Özgün yayımlama tarihi: 13 Ocak 2026, İstanbul
KB kimliği: 5073381
|
Tarihi değiştir |
Açıklamayı değiştir |
|
10 Şubat 2026, İstanbul |
|
Bu makalede
Özet
13 Ocak 2026 tarihinde ve sonrasında yayımlanan Windows güncelleştirmeleri, Kerberos kimlik doğrulama protokolü ile bir güvenlik açığı için korumalar içerir. Windows güncelleştirmeleri, CVE-2026-20833'te bir saldırganın hizmet hesabı parolasını kurtarmak için çevrimdışı saldırılar gerçekleştirmek üzere RC4 gibi zayıf veya eski şifreleme türlerine sahip hizmet biletlerini almasına olanak tanıyabilecek bir bilginin açığa çıkması güvenlik açığını giderir.
Bu güvenlik açığını azaltmak için Zorlama modu etkinleştirilerek DefaultDomainSupportedEncTypes varsayılan değeri değiştirilir. Zorlama modunda çalışan güncelleştirilmiş etki alanı denetleyicileri yalnızca Gelişmiş Şifreleme Standardı (AES) şifreleme türü yapılandırmalarını destekler. Daha fazla bilgi için bkz. Desteklenen Şifreleme Türleri Bit Bayrakları. DefaultDomainSupportedEncTypes için varsayılan değer, açık bir değer olmadığında uygulanır
Tanımlı DefaultDomainSupportedEncTypes kayıt defteri değerine sahip etki alanı denetleyicilerinde davranış, bu değişikliklerden işlevsel olarak etkilenmez. Ancak, mevcut DefaultDomainSupportedEncTypes yapılandırması güvenli değilse (örneğin, bir RC4 şifrelemesi kullanıldığında) Bir Audit olayı KDCSVC Olay Kimliği: 205 Sistem olay günlüğüne kaydedilir.
Harekete geçin
Ortamınızı korumaya ve kesintileri önlemeye yardımcı olmak için şunları öneririz:
-
GÜNCELLEŞTİRME 13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleriyle başlayan Microsoft Active Directory etki alanı denetleyicileri.
-
RC4 korumalarının etkinleştirilmesiyle riskleri tanımlayan Windows Server 2012 ve daha yeni etki alanı denetleyicilerinde günlüğe kaydedilen dokuz KDCSVC 201 > 209 Denetim olayından herhangi biri için Sistem olay günlüğünü izleyin.
-
AZALTMAK RC4 korumalarının el ile veya program aracılığıyla etkinleştirilmesini engelleyen Sistem olay günlüğüne kaydedilen KDCSVC olayları.
-
ETKİNLEŞTİRMEK Uyarı, engelleme veya ilke olayları artık günlüğe kaydedilmediğinde ortamınızda CVE-2026-20833'te giderilen güvenlik açıklarını gidermek için zorlama modu.
ÖNEMLİ 13 Ocak 2026 veya sonrasında yayımlanan güncelleştirmelerin yüklenmesi, varsayılan olarak Active Directory etki alanı denetleyicileri için CVE-2026-20833'te açıklanan güvenlik açıklarını ELE ALMAZ. Güvenlik açığını tamamen azaltmak için, tüm etki alanı denetleyicilerinde Zorlama modunu ( 3. Adım: ETKİnLEŞTİr bölümünde açıklanmıştır) el ile etkinleştirmeniz gerekir. Temmuz 2026'da ve sonrasında yayımlanan Windows Güncelleştirmeler yüklemesi program aracılığıyla Zorlama Aşaması'nı etkinleştirir.
Zorlama modu, Nisan 2026'da veya sonrasında yayımlanan Windows Güncelleştirmeler tüm Windows etki alanı denetleyicilerine yüklenerek otomatik olarak etkinleştirilir ve uyumlu olmayan cihazlardan gelen güvenlik açığı olan bağlantıları engeller. Bu sırada denetimi devre dışı bırakamazsınız ancak Denetim modu ayarına geri dönebilirsiniz. Güncelleştirmelerin zamanlaması bölümünde açıklandığı gibi denetim modu Temmuz 2026'da kaldırılacak ve Zorlama modu tüm Windows etki alanı denetleyicilerinde etkinleştirilecek ve uyumlu olmayan cihazlardan gelen güvenlik açığı olan bağlantıları engelleyecek.
Nisan 2026'dan sonra RC4'den yararlanmanız gerekiyorsa, RC4 kullanımını kabul etmesinin gerekeceği hizmetlerde msds-SupportedEncryptionTypes bitmask içinde RC4'i açıkça etkinleştirmenizi öneririz.
Güncelleştirmelerin zamanlaması
13 Ocak 2026 - İlk Dağıtım Aşaması
İlk dağıtım aşaması, 13 Ocak 2026 tarihinde ve sonrasında yayımlanan güncelleştirmelerle başlar ve Zorlama aşamasına kadar sonraki Windows güncelleştirmeleriyle devam eder. Bu aşama, ikinci dağıtım aşamasında kullanıma sunulacak yeni güvenlik zorlamaları konusunda müşterileri uyarmaktır. Bu güncelleştirme:
-
Yaklaşan güvenlik sağlamlaştırmadan olumsuz etkilenecek müşterileri uyarmak için denetim olayları sağlar.
-
Bir yönetici, KDCSVC Denetim olayları güvenli olduğunu gösterdiğinde etki alanı denetleyicilerinde değeri 2 olarak ayarlayarak değişikliği proaktif olarak etkinleştirdikten sonra RC4DefaultDisablementPhase kayıt defteri değeri için destek sunar.
Nisan 2026 - El ile geri alma ile zorlama aşaması
Bu güncelleştirme, KDC işlemleri için varsayılan DefaultDomainSupportedEncTypes değerini, tanımlı açık msds-SupportedEncryptionTypes active directory özniteliği olmayan hesaplar için AES-SHA1'den yararlanacak şekilde değiştirir.
Bu aşama DefaultDomainSupportedEncTypes için varsayılan değeri yalnızca AES-SHA1 olarak değiştirir: 0x18.
Bu aşama, Temmuz 2026'da programlı zorlamaya kadar RC4DefaultDisablementPhase geri alma değerinin el ile yapılandırılmasını da sağlar.
Temmuz 2026 - Zorlama Aşaması
Temmuz 2026 veya sonrasında yayımlanan Windows güncelleştirmeleri RC4DefaultDisablementPhase kayıt defteri alt anahtarı desteğini kaldırır.
Dağıtım yönergeleri
13 Ocak 2026 veya sonrasında yayımlanan Windows güncelleştirmelerini dağıtmak için şu adımları izleyin:
-
Etki alanı denetleyicilerinizi, 13 Ocak 2026 tarihinde veya sonrasında yayımlanan bir Windows güncelleştirmesi ile GÜNCELLEŞTIRin.
-
Ortamınızın güvenliğini sağlamaya yardımcı olmak için ilk dağıtım aşamasında günlüğe kaydedilen olayları izleyin.
-
Kayıt defteri ayarları bölümünü kullanarak etki alanı denetleyicilerinizi Zorlama moduna taşıyın.
1. Adım: GÜNCELLE
13 Ocak 2026 veya sonrasında yayımlanan Windows güncelleştirmesini, güncelleştirmeyi dağıtdıktan sonra etki alanı denetleyicisi olarak çalışan tüm geçerli Windows Active Directory'ye dağıtın.
-
Windows Server 2012 veya sonraki etki alanı denetleyicileriniz RC4 şifrelemesinin kullanılmasını gerektiren ancak hizmet hesabının varsayılan şifreleme yapılandırmasına sahip olmasını gerektiren Kerberos hizmet bileti istekleri alıyorsa, denetim olayları Sistem olay günlüklerinde görünür.
-
Etki alanı denetleyicinizin RC4 şifrelemesine izin veren açık bir DefaultDomainSupportedEncTypes yapılandırması varsa Denetim Olayı 205 Sistem olay günlüğüne kaydedilir.
2. Adım: İzleme
Etki alanı denetleyicileri güncelleştirildikten sonra, herhangi bir denetim olayı görmüyorsanız RC4DefaultDisablementPhase değerini 2 olarak değiştirerek Zorlama moduna geçin.
Oluşturulan denetim olayları varsa, zorlama modunun el ile veya otomatik olarak etkinleştirilmesi sonrasında RC4'ün sürekli kullanımını desteklemek için RC4 bağımlılıklarını kaldırmanız veya Kerberos tarafından desteklenen şifreleme türlerini açıkça yapılandırmanız gerekir.
Etki alanınızda RC4 kullanımını algılamayı öğrenmek için denetim, RC4'e bağımlı olan cihaz ve kullanıcı hesaplarını tanımlar. Yöneticiler, kullanımı daha güçlü şifreleme türlerine göre düzeltmek veya RC4 bağımlılıklarını yönetmek için adımlar atmalıdır. Daha fazla bilgi için bkz. Kerberos'ta RC4 kullanımını algılama ve düzeltme.
3. Adım: ETKİnLEŞTİr
Ortamınızdaki CVE-2026-20833 güvenlik açıklarını gidermek için Zorlama modunu etkinleştirin.
-
KDC'nin varsayılan yapılandırmaları olan bir hesap için RC4 hizmet bileti sağlaması istenirse bir hata olayı günlüğe kaydedilir.
-
DefaultDomainSupportedEncTypes'ın güvenli olmayan yapılandırmaları için olay kimliği: 205'in günlüğe kaydedildiğini görmeye devam edebilirsiniz.
Kayıt defteri ayarları
13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra, Kerberos protokolü için aşağıdaki kayıt defteri anahtarı kullanılabilir.
Bu kayıt defteri anahtarı, Kerberos değişikliklerinin dağıtımını geçmek için kullanılır. Bu kayıt defteri anahtarı geçicidir ve artık zorlama tarihinden sonra okunmayacak.
|
Kayıt defteri anahtarı |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Veri türü |
REG_DWORD |
|
Value name |
RC4DefaultDisablementPhase |
|
Value data |
0 – Denetim yok, değişiklik yok 1 - Uyarı olayları varsayılan RC4 kullanımına kaydedilir. (1. Aşama varsayılan) 2 – Kerberos, RC4'in varsayılan olarak etkinleştirilmediğini varsayarak başlar. (2. aşama varsayılan) |
|
Yeniden başlatma gerekiyor mu? |
Evet |
Olayları denetleme
13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra, aşağıdaki KSCSVC Denetim olay türleri Windows Server 2012 ve daha sonra etki alanı denetleyicisi olarak çalışan Sistem olay günlüğüne eklenir.
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
201 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, <Şifreleme Adı> kullanımı algıladı çünkü service msds-SupportedEncryptionTypes tanımlanmadı ve istemci yalnızca güvenli olmayan şifreleme türlerini destekliyor. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Olay Kimliği: 201 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
202 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, msds-SupportedEncryptionTypes hizmeti tanımlanmadığından ve hizmet hesabında yalnızca güvenli olmayan anahtarlar bulunduğundan, zorlama aşamasında desteklenmeyen Şifreleme Adı> kullanımı <algıladı. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 202 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
203 |
|
Olay Metni |
Anahtar Dağıtım Merkezi şifreleme kullanımını engelledi çünkü service msds-SupportedEncryptionTypes tanımlanmadı ve istemci yalnızca güvenli olmayan şifreleme türlerini destekliyor. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 203 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
204 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, msds-SupportedEncryptionTypes hizmeti tanımlanmadığından ve hizmet hesabında yalnızca güvenli olmayan anahtarlar bulunduğundan şifreleme kullanımını engelledi. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 204 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
205 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, Varsayılan Etki Alanı Desteklenen Şifreleme Türleri ilke yapılandırmasında açık şifreleme etkinleştirmesi algılamıştı. Şifreler: <Güvenli Olmayan Şifrelemeler> DefaultDomainSupportedEncTypes: <Yapılandırılmış DefaultDomainSupportedEncTypes Değeri> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 205 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
206 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, şifreleme adı> kullanımı <algıladı çünkü service msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldı ancak istemci AES-SHA1'i reklamlaştırmadı Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 206 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
207 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, şifreleme adı> kullanımı <algıladı çünkü service msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldı ancak hizmet hesabında AES-SHA1 anahtarları yok. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 207 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
208 |
|
Olay Metni |
Anahtar Dağıtım Merkezi şifreleme kullanımını kasıtlı olarak reddetti çünkü service msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldı ancak istemci AES-SHA1'i reklamlaştırmadı Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 208 şu durumda günlüğe kaydedilir:
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
209 |
|
Olay Metni |
Hizmet msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldığından ancak hizmet hesabında AES-SHA1 anahtarları olmadığından Anahtar Dağıtım Merkezi şifreleme kullanımını kasıtlı olarak reddetti Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 209 şu durumda günlüğe kaydedilir:
|
Not
Bu uyarı iletilerinden herhangi birinin bir etki alanı denetleyicisinde günlüğe kaydedildiğini fark ederseniz, etki alanınızdaki tüm etki alanı denetleyicilerinin 13 Ocak 2026 veya sonrasında yayımlanan bir Windows güncelleştirmesi ile güncel olmaması olasıdır. Güvenlik açığını azaltmak için, güncel olmayan etki alanı denetleyicilerini bulmak için etki alanınızı daha fazla araştırmanız gerekir.
Bir etki alanı denetleyicisinde oturum açmış bir Olay Kimliği: 0x8000002A görüyorsanız lütfen KB5021131: CVE-2022-37966 ile ilgili Kerberos protokol değişikliklerini yönetme bölümüne bakın.
Sık sorulan sorular (SSS)
Bu sağlamlaştırma değişikliği yalnızca Windows etki alanı denetleyicilerini etkiler. Diğer Windows etki alanı denetleyicileri veya üçüncü taraf KDC'ler ile Kerberos Güveni ve başvuru akışı etkilenmez.
AES-SHA1 şifrelemesini işleyemeyen üçüncü taraf etki alanı cihazları zaten AES-SHA1 şifrelemesine izin verecek şekilde açıkça yapılandırılmış olmalıdır.
Hayır. DefaultDomainSupportedEncTypes için güvenli olmayan yapılandırmalar için uyarı olaylarını günlüğe kaydedeceğiz. Ayrıca, bir yönetici tarafından açıkça ayarlanan tüm yapılandırmaları kabul edeceğiz.
Kaynaklar
KB5020805: CVE-2022-37967 ile ilgili Kerberos protokol değişikliklerini yönetme
KB5021131: CVE-2022-37966 ile ilgili Kerberos protokolü değişikliklerini yönetme
