วันที่เผยแพร่ต้นฉบับ: วันที่ 13 มกราคม 2569
KB ID: 5073381
ในบทความนี้
สรุป
การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 และหลังจากนั้นจะมีการป้องกันช่องโหว่ด้วยโพรโทคอลการรับรองความถูกต้อง Kerberos การอัปเดต Windows จะแก้ไขช่องโหว่การเปิดเผยข้อมูลใน CVE-2026-20833 ที่อาจทําให้ผู้โจมตีสามารถรับตั๋วบริการด้วยการเข้ารหัสลับแบบไม่มีประสิทธิภาพหรือแบบดั้งเดิม เช่น RC4 เพื่อทําการโจมตีแบบออฟไลน์เพื่อกู้คืนรหัสผ่านบัญชีบริการ
เพื่อลดช่องโหว่นี้ การอัปเดต Windows ที่เผยแพร่ในวันที่ 14 เมษายน 2026 และหลังจากนั้น ให้เปลี่ยนค่าเริ่มต้น Kerberos Key Distribution Center (KDC) สําหรับ DefaultDomainSupportedEncTypes เว้นแต่ผู้ดูแลระบบจะเปิดใช้งานโหมดการบังคับใช้ก่อนหน้านี้ อัปเดตตัวควบคุมโดเมนที่ทํางานในโหมดการบังคับใช้จะสมมติให้สนับสนุนการกําหนดค่าชนิดการเข้ารหัสลับ Advanced Encryption Standard (AES) เท่านั้นถ้าไม่มีการระบุการกําหนดค่าแบบเปิดเผย สําหรับข้อมูลเพิ่มเติม ให้ดู การตั้งค่าสถานะบิตชนิดการเข้ารหัสลับที่สนับสนุน ค่าเริ่มต้นสําหรับ DefaultDomainSupportedEncTypes จะใช้ในกรณีที่ไม่มีค่าที่ไม่เหมาะสม
บนตัวควบคุมโดเมนที่มีค่ารีจิสทรี DefaultDomainSupportedEncTypes ที่กําหนด ลักษณะการทํางานจะไม่ได้รับผลกระทบจากการเปลี่ยนแปลงเหล่านี้ อย่างไรก็ตาม เหตุการณ์การตรวจสอบ KDCSVC รหัสเหตุการณ์: 205 จะถูกบันทึกในบันทึกเหตุการณ์ของระบบถ้าการกําหนดค่า DefaultDomainSupportedEncTypes ที่มีอยู่ไม่ปลอดภัย (ตัวอย่างเช่น เมื่อใช้ตัวเข้ารหัส RC4)
จัดการงาน
เพื่อช่วยป้องกันสภาพแวดล้อมของคุณและป้องกันการหยุดทํางาน เราขอแนะนําให้คุณ:
-
ปรับ ปรุง ตัวควบคุมโดเมน Microsoft Active Directory ที่เริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น
-
ตรวจสอบบันทึกเหตุการณ์ของระบบสําหรับ KDCSVC 201 > 209 เหตุการณ์การตรวจสอบใดๆ ที่เข้าสู่ระบบ Windows Server 2012 และตัวควบคุมโดเมนที่ใหม่กว่าที่ระบุความเสี่ยงด้วยการเปิดใช้งานการป้องกัน RC4
-
MITIGATE เหตุการณ์ KDCSVC ที่บันทึกไว้ในบันทึกเหตุการณ์ของระบบที่ป้องกันไม่ให้มีการเปิดใช้งานการป้องกัน RC4 ด้วยตนเองหรือทางโปรแกรม
-
เปิด โหมดการบังคับใช้เพื่อแก้ไขช่องโหว่ที่อยู่ใน CVE-2026-20833 ในสภาพแวดล้อมของคุณเมื่อคําเตือน การบล็อก หรือเหตุการณ์นโยบายจะไม่ถูกบันทึกอีกต่อไป
สำคัญ การติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น จะไม่ แก้ไขช่องโหว่ที่อธิบายไว้ใน CVE-2026-20833 สําหรับตัวควบคุมโดเมน Active Directory ตามค่าเริ่มต้น เพื่อลดช่องโหว่อย่างเต็มรูปแบบ คุณควรเปิดใช้งานโหมดการบังคับใช้ด้วยตนเอง (ตามที่อธิบายไว้ใน ขั้นตอนที่ 3: ENABLE) บนตัวควบคุมโดเมนทั้งหมด การติดตั้ง Windows Updates ที่เผยแพร่ในและหลังเดือนกรกฎาคม 2026 จะเปิดใช้งานระยะการบังคับใช้โดยทางโปรแกรม
โหมดการบังคับใช้จะเปิดใช้งานโดยอัตโนมัติโดยการติดตั้ง Windows Updates วางจําหน่ายในวันที่หรือหลังเดือนเมษายน 2026 บนตัวควบคุมโดเมน Windows ทั้งหมด และจะบล็อกการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ที่ไม่ตรงตามมาตรฐาน ในเวลานั้น คุณจะไม่สามารถปิดใช้งานการตรวจสอบได้ แต่อาจย้ายกลับไปยังการตั้งค่าโหมดตรวจสอบ โหมดการตรวจสอบจะถูกลบออกในเดือนกรกฎาคม 2026 ตามที่ระบุไว้ในส่วน การกําหนดเวลาของการอัปเดต และโหมดการบังคับใช้จะเปิดใช้งานบนตัวควบคุมโดเมน Windows ทั้งหมด และจะบล็อกการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ที่ไม่ตรงตามมาตรฐาน
หากคุณต้องการใช้ประโยชน์จาก RC4 หลังจากเดือนเมษายน 2026 เราขอแนะนําให้เปิดใช้งาน RC4 อย่างชัดเจนภายใน msds-SupportedEncryptionTypes บิตมาสก์ในบริการที่จะต้องยอมรับการใช้งาน RC4
เวลาของการอัปเดต
13 มกราคม 2026 - ระยะการปรับใช้เบื้องต้น
ขั้นตอนการปรับใช้ครั้งแรกจะเริ่มต้นด้วยการอัปเดตที่เผยแพร่ในวันที่ 13 มกราคม 2026 และจะดําเนินการต่อกับการอัปเดต Windows ที่ใหม่กว่าจนกว่าจะถึงระยะการบังคับใช้ ขั้นตอนนี้คือการเตือนลูกค้าของการบังคับใช้ความปลอดภัยใหม่ที่จะนํามาใช้ในระยะการปรับใช้ที่สอง การอัปเดตนี้:
-
ให้เหตุการณ์การตรวจสอบเพื่อเตือนลูกค้าที่อาจได้รับผลกระทบจากการเพิ่มความปลอดภัยที่กําลังจะมาถึง
-
ขอแนะนําการสนับสนุนสําหรับค่ารีจิสทรี RC4DefaultDisablementPhase หลังจากผู้ดูแลระบบเปิดใช้งานการเปลี่ยนแปลงเชิงรุกโดยการตั้งค่าเป็น 2 บนตัวควบคุมโดเมนเมื่อเหตุการณ์การตรวจสอบ KDCSVC ระบุว่าปลอดภัยที่จะทําเช่นนั้น
14 เมษายน 2026 - ระยะการบังคับใช้กับการย้อนกลับด้วยตนเอง
การอัปเดตนี้เปลี่ยนค่า DefaultDomainSupportedEncTypes เริ่มต้นสําหรับการดําเนินการ KDC เพื่อใช้ประโยชน์จาก AES-SHA1 สําหรับบัญชีที่ไม่มีการกําหนดแอตทริบิวต์ active directory msds-SupportedEncryptionTypes อย่างชัดเจน
ระยะนี้เปลี่ยนค่าเริ่มต้นสําหรับ DefaultDomainSupportedEncTypes เป็น AES-SHA1 เท่านั้น: 0x18
ขั้นตอนนี้ยังเปิดใช้งานการกําหนดค่าด้วยตนเองของค่าย้อนกลับ RC4DefaultDisablementPhase จนกว่าจะมีการบังคับใช้ทางโปรแกรมในเดือนกรกฎาคม 2026
กรกฎาคม 2026 - ระยะการบังคับใช้
การอัปเดต Windows ที่เผยแพร่ในหรือหลังเดือนกรกฎาคม 2026 จะเอาการสนับสนุนสําหรับคีย์ย่อยของรีจิสทรี RC4DefaultDisablementPhase ออก
แนวทางการปรับใช้
เมื่อต้องการปรับใช้การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น ให้ทําตามขั้นตอนเหล่านี้:
-
อัปเดตตัวควบคุมโดเมนของคุณด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น
-
ตรวจสอบ เหตุการณ์ที่บันทึกในช่วงระยะการปรับใช้เริ่มต้นเพื่อช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมของคุณ
-
ย้ายตัวควบคุมโดเมนของคุณไปยังโหมดการบังคับใช้โดยใช้ส่วนการตั้งค่ารีจิสทรี
ขั้นตอนที่ 1: อัปเดต
ปรับใช้การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้นกับ Windows Active Directory ทั้งหมดที่ใช้เป็นตัวควบคุมโดเมนหลังจากการปรับใช้การอัปเดต
-
เหตุการณ์การตรวจสอบจะปรากฏในบันทึกเหตุการณ์ของระบบถ้าตัวควบคุมโดเมน Windows Server 2012 หรือใหม่กว่าของคุณได้รับการร้องขอตั๋วบริการ Kerberos ที่จําเป็นต้องใช้ตัวเข้ารหัส RC4 แต่บัญชีบริการมีการกําหนดค่าการเข้ารหัสเริ่มต้น
-
เหตุการณ์การตรวจสอบ 205 จะถูกบันทึกในบันทึกเหตุการณ์ของระบบถ้าตัวควบคุมโดเมนของคุณมีการกําหนดค่า DefaultDomainSupportedEncTypes ที่ชัดเจนเพื่ออนุญาตการเข้ารหัสลับ RC4
ขั้นตอนที่ 2: จอภาพ
เมื่ออัปเดตตัวควบคุมโดเมนแล้ว ถ้าคุณไม่เห็นเหตุการณ์การตรวจสอบที่ระบุไว้ในบทความนี้ ให้สลับไปยังโหมดการบังคับใช้โดยการเปลี่ยนค่ารีจิสทรี RC4DefaultDisablementPhase เป็น 2
ถ้ามีเหตุการณ์การตรวจสอบที่สร้างขึ้น คุณจะต้องลบการขึ้นต่อกันของ RC4 หรือกําหนดค่าบัญชีอย่างชัดเจนแอตทริบิวต์ msds-SupportedEncryptionTypes เพื่อสนับสนุนการใช้ RC4 อย่างต่อเนื่องตามการเปิดใช้งานโหมดการบังคับใช้ ด้วยตนเองหรือโดยอัตโนมัติ
สําหรับผู้ดูแลระบบที่สนใจในการแก้ไขการใช้งาน RC4 อย่างกว้างกว่าที่กล่าวถึงในบทความนี้ เราขอแนะนําให้ตรวจสอบ การใช้งานตรวจหาและแก้ไข RC4 ใน Kerberos สําหรับข้อมูลเพิ่มเติม
สำคัญ เหตุการณ์การตรวจสอบที่เกี่ยวข้องกับการเปลี่ยนแปลงนี้จะถูกสร้างขึ้นเมื่อ Active Directory ไม่สามารถออก ตั๋วบริการ AES-SHA1 หรือคีย์เซสชันได้เท่านั้น การไม่มีเหตุการณ์การตรวจสอบ ไม่ได้ รับประกันว่าอุปกรณ์ที่ไม่ใช่ Windows ทั้งหมดจะยอมรับการรับรองความถูกต้อง Kerberos ได้สําเร็จหลังจากการอัปเดตเดือนเมษายน ลูกค้าควรตรวจสอบความสามารถในการทํางานร่วมกันที่ไม่ใช่ของ Windows ผ่านการทดสอบก่อนเปิดใช้งานลักษณะการทํางานนี้อย่างกว้างขวาง
ขั้นตอนที่ 3: เปิดใช้งาน
เปิดใช้งานโหมด การบังคับใช้ เพื่อแก้ไขช่องโหว่ CVE-2026-20833 ในสภาพแวดล้อมของคุณ
-
หากมีการร้องขอ KDC ให้ใส่ตั๋วบริการ RC4 สําหรับบัญชีที่มีการกําหนดค่าเริ่มต้น จะบันทึกเหตุการณ์ข้อผิดพลาด
-
คุณจะยังคงเห็น ID เหตุการณ์: 205 ที่บันทึกสําหรับการกําหนดค่าที่ไม่ปลอดภัยของ DefaultDomainSupportedEncTypes
การตั้งค่ารีจิสทรี
หลังจากการอัปเดตของ Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้นจะได้รับการติดตั้ง รีจิสทรีคีย์ต่อไปนี้จะพร้อมใช้งานสําหรับโพรโทคอล Kerberos
RC4DefaultDisablementPhase
รีจิสทรีคีย์นี้ใช้สําหรับปิดการปรับใช้ของการเปลี่ยนแปลง Kerberos รีจิสทรีคีย์นี้เป็นรีจิสทรีคีย์ชั่วคราว และจะไม่อ่านอีกต่อไปหลังจากวันที่บังคับใช้
|
รีจิสทรีคีย์ |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
ชนิดข้อมูล |
REG_DWORD |
|
ชื่อค่า |
RC4DefaultDisablementPhase |
|
ข้อมูลค่า |
0 – ไม่มีการตรวจสอบ ไม่มีการเปลี่ยนแปลง 1 - เหตุการณ์คําเตือนจะถูกเข้าสู่ระบบในการใช้งาน RC4 เริ่มต้น (ค่าเริ่มต้นขั้นตอนที่ 1) 2 – Kerberos จะเริ่มทํางานถ้าไม่ได้เปิดใช้งาน RC4 ตามค่าเริ่มต้น (ค่าเริ่มต้นเฟส 2) |
|
จําเป็นต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่ |
ใช่ |
ตรวจสอบเหตุการณ์
หลังจากติดตั้งการอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น ประเภทเหตุการณ์การตรวจสอบ KSCSVC ต่อไปนี้จะถูกเพิ่มลงในบันทึกเหตุการณ์ระบบของ Windows Server 2012 และใหม่กว่าที่ทํางานเป็นตัวควบคุมโดเมน
ในส่วนนี้
รหัสเหตุการณ์: 201
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
201 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ตรวจพบ <การใช้ชื่อ Cipher name> ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจากไม่ได้กําหนด service msds-SupportedEncryptionTypes และไคลเอ็นต์สนับสนุนเฉพาะชนิดการเข้ารหัสลับที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
รหัสเหตุการณ์: 201 จะถูกบันทึกถ้า:
|
รหัสเหตุการณ์: 202
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
202 |
|
ข้อความเหตุการณ์ |
Key Distribution Center ตรวจพบ <Cipher Name> usage ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจากไม่ได้กําหนด service msds-SupportedEncryptionTypes และบัญชีผู้ใช้บริการมีคีย์ที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 202 จะถูกบันทึกถ้า:
|
รหัสเหตุการณ์: 203
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
203 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ได้บล็อกการใช้การเข้ารหัสเนื่องจากไม่ได้กําหนดบริการ msds-SupportedEncryptionTypes และไคลเอ็นต์สนับสนุนเฉพาะชนิดการเข้ารหัสลับที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 203 จะถูกบันทึกถ้า:
|
รหัสเหตุการณ์: 204
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
204 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ได้บล็อกการใช้การเข้ารหัสเนื่องจากไม่ได้กําหนด service msds-SupportedEncryptionTypes และบัญชีบริการมีคีย์ที่ไม่ปลอดภัยเท่านั้น ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 204 จะถูกบันทึกถ้า:
|
รหัสเหตุการณ์: 205
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
205 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ตรวจพบการเปิดใช้งานตัวเข้ารหัสอย่างชัดเจนในการกําหนดค่านโยบายชนิดการเข้ารหัสลับเริ่มต้นที่สนับสนุนโดเมน Cipher: <เปิดใช้งานตัวทําการเข้ารหัสที่ไม่ปลอดภัย> DefaultDomainSupportedEncTypes: <ค่า DefaultDomainSupportedEncTypes ที่กําหนดค่า> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 205 จะถูกบันทึกถ้า:
|
รหัสเหตุการณ์: 206
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
206 |
|
ข้อความเหตุการณ์ |
Key Distribution Center ตรวจพบ <Cipher Name> usage ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจากบริการ msds-SupportedEncryptionTypes ถูกกําหนดค่าให้สนับสนุน AES-SHA1 เท่านั้น แต่ไคลเอ็นต์ไม่โฆษณา AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 206 จะถูกบันทึกถ้า:
|
รหัสเหตุการณ์: 207
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
207 |
|
ข้อความเหตุการณ์ |
Key Distribution Center ตรวจพบ <Cipher Name> usage ที่จะไม่ได้รับการสนับสนุนในขั้นตอนการบังคับใช้ เนื่องจาก Service msds-SupportedEncryptionTypes ถูกกําหนดค่าให้สนับสนุน AES-SHA1 เท่านั้น แต่บัญชีผู้ใช้บริการไม่มีคีย์ AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์คําเตือน 207 จะถูกบันทึกถ้า:
|
รหัสเหตุการณ์: 208
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
208 |
|
ข้อความเหตุการณ์ |
การใช้การเข้ารหัสของศูนย์การแจกจ่ายหลักถูกปฏิเสธโดยเจตนา เนื่องจากบริการ msds-SupportedEncryptionTypes ได้รับการกําหนดค่าให้สนับสนุน AES-SHA1 เท่านั้น แต่ไคลเอ็นต์ไม่โฆษณา AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 208 จะถูกบันทึกถ้า:
|
รหัสเหตุการณ์: 209
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
209 |
|
ข้อความเหตุการณ์ |
การใช้การเข้ารหัสของศูนย์การแจกจ่ายคีย์ถูกปฏิเสธโดยเจตนา เนื่องจากบริการ msds-SupportedEncryptionTypes ได้รับการกําหนดค่าให้สนับสนุนเฉพาะ AES-SHA1 แต่บัญชีบริการไม่มีคีย์ AES-SHA1 ข้อมูลบัญชีผู้ใช้ ชื่อบัญชี:> ชื่อบัญชี < ชื่อขอบเขตที่ระบุ: ชื่อขอบเขต <ที่ระบุ> msds-SupportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุน> แป้นที่พร้อมใช้งาน: <แป้นที่พร้อมใช้งาน> ข้อมูลบริการ: ชื่อบริการ:> ชื่อบริการ < รหัสบริการ:> SID ของบริการ < msds-SupportedEncryptionTypes: ชนิดการเข้ารหัสลับที่สนับสนุนของบริการ <> คีย์ที่พร้อมใช้งาน:> คีย์ที่พร้อมใช้งานของบริการ < ข้อมูลตัวควบคุมโดเมน: msds-supportedEncryptionTypes: <ชนิดการเข้ารหัสลับที่สนับสนุนตัวควบคุมโดเมน> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes value> คีย์ที่พร้อมใช้งาน: คีย์ที่พร้อมใช้งานของตัวควบคุมโดเมน <> ข้อมูลเครือข่าย: ที่อยู่ไคลเอ็นต์:> ที่อยู่ IP ของไคลเอ็นต์ < พอร์ตไคลเอ็นต์:> พอร์ตไคลเอ็นต์ < Etype ที่โฆษณา: <ชนิดการเข้ารหัส Kerberos ที่โฆษณา> ดู https://go.microsoft.com/fwlink/?linkid=2344614 เพื่อเรียนรู้เพิ่มเติม |
|
ข้อคิดเห็น |
เหตุการณ์ข้อผิดพลาด 209 จะถูกบันทึกถ้า:
|
หมายเหตุ
เกี่ยวกับการเปลี่ยนแปลงโดยนัยในการเลือกการเข้ารหัสลับตั๋วบริการ Microsoft มีข้อจํากัดในการมองเห็นสาเหตุที่ทําให้อุปกรณ์ที่ไม่ใช่ Windows อาจไม่สามารถยอมรับการรับรองความถูกต้อง Kerberos หลังจาก KDCs ใช้การอัปเดตเดือนเมษายน และย้ายไปยังลักษณะการทํางานของ AES-SHA1 เริ่มต้นเมื่อไม่ได้ระบุ เราขอแนะนําให้ตรวจสอบการเปลี่ยนแปลงเหล่านี้ผ่านการทดสอบภายในสภาพแวดล้อมของคุณเองก่อนเปิดใช้งานลักษณะการทํางานนี้อย่างกว้างขวาง
สถานที่ที่พบมากที่สุดที่ปัญหานี้จะพบได้คืออุปกรณ์ที่ใช้ประโยชน์จาก Kerberos Keytabs ถ้า Kerberos Keytab ถูกส่งออกด้วยคีย์ RC4 เท่านั้น แต่บัญชีบริการเป้าหมายมีคีย์ AES-SHA1 และไม่มี msds-SupportedEncryptionTypes ที่กําหนดไว้ แสดงว่าอาจเป็นไปได้ที่การรับรองความถูกต้องจะล้มเหลวสําหรับบริการดังกล่าว ซึ่งมักจะแสดงรายการในรูปแบบของความล้มเหลวในการรับรองความถูกต้องจากบริการเป้าหมายมากกว่าจาก KDC
คําแนะนําหลักของเราคือการทํางานร่วมกับผู้จําหน่ายอุปกรณ์ที่ไม่ใช่ Windows โดยทั่วไป ความล้มเหลวของอุปกรณ์ที่ไม่ใช่ Windows ในการยอมรับการรับรองความถูกต้อง Kerberos จะไม่ซ้ํากันในการเปลี่ยนแปลงเดือนเมษายน และอาจเกิดจากข้อจํากัดเฉพาะของอุปกรณ์หรือการใช้งานเฉพาะ
หากพบปัญหาการรับรองความถูกต้อง Kerberos กับอุปกรณ์ที่ไม่ใช่ Windows หลังจากการเปลี่ยนแปลงนี้ และการแก้ไขผู้จําหน่ายเป็นไปได้ คําแนะนําของเรามีดังนี้:
-
บนบัญชีบริการที่ได้รับผลกระทบ ให้ระบุ msDS-SupportedEncryptionTypes อย่างชัดเจนเพื่อรวม RC4 กับคีย์เซสชัน AES (0x24)
-
ถ้าไม่สามารถใช้วิธีนี้ได้ เนื่องจากเป็นวิธีสุดท้าย ให้กําหนดค่ารีจิสทรี DefaultDomainSupportedEncTypes บน KDC ที่เกี่ยวข้องทั้งหมดด้วยตนเองเพื่อรวม RC4 กับคีย์เซสชัน AES-SHA1 (0x24) โปรดทราบว่าการดําเนินการนี้จะทําให้บัญชีทั้งหมดในโดเมนเสี่ยงต่อ CVE-2026-20833
เป็นสิ่งสําคัญที่ต้องทราบว่าการกําหนดค่านี้ไม่ปลอดภัย และคําแนะนําระยะยาวของเราคือการโยกย้ายอุปกรณ์ที่ไม่ใช่ของ Windows ไปยังเวอร์ชันที่สนับสนุนการเข้ารหัสตั๋ว AES-SHA1 Kerberos
คําถามที่ถามบ่อย (คําถามที่ถามบ่อย)
คําถามที่ 1: การเปลี่ยนแปลงนี้โต้ตอบกับโดเมนที่มี KDC ของบริษัทอื่นอย่างไร
การเปลี่ยนแปลงการทําให้แข็งตัวนี้จะส่งผลกระทบต่อตัวควบคุมโดเมน Windows เท่านั้น Kerberos Trust และ Referral Flow กับตัวควบคุมโดเมน Windows อื่นๆ หรือ KDC ของบริษัทอื่นไม่ได้รับผลกระทบ
คําถามที่ 2: การเปลี่ยนแปลงนี้โต้ตอบกับโดเมนที่มีอุปกรณ์ที่ไม่ใช่โดเมน Windows อย่างไร
อุปกรณ์โดเมนของบริษัทอื่นที่ไม่สามารถประมวลผลการเข้ารหัสลับ AES-SHA1 ควรได้รับการกําหนดค่าอย่างชัดเจนให้อนุญาตการเข้ารหัสลับ RC4 แล้ว บริการที่ไม่สามารถประมวลผลตั๋ว AES-SHA1 จะต้องได้รับการแก้ไขหรือกําหนดค่าอย่างชัดเจนใน Active Diretory เพื่อให้การเข้ารหัส RC4 ตามที่ระบุไว้ข้างต้น โปรดตรวจสอบความถูกต้องของการเปลี่ยนแปลงเหล่านี้อย่างละเอียด
คําถามที่ 3: Microsoft จะลบความสามารถในการกําหนดค่า DefaultDomainSupportedEncTypes หรือไม่
ไม่ เราจะบันทึกเหตุการณ์คําเตือนสําหรับการกําหนดค่าที่ไม่ปลอดภัยสําหรับ DefaultDomainSupportedEncTypes นอกจากนี้ เราจะปฏิบัติตามการกําหนดค่าใดๆ ที่ตั้งค่าไว้อย่างชัดเจนโดยผู้ดูแลระบบ
แหล่งข้อมูล
เปลี่ยนล็อก
|
เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
|
14 เมษายน 2026 |
|
|
วันที่ 7 เมษายน 2026 |
|
|
วันที่ 16 มีนาคม 2569 |
|
|
วันที่ 10 กุมภาพันธ์ 2569 |
|
