Özgün yayımlama tarihi: 13 Ocak 2026, İstanbul
KB kimliği: 5073381
Bu makalede
Özet
13 Ocak 2026 tarihinde ve sonrasında yayımlanan Windows güncelleştirmeleri, Kerberos kimlik doğrulama protokolü ile bir güvenlik açığı için korumalar içerir. Windows güncelleştirmeleri, CVE-2026-20833'te bir saldırganın hizmet hesabı parolasını kurtarmak için çevrimdışı saldırılar gerçekleştirmek üzere RC4 gibi zayıf veya eski şifreleme türlerine sahip hizmet biletlerini almasına olanak tanıyabilecek bir bilginin açığa çıkması güvenlik açığını giderir.
Bu güvenlik açığını azaltmak için, 14 Nisan 2026 tarihinde ve sonrasında yayımlanan Windows güncelleştirmeleri, yöneticiler zorlama modunu daha önce etkinleştirmediği sürece DefaultDomainSupportedEncTypes için Kerberos Anahtar Dağıtım Merkezi (KDC) varsayılan değerini değiştirin. Zorlama modunda çalışan güncelleştirilmiş etki alanı denetleyicileri, yalnızca açık bir yapılandırma belirtilmezse Gelişmiş Şifreleme Standardı (AES) şifreleme türü yapılandırmaları için destek kabul eder. Daha fazla bilgi için bkz. Desteklenen Şifreleme Türleri Bit Bayrakları. DefaultDomainSupportedEncTypes için varsayılan değer, açık bir değer olmadığında uygulanır.
Tanımlı DefaultDomainSupportedEncTypes kayıt defteri değerine sahip etki alanı denetleyicilerinde davranış, bu değişikliklerden işlevsel olarak etkilenmez. Ancak, mevcut DefaultDomainSupportedEncTypes yapılandırması güvenli değilse (örneğin, bir RC4 şifrelemesi kullanıldığında) Bir Audit olayı KDCSVC Olay Kimliği: 205 Sistem olay günlüğüne kaydedilir.
Harekete geçin
Ortamınızı korumaya ve kesintileri önlemeye yardımcı olmak için şunları öneririz:
-
GÜNCELLEŞTİRME 13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleriyle başlayan Microsoft Active Directory etki alanı denetleyicileri.
-
RC4 korumalarının etkinleştirilmesiyle riskleri tanımlayan Windows Server 2012 ve daha yeni etki alanı denetleyicilerinde günlüğe kaydedilen dokuz KDCSVC 201 > 209 Denetim olayından herhangi biri için Sistem olay günlüğünü izleyin.
-
AZALTMAK RC4 korumalarının el ile veya program aracılığıyla etkinleştirilmesini engelleyen Sistem olay günlüğüne kaydedilen KDCSVC olayları.
-
ETKİNLEŞTİRMEK Uyarı, engelleme veya ilke olayları artık günlüğe kaydedilmediğinde ortamınızda CVE-2026-20833'te giderilen güvenlik açıklarını gidermek için zorlama modu.
ÖNEMLİ 13 Ocak 2026 veya sonrasında yayımlanan güncelleştirmelerin yüklenmesi, varsayılan olarak Active Directory etki alanı denetleyicileri için CVE-2026-20833'te açıklanan güvenlik açıklarını ELE ALMAZ. Güvenlik açığını tamamen azaltmak için, tüm etki alanı denetleyicilerinde Zorlama modunu ( 3. Adım: ETKİnLEŞTİr bölümünde açıklanmıştır) el ile etkinleştirmeniz gerekir. Temmuz 2026'da ve sonrasında yayımlanan Windows Güncelleştirmeler yüklemesi program aracılığıyla Zorlama Aşaması'nı etkinleştirir.
Zorlama modu, Nisan 2026'da veya sonrasında yayımlanan Windows Güncelleştirmeler tüm Windows etki alanı denetleyicilerine yüklenerek otomatik olarak etkinleştirilir ve uyumlu olmayan cihazlardan gelen güvenlik açığı olan bağlantıları engeller. Bu sırada denetimi devre dışı bırakamazsınız ancak Denetim modu ayarına geri dönebilirsiniz. Güncelleştirmelerin zamanlaması bölümünde açıklandığı gibi denetim modu Temmuz 2026'da kaldırılacak ve Zorlama modu tüm Windows etki alanı denetleyicilerinde etkinleştirilecek ve uyumlu olmayan cihazlardan gelen güvenlik açığı olan bağlantıları engelleyecek.
Nisan 2026'dan sonra RC4'den yararlanmanız gerekiyorsa, RC4 kullanımını kabul etmesinin gerekeceği hizmetlerde msds-SupportedEncryptionTypes bitmask içinde RC4'i açıkça etkinleştirmenizi öneririz.
Güncelleştirmelerin zamanlaması
13 Ocak 2026 - İlk Dağıtım Aşaması
İlk dağıtım aşaması, 13 Ocak 2026 tarihinde ve sonrasında yayımlanan güncelleştirmelerle başlar ve Zorlama aşamasına kadar sonraki Windows güncelleştirmeleriyle devam eder. Bu aşama, ikinci dağıtım aşamasında kullanıma sunulacak yeni güvenlik zorlamaları konusunda müşterileri uyarmaktır. Bu güncelleştirme:
-
Yaklaşan güvenlik sağlamlaştırmadan olumsuz etkilenecek müşterileri uyarmak için denetim olayları sağlar.
-
KDCSVC Denetim olayları güvenli olduğunu gösterdiğinde yöneticinin etki alanı denetleyicilerinde değeri 2 olarak ayarlayarak değişikliği proaktif olarak etkinleştirmesinin ardından RC4DefaultDisablementPhase kayıt defteri değeri için destek sunar.
14 Nisan 2026 - El ile geri alma ile zorlama aşaması
Bu güncelleştirme, KDC işlemleri için varsayılan DefaultDomainSupportedEncTypes değerini, tanımlı açık msds-SupportedEncryptionTypes active directory özniteliği olmayan hesaplar için AES-SHA1'den yararlanacak şekilde değiştirir.
Bu aşama DefaultDomainSupportedEncTypes için varsayılan değeri yalnızca AES-SHA1 olarak değiştirir: 0x18.
Bu aşama, Temmuz 2026'da programlı zorlamaya kadar RC4DefaultDisablementPhase geri alma değerinin el ile yapılandırılmasını da sağlar.
Temmuz 2026 - Zorlama Aşaması
Temmuz 2026 veya sonrasında yayımlanan Windows güncelleştirmeleri RC4DefaultDisablementPhase kayıt defteri alt anahtarı desteğini kaldırır.
Dağıtım yönergeleri
13 Ocak 2026 veya sonrasında yayımlanan Windows güncelleştirmelerini dağıtmak için şu adımları izleyin:
-
Etki alanı denetleyicilerinizi, 13 Ocak 2026 tarihinde veya sonrasında yayımlanan bir Windows güncelleştirmesi ile GÜNCELLEŞTIRin.
-
Ortamınızın güvenliğini sağlamaya yardımcı olmak için ilk dağıtım aşamasında günlüğe kaydedilen olayları izleyin.
-
Kayıt defteri ayarları bölümünü kullanarak etki alanı denetleyicilerinizi Zorlama moduna taşıyın.
1. Adım: GÜNCELLE
13 Ocak 2026 veya sonrasında yayımlanan Windows güncelleştirmesini, güncelleştirmeyi dağıtdıktan sonra etki alanı denetleyicisi olarak çalışan tüm geçerli Windows Active Directory'ye dağıtın.
-
Windows Server 2012 veya sonraki etki alanı denetleyicileriniz RC4 şifrelemesinin kullanılmasını gerektiren ancak hizmet hesabının varsayılan şifreleme yapılandırmasına sahip olmasını gerektiren Kerberos hizmet bileti istekleri alıyorsa, denetim olayları Sistem olay günlüklerinde görünür.
-
Etki alanı denetleyicinizin RC4 şifrelemesine izin veren açık bir DefaultDomainSupportedEncTypes yapılandırması varsa Denetim Olayı 205 Sistem olay günlüğüne kaydedilir.
2. Adım: İzleme
Etki alanı denetleyicileri güncelleştirildikten sonra, bu makalede belgelenen denetim olaylarını görmüyorsanız, RC4DefaultDisablementPhase kayıt defteri değerini 2 olarak değiştirerek Zorlama moduna geçin.
Oluşturulan denetim olayları varsa, zorlama modunun el ile veya otomatik olarak etkinleştirilmesinin ardından RC4'ün sürekli kullanımını desteklemek için RC4 bağımlılıklarını kaldırmanız veya msds-SupportedEncryptionTypes hesaplarını açıkça yapılandırmanız gerekir.
RC4 kullanımını bu makalede açıklanandan daha kapsamlı bir şekilde düzeltmek isteyen yöneticiler için, daha fazla bilgi için Kerberos'ta RC4 kullanımını algılama ve düzeltme konusunu gözden geçirmenizi öneririz.
ÖNEMLİ Bu değişiklikle ilgili denetim olayları yalnızca Active Directory AES-SHA1 hizmet anahtarlarını veya oturum anahtarlarını veremediğinde oluşturulur. Denetim olaylarının olmaması, Windows olmayan tüm cihazların Nisan güncelleştirmesinin ardından Kerberos kimlik doğrulamasını başarıyla kabul edeceklerini garanti etmez . Müşteriler bu davranışı yaygın olarak etkinleştirmeden önce test yoluyla Windows dışı birlikte çalışabilirliği doğrulamalıdır.
3. Adım: ETKİnLEŞTİr
Ortamınızdaki CVE-2026-20833 güvenlik açıklarını gidermek için Zorlama modunu etkinleştirin.
-
KDC'nin varsayılan yapılandırmaları olan bir hesap için RC4 hizmet bileti sağlaması istenirse bir hata olayı günlüğe kaydedilir.
-
DefaultDomainSupportedEncTypes'ın güvenli olmayan yapılandırmaları için olay kimliği: 205'in günlüğe kaydedildiğini görmeye devam edebilirsiniz.
Kayıt defteri ayarları
13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra, Kerberos protokolü için aşağıdaki kayıt defteri anahtarı kullanılabilir.
RC4DefaultDisablementPhase
Bu kayıt defteri anahtarı, Kerberos değişikliklerinin dağıtımını geçmek için kullanılır. Bu kayıt defteri anahtarı geçicidir ve artık zorlama tarihinden sonra okunmayacak.
|
Kayıt defteri anahtarı |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Veri türü |
REG_DWORD |
|
Value name |
RC4DefaultDisablementPhase |
|
Value data |
0 – Denetim yok, değişiklik yok 1 - Uyarı olayları varsayılan RC4 kullanımına kaydedilir. (1. Aşama varsayılan) 2 – Kerberos, RC4'in varsayılan olarak etkinleştirilmediğini varsayarak başlar. (2. aşama varsayılan) |
|
Yeniden başlatma gerekiyor mu? |
Evet |
Olayları denetleme
13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra, aşağıdaki KSCSVC Denetim olay türleri Windows Server 2012 ve daha sonra etki alanı denetleyicisi olarak çalışan Sistem olay günlüğüne eklenir.
Bu bölümde
Olay Kimliği: 201
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
201 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, <Şifreleme Adı> kullanımı algıladı çünkü service msds-SupportedEncryptionTypes tanımlanmadı ve istemci yalnızca güvenli olmayan şifreleme türlerini destekliyor. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Olay Kimliği: 201 şu durumda günlüğe kaydedilir:
|
Olay Kimliği: 202
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
202 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, msds-SupportedEncryptionTypes hizmeti tanımlanmadığından ve hizmet hesabında yalnızca güvenli olmayan anahtarlar bulunduğundan, zorlama aşamasında desteklenmeyen Şifreleme Adı> kullanımı <algıladı. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 202 şu durumda günlüğe kaydedilir:
|
Olay Kimliği: 203
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
203 |
|
Olay Metni |
Anahtar Dağıtım Merkezi şifreleme kullanımını engelledi çünkü service msds-SupportedEncryptionTypes tanımlanmadı ve istemci yalnızca güvenli olmayan şifreleme türlerini destekliyor. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 203 şu durumda günlüğe kaydedilir:
|
Olay Kimliği: 204
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
204 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, msds-SupportedEncryptionTypes hizmeti tanımlanmadığından ve hizmet hesabında yalnızca güvenli olmayan anahtarlar bulunduğundan şifreleme kullanımını engelledi. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 204 şu durumda günlüğe kaydedilir:
|
Olay Kimliği: 205
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
205 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, Varsayılan Etki Alanı Desteklenen Şifreleme Türleri ilke yapılandırmasında açık şifreleme etkinleştirmesi algılamıştı. Şifreler: <Güvenli Olmayan Şifrelemeler> DefaultDomainSupportedEncTypes: <Yapılandırılmış DefaultDomainSupportedEncTypes Değeri> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 205 şu durumda günlüğe kaydedilir:
|
Olay Kimliği: 206
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
206 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, şifreleme adı> kullanımı <algıladı çünkü service msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldı ancak istemci AES-SHA1'i reklamlaştırmadı Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 206 şu durumda günlüğe kaydedilir:
|
Olay Kimliği: 207
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
207 |
|
Olay Metni |
Anahtar Dağıtım Merkezi, şifreleme adı> kullanımı <algıladı çünkü service msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldı ancak hizmet hesabında AES-SHA1 anahtarları yok. Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Uyarı olayı 207 şu durumda günlüğe kaydedilir:
|
Olay Kimliği: 208
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
208 |
|
Olay Metni |
Anahtar Dağıtım Merkezi şifreleme kullanımını kasıtlı olarak reddetti çünkü service msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldı ancak istemci AES-SHA1'i reklamlaştırmadı Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 208 şu durumda günlüğe kaydedilir:
|
Olay Kimliği: 209
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
209 |
|
Olay Metni |
Hizmet msds-SupportedEncryptionTypes yalnızca AES-SHA1'i destekleyecek şekilde yapılandırıldığından ancak hizmet hesabında AES-SHA1 anahtarları olmadığından Anahtar Dağıtım Merkezi şifreleme kullanımını kasıtlı olarak reddetti Hesap Bilgileri Hesap Adı: <Hesap Adı> Sağlanan Bölge Adı: <Sağlanan Bölge Adı> msds-SupportedEncryptionTypes: <Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Kullanılabilir Anahtarlar> Hizmet Bilgileri: Hizmet Adı: hizmet adı> < Hizmet Kimliği: hizmet SID> < msds-SupportedEncryptionTypes: <Hizmeti Tarafından Desteklenen Şifreleme Türleri> Kullanılabilir Anahtarlar: <Hizmet Kullanılabilir Anahtarları> Etki Alanı Denetleyicisi Bilgileri: msds-SupportedEncryptionTypes: <Etki Alanı Denetleyicisi Tarafından Desteklenen Şifreleme Türleri> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Kullanılabilir Anahtarlar: <Etki Alanı Denetleyicisi Kullanılabilir Anahtarları> Ağ Bilgileri: İstemci Adresi: İstemci IP Adresi> < İstemci Bağlantı Noktası: <İstemci Bağlantı Noktası> Advertized Etypes: <> Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Açıklamalar |
Hata olayı 209 şu durumda günlüğe kaydedilir:
|
Not
Hizmet bileti şifreleme seçimindeki örtük değişiklikle ilgili olarak, Microsoft'un KDC'ler Nisan güncelleştirmesini uyguladıktan ve belirtilmediğinde varsayılan AES-SHA1 davranışına geçtikten sonra Windows olmayan bir cihazın Kerberos kimlik doğrulamasını kabul edememesinin nedenleri konusunda sınırlı görünürlüğü vardır. Bu davranışı geniş bir şekilde etkinleştirmeden önce bu değişiklikleri kendi ortamınızda test ederek doğrulamanızı öneririz.
Bu durumla karşılaşılacak en yaygın yer, Kerberos Tuş Sekmelerinden yararlanan cihazlardır. Kerberos Anahtar sekmesi yalnızca RC4 anahtarlarıyla dışarı aktarıldıysa, ancak hedef hizmet hesabında AES-SHA1 anahtarları varsa ve tanımlanmış bir msds-SupportedEncryptionTypes yoksa, söz konusu hizmette kimlik doğrulaması hatası olasılığı vardır. Bu, büyük olasılıkla KDC yerine hedef hizmetten kimlik doğrulama hataları biçiminde bildirimde bulunur.
Birincil önerimiz, Windows olmayan cihazın satıcısıyla çalışmaktır. Genel olarak, Windows olmayan cihazların Kerberos kimlik doğrulamasını kabul etme hataları Nisan değişikliklerine özgü değildir ve cihaza veya uygulamaya özgü sınırlamalardan kaynaklanabilir.
Bu değişiklik sonrasında Windows dışı cihazlarda Kerberos kimlik doğrulaması sorunları gözlemlenirse ve satıcı düzeltmesi uygulanabilir değilse, önerilerimiz şunlardır:
-
Etkilenen hizmet hesabında, RC4'i AES oturum anahtarlarıyla (0x24) içerecek şekilde msDS-SupportedEncryptionTypes'ı açıkça tanımlayın.
-
Bu mümkün değilse, son çare olarak, tüm ilgili KDC'lerde DefaultDomainSupportedEncTypes kayıt defteri değerini AES-SHA1 oturum anahtarlarıyla (0x24) RC4 içerecek şekilde el ile yapılandırın. Bunun etki alanındaki tüm hesapları CVE-2026-20833'e karşı savunmasız bıraktığına dikkat edin.
Bu yapılandırmanın güvenli olmadığını ve uzun vadeli önerimiz, Windows dışı cihazları AES-SHA1 Kerberos anahtar şifrelemesini destekleyen sürümlere geçirmektir.
Sık sorulan sorular (SSS)
S1: Bu değişiklik, üçüncü taraf KDC'leri olan etki alanlarıyla nasıl etkileşim kurar?
Bu sağlamlaştırma değişikliği yalnızca Windows etki alanı denetleyicilerini etkiler. Diğer Windows etki alanı denetleyicileri veya üçüncü taraf KDC'ler ile Kerberos Güveni ve başvuru akışı etkilenmez.
S2: Bu değişiklik, Windows dışı etki alanı cihazları olan etki alanlarıyla nasıl etkileşim kurar?
AES-SHA1 şifrelemesini işleyemeyen üçüncü taraf etki alanı cihazları RC4 şifrelemesine izin verecek şekilde açıkça yapılandırılmış olmalıdır. AES-SHA1 biletlerini işleyemeyen hizmetlerin yukarıda belirtildiği gibi RC4 şifrelemesi sağlamak için Active Diretory'de düzeltilmesi veya açıkça yapılandırılması gerekir. Lütfen bu değişiklikleri iyice doğrulayın.
S3: Microsoft DefaultDomainSupportedEncTypes'ı yapılandırma özelliğini kaldıracak mı?
Hayır. DefaultDomainSupportedEncTypes için güvenli olmayan yapılandırmalar için uyarı olaylarını günlüğe kaydedeceğiz. Ayrıca, bir yönetici tarafından açıkça ayarlanan tüm yapılandırmaları kabul edeceğiz.
Kaynaklar
Günlüğü değiştir
|
Tarihi değiştir |
Açıklamayı değiştir |
|
14 Nisan 2026 |
|
|
7 Nisan 2026, İstanbul |
|
|
16 Mart 2026, İstanbul |
|
|
10 Şubat 2026, İstanbul |
|
