Вихідна дата публікації: 13 січня 2026 р.
Ідентифікатор KB: 5073381
Термін дії сертифіката безпечного завантаження Windows
Увага! Термін дії сертифікатів безпечного завантаження, які використовуються на більшості пристроїв Windows, завершується з червня 2026 року. Це може вплинути на здатність певних особистих і корпоративних пристроїв безпечно завантажуватися, якщо їх вчасно не оновити. Щоб уникнути збоїв у роботі, радимо заздалегідь переглянути рекомендації та вжити заходів для оновлення сертифікатів. Додаткові відомості й етапи підготовки див. тут: Завершення терміну дії сертифіката безпечного завантаження Windows і оновлення центру сертифікації
У цій статті
Зведення
Оновлення Windows, випущені 13 січня 2026 року та після них, містять захист вразливості за допомогою протоколу автентифікації Kerberos. Оновлення Windows вирішують вразливість розкриття інформації, яка може дозволити зловмиснику отримати запити на обслуговування зі слабкими або застарілими типами шифрування, наприклад RC4, і виконувати атаки в автономному режимі, щоб відновити пароль облікового запису служби.
Щоб захистити та загартувати середовище, інсталюйте оновлення Windows, випущене 13 січня 2026 р. або пізніше, на всі сервери Windows, перелічені в розділі "Застосовується до", запущеному як контролер домену. Докладні відомості про вразливості див. в статті CVE-2026-20833.
Щоб зменшити цю вразливість, змінюється стандартне значення DefaultDomainSupportedEncTypes (DDSET), щоб усі контролери домену могли підтримувати лише зашифровані квитки для облікових записів за допомогою розширеного шифрування Standard (AES-SHA1) без явної конфігурації типу шифрування Kerberos. Докладні відомості див. в статті Підтримувані бітні позначки типів шифрування.
На контролерах домену з визначеним значенням реєстру DefaultDomainSupportedEncTypes поведінка не впливатиме на ці зміни функціонально. Проте подія аудиту ідентифікатор події KDCSVC: 205 може записуватися в системний журнал подій, якщо наявна конфігурація DefaultDomainSupportedEncTypes незахищена.
Дійте рішучо
Щоб захистити середовище та запобігти перебої, радимо виконати такі дії:
-
ОНОВЛЕННЯ Контролери домену Microsoft Active Directory починаються з оновлень Windows, випущених 13 січня 2026 р. або пізніше.
-
ВІДСТЕЖУЙТЕ системний журнал подій для будь-якої з подій аудиту 9, зареєстрованих Windows Server 2012 і новіших контролерах домену, які визначають ризики з увімкнутим захистом RC4.
-
ПОМ'ЯКШЕННЯ Події KDCSVC увійшли до системного журналу подій, які перешкоджають ручному або програмному ввімкненню захисту RC4.
-
УВІМКНУТИ Режим примусового застосування для усунення вразливостей, адресованих у CVE-2026-20833 у вашому середовищі, коли попередження, блокування або події політики більше не записуються.
ВАЖЛИВО Інсталяція оновлень, випущених 13 січня 2026 р. або пізніше, не усуває вразливості, описані в CVE-2026-20833 для контролерів домену Active Directory за замовчуванням. Щоб повністю зменшити вразливість, необхідно якомога швидше перейти в режим примусового застосування (описаний на кроці 3) на всіх контролерах домену.
З квітня 2026 року режим примусового застосування буде ввімкнуто на всіх контролерах домену Windows і блокуватиме вразливі підключення з пристроїв, які не відповідають вимогам. У цей час ви не зможете вимкнути аудит, але можете повернутися до параметра Режим аудиту. Режим аудиту буде видалено в липні 2026 року, як зазначено в розділі Хронометраж оновлень , а режим примусового застосування буде ввімкнуто на всіх контролерах домену Windows і блокуватиме вразливі підключення з несумісних пристроїв.
Якщо вам потрібно використовувати RC4 після квітня 2026 року, радимо явно ввімкнути RC4 в бітній масці msds-SupportedEncryptionTypes у службах, яким потрібно буде прийняти використання RC4.
Хронометраж оновлень
13 січня 2026 р. – етап початкового розгортання
Початковий етап розгортання починається з оновлень, випущених 13 січня 2026 р., і триватиме пізніше оновлення Windows до етапу примусового виконання . Цей етап полягає в тому, щоб попередити клієнтів про нові засоби безпеки, які будуть введені на другому етапі розгортання. Це оновлення:
-
Забезпечує події аудиту, щоб попередити клієнтів, які можуть негативно вплинути на майбутнє посилення безпеки.
-
Представляє значення реєстру RC4DefaultDisablementPhase для активного ввімкнення зміни, установивши значення 2 на контролерах домену, коли події аудиту KDCSVC вказують на те, що це безпечно зробити.
Квітень 2026 р. – другий етап розгортання
Це оновлення змінює значення DefaultDomainSupportedEncTypes для операцій KDC, щоб використовувати AES-SHA1 для облікових записів, для яких не визначено явний атрибут active directory msds-SupportedEncryptionTypes.
Цей етап змінює значення за промовчанням для DefaultDomainSupportedEncTypes лише на AES-SHA1: 0x18.
Липень 2026 р. – етап примусового виконання
Оновлення Windows, випущені в липні 2026 р. або пізніше, видалить підтримку підрозділу реєстру RC4DefaultDisablementPhase.
Рекомендації з розгортання
Щоб розгорнути оновлення Windows, випущені 13 січня 2026 р. або пізніше, виконайте такі дії:
-
Оновіть контролери домену за допомогою оновлення Windows, випущеного 13 січня 2026 р. або пізніше.
-
Події MONITOR , зареєстровані на етапі початкового розгортання, щоб захистити середовище.
-
Перемістіть контролери домену в режим примусового застосування за допомогою розділу Параметри реєстру.
Крок 1. ОНОВЛЕННЯ
Розгорніть оновлення Windows, випущене 13 січня 2026 р. або пізніше, для всіх застосовних служб Windows Active Directory, запущеної як контролер домену після розгортання оновлення.
-
Контрольні події відображатимуться в системних журналах подій, якщо контролер домену отримує запити на квиток служби Kerberos, для яких потрібно використовувати шифр RC4, але обліковий запис служби має конфігурацію шифрування за промовчанням.
-
Контрольні події буде внесено до журналу системних подій, якщо контролер домену має явну конфігурацію DefaultDomainSupportedEncTypes , щоб дозволити шифрування RC4.
Крок 2. МОНІТОР
Після оновлення контролерів домену, якщо події аудиту не відображаються, перейдіть у режим примусового застосування , змінивши значення RC4DefaultDisablementPhase на 2.
Якщо створено події аудиту, потрібно видалити залежності RC4 або явно настроїти типи шифрування, які підтримує Kerberos. Після цього ви зможете перейти в режим примусового виконання .
Щоб дізнатися, як виявити використання RC4 у вашому домені, пристрої аудиту та облікових записах користувачів, які все ще залежать від RC4, і вжити заходів, щоб виправити використання на користь надійніших типів шифрування або керувати залежностями RC4, див. статтю Виявлення та усунення використання RC4 в Kerberos.
Крок 3. УВІМКНЕННЯ
Увімкніть режим примусового застосування для усунення вразливостей CVE-2026-20833 у вашому середовищі.
-
Якщо запитано KDC, щоб надати запит на обслуговування RC4 для облікового запису з конфігурацією за промовчанням подія помилки буде записано.
-
Ви й надалі бачитимете ідентифікатор події: 205 записано для будь-якої незахищеної конфігурації DefaultDomainSupportedEncTypes.
Параметри реєстру
Після інсталяції оновлень Windows, випущених 13 січня 2026 р. або пізніше, для протоколу Kerberos доступний наведений нижче розділ реєстру.
Цей розділ реєстру використовується, щоб заміщувати розгортання змін Kerberos. Цей розділ реєстру тимчасовий і більше не читатиметься після дати примусового виконання.
|
Розділ реєстру |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Тип даних |
REG_DWORD |
|
Ім'я значення |
RC4DefaultDisablementPhase |
|
Дані про значення |
0 – без аудиту, без змін 1 - до журналу за промовчанням RC4-використання буде зареєстровано попереджувальні події. (Етап 1 за замовчуванням) 2 – Kerberos почне припускати, що RC4 не активовано за замовчуванням. (Етап 2 за замовчуванням) |
|
Потрібне перезавантаження? |
Так |
Події аудиту
Після інсталяції оновлень Windows, випущених 13 січня 2026 р. або пізніше, до Windows Server 2012 р., а потім працюють як контролер домену, додаються такі типи подій Audit.
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
201 |
|
Текст події |
Центр розподілу ключів виявив <використання> імені шифру, яке не підтримуватиметься на етапі примусового виконання, оскільки не визначено service msds-SupportedEncryptionTypes, а клієнт підтримує лише незахищені типи шифрування. Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Ідентифікатор події: 201 буде записано, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
202 |
|
Текст події |
Центр розподілу ключів виявив <використання> імені шифру, яке не підтримуватиметься на етапі примусового виконання, оскільки не визначено службові msds-SupportedEncryptionTypes, а обліковий запис служби має лише незахищені ключі. Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Попередження про подію 202 буде записано, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
203 |
|
Текст події |
Центр розподілу ключів заблокував використання шифру, оскільки службові типи msds-SupportedEncryptionTypes не визначено, а клієнт підтримує лише незахищені типи шифрування. Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Подія помилки 203 буде записана в журнал, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
204 |
|
Текст події |
Центр розподілу ключів заблокував використання шифру, оскільки службу msds-SupportedEncryptionTypes не визначено, а обліковий запис служби має лише незахищені ключі. Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Подія помилки 204 буде записана в журнал, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
205 |
|
Текст події |
Центр розподілу ключів виявив явне ввімкнення шифру в конфігурації політики підтримуваних типів шифрування домену за промовчанням. Шифри: <увімкнуто незахищені шифри> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Попередження про подію 205 буде записано, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
206 |
|
Текст події |
Центр розподілу ключів виявив <використання імені шифру>, яке не підтримуватиметься на етапі примусового виконання, оскільки службу msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але клієнт не рекламує AES-SHA1 Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Попередження про подію 206 буде записано, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
207 |
|
Текст події |
Центр розподілу ключів виявив <використання імені шифру>, яке не підтримуватиметься на етапі примусового виконання, оскільки service msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але обліковий запис служби не має ключів AES-SHA1. Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Попередження про подію 207 буде записано, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
208 |
|
Текст події |
Центр розподілу ключів навмисно відхилив використання шифру, оскільки службу msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але клієнт не рекламує AES-SHA1 Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Подія помилки 208 буде записана в журнал, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
209 |
|
Текст події |
Центр розподілу ключів навмисно відхилив використання шифру, оскільки службові msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але обліковий запис служби не має ключів AES-SHA1 Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Error event 209 will be logged if:
|
Примітка.
Якщо ви знайдете будь-яке з цих попереджень, які реєструються на контролері домену, цілком імовірно, що всі контролери домену у вашому домені не оновлено за допомогою оновлення Windows, випущеного 13 січня 2026 р. або пізніше. Щоб зменшити вразливість, потрібно дослідити домен далі, щоб знайти не найновіші контролери домену.
Якщо відображається ідентифікатор події: 0x8000002A ввійшов на контролері домену, див. статтю KB5021131: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37966.
Запитання й відповіді (запитання й відповіді)
Це апаратне забезпечення впливає на контролери домену Windows, коли вони видають квитки на обслуговування. На потік довірених і реферальних посилань Kerberos не впливає.
Пристрої сторонніх доменів, які не можуть обробити AES-SHA1, уже мають бути явно налаштовані на дозвіл AES-SHA1.
Ні. Для незахищених конфігурацій DefaultDomainSupportedEncTypes буде зареєстровано попереджувальні події. Крім того, ми не будемо ігнорувати будь-яку конфігурацію, явно встановлену клієнтом.
Ресурси
KB5020805: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37967
KB5021131: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37966
