรวจสอบจะปรากฏในบันทึกเหตุการณ์ของระบบถ้าตัวควบคุมโดเมน Windows Server 2012 หรือใหม่กว่าของคุณได้รับการร้องขอตั๋วบริการ Kerberos ที่จําเป็นต้องใช้ตัวเข้ารหัส RC4 แต่บัญชีบริการมีการกําหนดค่าการเข้ารหัสเริ่มต้น
-
เหตุการณ์การตรวจสอบ 205 จะถูกบันทึกในบันทึกเหตุการณ์ของระบบถ้าตัวควบคุมโดเมนของคุณมีการกําหนดค่า DefaultDomainSupportedEncTypes ที่ชัดเจนเพื่ออนุญาตการเข้ารหัสลับ RC4
ขั้นตอนที่ 2: จอภาพ
เมื่ออัปเดตตัวควบคุมโดเมนแล้ว ถ้าคุณไม่เห็นเหตุการณ์การตรวจสอบให้สลับไปยังโหมดการบังคับใช้โดยการเปลี่ยนค่า RC4DefaultDisablementPhase เป็น 2
ถ้ามีเหตุการณ์การตรวจสอบที่สร้างขึ้น คุณจะต้องลบการขึ้นต่อกันของ RC4 หรือกําหนดค่าบัญชีที่ Kerberos สนับสนุนประเภทการเข้ารหัสเพื่อสนับสนุนการใช้ RC4 อย่างต่อเนื่องหลังจากการเปิดใช้งานโหมดการบังคับใช้ ด้วยตนเองหรือโดยอัตโนมัติ
เมื่อต้องการเรียนรู้วิธีการตรวจหาการใช้งาน RC4 ในโดเมนของคุณ การตรวจสอบจะระบุอุปกรณ์และบัญชีผู้ใช้ที่ยังคงขึ้นอยู่กับ RC4 ผู้ดูแลระบบควรทําตามขั้นตอนในการแก้ไขการใช้งานเพื่อสนับสนุนชนิดการเข้ารหัสลับที่รัดกุมกว่า หรือจัดการการขึ้นต่อกันของ RC4 ดูข้อมูลเพิ่มเติมได้ที่ ตรวจหาและแก้ไขการใช้งาน RC4 ใน Kerberos
ขั้นตอนที่ 3: เปิดใช้งาน
เปิดใช้งานโหมด การบังคับใช้ เพื่อแก้ไขช่องโหว่ CVE-2026-20833 ในสภาพแวดล้อมของคุณ
-
หากมีการร้องขอ KDC ให้ใส่ตั๋วบริการ RC4 สําหรับบัญชีที่มีการกําหนดค่าเริ่มต้น จะบันทึกเหตุการณ์ข้อผิดพลาด
-
คุณจะยังคงเห็น ID เหตุการณ์: 205 ที่บันทึกสําหรับการกําหนดค่าที่ไม่ปลอดภัยของ DefaultDomainSupportedEncTypes
การตั้งค่ารีจิสทรี
หลังจากการอัปเดตของ Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้นจะได้รับการติดตั้ง รีจิสทรีคีย์ต่อไปนี้จะพร้อมใช้งานสําหรับโพรโทคอล Kerberos
รีจิสทรีคีย์นี้ใช้สําหรับปิดการปรับใช้ของการเปลี่ยนแปลง Kerberos รีจิสทรีคีย์นี้เป็นรีจิสทรีคีย์ชั่วคราว และจะไม่อ่านอีกต่อไปหลังจากวันที่บังคับใช้
|
รีจิสทรีคีย์ |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
ชนิดข้อมูล |
REG_DWORD |
|
ชื่อค่า |
RC4DefaultDisablementPhase |
|
ข้อมูลค่า |
0 – ไม่มีการตรวจสอบ ไม่มีการเปลี่ยนแปลง 1 - เหตุการณ์คําเตือนจะถูกเข้าสู่ระบบในการใช้งาน RC4 เริ่มต้น (ค่าเริ่มต้นขั้นตอนที่ 1) 2 – Kerberos จะเริ่มทํางานถ้าไม่ได้เปิดใช้งาน RC4 ตามค่าเริ่มต้น (ค่าเริ่มต้นเฟส 2) |
|
จําเป็นต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่ |
ใช่ |
ตรวจสอบเหตุการณ์
หลังจากติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น ประเภทเหตุการณ์การตรวจสอบ KSCSVC ต่อไปนี้จะถูกเพิ่มลงในบันทึกเหตุการณ์ระบบของ Windows Server 2012 และใหม่กว่าที่ทํางานเป็นตัวควบคุมโดเมน
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
201 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ตรวจพบ <การใช้ชื่อ Cipher name> ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจากไม่ได้กําหนด service msds-SupportedEncryptionTypes และไคลเอ็นต์สนับสนุนเฉพาะชนิดการเข้ารหัสลับที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
รหัสเหตุการณ์: 201 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
202 |
|
ข้อความเหตุการณ์ |
Key Distribution Center ตรวจพบ <Cipher Name> usage ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจากไม่ได้กําหนด service msds-SupportedEncryptionTypes และบัญชีผู้ใช้บริการมีคีย์ที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 202 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
203 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ได้บล็อกการใช้การเข้ารหัสเนื่องจากไม่ได้กําหนดบริการ msds-SupportedEncryptionTypes และไคลเอ็นต์สนับสนุนเฉพาะชนิดการเข้ารหัสลับที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 203 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
204 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ได้บล็อกการใช้การเข้ารหัสเนื่องจากไม่ได้กําหนด service msds-SupportedEncryptionTypes และบัญชีบริการมีคีย์ที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 204 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
205 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ตรวจพบการเปิดใช้งานตัวเข้ารหัสอย่างชัดเจนในการกําหนดค่านโยบายชนิดการเข้ารหัสลับเริ่มต้นที่สนับสนุนโดเมน Cipher: <เปิดใช้งานตัวทําการเข้ารหัสที่ไม่ปลอดภัย> DefaultDomainSupportedEncTypes: <ค่า DefaultDomainSupportedEncTypes ที่กําหนดค่า> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 205 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
206 |
|
ข้อความเหตุการณ์ |
Key Distribution Center ตรวจพบ <Cipher Name> usage ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจากบริการ msds-SupportedEncryptionTypes ถูกกําหนดค่าให้สนับสนุน AES-SHA1 เท่านั้น แต่ไคลเอ็นต์ไม่โฆษณา AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 206 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
207 |
|
ข้อความเหตุการณ์ |
Key Distribution Center ตรวจพบ <Cipher Name> usage ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจาก Service msds-SupportedEncryptionTypes ถูกกําหนดค่าให้สนับสนุน AES-SHA1 เท่านั้น แต่บัญชีผู้ใช้บริการไม่มีคีย์ AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 207 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
208 |
|
ข้อความเหตุการณ์ |
การใช้การเข้ารหัสของศูนย์การแจกจ่ายหลักถูกปฏิเสธโดยเจตนา เนื่องจากบริการ msds-SupportedEncryptionTypes ได้รับการกําหนดค่าให้สนับสนุน AES-SHA1 เท่านั้น แต่ไคลเอ็นต์ไม่โฆษณา AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 208 จะถูกบันทึกถ้า:
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
209 |
|
ข้อความเหตุการณ์ |
การใช้การเข้ารหัสของศูนย์การแจกจ่ายคีย์ถูกปฏิเสธโดยเจตนา เนื่องจากบริการ msds-SupportedEncryptionTypes ได้รับการกําหนดค่าให้สนับสนุนเฉพาะ AES-SHA1 แต่บัญชีบริการไม่มีคีย์ AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 209 จะถูกบันทึกถ้า:
|
หมายเหตุ
หากคุณพบข้อความเตือนเหล่านี้ถูกบันทึกไว้ในตัวควบคุมโดเมน อาจเป็นไปได้ว่าตัวควบคุมโดเมนทั้งหมดในโดเมนของคุณไม่ได้รับการอัปเดตด้วย Windows Update ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น เพื่อลดช่องโหว่คุณจะต้องตรวจสอบโดเมนของคุณเพิ่มเติมเพื่อค้นหาตัวควบคุมโดเมนที่ไม่มีข้อมูลล่าสุด
ถ้าคุณเห็น ID เหตุการณ์: 0x8000002A เข้าสู่ระบบบนตัวควบคุมโดเมน โปรดดู KB5021131: วิธีจัดการการเปลี่ยนแปลงโพรโทคอล Kerberos ที่เกี่ยวข้องกับ CVE-2022-37966
คําถามที่ถามบ่อย (คําถามที่ถามบ่อย)
การเปลี่ยนแปลงการทําให้แข็งตัวนี้จะส่งผลกระทบต่อตัวควบคุมโดเมน Windows เท่านั้น Kerberos Trust และ Referral Flow กับตัวควบคุมโดเมน Windows อื่นๆ หรือ KDC ของบริษัทอื่นไม่ได้รับผลกระทบ
อุปกรณ์โดเมนของบริษัทอื่นที่ไม่สามารถประมวลผลการเข้ารหัสลับ AES-SHA1 ควรได้รับการกําหนดค่าอย่างชัดเจนให้อนุญาตการเข้ารหัส AES-SHA1 แล้ว
ไม่ เราจะบันทึกเหตุการณ์คําเตือนสําหรับการกําหนดค่าที่ไม่ปลอดภัยสําหรับ DefaultDomainSupportedEncTypes นอกจากนี้ เราจะปฏิบัติตามการกําหนดค่าใดๆ ที่ตั้งค่าไว้อย่างชัดเจนโดยผู้ดูแลระบบ
แหล่งข้อมูล
KB5020805: วิธีจัดการการเปลี่ยนแปลงโพรโทคอล Kerberos ที่เกี่ยวข้องกับ CVE-2022-37967
KB5021131: วิธีจัดการการเปลี่ยนแปลงโพรโทคอล Kerberos ที่เกี่ยวข้องกับ CVE-2022-37966
