Ngày phát hành ban đầu: Ngày 13 tháng 1 năm 2026
ID KB: 5073381
Hết hạn chứng chỉ Khởi động an toàn Windows
Quan trọng: Chứng chỉ Khởi động an toàn được hầu hết các thiết bị Windows sử dụng sẽ hết hạn vào tháng 6 năm 2026. Điều này có thể ảnh hưởng đến khả năng khởi động an toàn của một số thiết bị cá nhân và doanh nghiệp nếu không được cập nhật đúng hạn. Để tránh gián đoạn, bạn nên xem lại hướng dẫn và thực hiện hành động để cập nhật chứng chỉ trước. Để biết chi tiết và các bước chuẩn bị, hãy xem Hết hạn chứng chỉ Khởi động an toàn của Windows và các bản cập nhật CA.
Trong bài viết này
Tóm tắt
Các bản cập nhật Windows được phát hành vào và sau ngày 13 tháng 1 năm 2026 chứa các tùy chọn bảo vệ cho lỗ hổng bảo mật bằng giao thức xác thực Kerberos. Windows updates address an information disclosure vulnerability that might allow an attacker to obtain service tickets with weak or legacy encryption types such as RC4 and perform offline attacks to recover a service account password.
Để giúp bảo mật và làm cứng môi trường của bạn, hãy cài đặt bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026, cho tất cả các máy chủ Windows được liệt kê trong mục "Áp dụng cho" đang chạy dưới dạng bộ kiểm soát miền. Để tìm hiểu thêm về các lỗ hổng, hãy xem CVE-2026-20833.
Để giảm thiểu lỗ hổng này, giá trị mặc định của DefaultDomainSupportedEncTypes (DDSET) đang được thay đổi để tất cả các bộ kiểm soát miền chỉ hỗ trợ mã hóa nâng cao Standard (AES-SHA1)-vé được mã hóa cho các tài khoản mà không có cấu hình loại mã hóa Kerberos rõ ràng. Để biết thêm thông tin, hãy xem Loại Mã hóa Được hỗ trợ Cờ Bit.
Trên bộ điều khiển miền có giá trị đăng ký DefaultDomainSupportedEncTypes đã xác định, hành vi sẽ không bị ảnh hưởng về mặt chức năng bởi những thay đổi này. Tuy nhiên, một sự kiện kiểm tra KDCSVC sự kiện ID: 205 có thể được ghi nhật ký trong nhật ký sự kiện hệ thống nếu cấu hình DefaultDomainSupportedEncTypes hiện không an toàn.
Hành động
Để giúp bảo vệ môi trường của bạn và ngăn chặn sự cố, chúng tôi khuyên bạn nên làm theo các bước sau:
-
CẬP NHẬT Bộ kiểm soát miền Microsoft Active Directory bắt đầu với các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026.
-
GIÁM SÁT nhật ký sự kiện Hệ thống đối với bất kỳ sự kiện Kiểm tra 9 nào được ghi nhật ký trên Windows Server 2012 và bộ kiểm soát miền mới hơn giúp xác định những rủi ro có bật tính năng bảo vệ RC4.
-
GIẢM THIỂU Các sự kiện KDCSVC được ghi nhật ký trong nhật ký sự kiện Hệ thống ngăn chặn việc bật thủ công hoặc theo chương trình bảo vệ RC4.
-
BẬT Chế độ thực thi để giải quyết các lỗ hổng được khắc phục trong CVE-2026-20833 trong môi trường của bạn khi các sự kiện cảnh báo, chặn hoặc chính sách không còn được ghi nhật ký.
QUAN TRỌNG Việc cài đặt các bản cập nhật được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026 sẽ KHÔNG khắc phục các lỗ hổng được mô tả trong CVE-2026-20833 cho bộ kiểm soát miền Active Directory theo mặc định. Để giảm thiểu đầy đủ lỗ hổng bảo mật, bạn phải chuyển sang chế độ Bắt buộc (được mô tả trong Bước 3) càng sớm càng tốt trên tất cả các bộ kiểm soát miền.
Bắt đầu từ tháng 4 năm 2026, chế độ Thực thi sẽ được bật trên tất cả các bộ kiểm soát miền Windows và sẽ chặn các kết nối dễ bị tấn công từ các thiết bị không tuân thủ. Tại thời điểm đó, bạn sẽ không thể tắt tính năng kiểm tra nhưng có thể di chuyển trở lại thiết đặt chế độ Kiểm tra. Chế độ kiểm tra sẽ bị loại bỏ vào tháng 7 năm 2026, như được nêu trong mục Thời gian cập nhật và chế độ Thực thi sẽ được bật trên tất cả các bộ kiểm soát miền Windows và sẽ chặn các kết nối dễ bị tấn công khỏi các thiết bị không tuân thủ.
Nếu bạn cần tận dụng RC4 sau tháng 4 năm 2026, chúng tôi khuyên bạn nên bật RC4 một cách rõ ràng trong bitmask msds-SupportedEncryptionTypes trên các dịch vụ cần chấp nhận sử dụng RC4.
Thời gian cập nhật
13 tháng 1 năm 2026 - Giai đoạn Triển khai Ban đầu
Giai đoạn triển khai ban đầu bắt đầu với các bản cập nhật được phát hành vào và sau ngày 13 tháng 1 năm 2026 và tiếp tục với các bản cập nhật Windows mới hơn cho đến giai đoạn Thực thi. Giai đoạn này là để cảnh báo khách hàng của các thực thi bảo mật mới sẽ được giới thiệu trong giai đoạn triển khai thứ hai. Bản cập nhật này:
-
Cung cấp các sự kiện kiểm tra để cảnh báo những khách hàng có thể bị ảnh hưởng tiêu cực bởi việc c cố định bảo mật sắp tới.
-
Giới thiệu giá trị đăng ký RC4DefaultDisablementPhase để chủ động cho phép thay đổi bằng cách đặt giá trị thành 2 trên bộ kiểm soát miền khi các sự kiện Kiểm tra KDCSVC cho thấy rằng nó là an toàn để làm như vậy.
Tháng 4 năm 2026 - Giai đoạn Triển khai thứ hai
Bản cập nhật này thay đổi giá trị DefaultDomainSupportedEncTypes mặc định cho các thao tác KDC để tận dụng AES-SHA1 cho các tài khoản không có thuộc tính active directory msds-SupportedEncryptionTypes rõ ràng.
Giai đoạn này thay đổi giá trị mặc định cho DefaultDomainSupportedEncTypes thành AES-SHA1 chỉ: 0x18.
Tháng 7 năm 2026 - Giai đoạn thực thi
Các bản cập nhật Windows được phát hành trong hoặc sau tháng 7 năm 2026 sẽ loại bỏ hỗ trợ cho khóa phụ đăng ký RC4DefaultDisablementPhase.
Hướng dẫn triển khai
Để triển khai các bản cập nhật Windows đã phát hành vào hoặc sau ngày 13 tháng 1 năm 2026, hãy làm theo các bước sau:
-
CẬP NHẬT bộ kiểm soát miền bằng bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026.
-
Các sự kiện MONITOR được ghi nhật ký trong giai đoạn triển khai ban đầu nhằm giúp bảo mật môi trường của bạn.
-
DI CHUYỂN bộ kiểm soát miền sang chế độ Thực thi bằng cách sử dụng phần Thiết đặt sổ đăng ký.
Bước 1: CẬP NHẬT
Triển khai bản cập nhật Windows đã phát hành vào hoặc sau ngày 13 tháng 1 năm 2026 cho tất cả Windows Active Directory hiện hành chạy như một bộ kiểm soát miền sau khi triển khai bản cập nhật.
-
Các sự kiện kiểm tra sẽ xuất hiện trong nhật ký sự kiện Hệ thống nếu bộ kiểm soát miền của bạn nhận được yêu cầu phiếu dịch vụ Kerberos yêu cầu sử dụng mật mã RC4 nhưng tài khoản dịch vụ có cấu hình mã hóa mặc định.
-
Các sự kiện kiểm tra sẽ được ghi nhật ký trong nhật ký sự kiện Hệ thống nếu bộ kiểm soát miền của bạn có cấu hình DefaultDomainSupportedEncTypes rõ ràng để cho phép mã hóa RC4.
Bước 2: MÀN HÌNH
Sau khi bộ kiểm soát miền được cập nhật, nếu bạn không thấy bất kỳ sự kiện kiểm tra nào, hãy chuyển sang chế độ Thực thi bằng cách thay đổi giá trị RC4DefaultDisablementPhase thành 2.
Nếu có các sự kiện kiểm tra được tạo, bạn sẽ cần phải loại bỏ các phụ thuộc RC4 hoặc cấu hình rõ ràng các tài khoản mà Kerberos hỗ trợ mã hóa loại. Sau đó, bạn sẽ có thể chuyển sang chế độ Thực thi.
Để tìm hiểu cách phát hiện việc sử dụng RC4 trong miền của bạn, kiểm tra thiết bị và tài khoản người dùng vẫn phụ thuộc vào RC4 và thực hiện các bước để khắc phục việc sử dụng các loại mã hóa mạnh hơn hoặc quản lý phụ thuộc RC4, hãy xem Phát hiện và khắc phục việc sử dụng RC4 trong Kerberos.
Bước 3: BẬT
Bật chế độ Thực thi để giải quyết các lỗ hổng CVE-2026-20833 trong môi trường của bạn.
-
Nếu yêu cầu KDC cung cấp phiếu dịch vụ RC4 cho tài khoản có cấu hình mặc định, sự kiện lỗi sẽ được ghi nhật ký.
-
Bạn sẽ vẫn thấy ID Sự kiện: 205 được ghi nhật ký cho bất kỳ cấu hình không an toàn nào của DefaultDomainSupportedEncTypes.
Cài đặt đăng ký
Sau khi các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026, khóa đăng ký sau đây có sẵn cho giao thức Kerberos.
Khóa đăng ký này được sử dụng để ngăn việc triển khai các thay đổi Kerberos. Khóa đăng ký này là tạm thời và sẽ không còn được đọc sau ngày thực thi.
|
Khóa đăng ký |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Kiểu dữ liệu |
REG_DWORD |
|
Tên giá trị |
RC4DefaultDisablementPhase |
|
Dữ liệu giá trị |
0 – Không kiểm toán, không thay đổi 1 - Các sự kiện cảnh báo sẽ được ghi vào sử dụng RC4 mặc định. (Giai đoạn 1 mặc định) 2 – Kerberos sẽ bắt đầu giả định rằng RC4 không được bật theo mặc định. (Mặc định giai đoạn 2) |
|
Bạn cần khởi động lại? |
Có |
Kiểm tra sự kiện
Sau khi cài đặt các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026, các loại sự kiện Kiểm tra sau đây sẽ được thêm vào Windows Server 2012 và sau đó chạy như bộ kiểm soát miền.
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
201 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa phát hiện <sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes không được xác định và máy khách chỉ hỗ trợ các loại mã hóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
ID Sự kiện: 201 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
202 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa phát hiện <sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes không được xác định và tài khoản dịch vụ chỉ có khóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 202 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
203 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã chặn việc sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes không được xác định và máy khách chỉ hỗ trợ các loại mã hóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 203 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
204 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã chặn việc sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes không được xác định và tài khoản dịch vụ chỉ có khóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 204 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
205 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã phát hiện bật mật mã rõ ràng trong cấu hình chính sách Kiểu mã hóa được Hỗ trợ Tên miền Mặc định. Mật mã: Mật mã <Ciphers Không an toàn được bật> DefaultDomainSupportedEncTypes: <Giá trị DefaultDomainSupportedEncTypes được đặt cấu hình> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 205 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
206 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã phát hiện <Sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng máy khách không quảng cáo AES-SHA1 Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 206 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
207 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã phát hiện <Sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng tài khoản dịch vụ không có khóa AES-SHA1. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 207 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
208 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa cố ý từ chối sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng máy khách không quảng cáo AES-SHA1 Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 208 sẽ được ghi nhật ký nếu:
|
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
209 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa cố ý từ chối sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng tài khoản dịch vụ không có khóa AES-SHA1 Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 209 sẽ được ghi nhật ký nếu:
|
Lưu ý
Nếu bạn tìm thấy bất kỳ thông báo cảnh báo nào trong số này được ghi nhật ký trên bộ kiểm soát miền thì có thể tất cả các bộ kiểm soát miền trong miền của bạn đều chưa được cập nhật với bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026. Để giảm thiểu lỗ hổng bảo mật, bạn sẽ cần phải điều tra miền của mình thêm để tìm bộ kiểm soát miền chưa được cập nhật.
Nếu bạn thấy ID Sự kiện: 0x8000002A đăng nhập vào bộ kiểm soát miền, vui lòng xem KB5021131: Cách quản lý thay đổi giao thức Kerberos liên quan đến CVE-2022-37966.
Câu hỏi thường gặp (Câu hỏi thường gặp)
Điều này hardening tác động đến bộ kiểm soát miền Windows khi họ phát hành dịch vụ vé. Dòng giới thiệu và Tin cậy Kerberos không bị ảnh hưởng.
Thiết bị tên miền của bên thứ ba không thể xử lý AES-SHA1 nên đã được cấu hình rõ ràng để cho phép AES-SHA1.
Không. Chúng tôi sẽ ghi nhật ký các sự kiện cảnh báo cho cấu hình không an toàn cho DefaultDomainSupportedEncTypes. Ngoài ra, chúng tôi sẽ không bỏ qua bất kỳ cấu hình nào được đặt rõ ràng bởi khách hàng.
Tài nguyên
KB5020805: Cách quản lý các thay đổi giao thức Kerberos liên quan đến CVE-2022-37967
KB5021131: Cách quản lý các thay đổi giao thức Kerberos liên quan đến CVE-2022-37966
