Застосовується до
Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Вихідна дата публікації: 13 січня 2026 р.

Ідентифікатор KB: 5073381

У цій статті

Зведення

Оновлення Windows, випущені 13 січня 2026 року та після них, містять захист вразливості за допомогою протоколу автентифікації Kerberos. Оновлення Windows вирішують вразливість розкриття інформації в CVE-2026-20833 , яка може дозволити зловмиснику отримати запити на обслуговування зі слабкими або застарілими типами шифрування, такими як RC4, для виконання автономних атак для відновлення пароля облікового запису служби.

Щоб зменшити цю вразливість, оновлення Windows, випущені 14 квітня 2026 року та після цього, змініть значення за промовчанням Центру розподілення ключів Kerberos (KDC) для DefaultDomainSupportedEncTypes, якщо адміністратори не ввімкнули режим примусового застосування раніше. Оновлені контролери домену, які працюють у режимі примусового застосування, матимуть підтримку лише для конфігурацій типу шифрування розширеного шифрування Standard (AES), якщо не вказано явну конфігурацію. Докладні відомості див. в статті Підтримувані бітні позначки типів шифрування. Стандартне значення DefaultDomainSupportedEncTypes застосовується за відсутності явного значення.

На контролерах домену з визначеним значенням реєстру DefaultDomainSupportedEncTypes поведінка не впливатиме на ці зміни функціонально. Однак код події KDCSVC контрольної події: 205 буде записано в системний журнал подій, якщо наявна конфігурація DefaultDomainSupportedEncTypes незахищена (наприклад, коли використовується шифр RC4).

догори

Дійте рішучо

Щоб захистити середовище та запобігти перебої в роботі, радимо: 

  • ОНОВЛЕННЯ Контролери домену Microsoft Active Directory починаються з оновлень Windows, випущених 13 січня 2026 р. або пізніше.

  • ВІДСТЕЖУЙТЕ системний журнал подій для будь-якого з дев'яти подій KDCSVC 201 > 209, які ввійшли в систему Windows Server 2012 і новіших контролерах домену, які визначають ризики з увімкнутим захистом RC4.

  • ПОМ'ЯКШЕННЯ Події KDCSVC увійшли до системного журналу подій, які перешкоджають ручному або програмному ввімкненню захисту RC4.

  • УВІМКНУТИ Режим примусового застосування для усунення вразливостей, адресованих у CVE-2026-20833 у вашому середовищі, коли попередження, блокування або події політики більше не записуються.

ВАЖЛИВО Інсталяція оновлень, випущених 13 січня 2026 р. або пізніше, не усуває вразливості, описані в CVE-2026-20833 для контролерів домену Active Directory за замовчуванням. Щоб повністю зменшити вразливість, потрібно вручну ввімкнути режим примусового застосування (описаний на кроці 3: ENABLE) на всіх контролерах домену. Інсталяція Windows Оновлення, випущена в липні 2026 року та після неї, програмно активує етап примусового виконання.

Режим примусового застосування буде автоматично ввімкнуто шляхом інсталяції Windows Оновлення, випущеної у квітні 2026 р. або пізніше, на всіх контролерах домену Windows і блокуватиме вразливі підключення з несумісних пристроїв.  У цей час ви не зможете вимкнути аудит, але можете повернутися до параметра Режим аудиту. Режим аудиту буде видалено в липні 2026 року, як зазначено в розділі Хронометраж оновлень , а режим примусового застосування буде ввімкнуто на всіх контролерах домену Windows і блокуватиме вразливі підключення з несумісних пристроїв.

Якщо вам потрібно використовувати RC4 після квітня 2026 року, радимо явно ввімкнути RC4 в бітній масці msds-SupportedEncryptionTypes у службах, яким потрібно буде прийняти використання RC4. 

догори 

Хронометраж оновлень

13 січня 2026 р. – етап початкового розгортання 

Початковий етап розгортання починається з оновлень, випущених 13 січня 2026 р., і триватиме пізніше оновлення Windows до етапу примусового виконання . Цей етап полягає в тому, щоб попередити клієнтів про нові засоби безпеки, які будуть введені на другому етапі розгортання. Це оновлення: 

  • Забезпечує події аудиту, щоб попередити клієнтів, які можуть негативно вплинути на майбутнє посилення безпеки.

  • Впроваджує підтримку значення реєстру RC4DefaultDisablementPhase після того, як адміністратор заздалегідь активує зміну, установивши значення 2 на контролерах домену, коли події аудиту KDCSVC вказують на те, що це безпечно.

14 квітня 2026 р. – Етап примусового виконання з ручним відкочуванням 

Це оновлення змінює значення DefaultDomainSupportedEncTypes для операцій KDC, щоб використовувати AES-SHA1 для облікових записів, для яких не визначено явний атрибут active directory msds-SupportedEncryptionTypes

Цей етап змінює значення за промовчанням для DefaultDomainSupportedEncTypes лише на AES-SHA1: 0x18

Цей етап також забезпечує ручне настроювання значення відкочування RC4DefaultDisablementPhase до програмного застосування в липні 2026 року.

Липень 2026 р. – етап примусового виконання 

Оновлення Windows, випущені в липні 2026 р. або пізніше, видалить підтримку підрозділу реєстру RC4DefaultDisablementPhase

догори 

Рекомендації з розгортання

Щоб розгорнути оновлення Windows, випущені 13 січня 2026 р. або пізніше, виконайте такі дії: 

  1. Оновіть контролери домену за допомогою оновлення Windows, випущеного 13 січня 2026 р. або пізніше.

  2. Події MONITOR , зареєстровані на етапі початкового розгортання, щоб захистити середовище.

  3. Перемістіть контролери домену в режим примусового застосування за допомогою розділу Параметри реєстру.

Крок 1. ОНОВЛЕННЯ  

Розгорніть оновлення Windows, випущене 13 січня 2026 р. або пізніше, для всіх застосовних служб Windows Active Directory, запущеної як контролер домену після розгортання оновлення.

  • Контрольні події відображатимуться в системних журналах подій, якщо контролери домену Windows Server 2012 або пізнішої версії отримують запити на квитки служби Kerberos, для яких потрібно використовувати шифр RC4, але обліковий запис служби має конфігурацію шифрування за промовчанням.

  • Audit Event 205 буде внесено до журналу системних подій, якщо контролер домену має явну конфігурацію DefaultDomainSupportedEncTypes , щоб дозволити шифрування RC4.

Крок 2. МОНІТОР

Після оновлення контролерів домену, якщо події аудиту, описані в цій статті, не відображаються, перейдіть у режим примусового застосування , змінивши значення реєстру RC4DefaultDisablementPhase на 2.   

Якщо створено події аудиту, потрібно видалити залежності RC4 або явно настроїти атрибут accounts msds-SupportedEncryptionTypes, щоб підтримувати подальше використання RC4 після ручного або автоматичного ввімкнення режиму примусового застосування .

Для адміністраторів, які зацікавлені у виправленні використання RC4 ширше, ніж описано в цій статті, ми рекомендуємо переглянути виявити та виправити використання RC4 в Kerberos для отримання додаткової інформації.

ВАЖЛИВО Події аудиту, пов'язані з цією зміною, створюються, лише якщо службі Active Directory не вдалося видати квитки на обслуговування AES-SHA1 або ключі сеансів. Відсутність подій аудиту не гарантує, що всі пристрої, відмінні від Windows, успішно приймуть автентифікацію Kerberos після квітневого оновлення. Перш ніж широко ввімкнути цю поведінку, користувачам слід перевірити сумісність, відмінну від Windows, за допомогою тестування.

Крок 3. УВІМКНЕННЯ

Увімкніть режим примусового застосування для усунення вразливостей CVE-2026-20833 у вашому середовищі. 

  • Якщо запитано KDC, щоб надати запит на обслуговування RC4 для облікового запису з конфігурацією за промовчанням подія помилки буде записано.

  • Ви й надалі бачитимете ідентифікатор події: 205, зареєстрований для будь-якої незахищеної конфігурації DefaultDomainSupportedEncTypes.

догори 

Параметри реєстру

Після інсталяції оновлень Windows, випущених 13 січня 2026 р. або пізніше, для протоколу Kerberos доступний наведений нижче розділ реєстру.

RC4DefaultDisablementPhase

Цей розділ реєстру використовується, щоб заміщувати розгортання змін Kerberos. Цей розділ реєстру тимчасовий і більше не читатиметься після дати примусового виконання.

Розділ реєстру

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Тип даних

REG_DWORD

Ім'я значення

RC4DefaultDisablementPhase

Дані про значення

0 – без аудиту, без змін 

1 - до журналу за промовчанням RC4-використання буде зареєстровано попереджувальні події. (Етап 1 за замовчуванням) 

2 – Kerberos почне припускати, що RC4 не активовано за замовчуванням.  (Етап 2 за замовчуванням) 

Потрібне перезавантаження?

Так

догори 

Події аудиту

Після інсталяції оновлень Windows, випущених 13 січня 2026 р. або пізніше, наведені нижче типи подій KSCSVC Audit додаються до журналу подій системи Windows Server 2012 року, а потім працюють як контролер домену.

У цьому розділі

догори 

Код події: 201

Журнал подій

Система

Тип події

Попередження

Джерело події

Kdcsvc

Ідентифікатор події

201

Текст події

Центр розподілу ключів виявив <використання> імені шифру, яке не підтримуватиметься на етапі примусового виконання, оскільки не визначено service msds-SupportedEncryptionTypes, а клієнт підтримує лише незахищені типи шифрування. 

Відомості облікового запису 

    Ім'я облікового запису: <ім'я облікового запису> 

    Надане ім'я імені царства: ім'я імені <надано> 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування> 

    Доступні клавіші: <доступні клавіші> 

Відомості про службу: 

    Ім'я служби: <ім'я служби> 

    Ідентифікатор служби: <> SID служби 

    msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < 

    Доступні ключі: <доступні ключі служби> 

Відомості про контролер домену: 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> 

    DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> 

    Доступні ключі: <контролер домену доступні ключі> 

Відомості про мережу: 

    Клієнтська адреса: IP-адреса клієнта <> 

    Порт клієнта:> клієнтського порту < 

    Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> 

Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. 

Примітки

Ідентифікатор події: 201 буде записано, якщо:

  • Клієнт тільки рекламує RC4 як рекламні Etypes

  • У цільовій службі не визначено msds-SET

  • Для контролера домену не визначено DDSET

  • Значення реєстру RC4DefaultDisablementPhase має значення 1

  • Warning Event 201 transitions into Error event 203 in Enforcement mode

  • Ця подія реєструється за запитом

  • Warning Event 201 is NOT logged if DefaultDomainSupportedEncTypes is manually defined

повернутися до подій аудиту 

Ідентифікатор події: 202

Журнал подій

Система

Тип події

Попередження

Джерело події

Kdcsvc

Ідентифікатор події

202

Текст події

Центр розподілу ключів виявив <використання> імені шифру, яке не підтримуватиметься на етапі примусового виконання, оскільки не визначено службові msds-SupportedEncryptionTypes, а обліковий запис служби має лише незахищені ключі.  

Відомості облікового запису 

    Ім'я облікового запису: <ім'я облікового запису> 

    Надане ім'я імені царства: ім'я імені <надано> 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування> 

    Доступні клавіші: <доступні клавіші> 

Відомості про службу: 

    Ім'я служби: <ім'я служби> 

    Ідентифікатор служби: <> SID служби 

    msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < 

    Доступні ключі: <доступні ключі служби> 

Відомості про контролер домену: 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> 

    DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> 

    Доступні ключі: <контролер домену доступні ключі> 

Відомості про мережу: 

    Клієнтська адреса: IP-адреса клієнта <> 

    Порт клієнта:> клієнтського порту < 

    Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> 

Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. 

Примітки

Попередження про подію 202 буде записано, якщо:

  • Цільова служба не має ключів AES

  • У цільовій службі не визначено msds-SET

  • Для контролера домену не визначено DDSET

  • Значення реєстру RC4DefaultDisablementPhase має значення 1

  • Error event 202 transitions into Error 204 in Enforcement mode

  • Попереджувальна подія 202 вноситься до журналу за запитом

  • Warning Event 202 is NOT logged if DefaultDomainSupportedEncTypes is manually defined

повернутися до подій аудиту 

Ідентифікатор події: 203

Журнал подій

Система

Тип події

Попередження

Джерело події

Kdcsvc

Ідентифікатор події

203

Текст події

Центр розподілу ключів заблокував використання шифру, оскільки службові типи msds-SupportedEncryptionTypes не визначено, а клієнт підтримує лише незахищені типи шифрування. 

Відомості облікового запису 

    Ім'я облікового запису: <ім'я облікового запису> 

    Надане ім'я імені царства: ім'я імені <надано> 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування> 

    Доступні клавіші: <доступні клавіші> 

Відомості про службу: 

    Ім'я служби: <ім'я служби> 

    Ідентифікатор служби: <> SID служби 

    msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < 

    Доступні ключі: <доступні ключі служби> 

Відомості про контролер домену: 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> 

    DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> 

    Доступні ключі: <контролер домену доступні ключі> 

Відомості про мережу: 

    Клієнтська адреса: IP-адреса клієнта <> 

    Порт клієнта:> клієнтського порту < 

    Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> 

Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. 

Примітки

Подія помилки 203 буде записана в журнал, якщо:

  • Клієнт тільки рекламує RC4 як рекламні Etypes

  • У цільовій службі не визначено msds-SET

  • Для контролера домену не визначено DDSET

  • Значення реєстру RC4DefaultDisablementPhase має значення 2

  • За запитом

повернутися до подій аудиту 

Ідентифікатор події: 204

Журнал подій

Система

Тип події

Попередження

Джерело події

Kdcsvc

Ідентифікатор події

204

Текст події

Центр розподілу ключів заблокував використання шифру, оскільки службу msds-SupportedEncryptionTypes не визначено, а обліковий запис служби має лише незахищені ключі.  

Відомості облікового запису 

    Ім'я облікового запису: <ім'я облікового запису> 

    Надане ім'я імені царства: ім'я імені <надано> 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування> 

    Доступні клавіші: <доступні клавіші> 

Відомості про службу: 

    Ім'я служби: <ім'я служби> 

    Ідентифікатор служби: <> SID служби 

    msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < 

    Доступні ключі: <доступні ключі служби> 

Відомості про контролер домену: 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> 

    DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> 

    Доступні ключі: <контролер домену доступні ключі> 

Відомості про мережу: 

    Клієнтська адреса: IP-адреса клієнта <> 

    Порт клієнта:> клієнтського порту < 

    Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> 

Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. 

Примітки

Подія помилки 204 буде записана в журнал, якщо:

  • Цільова служба не має ключів AES

  • У цільовій службі не визначено msds-SET

  • Для контролера домену не визначено DDSET

  • Значення реєстру RC4DefaultDisablementPhase має значення 2

  • За запитом

повернутися до подій аудиту 

Код події: 205

Журнал подій

Система

Тип події

Попередження

Джерело події

Kdcsvc

Ідентифікатор події

205

Текст події

Центр розподілу ключів виявив явне ввімкнення шифру в конфігурації політики підтримуваних типів шифрування домену за промовчанням. 

Шифри: <увімкнуто незахищені шифри> 

DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> 

Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614.

Примітки

Попередження про подію 205 буде записано, якщо:

  • Контролер домену HAS DDSET визначив, що включає будь-що, крім AES-SHA1.

  • Значення реєстру RC4DefaultDisablementPhase має значення 1, 2

  • Це ніколи не перетвориться на помилку

  • Мета полягає в тому, щоб клієнт дізнався про незахищену поведінку, яку ми не змінюватимемо

  • Реєструється щоразу під час запуску KDCSVC

повернутися до подій аудиту 

Ідентифікатор події: 206

Журнал подій

Система

Тип події

Попередження

Джерело події

Kdcsvc

Ідентифікатор події

206

Текст події

Центр розподілу ключів виявив <використання імені шифру>, яке не підтримуватиметься на етапі примусового виконання, оскільки службу msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але клієнт не рекламує AES-SHA1 

Відомості облікового запису 

    Ім'я облікового запису: <ім'я облікового запису> 

    Надане ім'я імені царства: ім'я імені <надано> 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування> 

    Доступні клавіші: <доступні клавіші> 

Відомості про службу: 

    Ім'я служби: <ім'я служби> 

    Ідентифікатор служби: <> SID служби 

    msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < 

    Доступні ключі: <доступні ключі служби> 

Відомості про контролер домену: 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> 

    DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> 

    Доступні ключі: <контролер домену доступні ключі> 

Відомості про мережу: 

    Клієнтська адреса: IP-адреса клієнта <> 

    Порт клієнта:> клієнтського порту < 

    Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> 

Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. 

Примітки

Попередження про подію 206 буде записано, якщо:

  • Клієнт лише рекламує RC4 як рекламні типи Etypes

  • Відбувається будь-яка з наведених нижче дій.

    • Цільова служба HAS msds-SET, визначена лише для AES-SHA1

    • Контролер домену HAS DDSET, визначений лише для AES-SHA1

  • Значення реєстру RC4DefaultDisablementPhase має значення 1

  • Попередження події 2016 переходів до події помилки 2018 у режимі примусового виконання

  • Виконано вхід за запитом

повернутися до подій аудиту 

Ідентифікатор події: 207

Журнал подій

Система

Тип події

Попередження

Джерело події

Kdcsvc

Ідентифікатор події

207

Текст події

Центр розподілу ключів виявив <використання імені шифру>, яке не підтримуватиметься на етапі примусового виконання, оскільки service msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але обліковий запис служби не має ключів AES-SHA1.  

Відомості облікового запису 

    Ім'я облікового запису: <ім'я облікового запису> 

    Надане ім'я імені царства: ім'я імені <надано> 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування> 

    Доступні клавіші: <доступні клавіші> 

Відомості про службу: 

    Ім'я служби: <ім'я служби> 

    Ідентифікатор служби: <> SID служби 

    msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < 

    Доступні ключі: <доступні ключі служби> 

Відомості про контролер домену: 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> 

    DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> 

    Доступні ключі: <контролер домену доступні ключі> 

Відомості про мережу: 

    Клієнтська адреса: IP-адреса клієнта <> 

    Порт клієнта:> клієнтського порту < 

    Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> 

Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. 

Примітки

Попередження про подію 207 буде записано, якщо:

  • Цільова служба не має ключів AES

  • Відбувається будь-яка з наведених нижче дій.

    • Цільова служба HAS msds-SET, визначена лише для AES-SHA1

    • Контролер домену HAS DDSET, визначений лише для AES-SHA1

  • Значення реєстру RC4DefaultDisablementPhase має значення 1

  • Це перетвориться на 209 (помилка) у режимі примусового виконання

  • За запитом

повернутися до подій аудиту 

Ідентифікатор події: 208

Журнал подій

Система

Тип події

Попередження

Джерело події

Kdcsvc

Ідентифікатор події

208

Текст події

Центр розподілу ключів навмисно відхилив використання шифру, оскільки службу msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але клієнт не рекламує AES-SHA1 

Відомості облікового запису 

    Ім'я облікового запису: <ім'я облікового запису> 

    Надане ім'я імені царства: ім'я імені <надано> 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування> 

    Доступні клавіші: <доступні клавіші> 

Відомості про службу: 

    Ім'я служби: <ім'я служби> 

    Ідентифікатор служби: <> SID служби 

    msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < 

    Доступні ключі: <доступні ключі служби> 

Відомості про контролер домену: 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> 

    DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> 

    Доступні ключі: <контролер домену доступні ключі> 

Відомості про мережу: 

    Клієнтська адреса: IP-адреса клієнта <> 

    Порт клієнта:> клієнтського порту < 

    Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> 

Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. 

Примітки

Подія помилки 208 буде записана в журнал, якщо:

  • Клієнт тільки рекламує RC4 як рекламні Etypes

  • Відбувається EIther такого значення:

    • Цільова служба HAS msds-SET, визначена лише для AES-SHA1

    • Контролер домену HAS DDSET, визначений лише для AES-SHA1

  • Значення реєстру RC4DefaultDisablementPhase має значення 2

  • За запитом

повернутися до подій аудиту 

Ідентифікатор події: 209

Журнал подій

Система

Тип події

Попередження

Джерело події

Kdcsvc

Ідентифікатор події

209

Текст події

Центр розподілу ключів навмисно відхилив використання шифру, оскільки службові msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але обліковий запис служби не має ключів AES-SHA1 

Відомості облікового запису 

    Ім'я облікового запису: <ім'я облікового запису> 

    Надане ім'я імені царства: ім'я імені <надано> 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування> 

    Доступні клавіші: <доступні клавіші> 

Відомості про службу: 

    Ім'я служби: <ім'я служби> 

    Ідентифікатор служби: <> SID служби 

    msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < 

    Доступні ключі: <доступні ключі служби> 

Відомості про контролер домену: 

    msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> 

    DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> 

    Доступні ключі: <контролер домену доступні ключі> 

Відомості про мережу: 

    Клієнтська адреса: IP-адреса клієнта <> 

    Порт клієнта:> клієнтського порту < 

    Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> 

Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. 

Примітки

Error event 209 will be logged if:

  • Цільова служба не має ключів AES

  • Відбувається будь-яка з наведених нижче дій.

    • Цільова служба HAS msds-SET, визначена лише для AES-SHA1

    • Контролер домену HAS DDSET, визначений лише для AES-SHA1

  • Значення реєстру RC4DefaultDisablementPhase має значення 2

  • За запитом

повернутися до подій аудиту

Примітка.

Що стосується неявної зміни у виборі шифрування квитків у службі, корпорація Майкрософт має обмежену видимість причин, через які пристрій, що не належить до Windows, може не приймати автентифікацію Kerberos після застосування KDCs квітневого оновлення та переходу до стандартної поведінки AES-SHA1, коли невизначений. Ми рекомендуємо перевірити ці зміни за допомогою тестування у вашому власному середовищі, перш ніж вмикати таку поведінку в цілому.

Найпоширеніше місце, де це буде виявлено, з пристроями, що використовують keytabs Kerberos. Якщо keytab Kerberos експортовано лише за допомогою ключів RC4, але цільовий обліковий запис служби має ключі AES-SHA1 і не має визначених msds-supportedEncryptionTypes, то існує можливість помилки автентифікації зазначеної служби. Швидше за все, це проявиться у вигляді помилок автентифікації з цільової служби, а не з KDC. 

Наша основна рекомендація – працювати з постачальником пристрою, відмінного від Windows. Загалом помилки пристроїв, що не належать до Windows, приймати автентифікацію Kerberos, не є унікальними для квітневих змін і можуть бути пов'язані з конкретними пристроями або конкретними обмеженнями щодо впровадження.

Якщо після цієї зміни виникають проблеми з автентифікацією Kerberos на пристроях, відмінних від Windows, і виправлення неполадок постачальника не є можливим, наші рекомендації наведено нижче.

  • У відповідному обліковому записі служби явно визначте msDS-SupportedEncryptionTypes , щоб включити RC4 з ключами сеансу AES (0x24).

  • Якщо це не можливо, як останній засіб, вручну настройте значення реєстру DefaultDomainSupportedEncTypes на всіх відповідних KDCs, щоб включити RC4 з ключами сеансу AES-SHA1 (0x24). Зверніть увагу, що це залишає всі облікові записи в домені вразливими до CVE-2026-20833.

Важливо зазначити, що ця конфігурація незахищена, і наша довгострокова рекомендація полягає в тому, щоб перенести пристрої, не з Windows, до версій, які підтримують шифрування квитків AES-SHA1 Kerberos.

повернутися до подій аудиту

Запитання й відповіді (запитання й відповіді)

Запитання 1. Як ця зміна взаємодіє з доменами, які мають сторонні KDCs?

Ця зміна загартування впливає лише на контролери домену Windows. Не впливає потік Kerberos Trust і реферальних посилань з іншими контролерами домену Windows або сторонніми KDCs.

Запитання 2. Як ця зміна взаємодіє з доменами, які не мають пристроїв із доменами Windows?

Пристрої сторонніх доменів, які не можуть обробити шифрування AES-SHA1, уже мають бути явно налаштовані на дозвіл шифрування RC4. Служби, які не можуть обробляти квитки AES-SHA1, потрібно виправити або явно налаштувати в Active Diretory, щоб забезпечити шифрування RC4, як зазначено вище. Ретельно перевірте ці зміни. 

Запитання 3. Чи буде корпорація Майкрософт видаляти можливість настроювати DefaultDomainSupportedEncTypes?

Ні. Для незахищених конфігурацій DefaultDomainSupportedEncTypes буде зареєстровано попереджувальні події. Крім того, ми будемо використовувати будь-яку конфігурацію, явно встановлену адміністратором.

догори 

Ресурси

догори 

Журнал змін

Змінити дату

Змінити опис

14 квітня 2026 р.

  • Оновлено дату квітня 2026 року, щоб відобразити фактичну дату випуску для "Етап примусового виконання з ручним відкочуванням".

  • Визначено KDC Kerberos у першому реченні другого абзацу розділу "Зведення".З: Щоб зменшити цю вразливість, windows Оновлення, випущений 14 квітня 2026 р. або адміністратори, що активують режим примусового застосування, змінюється за замовчуванням defaultDomainSupportedEncTypes.Кому: Щоб зменшити цю вразливість, оновлення Windows, випущені 14 квітня 2026 року та після цього, змініть значення за промовчанням Центру розподілення ключів Kerberos (KDC) для DefaultDomainSupportedEncTypes, якщо адміністратори не ввімкнули режим примусового застосування раніше.

7 квітня 2026 р.

  • Для зручності змініть фразу другого абзацу в розділі "Зведення".

  • Додайте важливу нотатку в розділі "Крок 2: МОНІТОР", щоб підкреслити її важливість. Зверніть увагу на важливість.

  • Додано новий другий абзац до нотатки над розділом запитання й відповіді.

16 березня 2026 р.

  • Для ясності "Крок 2: MONITOR" додано до розділу "Рекомендації щодо розгортання".

  • Установіть для ясності відповідь на запитання "Як ця зміна взаємодіє з доменами, які не належать до домену Windows?". Запитання й відповіді. Додано спеціальну нотатку про те, як на служби, які не належать до Windows, можуть впливати ці зміни.

10 лютого 2026 р.

  • Додано посилання на документацію до екземплярів DefaultDomainSupportedEncTypes.

  • Виправлено формулювання другого маркера в розділі "Крок3: Увімкнення".З: Представляє значення реєстру RC4DefaultDisablementPhase для активного ввімкнення зміни, установивши значення 2 на контролерах домену, коли події аудиту KDCSVC вказують на те, що це безпечно зробити.Кому: Впроваджує підтримку значення реєстру RC4DefaultDisablementPhase після того, як адміністратор заздалегідь активує зміну, установивши значення 2 на контролерах домену, коли події аудиту KDCSVC вказують на те, що це безпечно.

  • Під приміткою Важливо в розділі "Вжити заходів" змінено перше речення абзацу, щоб позначити приблизний режим примусового застосування.З: З квітня 2026 року режим примусового застосування буде ввімкнуто на всіх контролерах домену Windows і блокуватиме вразливі підключення з пристроїв, які не відповідають вимогам.Кому: Режим примусового застосування буде автоматично ввімкнуто шляхом інсталяції Windows Оновлення, випущеної у квітні 2026 р. або пізніше, на всіх контролерах домену Windows і блокуватиме вразливі підключення з несумісних пристроїв.

  • Додані формулювання, щоб згадати про цю зміну, зроблені Windows Оновлення випущені 13 січня 2026 року та CVE-2026-20833.

догори 

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей