Ngày phát hành ban đầu: Ngày 13 tháng 1 năm 2026
ID KB: 5073381
Trong bài viết này
Tóm tắt
Các bản cập nhật Windows được phát hành vào và sau ngày 13 tháng 1 năm 2026 chứa các tùy chọn bảo vệ cho lỗ hổng bảo mật bằng giao thức xác thực Kerberos. Các bản cập nhật Windows giải quyết lỗ hổng tiết lộ thông tin trong CVE-2026-20833 có thể cho phép kẻ tấn công lấy vé dịch vụ có loại mã hóa yếu hoặc thừa tự như RC4 để thực hiện tấn công ngoại tuyến để khôi phục mật khẩu tài khoản dịch vụ.
Để giảm thiểu lỗ hổng này, các bản cập nhật Windows được phát hành vào và sau ngày 14 tháng 4 năm 2026, thay đổi giá trị mặc định Kerberos Key Distribution Center (KDC) cho DefaultDomainSupportedEncTypes, trừ khi người quản trị bật chế độ Thực thi trước đó. Bộ kiểm soát miền cập nhật đang chạy trong chế độ Thực thi sẽ chỉ giả định hỗ trợ cho các cấu hình kiểu mã hóa mã hóa Standard nâng cao (AES) nếu không chỉ định cấu hình rõ ràng. Để biết thêm thông tin, hãy xem Loại Mã hóa Được hỗ trợ Cờ Bit. Giá trị mặc định cho DefaultDomainSupportedEncTypes áp dụng khi không có giá trị rõ ràng.
Trên bộ điều khiển miền có giá trị đăng ký DefaultDomainSupportedEncTypes đã xác định, hành vi sẽ không bị ảnh hưởng về mặt chức năng bởi những thay đổi này. Tuy nhiên, một sự kiện Kiểm tra KDCSVC Sự kiện ID: 205 sẽ được ghi nhật ký trong nhật ký sự kiện Hệ thống nếu cấu hình DefaultDomainSupportedEncTypes hiện có không an toàn (ví dụ: khi sử dụng mật mã RC4).
Hành động
Để giúp bảo vệ môi trường của bạn và ngăn ngừa mất điện, chúng tôi khuyên bạn:
-
CẬP NHẬT Bộ kiểm soát miền Microsoft Active Directory bắt đầu với các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026.
-
GIÁM SÁT nhật ký sự kiện Hệ thống đối với bất kỳ sự kiện Kiểm tra KDCSVC 201 > 209 nào được ghi nhật ký trên Windows Server 2012 và các bộ kiểm soát miền mới hơn có khả năng xác định các rủi ro khi bật bảo vệ RC4.
-
GIẢM THIỂU Các sự kiện KDCSVC được ghi nhật ký trong nhật ký sự kiện Hệ thống ngăn chặn việc bật thủ công hoặc theo chương trình bảo vệ RC4.
-
BẬT Chế độ thực thi để giải quyết các lỗ hổng được khắc phục trong CVE-2026-20833 trong môi trường của bạn khi các sự kiện cảnh báo, chặn hoặc chính sách không còn được ghi nhật ký.
QUAN TRỌNG Việc cài đặt các bản cập nhật được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026 sẽ KHÔNG khắc phục các lỗ hổng được mô tả trong CVE-2026-20833 cho bộ kiểm soát miền Active Directory theo mặc định. Để giảm thiểu hoàn toàn lỗ hổng bảo mật, bạn nên bật chế độ Thực thi theo cách thủ công (được mô tả trong Bước 3: BẬT) trên tất cả các bộ kiểm soát miền. Việc cài đặt Windows Cập nhật hành vào và sau tháng 7 năm 2026 sẽ cho phép Giai đoạn Thực thi được lập trình.
Chế độ thực thi sẽ được bật tự động bằng cách cài đặt Windows Cập nhật được phát hành vào hoặc sau tháng 4 năm 2026 trên tất cả các bộ kiểm soát miền Windows và sẽ chặn các kết nối dễ bị tấn công từ các thiết bị không tuân thủ. Tại thời điểm đó, bạn sẽ không thể tắt tính năng kiểm tra nhưng có thể di chuyển trở lại thiết đặt chế độ Kiểm tra. Chế độ kiểm tra sẽ bị loại bỏ vào tháng 7 năm 2026, như được nêu trong mục Thời gian cập nhật và chế độ Thực thi sẽ được bật trên tất cả các bộ kiểm soát miền Windows và sẽ chặn các kết nối dễ bị tấn công khỏi các thiết bị không tuân thủ.
Nếu bạn cần tận dụng RC4 sau tháng 4 năm 2026, chúng tôi khuyên bạn nên bật RC4 một cách rõ ràng trong bitmask msds-SupportedEncryptionTypes trên các dịch vụ cần chấp nhận sử dụng RC4.
Thời gian cập nhật
13 tháng 1 năm 2026 - Giai đoạn Triển khai Ban đầu
Giai đoạn triển khai ban đầu bắt đầu với các bản cập nhật được phát hành vào và sau ngày 13 tháng 1 năm 2026 và tiếp tục với các bản cập nhật Windows mới hơn cho đến giai đoạn Thực thi. Giai đoạn này là để cảnh báo khách hàng của các thực thi bảo mật mới sẽ được giới thiệu trong giai đoạn triển khai thứ hai. Bản cập nhật này:
-
Cung cấp các sự kiện kiểm tra để cảnh báo những khách hàng có thể bị ảnh hưởng tiêu cực bởi việc c cố định bảo mật sắp tới.
-
Giới thiệu hỗ trợ cho giá trị đăng ký RC4DefaultDisablementPhase sau khi người quản trị chủ động cho phép thay đổi bằng cách thiết đặt giá trị 2 trên bộ kiểm soát miền khi các sự kiện Kiểm tra KDCSVC cho thấy rằng nó là an toàn để làm như vậy.
Ngày 14 tháng 4 năm 2026 - Giai đoạn Thực thi với quay lui thủ công
Bản cập nhật này thay đổi giá trị DefaultDomainSupportedEncTypes mặc định cho các thao tác KDC để tận dụng AES-SHA1 cho các tài khoản không có thuộc tính active directory msds-SupportedEncryptionTypes rõ ràng.
Giai đoạn này thay đổi giá trị mặc định cho DefaultDomainSupportedEncTypes thành AES-SHA1 chỉ: 0x18.
Giai đoạn này cũng cho phép cấu hình thủ công giá trị quay lui RC4DefaultDisablementPhase cho đến khi thực thi theo chương trình vào tháng 7 năm 2026.
Tháng 7 năm 2026 - Giai đoạn thực thi
Các bản cập nhật Windows được phát hành trong hoặc sau tháng 7 năm 2026 sẽ loại bỏ hỗ trợ cho khóa phụ đăng ký RC4DefaultDisablementPhase.
Hướng dẫn triển khai
Để triển khai các bản cập nhật Windows đã phát hành vào hoặc sau ngày 13 tháng 1 năm 2026, hãy làm theo các bước sau:
-
CẬP NHẬT bộ kiểm soát miền bằng bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026.
-
Các sự kiện MONITOR được ghi nhật ký trong giai đoạn triển khai ban đầu nhằm giúp bảo mật môi trường của bạn.
-
DI CHUYỂN bộ kiểm soát miền sang chế độ Thực thi bằng cách sử dụng phần Thiết đặt sổ đăng ký.
Bước 1: CẬP NHẬT
Triển khai bản cập nhật Windows đã phát hành vào hoặc sau ngày 13 tháng 1 năm 2026 cho tất cả Windows Active Directory hiện hành chạy như một bộ kiểm soát miền sau khi triển khai bản cập nhật.
-
Các sự kiện kiểm tra sẽ xuất hiện trong nhật ký sự kiện Hệ thống nếu bộ kiểm soát miền Windows Server 2012 trở lên của bạn nhận được yêu cầu phiếu dịch vụ Kerberos yêu cầu sử dụng mật mã RC4 nhưng tài khoản dịch vụ có cấu hình mã hóa mặc định.
-
Sự kiện Kiểm tra 205 sẽ được ghi nhật ký trong nhật ký sự kiện Hệ thống nếu bộ kiểm soát miền của bạn có cấu hình DefaultDomainSupportedEncTypes rõ ràng để cho phép mã hóa RC4.
Bước 2: MÀN HÌNH
Sau khi bộ kiểm soát miền được cập nhật, nếu bạn không thấy các sự kiện kiểm tra được ghi lại trong bài viết này, hãy chuyển sang chế độ Thực thi bằng cách thay đổi giá trị đăng ký RC4DefaultDisablementPhase thành 2.
Nếu có các sự kiện kiểm tra được tạo ra, bạn sẽ cần phải loại bỏ các phụ thuộc RC4 hoặc cấu hình rõ ràng các tài khoản msds-SupportedEncryptionTypes thuộc tính để hỗ trợ việc tiếp tục sử dụng RC4 sau hướng dẫn sử dụng hoặc tự động kích hoạt chế độ thực thi.
Đối với người quản trị quan tâm đến việc khắc phục việc sử dụng RC4 rộng hơn được thảo luận trong bài viết này, chúng tôi khuyên bạn nên xem xét Phát hiện và khắc phục việc sử dụng RC4 trong Kerberos để biết thêm thông tin.
QUAN TRỌNG Các sự kiện kiểm tra liên quan đến thay đổi này chỉ được tạo khi Active Directory không thể phát hành vé dịch vụ AES-SHA1 hoặc khóa phiên. Việc không có sự kiện kiểm tra không đảm bảo rằng tất cả các thiết bị không chạy Windows đều sẽ chấp nhận thành công xác thực Kerberos sau bản cập nhật tháng 4. Khách hàng nên xác thực không liên tác Windows thông qua thử nghiệm trước khi mở rộng cho phép hành vi này.
Bước 3: BẬT
Bật chế độ Thực thi để giải quyết các lỗ hổng CVE-2026-20833 trong môi trường của bạn.
-
Nếu yêu cầu KDC cung cấp phiếu dịch vụ RC4 cho tài khoản có cấu hình mặc định, sự kiện lỗi sẽ được ghi nhật ký.
-
Bạn sẽ tiếp tục thấy ID Sự kiện: 205 được ghi nhật ký để có bất kỳ cấu hình không an toàn nào của DefaultDomainSupportedEncTypes.
Cài đặt đăng ký
Sau khi các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026, khóa đăng ký sau đây có sẵn cho giao thức Kerberos.
RC4DefaultDisablementPhase
Khóa đăng ký này được sử dụng để ngăn việc triển khai các thay đổi Kerberos. Khóa đăng ký này là tạm thời và sẽ không còn được đọc sau ngày thực thi.
|
Khóa đăng ký |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
Kiểu dữ liệu |
REG_DWORD |
|
Tên giá trị |
RC4DefaultDisablementPhase |
|
Dữ liệu giá trị |
0 – Không kiểm toán, không thay đổi 1 - Các sự kiện cảnh báo sẽ được ghi vào sử dụng RC4 mặc định. (Giai đoạn 1 mặc định) 2 – Kerberos sẽ bắt đầu giả định rằng RC4 không được bật theo mặc định. (Mặc định giai đoạn 2) |
|
Bạn cần khởi động lại? |
Có |
Kiểm tra sự kiện
Sau khi các bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026 được cài đặt, các loại sự kiện Kiểm tra KSCSVC sau đây sẽ được thêm vào nhật ký sự kiện Hệ thống của Windows Server 2012 trở lên chạy với vai trò bộ kiểm soát miền.
Trong phần này
ID Sự kiện: 201
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
201 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa phát hiện <sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes không được xác định và máy khách chỉ hỗ trợ các loại mã hóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
ID Sự kiện: 201 sẽ được ghi nhật ký nếu:
|
ID Sự kiện: 202
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
202 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa phát hiện <sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes không được xác định và tài khoản dịch vụ chỉ có khóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 202 sẽ được ghi nhật ký nếu:
|
ID Sự kiện: 203
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
203 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã chặn việc sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes không được xác định và máy khách chỉ hỗ trợ các loại mã hóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 203 sẽ được ghi nhật ký nếu:
|
ID Sự kiện: 204
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
204 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã chặn việc sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes không được xác định và tài khoản dịch vụ chỉ có khóa không an toàn. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 204 sẽ được ghi nhật ký nếu:
|
ID Sự kiện: 205
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
205 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã phát hiện bật mật mã rõ ràng trong cấu hình chính sách Kiểu mã hóa được Hỗ trợ Tên miền Mặc định. Mật mã: Mật mã <Ciphers Không an toàn được bật> DefaultDomainSupportedEncTypes: <Giá trị DefaultDomainSupportedEncTypes được đặt cấu hình> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 205 sẽ được ghi nhật ký nếu:
|
ID Sự kiện: 206
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
206 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã phát hiện <Sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng máy khách không quảng cáo AES-SHA1 Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 206 sẽ được ghi nhật ký nếu:
|
ID Sự kiện: 207
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
207 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa đã phát hiện <Sử dụng> Tên Mật mã sẽ không được hỗ trợ trong giai đoạn thực thi vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng tài khoản dịch vụ không có khóa AES-SHA1. Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện cảnh báo 207 sẽ được ghi nhật ký nếu:
|
ID Sự kiện: 208
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
208 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa cố ý từ chối sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng máy khách không quảng cáo AES-SHA1 Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 208 sẽ được ghi nhật ký nếu:
|
ID Sự kiện: 209
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Kdcsvc |
|
ID Sự kiện |
209 |
|
Văn bản Sự kiện |
Trung tâm Phân phối Khóa cố ý từ chối sử dụng mật mã vì dịch vụ msds-SupportedEncryptionTypes được đặt cấu hình để chỉ hỗ trợ AES-SHA1 nhưng tài khoản dịch vụ không có khóa AES-SHA1 Thông tin Tài khoản Tên Tài khoản: <Tên Tài> Cung cấp tên realm: <cung cấp realm name> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ> Khóa Khả dụng: <Phím Khả dụng> Thông tin Dịch vụ: Tên Dịch vụ: <Tên Dịch vụ> ID Dịch vụ: <Dịch vụ SID> msds-SupportedEncryptionTypes: Loại mã <mã hóa được hỗ trợ dịch vụ> Các Khóa Có sẵn: <Có Sẵn Khóa Dịch vụ> Thông tin về Bộ kiểm soát Miền: msds-SupportedEncryptionTypes: Loại mã <mã hóa được Bộ kiểm soát Miền Hỗ> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> Khóa Có sẵn: Các <Sẵn dùng cho Bộ kiểm soát Miền> Thông tin Mạng: Địa chỉ Máy khách: <Chỉ IP Máy khách> Cổng Máy khách: <Cổng Máy khách> Kiểu mã hóa quảng cáo: Loại <mã hóa Kerberos advertized> Hãy xem https://go.microsoft.com/fwlink/?linkid=2344614 để tìm hiểu thêm. |
|
Chú thích |
Sự kiện lỗi 209 sẽ được ghi nhật ký nếu:
|
Lưu ý
Về thay đổi ngầm trong lựa chọn mã hóa vé dịch vụ, Microsoft có khả năng hiển thị hạn chế vào những lý do tại sao một thiết bị không phải windows có thể không chấp nhận xác thực Kerberos sau khi KDC áp dụng bản cập nhật tháng 4 và chuyển sang hành vi AES-SHA1 mặc định khi không xác định. Chúng tôi khuyên bạn nên xác thực những thay đổi này thông qua việc kiểm tra trong môi trường của riêng bạn trước khi cho phép hành vi này rộng rãi.
Nơi phổ biến nhất mà điều này sẽ gặp phải là với các thiết bị tận dụng Kerberos Keytabs. Nếu Kerberos Keytab chỉ được xuất với khóa RC4 nhưng tài khoản dịch vụ đích có khóa AES-SHA1 và không xác định được msds-SupportedEncryptionTypes thì có khả năng xảy ra lỗi xác thực đối với dịch vụ nói trên. Điều này rất có thể sẽ biểu hiện dưới dạng lỗi xác thực từ dịch vụ đích chứ không phải từ KDC.
Đề xuất chính của chúng tôi là làm việc với nhà cung cấp thiết bị không chạy Windows. Nói chung, không thể chấp nhận xác thực Kerberos của các thiết bị windows không phải là duy nhất cho các thay đổi tháng 4 và có thể là do các giới hạn dành riêng cho thiết bị hoặc cụ thể cho việc triển khai.
Nếu sự cố xác thực Kerberos xảy ra với các thiết bị không chạy Windows sau thay đổi này và không thể khắc phục nhà cung cấp, các đề xuất của chúng tôi như sau:
-
Trên tài khoản dịch vụ bị ảnh hưởng, xác định rõ ràng msDS-SupportedEncryptionTypes để bao gồm RC4 với khóa phiên AES (phiên 0x24).
-
Nếu điều này là không khả thi, như là một phương sách cuối cùng, bằng cách thủ công cấu hình giá trị đăng ký DefaultDomainSupportedEncTypes trên tất cả các KDC có liên quan để bao gồm RC4 với AES-SHA1 phiên khóa (0x24). Lưu ý rằng điều này khiến tất cả các tài khoản trong miền dễ gặp phải CVE-2026-20833.
Điều quan trọng cần lưu ý là cấu hình này không an toàn và đề xuất lâu dài của chúng tôi là di chuyển các thiết bị không chạy Windows sang các phiên bản hỗ trợ mã hóa phiếu AES-SHA1 Kerberos.
Câu hỏi thường gặp (Câu hỏi thường gặp)
Câu hỏi 1: Thay đổi này tương tác với các miền có KDC bên thứ ba như thế nào?
Thay đổi cứng này chỉ ảnh hưởng đến bộ kiểm soát miền Windows. Dòng giới thiệu và Tin cậy Kerberos với các bộ kiểm soát miền Windows khác hoặc KDC bên thứ ba không bị ảnh hưởng.
Câu hỏi 2: Thay đổi này tương tác như thế nào với các miền có thiết bị không phải là miền Windows?
Thiết bị tên miền của bên thứ ba không thể xử lý mã hóa AES-SHA1 nên đã được cấu hình rõ ràng để cho phép mã hóa RC4. Các dịch vụ không thể xử lý vé AES-SHA1 cần phải được cố định hoặc cấu hình rõ ràng trong Active Diretory để cung cấp mã hóa RC4 như đã nêu ở trên. Vui lòng xác thực các thay đổi này một cách kỹ lưỡng.
Câu hỏi 3: Microsoft có loại bỏ khả năng đặt cấu hình DefaultDomainSupportedEncTypes không?
Không. Chúng tôi sẽ ghi nhật ký các sự kiện cảnh báo cho cấu hình không an toàn cho DefaultDomainSupportedEncTypes. Ngoài ra, chúng tôi sẽ tôn trọng bất kỳ cấu hình nào được thiết lập rõ ràng bởi người quản trị.
Tài nguyên
Nhật ký thay đổi
|
Thay đổi ngày |
Thay đổi mô tả |
|
14 tháng 4 năm 2026 |
|
|
Ngày 7 tháng 4 năm 2026 |
|
|
Ngày 16 tháng 3 năm 2026 |
|
|
Ngày 10 tháng 2 năm 2026 |
|
