Ngày phát hành ban đầu: Ngày 13 tháng 1 năm 2026
ID KB: 5073381
|
Thay đổi ngày |
Thay đổi mô tả |
|
Ngày 10 tháng 2 năm 2026 |
|
Trong bài viết này
Tóm tắt
Các bản cập nhật Windows được phát hành vào và sau ngày 13 tháng 1 năm 2026 chứa các tùy chọn bảo vệ cho lỗ hổng bảo mật bằng giao thức xác thực Kerberos. Các bản cập nhật Windows giải quyết lỗ hổng tiết lộ thông tin trong CVE-2026-20833 có thể cho phép kẻ tấn công lấy vé dịch vụ có loại mã hóa yếu hoặc thừa tự như RC4 để thực hiện tấn công ngoại tuyến để khôi phục mật khẩu tài khoản dịch vụ.
Để giảm thiểu lỗ hổng này, giá trị mặc định của DefaultDomainSupportedEncTypes được thay đổi bằng cách bật chế độ Thực thi. Bộ kiểm soát miền cập nhật đang chạy trong chế độ Thực thi sẽ chỉ hỗ trợ các cấu hình kiểu mã hóa mã hóa Standard nâng cao (AES). Để biết thêm thông tin, hãy xem Loại Mã hóa Được hỗ trợ Cờ Bit. Giá trị mặc định cho DefaultDomainSupportedEncTypes áp dụng khi không có giá trị rõ ràng
Trên bộ điều khiển miền có giá trị đăng ký DefaultDomainSupportedEncTypes đã xác định, hành vi sẽ không bị ảnh hưởng về mặt chức năng bởi những thay đổi này. Tuy nhiên, một sự kiện Kiểm tra KDCSVC Sự kiện ID: 205 sẽ được ghi nhật ký trong nhật ký sự kiện Hệ thống nếu cấu hình DefaultDomainSupportedEncTypes hiện có không an toàn (ví dụ: khi sử dụng mật mã RC4).
Hành động
Để giúp bảo vệ môi trường của bạn và ngăn ngừa mất điện, chúng tôi khuyên bạn:
-
CẬP NHẬT Bộ kiểm soát miền Microsoft Active Directory bắt đầu với các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026.
-
GIÁM SÁT nhật ký sự kiện Hệ thống đối với bất kỳ sự kiện Kiểm tra KDCSVC 201 > 209 nào được ghi nhật ký trên Windows Server 2012 và các bộ kiểm soát miền mới hơn có khả năng xác định các rủi ro khi bật bảo vệ RC4.
-
GIẢM THIỂU Các sự kiện KDCSVC được ghi nhật ký trong nhật ký sự kiện Hệ thống ngăn chặn việc bật thủ công hoặc theo chương trình bảo vệ RC4.
-
BẬT Chế độ thực thi để giải quyết các lỗ hổng được khắc phục trong CVE-2026-20833 trong môi trường của bạn khi các sự kiện cảnh báo, chặn hoặc chính sách không còn được ghi nhật ký.
QUAN TRỌNG Việc cài đặt các bản cập nhật được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026 sẽ KHÔNG khắc phục các lỗ hổng được mô tả trong CVE-2026-20833 cho bộ kiểm soát miền Active Directory theo mặc định. Để giảm thiểu hoàn toàn lỗ hổng bảo mật, bạn nên bật chế độ Thực thi theo cách thủ công (được mô tả trong Bước 3: BẬT) trên tất cả các bộ kiểm soát miền. Việc cài đặt Windows Cập nhật hành vào và sau tháng 7 năm 2026 sẽ cho phép Giai đoạn Thực thi được lập trình.
Chế độ thực thi sẽ được bật tự động bằng cách cài đặt Windows Cập nhật được phát hành vào hoặc sau tháng 4 năm 2026 trên tất cả các bộ kiểm soát miền Windows và sẽ chặn các kết nối dễ bị tấn công từ các thiết bị không tuân thủ. Tại thời điểm đó, bạn sẽ không thể tắt tính năng kiểm tra nhưng có thể di chuyển trở lại thiết đặt chế độ Kiểm tra. Chế độ kiểm tra sẽ bị loại bỏ vào tháng 7 năm 2026, như được nêu trong mục Thời gian cập nhật và chế độ Thực thi sẽ được bật trên tất cả các bộ kiểm soát miền Windows và sẽ chặn các kết nối dễ bị tấn công khỏi các thiết bị không tuân thủ.
Nếu bạn cần tận dụng RC4 sau tháng 4 năm 2026, chúng tôi khuyên bạn nên bật RC4 một cách rõ ràng trong bitmask msds-SupportedEncryptionTypes trên các dịch vụ cần chấp nhận sử dụng RC4.
Thời gian cập nhật
13 tháng 1 năm 2026 - Giai đoạn Triển khai Ban đầu
Giai đoạn triển khai ban đầu bắt đầu với các bản cập nhật được phát hành vào và sau ngày 13 tháng 1 năm 2026 và tiếp tục với các bản cập nhật Windows mới hơn cho đến giai đoạn Thực thi. Giai đoạn này là để cảnh báo khách hàng của các thực thi bảo mật mới sẽ được giới thiệu trong giai đoạn triển khai thứ hai. Bản cập nhật này:
-
Cung cấp các sự kiện kiểm tra để cảnh báo những khách hàng có thể bị ảnh hưởng tiêu cực bởi việc c cố định bảo mật sắp tới.
-
Giới thiệu hỗ trợ cho giá trị đăng kýR C4DefaultDisablementPhase sau khi người quản trị chủ động cho phép thay đổi bằng cách thiết đặt giá trị thành 2 trên bộ kiểm soát miền khi các sự kiện Kiểm tra KDCSVC cho thấy rằng nó là an toàn để làm như vậy.
Tháng 4 năm 2026 - Giai đoạn Thực thi với quay lui thủ công
Bản cập nhật này thay đổi giá trị DefaultDomainSupportedEncTypes mặc định cho các thao tác KDC để tận dụng AES-SHA1 cho các tài khoản không có thuộc tính active directory msds-SupportedEncryptionTypes rõ ràng.
Giai đoạn này thay đổi giá trị mặc định cho DefaultDomainSupportedEncTypes thành AES-SHA1 chỉ: 0x18.
Giai đoạn này cũng cho phép cấu hình thủ công giá trị quay lui RC4DefaultDisablementPhase cho đến khi thực thi theo chương trình vào tháng 7 năm 2026.
Tháng 7 năm 2026 - Giai đoạn thực thi
Các bản cập nhật Windows được phát hành trong hoặc sau tháng 7 năm 2026 sẽ loại bỏ hỗ trợ cho khóa phụ đăng ký RC4DefaultDisablementPhase.
Hướng dẫn triển khai
Để triển khai các bản cập nhật Windows đã phát hành vào hoặc sau ngày 13 tháng 1 năm 2026, hãy làm theo các bước sau:
-
CẬP NHẬT bộ kiểm soát miền bằng bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026.
-
Các sự kiện MONITOR được ghi nhật ký trong giai đoạn triển khai ban đầu nhằm giúp bảo mật môi trường của bạn.
-
DI CHUYỂN bộ kiểm soát miền sang chế độ Thực thi bằng cách sử dụng phần Thiết đặt sổ đăng ký.
Bước 1: CẬP NHẬT
Triển khai bản cập nhật Windows đã phát hành vào hoặc sau ngày 13 tháng 1 năm 2026 cho tất cả Windows Active Directory hiện hành chạy như một bộ kiểm soát miền sau khi triển khai bản cập nhật.
-
Các sự kiện kiểm tra sẽ xuất hiện trong nhật ký sự kiện Hệ thống nếu bộ kiểm soát miền Windows Server 2012 trở lên của bạn nhận được yêu cầu phiếu dịch vụ Kerberos yêu cầu sử dụng mật mã RC4 nhưng tài khoản dịch vụ có cấu hình mã hóa mặc định.
-
Sự kiện Kiểm tra 205 sẽ được ghi nhật ký trong nhật ký sự kiện Hệ thống nếu bộ kiểm soát miền của bạn có cấu hình DefaultDomainSupportedEncTypes rõ ràng để cho phép mã hóa RC4.
Bước 2: MÀN HÌNH
Sau khi bộ kiểm soát miền được cập nhật, nếu bạn không thấy bất kỳ sự kiện kiểm tra nào, hãy chuyển sang chế độ Thực thi bằng cách thay đổi giá trị RC4DefaultDisablementPhase thành 2.
Nếu có các sự kiện kiểm tra được tạo, bạn sẽ cần phải loại bỏ các phụ thuộc RC4 hoặc cấu hình rõ ràng các tài khoản mà Kerberos hỗ trợ loại mã hóa được hỗ trợ để hỗ trợ việc tiếp tục sử dụng RC4 theo hướng dẫn sử dụng hoặc tự động bật chế độ Thực thi.
Để tìm hiểu cách phát hiện việc sử dụng RC4 trong miền của bạn, kiểm tra sẽ xác định tài khoản thiết bị và người dùng vẫn phụ thuộc vào RC4. Người quản trị nên thực hiện các bước để khắc phục việc sử dụng có lợi cho các loại mã hóa mạnh hơn hoặc quản lý các phụ thuộc RC4. Để biết thêm thông tin, hãy xem Phát hiện và khắc phục sự cố sử dụng RC4 trong Kerberos.
Bước 3: BẬT
Bật chế độ Thực thi để giải quyết các lỗ hổng CVE-2026-20833 trong môi trường của bạn.
-
Nếu yêu cầu KDC cung cấp phiếu dịch vụ RC4 cho tài khoản có cấu hình mặc định, sự kiện lỗi sẽ được ghi nhật ký.
-
Bạn sẽ tiếp tục thấy ID Sự kiện: 205 được ghi nhật ký để có bất kỳ cấu hình không an toàn nào của DefaultDomainSupportedEncTypes.
Cài đặt đăng ký
Sau khi các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026, khóa đăng ký sau đây có sẵn cho giao thức Kerberos.
Khóa đăng ký này được sử dụng để ngăn việc triển khai các thay đổi Kerberos. Khóa đăng ký này là tạm thời và sẽ không còn được đọc sau ngày thực thi.
|
Khóa đăng ký |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Kiểu dữ liệu |
REG_DWORD |
|
Tên giá trị |
RC4DefaultDisablementPhase |
|
Dữ liệu giá trị |
0 – Không kiểm toán, không thay đổi 1 - Các sự kiện cảnh báo sẽ được ghi vào sử dụng RC4 mặc định. (Giai đoạn 1 mặc định) 2 – Kerberos sẽ bắt đầu giả định rằng RC4 không được bật theo mặc định. (Mặc định giai đoạn 2) |
|
Bạn cần khởi động lại? |
Có |
Kiểm tra sự kiện
Sau khi các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026 được cài đặt, các loại sự kiện Kiểm tra KSCSVC sau đây sẽ được thêm vào nhật ký sự kiện Hệ thống của Windows Server 2012 trở lên chạy với vai trò bộ kiểm soát miền.
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
201 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa phát hiện <sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes không được xác định và máy khách chỉ hỗ trợ các loại mã hóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
ID Sự kiện: 201 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
202 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa phát hiện <sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes không được xác định và tài khoản dịch vụ chỉ có khóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 202 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
203 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã chặn việc sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes không được xác định và máy khách chỉ hỗ trợ các loại mã hóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 203 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
204 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã chặn việc sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes không được xác định và tài khoản dịch vụ chỉ có khóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 204 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
205 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã phát hiện bật mật mã rõ ràng trong cấu hình chính sách Kiểu mã hóa được Hỗ trợ Tên miền Mặc định. Mật mã: Mật mã <Ciphers Không an toàn được bật> DefaultDomainSupportedEncTypes: <Giá trị DefaultDomainSupportedEncTypes được đặt cấu hình> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 205 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
206 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã phát hiện <Sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng máy khách không quảng cáo AES-SHA1 Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 206 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
207 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã phát hiện <Sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng tài khoản dịch vụ không có khóa AES-SHA1. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 207 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
208 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa cố ý từ chối sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng máy khách không quảng cáo AES-SHA1 Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 208 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
209 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa cố ý từ chối sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng tài khoản dịch vụ không có khóa AES-SHA1 Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 209 sẽ được ghi nhật ký nếu:
|
Lưu ý
Nếu bạn tìm thấy bất kỳ thông báo cảnh báo nào trong số này được ghi nhật ký trên bộ kiểm soát miền thì có thể tất cả các bộ kiểm soát miền trong miền của bạn đều chưa được cập nhật với bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026. Để giảm thiểu lỗ hổng bảo mật, bạn sẽ cần phải điều tra miền của mình thêm để tìm bộ kiểm soát miền chưa được cập nhật.
Nếu bạn thấy ID Sự kiện: 0x8000002A đăng nhập vào bộ kiểm soát miền, vui lòng xem KB5021131: Cách quản lý thay đổi giao thức Kerberos liên quan đến CVE-2022-37966.
Câu hỏi thường gặp (Câu hỏi thường gặp)
Thay đổi cứng này chỉ ảnh hưởng đến bộ kiểm soát miền Windows. Dòng giới thiệu và Tin cậy Kerberos với các bộ kiểm soát miền Windows khác hoặc KDC bên thứ ba không bị ảnh hưởng.
Thiết bị tên miền của bên thứ ba không thể xử lý mã hóa AES-SHA1 nên đã được cấu hình rõ ràng để cho phép mã hóa AES-SHA1.
Không. Chúng tôi sẽ ghi nhật ký các sự kiện cảnh báo cho cấu hình không an toàn cho DefaultDomainSupportedEncTypes. Ngoài ra, chúng tôi sẽ tôn trọng bất kỳ cấu hình nào được thiết lập rõ ràng bởi người quản trị.
Tài nguyên
KB5020805: Cách quản lý các thay đổi giao thức Kerberos liên quan đến CVE-2022-37967
KB5021131: Cách quản lý các thay đổi giao thức Kerberos liên quan đến CVE-2022-37966
