Вихідна дата публікації: 13 січня 2026 р.
Ідентифікатор KB: 5073381
|
Змінити дату |
Змінити опис |
|
10 лютого 2026 р. |
|
У цій статті
Зведення
Оновлення Windows, випущені 13 січня 2026 року та після них, містять захист вразливості за допомогою протоколу автентифікації Kerberos. Оновлення Windows вирішують вразливість розкриття інформації в CVE-2026-20833 , яка може дозволити зловмиснику отримати запити на обслуговування зі слабкими або застарілими типами шифрування, такими як RC4, для виконання автономних атак для відновлення пароля облікового запису служби.
Щоб зменшити цю вразливість, значення за промовчанням DefaultDomainSupportedEncTypes змінюється ввімкненням режиму примусового застосування. Оновлені контролери домену, які працюють у режимі примусового застосування, підтримують лише конфігурації типу шифрування розширеного шифрування Standard (AES). Докладні відомості див. в статті Підтримувані бітні позначки типів шифрування. Значення за промовчанням для DefaultDomainSupportedEncTypes застосовується за відсутності явного значення
На контролерах домену з визначеним значенням реєстру DefaultDomainSupportedEncTypes поведінка не впливатиме на ці зміни функціонально. Однак код події KDCSVC контрольної події: 205 буде записано в системний журнал подій, якщо наявна конфігурація DefaultDomainSupportedEncTypes незахищена (наприклад, коли використовується шифр RC4).
Дійте рішучо
Щоб захистити середовище та запобігти перебої в роботі, радимо:
-
ОНОВЛЕННЯ Контролери домену Microsoft Active Directory починаються з оновлень Windows, випущених 13 січня 2026 р. або пізніше.
-
ВІДСТЕЖУЙТЕ системний журнал подій для будь-якого з дев'яти подій KDCSVC 201 > 209, які ввійшли в систему Windows Server 2012 і новіших контролерах домену, які визначають ризики з увімкнутим захистом RC4.
-
ПОМ'ЯКШЕННЯ Події KDCSVC увійшли до системного журналу подій, які перешкоджають ручному або програмному ввімкненню захисту RC4.
-
УВІМКНУТИ Режим примусового застосування для усунення вразливостей, адресованих у CVE-2026-20833 у вашому середовищі, коли попередження, блокування або події політики більше не записуються.
ВАЖЛИВО Інсталяція оновлень, випущених 13 січня 2026 р. або пізніше, не усуває вразливості, описані в CVE-2026-20833 для контролерів домену Active Directory за замовчуванням. Щоб повністю зменшити вразливість, потрібно вручну ввімкнути режим примусового застосування (описаний на кроці 3: ENABLE) на всіх контролерах домену. Інсталяція Windows Оновлення, випущена в липні 2026 року та після неї, програмно активує етап примусового виконання.
Режим примусового застосування буде автоматично ввімкнуто шляхом інсталяції Windows Оновлення, випущеної у квітні 2026 р. або пізніше, на всіх контролерах домену Windows і блокуватиме вразливі підключення з несумісних пристроїв. У цей час ви не зможете вимкнути аудит, але можете повернутися до параметра Режим аудиту. Режим аудиту буде видалено в липні 2026 року, як зазначено в розділі Хронометраж оновлень , а режим примусового застосування буде ввімкнуто на всіх контролерах домену Windows і блокуватиме вразливі підключення з несумісних пристроїв.
Якщо вам потрібно використовувати RC4 після квітня 2026 року, радимо явно ввімкнути RC4 в бітній масці msds-SupportedEncryptionTypes у службах, яким потрібно буде прийняти використання RC4.
Хронометраж оновлень
13 січня 2026 р. – етап початкового розгортання
Початковий етап розгортання починається з оновлень, випущених 13 січня 2026 р., і триватиме пізніше оновлення Windows до етапу примусового виконання . Цей етап полягає в тому, щоб попередити клієнтів про нові засоби безпеки, які будуть введені на другому етапі розгортання. Це оновлення:
-
Забезпечує події аудиту, щоб попередити клієнтів, які можуть негативно вплинути на майбутнє посилення безпеки.
-
Впроваджує підтримку значення реєстру RC4DefaultDisablementPhase після того, як адміністратор заздалегідь активує зміну, установивши значення 2 на контролерах домену, коли події аудиту KDCSVC вказують на те, що це безпечно.
Квітень 2026 р. – Етап примусового виконання з ручним відкочуванням
Це оновлення змінює значення DefaultDomainSupportedEncTypes для операцій KDC, щоб використовувати AES-SHA1 для облікових записів, для яких не визначено явний атрибут active directory msds-SupportedEncryptionTypes.
Цей етап змінює значення за промовчанням для DefaultDomainSupportedEncTypes лише на AES-SHA1: 0x18.
Цей етап також забезпечує ручне настроювання значення відкочування RC4DefaultDisablementPhase до програмного застосування в липні 2026 року.
Липень 2026 р. – етап примусового виконання
Оновлення Windows, випущені в липні 2026 р. або пізніше, видалить підтримку підрозділу реєстру RC4DefaultDisablementPhase.
Рекомендації з розгортання
Щоб розгорнути оновлення Windows, випущені 13 січня 2026 р. або пізніше, виконайте такі дії:
-
Оновіть контролери домену за допомогою оновлення Windows, випущеного 13 січня 2026 р. або пізніше.
-
Події MONITOR , зареєстровані на етапі початкового розгортання, щоб захистити середовище.
-
Перемістіть контролери домену в режим примусового застосування за допомогою розділу Параметри реєстру.
Крок 1. ОНОВЛЕННЯ
Розгорніть оновлення Windows, випущене 13 січня 2026 р. або пізніше, для всіх застосовних служб Windows Active Directory, запущеної як контролер домену після розгортання оновлення.
-
Контрольні події відображатимуться в системних журналах подій, якщо контролери домену Windows Server 2012 або пізнішої версії отримують запити на квитки служби Kerberos, для яких потрібно використовувати шифр RC4, але обліковий запис служби має конфігурацію шифрування за промовчанням.
-
Audit Event 205 буде внесено до журналу системних подій, якщо контролер домену має явну конфігурацію DefaultDomainSupportedEncTypes , щоб дозволити шифрування RC4.
Крок 2. МОНІТОР
Після оновлення контролерів домену, якщо події аудиту не відображаються, перейдіть у режим примусового застосування , змінивши значення RC4DefaultDisablementPhase на 2.
Якщо створюються події аудиту, потрібно видалити залежності RC4 або явно настроїти підтримувані типи шифрування в облікових записах Kerberos для підтримки подальшого використання RC4 після ручного або автоматичного ввімкнення режиму примусового застосування .
Щоб дізнатися, як виявити використання RC4 у вашому домені, аудит визначить облікові записи пристрою та користувачів, які все ще залежать від RC4. Адміністратори повинні вжити заходів, щоб виправити використання на користь надійніших типів шифрування або керувати залежностями RC4. Докладні відомості див. в статті Виявлення та виправлення використання RC4 в Kerberos.
Крок 3. УВІМКНЕННЯ
Увімкніть режим примусового застосування для усунення вразливостей CVE-2026-20833 у вашому середовищі.
-
Якщо запитано KDC, щоб надати запит на обслуговування RC4 для облікового запису з конфігурацією за промовчанням подія помилки буде записано.
-
Ви й надалі бачитимете ідентифікатор події: 205, зареєстрований для будь-якої незахищеної конфігурації DefaultDomainSupportedEncTypes.
Параметри реєстру
Після інсталяції оновлень Windows, випущених 13 січня 2026 р. або пізніше, для протоколу Kerberos доступний наведений нижче розділ реєстру.
Цей розділ реєстру використовується, щоб заміщувати розгортання змін Kerberos. Цей розділ реєстру тимчасовий і більше не читатиметься після дати примусового виконання.
|
Розділ реєстру |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Тип даних |
REG_DWORD |
|
Ім'я значення |
RC4DefaultDisablementPhase |
|
Дані про значення |
0 – без аудиту, без змін 1 - до журналу за промовчанням RC4-використання буде зареєстровано попереджувальні події. (Етап 1 за замовчуванням) 2 – Kerberos почне припускати, що RC4 не активовано за замовчуванням. (Етап 2 за замовчуванням) |
|
Потрібне перезавантаження? |
Так |
Події аудиту
Після інсталяції оновлень Windows, випущених 13 січня 2026 р. або пізніше, наведені нижче типи подій KSCSVC Audit додаються до журналу подій системи Windows Server 2012 року, а потім працюють як контролер домену.
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
201 |
|
Текст події |
Центр розподілу ключів виявив <використання> імені шифру, яке не підтримуватиметься на етапі примусового виконання, оскільки не визначено service msds-SupportedEncryptionTypes, а клієнт підтримує лише незахищені типи шифрування. Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Ідентифікатор події: 201 буде записано, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
202 |
|
Текст події |
Центр розподілу ключів виявив <використання> імені шифру, яке не підтримуватиметься на етапі примусового виконання, оскільки не визначено службові msds-SupportedEncryptionTypes, а обліковий запис служби має лише незахищені ключі. Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Попередження про подію 202 буде записано, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
203 |
|
Текст події |
Центр розподілу ключів заблокував використання шифру, оскільки службові типи msds-SupportedEncryptionTypes не визначено, а клієнт підтримує лише незахищені типи шифрування. Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Подія помилки 203 буде записана в журнал, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
204 |
|
Текст події |
Центр розподілу ключів заблокував використання шифру, оскільки службу msds-SupportedEncryptionTypes не визначено, а обліковий запис служби має лише незахищені ключі. Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Подія помилки 204 буде записана в журнал, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
205 |
|
Текст події |
Центр розподілу ключів виявив явне ввімкнення шифру в конфігурації політики підтримуваних типів шифрування домену за промовчанням. Шифри: <увімкнуто незахищені шифри> DefaultDomainSupportedEncTypes: <Configured DefaultDomainSupportedEncTypes Value> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Попередження про подію 205 буде записано, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
206 |
|
Текст події |
Центр розподілу ключів виявив <використання імені шифру>, яке не підтримуватиметься на етапі примусового виконання, оскільки службу msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але клієнт не рекламує AES-SHA1 Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Попередження про подію 206 буде записано, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
207 |
|
Текст події |
Центр розподілу ключів виявив <використання імені шифру>, яке не підтримуватиметься на етапі примусового виконання, оскільки service msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але обліковий запис служби не має ключів AES-SHA1. Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Попередження про подію 207 буде записано, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
208 |
|
Текст події |
Центр розподілу ключів навмисно відхилив використання шифру, оскільки службу msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але клієнт не рекламує AES-SHA1 Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Подія помилки 208 буде записана в журнал, якщо:
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
209 |
|
Текст події |
Центр розподілу ключів навмисно відхилив використання шифру, оскільки службові msds-SupportedEncryptionTypes настроєно на підтримку лише AES-SHA1, але обліковий запис служби не має ключів AES-SHA1 Відомості облікового запису Ім'я облікового запису: <ім'я облікового запису> Надане ім'я імені царства: ім'я імені <надано> msds-SupportedEncryptionTypes: <підтримувані типи шифрування> Доступні клавіші: <доступні клавіші> Відомості про службу: Ім'я служби: <ім'я служби> Ідентифікатор служби: <> SID служби msds-SupportedEncryptionTypes:> підтримуваних типів шифрування служби < Доступні ключі: <доступні ключі служби> Відомості про контролер домену: msds-SupportedEncryptionTypes: <підтримувані типи шифрування контролера домену> DefaultDomainSupportedEncTypes: <значення DefaultDomainSupportedEncTypes> Доступні ключі: <контролер домену доступні ключі> Відомості про мережу: Клієнтська адреса: IP-адреса клієнта <> Порт клієнта:> клієнтського порту < Рекламні типи Етипів: <рекламовані типи шифрування Kerberos> Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344614. |
|
Примітки |
Error event 209 will be logged if:
|
Примітка.
Якщо ви знайдете будь-яке з цих попереджень, які реєструються на контролері домену, цілком імовірно, що всі контролери домену у вашому домені не оновлено за допомогою оновлення Windows, випущеного 13 січня 2026 р. або пізніше. Щоб зменшити вразливість, потрібно дослідити домен далі, щоб знайти не найновіші контролери домену.
Якщо відображається ідентифікатор події: 0x8000002A ввійшов на контролері домену, див. статтю KB5021131: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37966.
Запитання й відповіді (запитання й відповіді)
Ця зміна загартування впливає лише на контролери домену Windows. Не впливає потік Kerberos Trust і реферальних посилань з іншими контролерами домену Windows або сторонніми KDCs.
Пристрої сторонніх доменів, які не можуть обробити шифрування AES-SHA1, вже мають бути явно налаштовані на дозвіл шифрування AES-SHA1.
Ні. Для незахищених конфігурацій DefaultDomainSupportedEncTypes буде зареєстровано попереджувальні події. Крім того, ми будемо використовувати будь-яку конфігурацію, явно встановлену адміністратором.
Ресурси
KB5020805: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37967
KB5021131: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37966
