Özgün yayımlama tarihi: 13 Ocak 2026, İstanbul
KB kimliği: 5073381
Windows Güvenli Önyükleme sertifikasının süresi dolması
Önemli: Çoğu Windows cihazı tarafından kullanılan Güvenli Önyükleme sertifikalarının süresi Haziran 2026 tarihinden itibaren dolacaktır. Bu durum, zamanında güncellenmediği takdirde bazı kişisel ve iş cihazlarının güvenli bir şekilde önyükleme yapabilmesini etkileyebilir. Kesintileri önlemek için kılavuzu gözden geçirmenizi ve sertifikaları güncelleştirmek için önceden harekete geçmenizi öneririz. Ayrıntılar ve hazırlık adımları için Windows Güvenli Önyükleme sertifikasının süresinin dolması ve CA güncelleştirmeleri bölümüne bakınız
Bu makalede
Özet
13 Ocak 2026 tarihinde ve sonrasında yayımlanan Windows güncelleştirmeleri, Kerberos kimlik doğrulama protokolü ile bir güvenlik açığı için korumalar içerir. Windows güncelleştirmeleri, bir saldırganın RC4 gibi zayıf veya eski şifreleme türlerine sahip hizmet biletlerini almasına ve hizmet hesabı parolasını kurtarmak için çevrimdışı saldırılar gerçekleştirmesine olanak tanıyabilecek bir bilgilerin açığa çıkması güvenlik açığını giderir.
Ortamınızın güvenliğini sağlamaya ve sağlamlaştırmaya yardımcı olmak için, 13 Ocak 2026 veya sonrasında yayımlanan Windows güncelleştirmesini etki alanı denetleyicisi olarak çalışan "Şunlar için geçerlidir" bölümünde listelenen tüm Windows sunucularına yükleyin. Güvenlik açıkları hakkında daha fazla bilgi edinmek için bkz. CVE-2026-20833.
Bu güvenlik açığını azaltmak için DefaultDomainSupportedEncTypes (DDSET) varsayılan değeri değiştirilerek, tüm etki alanı denetleyicilerinin açık Kerberos şifreleme türü yapılandırması olmayan hesaplar için yalnızca Gelişmiş Şifreleme Standardı (AES-SHA1)şifreli anahtarları desteklemesi sağlanır. Daha fazla bilgi için bkz. Desteklenen Şifreleme Türleri Bit Bayrakları.
Tanımlı DefaultDomainSupportedEncTypes kayıt defteri değerine sahip etki alanı denetleyicilerinde davranış, bu değişikliklerden işlevsel olarak etkilenmez. Ancak, mevcut DefaultDomainSupportedEncTypes yapılandırması güvenli değilse, Sistem olay günlüğüne bir Audit olayı KDCSVC Olay Kimliği: 205 kaydedilebilir.
Harekete geçin
Ortamınızı korumaya ve kesintileri önlemeye yardımcı olmak için aşağıdaki adımları gerçekleştirmenizi öneririz:
-
GÜNCELLEŞTİRME 13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleriyle başlayan Microsoft Active Directory etki alanı denetleyicileri.
-
RC4 korumalarının etkinleştirilmesiyle riskleri tanımlayan Windows Server 2012 ve daha yeni etki alanı denetleyicilerinde günlüğe kaydedilen 9 Denetim olayından herhangi biri için Sistem olay günlüğünü izleyin.
-
AZALTMAK RC4 korumalarının el ile veya program aracılığıyla etkinleştirilmesini engelleyen Sistem olay günlüğüne kaydedilen KDCSVC olayları.
-
ETKİNLEŞTİRMEK Uyarı, engelleme veya ilke olayları artık günlüğe kaydedilmediğinde ortamınızda CVE-2026-20833'te giderilen güvenlik açıklarını gidermek için zorlama modu.
ÖNEMLİ 13 Ocak 2026 veya sonrasında yayımlanan güncelleştirmelerin yüklenmesi, varsayılan olarak Active Directory etki alanı denetleyicileri için CVE-2026-20833'te açıklanan güvenlik açıklarını ELE ALMAZ. Güvenlik açığını tamamen azaltmak için tüm etki alanı denetleyicilerinde en kısa sürede Zorunlu moda geçmeniz gerekir ( Adım 3'te açıklanmıştır).
Nisan 2026'dan itibaren, zorlama modu tüm Windows etki alanı denetleyicilerinde etkinleştirilecek ve uyumlu olmayan cihazlardan gelen güvenlik açığı olan bağlantıları engelleyecek. Bu sırada denetimi devre dışı bırakamazsınız ancak Denetim modu ayarına geri dönebilirsiniz. Güncelleştirmelerin zamanlaması bölümünde açıklandığı gibi denetim modu Temmuz 2026'da kaldırılacak ve Zorlama modu tüm Windows etki alanı denetleyicilerinde etkinleştirilecek ve uyumlu olmayan cihazlardan gelen güvenlik açığı olan bağlantıları engelleyecek.
Nisan 2026'dan sonra RC4'den yararlanmanız gerekiyorsa, RC4 kullanımını kabul etmesinin gerekeceği hizmetlerde msds-SupportedEncryptionTypes bitmask içinde RC4'i açıkça etkinleştirmenizi öneririz.
Güncelleştirmelerin zamanlaması
13 Ocak 2026 - İlk Dağıtım Aşaması
İlk dağıtım aşaması, 13 Ocak 2026 tarihinde ve sonrasında yayımlanan güncelleştirmelerle başlar ve Zorlama aşamasına kadar sonraki Windows güncelleştirmeleriyle devam eder. Bu aşama, ikinci dağıtım aşamasında kullanıma sunulacak yeni güvenlik zorlamaları konusunda müşterileri uyarmaktır. Bu güncelleştirme:
-
Yaklaşan güvenlik sağlamlaştırmadan olumsuz etkilenecek müşterileri uyarmak için denetim olayları sağlar.
-
KDCSVC Denetim olayları güvenli olduğunu gösterdiğinde etki alanı denetleyicilerinde değeri 2 olarak ayarlayarak değişikliği proaktif olarak etkinleştirmek için RC4DefaultDisablementPhase kayıt defteri değerini tanıtır.
Nisan 2026 - İkinci Dağıtım Aşaması
Bu güncelleştirme, KDC işlemleri için varsayılan DefaultDomainSupportedEncTypes değerini, tanımlı açık msds-SupportedEncryptionTypes active directory özniteliği olmayan hesaplar için AES-SHA1'den yararlanacak şekilde değiştirir.
Bu aşama DefaultDomainSupportedEncTypes için varsayılan değeri yalnızca AES-SHA1 olarak değiştirir: 0x18.
Temmuz 2026 - Zorlama Aşaması
Temmuz 2026 veya sonrasında yayımlanan Windows güncelleştirmeleri RC4DefaultDisablementPhase kayıt defteri alt anahtarı desteğini kaldırır.
Dağıtım yönergeleri
13 Ocak 2026 veya sonrasında yayımlanan Windows güncelleştirmelerini dağıtmak için şu adımları izleyin:
-
Etki alanı denetleyicilerinizi, 13 Ocak 2026 tarihinde veya sonrasında yayımlanan bir Windows güncelleştirmesi ile GÜNCELLEŞTIRin.
-
Ortamınızın güvenliğini sağlamaya yardımcı olmak için ilk dağıtım aşamasında günlüğe kaydedilen olayları izleyin.
-
Kayıt defteri ayarları bölümünü kullanarak etki alanı denetleyicilerinizi Zorlama moduna taşıyın.
1. Adım: GÜNCELLE
13 Ocak 2026 veya sonrasında yayımlanan Windows güncelleştirmesini, güncelleştirmeyi dağıtdıktan sonra etki alanı denetleyicisi olarak çalışan tüm geçerli Windows Active Directory'ye dağıtın.
-
Etki alanı denetleyiciniz RC4 şifrelemesinin kullanılmasını gerektiren ancak hizmet hesabının varsayılan şifreleme yapılandırmasına sahip olan Kerberos hizmet bileti isteklerini alıyorsa, denetim olayları Sistem olay günlüklerinde görünür.
-
Etki alanı denetleyicinizin RC4 şifrelemesine izin veren açık bir DefaultDomainSupportedEncTypes yapılandırması varsa denetim olayları Sistem olay günlüğüne kaydedilir.
2. Adım: İzleme
Etki alanı denetleyicileri güncelleştirildikten sonra, herhangi bir denetim olayı görmüyorsanız RC4DefaultDisablementPhase değerini 2 olarak değiştirerek Zorlama moduna geçin.
Oluşturulan denetim olayları varsa RC4 bağımlılıklarını kaldırmanız veya Kerberos tarafından desteklenen şifreleme türlerini açıkça yapılandırmanız gerekir. Ardından Zorlama moduna geçebileceksiniz.
Etki alanınızda RC4 kullanımını algılamayı, hala RC4'e bağımlı olan cihaz ve kullanıcı hesaplarını denetlemeyi ve daha güçlü şifreleme türlerine göre kullanımı düzeltmeye veya RC4 bağımlılıklarını yönetmeye yönelik adımları atmayı öğrenmek için bkz. Kerberos'ta RC4 kullanımını algılama ve düzeltme.
3. Adım: ETKİnLEŞTİr
Ortamınızdaki CVE-2026-20833 güvenlik açıklarını gidermek için Zorlama modunu etkinleştirin.
-
KDC'nin varsayılan yapılandırmaları olan bir hesap için RC4 hizmet bileti sağlaması istenirse bir hata olayı günlüğe kaydedilir.
-
DefaultDomainSupportedEncTypes'ın güvenli olmayan yapılandırması için olay kimliği: 205'in günlüğe kaydedildiğini görmeye devam edebilirsiniz.
Kayıt defteri ayarları
13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra, Kerberos protokolü için aşağıdaki kayıt defteri anahtarı kullanılabilir.
Bu kayıt defteri anahtarı, Kerberos değişikliklerinin dağıtımını geçmek için kullanılır. Bu kayıt defteri anahtarı geçicidir ve artık zorlama tarihinden sonra okunmayacak.
|
Kayıt defteri anahtarı |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Veri türü |
REG_DWORD |
|
Value name |
RC4DefaultDisablementPhase |
|
Value data |
0 – Denetim yok, değişiklik yok 1 - Uyarı olayları varsayılan RC4 kullanımına kaydedilir. (1. Aşama varsayılan) 2 – Kerberos, RC4'in varsayılan olarak etkinleştirilmediğini varsayarak başlar. (2. aşama varsayılan) |
|
Yeniden başlatma gerekiyor mu? |
Evet |
Olayları denetleme
13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra, etki alanı denetleyicisi olarak çalışan Windows Server 2012 ve sonraki sürümlere aşağıdaki Denetim olayı türleri eklenir.
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
201 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, <Şifreleme Adı> kullanımı algıladı çünkü service msds-SupportedEncryptionTypes tanımlanmadı ve istemci yalnızca güvenli olmayan şifreleme türlerini destekliyor. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Olay Kimliği: 201 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
202 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, msds-SupportedEncryptionTypes hizmeti tanımlanmadığından ve hizmet hesabında yalnızca güvenli olmayan anahtarlar bulunduğundan, zorlama aşamasında desteklenmeyen Şifreleme Adı> kullanımı <algıladı. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 202 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
203 |
|
Olay Metni |
Anahtar Dağıtım Merkezi şifreleme kullanımını engelledi çünkü service msds-SupportedEncryptionTypes tanımlanmadı ve istemci yalnızca güvenli olmayan şifreleme türlerini destekliyor. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 203 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
204 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, msds-SupportedEncryptionTypes hizmeti tanımlanmadığından ve hizmet hesabında yalnızca güvenli olmayan anahtarlar bulunduğundan şifreleme kullanımını engelledi. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 204 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
205 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, Varsayılan Etki Alanı Desteklenen Şifreleme Türleri ilke yapılandırmasında açık şifreleme etkinleştirmesi algılamıştı. Şifreler: <Güvenli Olmayan Şifrelemeler> DefaultDomainSupportedEncTypes: <Yapılandırılmış DefaultDomainSupportedEncTypes Değeri> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 205 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
206 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, şifreleme adı> kullanımı <algıladı çünkü service msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldı ancak istemci AES-SHA1'i reklamlaştırmadı Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 206 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
207 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, şifreleme adı> kullanımı <algıladı çünkü service msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldı ancak hizmet hesabında AES-SHA1 anahtarları yok. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 207 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
208 |
|
Olay Metni |
Anahtar Dağıtım Merkezi şifreleme kullanımını kasıtlı olarak reddetti çünkü service msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldı ancak istemci AES-SHA1'i reklamlaştırmadı Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 208 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
209 |
|
Olay Metni |
Hizmet msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldığından ancak hizmet hesabında AES-SHA1 anahtarları olmadığından Anahtar Dağıtım Merkezi şifreleme kullanımını kasıtlı olarak reddetti Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 209 şu durumda günlüğe kaydedilir:
|
Not
Bu uyarı iletilerinden herhangi birinin bir etki alanı denetleyicisinde günlüğe kaydedildiğini fark ederseniz, etki alanınızdaki tüm etki alanı denetleyicilerinin 13 Ocak 2026 veya sonrasında yayımlanan bir Windows güncelleştirmesi ile güncel olmaması olasıdır. Güvenlik açığını azaltmak için, güncel olmayan etki alanı denetleyicilerini bulmak için etki alanınızı daha fazla araştırmanız gerekir.
Bir etki alanı denetleyicisinde oturum açmış bir Olay Kimliği: 0x8000002A görüyorsanız lütfen KB5021131: CVE-2022-37966 ile ilgili Kerberos protokol değişikliklerini yönetme bölümüne bakın.
Sık sorulan sorular (SSS)
Bu sağlamlaştırma, hizmet biletleri veren Windows etki alanı denetleyicilerini etkiler. Kerberos Güveni ve başvuru akışı etkilenmez.
AES-SHA1'i işleyemeyen üçüncü taraf etki alanı cihazları zaten AES-SHA1'e izin verecek şekilde açıkça yapılandırılmış olmalıdır.
Hayır. DefaultDomainSupportedEncTypes için güvenli olmayan yapılandırmalar için uyarı olaylarını günlüğe kaydedeceğiz. Ayrıca, bir müşteri tarafından açıkça ayarlanan hiçbir yapılandırmayı yoksaymayacağız.
Kaynaklar
KB5020805: CVE-2022-37967 ile ilgili Kerberos protokol değişikliklerini yönetme
KB5021131: CVE-2022-37966 ile ilgili Kerberos protokolü değişikliklerini yönetme
