原始发布日期: 2026 年 1 月 13 日
KB ID:5073381
Windows 安全启动证书过期
重要提示: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。 有关详细信息和准备步骤,请参阅Windows 安全启动证书过期和 CA 更新
本文内容
摘要
2026 年 1 月 13 日和之后发布的 Windows 更新包含对使用 Kerberos 身份验证协议的漏洞的保护。 Windows 更新解决了信息泄露漏洞,该漏洞可能允许攻击者获取具有弱加密类型或旧加密类型(如 RC4)的服务票证,并执行脱机攻击以恢复服务帐户密码。
若要帮助保护和强化环境,请将 2026 年 1 月 13 日或之后发布的 Windows 更新安装到作为域控制器运行的“适用于”部分中列出的所有 Windows 服务器。 若要了解有关漏洞的详细信息,请参阅 CVE-2026-20833。
为了缓解此漏洞,将更改 DefaultDomainSupportedEncTypes (DDSET) 的默认值,以便所有域控制器仅支持没有显式 Kerberos 加密类型配置的帐户的高级加密Standard (AES-SHA1) 加密票证。 有关详细信息,请参阅支持的加密类型位标志。
在具有定义的 DefaultDomainSupportedEncTypes 注册表值的域控制器上,这些更改不会对行为产生功能影响。 但是,如果现有的 DefaultDomainSupportedEncTypes 配置不安全,则系统事件日志中可能会记录审核事件 KDCSVC 事件 ID: 205。
采取行动
为了帮助保护环境并防止中断,我们建议你执行以下步骤:
-
更新 Microsoft Active Directory 域控制器,从 2026 年 1 月 13 日或之后发布的 Windows 更新开始。
-
监视系统事件日志中记录的 9 个审核事件中的任何一个Windows Server 2012和更新的域控制器,这些事件通过启用 RC4 保护来识别风险。
-
减轻 系统事件日志中记录的 KDCSVC 事件阻止手动或以编程方式启用 RC4 保护。
-
启用 在不再记录警告、阻止或策略事件时,用于解决环境中 CVE-2026-20833 中解决的漏洞的强制模式。
重要事项 默认情况下,安装 2026 年 1 月 13 日或之后发布的更新 不会 解决 Active Directory 域控制器的 CVE-2026-20833 中所述的漏洞。 若要完全缓解漏洞,必须尽快在所有域控制器上 (步骤 3) 中所述,切换到强制模式。
从 2026 年 4 月开始,将在所有 Windows 域控制器上启用强制模式,并将阻止来自不合规设备的易受攻击的连接。 此时,你将无法禁用审核,但可以移回“审核模式”设置。 审核模式将在 2026 年 7 月删除,如更新的计时 部分所述,将在所有 Windows 域控制器上启用强制模式,并将阻止来自不合规设备的易受攻击的连接。
如果需要在 2026 年 4 月之后使用 RC4,我们建议在需要接受 RC4 用法的服务的 msds-SupportedEncryptionTypes 位掩码中显式启用 RC4。
更新时间
2026 年 1 月 13 日 - 初始部署阶段
初始部署阶段从 2026 年 1 月 13 日和之后发布的更新开始,并持续到 “强制” 阶段的后续 Windows 更新。 此阶段将警告客户将在第二个部署阶段引入的新安全强制措施。 此更新:
-
提供审核事件来警告可能受到即将进行的安全强化的负面影响的客户。
-
引入注册表值 RC4DefaultDisablementPhase,以便在 KDCSVC 审核事件指示可以安全地执行此作时,通过在域控制器上将值设置为 2 来主动启用更改。
2026 年 4 月 - 第二个部署阶段
此更新更改 KDC作的默认 DefaultDomainSupportedEncTypes 值,以便对未定义显式 msds-SupportedEncryptionTypes active directory 属性的帐户利用 AES-SHA1。
此阶段仅将 DefaultDomainSupportedEncTypes 的默认值更改为 AES-SHA1: 0x18。
2026 年 7 月 - 强制阶段
2026 年 7 月或之后发布的 Windows 更新将删除对注册表子项 RC4DefaultDisablementPhase 的支持。
部署指南
若要部署 2026 年 1 月 13 日或之后发布的 Windows 更新,请执行以下步骤:
-
使用 2026 年 1 月 13 日或之后发布的 Windows 更新更新域控制器。
-
监视 在初始部署阶段记录的事件,以帮助保护环境。
-
使用注册表设置部分将域控制器移动到强制模式。
步骤 1:更新
将 2026 年 1 月 13 日或之后发布的 Windows 更新部署到部署更新后作为域控制器运行的所有适用的 Windows Active Directory。
-
如果域控制器收到需要使用 RC4 密码但服务帐户具有默认加密配置的 Kerberos 服务票证请求,则审核事件将显示在系统事件日志中。
-
如果域控制器具有显式 DefaultDomainSupportedEncTypes 配置以允许 RC4 加密,则会在系统事件日志中记录审核事件。
步骤 2:MONITOR
更新域控制器后,如果看不到任何审核事件,请通过将 RC4DefaultDisablementPhase 值更改为 2 来切换到强制模式。
如果生成了审核事件,则需要删除 RC4 依赖项,或显式配置 Kerberos 支持的加密类型的帐户。 然后,你将能够转到 “强制” 模式。
若要了解如何检测域中的 RC4 使用情况、审核仍依赖于 RC4 的设备和用户帐户,并采取措施修正使用情况,转而支持更强的加密类型或管理 RC4 依赖项,请参阅检测和修正 Kerberos 中的 RC4 使用情况。
步骤 3:启用
启用 强制 模式以解决环境中的 CVE-2026-20833 漏洞。
-
如果请求 KDC 为具有默认配置的帐户提供 RC4 服务票证,则会记录错误事件。
-
对于 DefaultDomainSupportedEncTypes 的任何不安全配置,仍会看到事件 ID:205 记录。
注册表设置
安装 2026 年 1 月 13 日或之后发布的 Windows 更新后,以下注册表项可用于 Kerberos 协议。
此注册表项用于阻止 Kerberos 更改的部署。 此注册表项是临时的,在实施日期之后将不再读取。
|
注册表项 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
数据类型 |
REG_DWORD |
|
值名称 |
RC4DefaultDisablementPhase |
|
值数据 |
0 – 无审核,无更改 1 - 警告事件将记录在默认 RC4 用法上。 (阶段 1 默认) 2 – 假设默认情况下未启用 RC4,Kerberos 将开始。 (阶段 2 默认) |
|
是否需要重启? |
是 |
审核事件
安装 2026 年 1 月 13 日或之后发布的 Windows 更新后,以下审核事件类型将添加到Windows Server 2012,以后作为域控制器运行。
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
Kdcsvc |
|
事件 ID |
201 |
|
事件文本 |
由于未定义服务 msds-SupportedEncryptionTypes,并且客户端仅支持不安全的加密类型,密钥分发中心检测到 <密码名称> 用法。 帐户信息 帐户名称:<帐户名称> 提供的领域名称:<提供的领域名称> msds-SupportedEncryptionTypes:<支持的加密类型> 可用密钥:<可用密钥> 服务信息: 服务名称:<服务名称> 服务 ID:<服务 SID> msds-SupportedEncryptionTypes:<服务支持的加密类型> 可用密钥:<服务可用密钥> 域控制器信息: msds-SupportedEncryptionTypes:<域控制器支持的加密类型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes Value> 可用密钥:<域控制器可用密钥> 网络信息: 客户端地址:<客户端 IP 地址> 客户端端口:<客户端端口> 广告化 Etypes:<Advertized Kerberos 加密类型> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
批注 |
如果出现,将记录事件 ID:201:
|
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
Kdcsvc |
|
事件 ID |
202 |
|
事件文本 |
由于未定义服务 msds-SupportedEncryptionTypes,并且服务帐户只有不安全的密钥,因此密钥分发中心检测到 <密码名称> 用法将不受支持。 帐户信息 帐户名称:<帐户名称> 提供的领域名称:<提供的领域名称> msds-SupportedEncryptionTypes:<支持的加密类型> 可用密钥:<可用密钥> 服务信息: 服务名称:<服务名称> 服务 ID:<服务 SID> msds-SupportedEncryptionTypes:<服务支持的加密类型> 可用密钥:<服务可用密钥> 域控制器信息: msds-SupportedEncryptionTypes:<域控制器支持的加密类型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes Value> 可用密钥:<域控制器可用密钥> 网络信息: 客户端地址:<客户端 IP 地址> 客户端端口:<客户端端口> 广告化 Etypes:<Advertized Kerberos 加密类型> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
批注 |
在出现时,将记录警告事件 202:
|
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
Kdcsvc |
|
事件 ID |
203 |
|
事件文本 |
密钥分发中心阻止了密码的使用,因为未定义服务 msds-SupportedEncryptionTypes,并且客户端仅支持不安全的加密类型。 帐户信息 帐户名称:<帐户名称> 提供的领域名称:<提供的领域名称> msds-SupportedEncryptionTypes:<支持的加密类型> 可用密钥:<可用密钥> 服务信息: 服务名称:<服务名称> 服务 ID:<服务 SID> msds-SupportedEncryptionTypes:<服务支持的加密类型> 可用密钥:<服务可用密钥> 域控制器信息: msds-SupportedEncryptionTypes:<域控制器支持的加密类型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes Value> 可用密钥:<域控制器可用密钥> 网络信息: 客户端地址:<客户端 IP 地址> 客户端端口:<客户端端口> 广告化 Etypes:<Advertized Kerberos 加密类型> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
批注 |
在以下情况下,将记录错误事件 203:
|
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
Kdcsvc |
|
事件 ID |
204 |
|
事件文本 |
密钥分发中心阻止了密码的使用,因为未定义服务 msds-SupportedEncryptionTypes,并且服务帐户只有不安全的密钥。 帐户信息 帐户名称:<帐户名称> 提供的领域名称:<提供的领域名称> msds-SupportedEncryptionTypes:<支持的加密类型> 可用密钥:<可用密钥> 服务信息: 服务名称:<服务名称> 服务 ID:<服务 SID> msds-SupportedEncryptionTypes:<服务支持的加密类型> 可用密钥:<服务可用密钥> 域控制器信息: msds-SupportedEncryptionTypes:<域控制器支持的加密类型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes Value> 可用密钥:<域控制器可用密钥> 网络信息: 客户端地址:<客户端 IP 地址> 客户端端口:<客户端端口> 广告化 Etypes:<Advertized Kerberos 加密类型> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
批注 |
在以下情况下,将记录错误事件 204:
|
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
Kdcsvc |
|
事件 ID |
205 |
|
事件文本 |
密钥分发中心在默认域支持的加密类型策略配置中检测到显式密码启用。 密码 () :已启用 <不安全密码> DefaultDomainSupportedEncTypes:<配置的 DefaultDomainSupportedEncTypes 值> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
批注 |
在出现时,将记录警告事件 205:
|
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
Kdcsvc |
|
事件 ID |
206 |
|
事件文本 |
密钥分发中心检测到 <密码名称> 在强制阶段不受支持,因为服务 msds-SupportedEncryptionTypes 配置为仅支持 AES-SHA1,但客户端不会广告 AES-SHA1 帐户信息 帐户名称:<帐户名称> 提供的领域名称:<提供的领域名称> msds-SupportedEncryptionTypes:<支持的加密类型> 可用密钥:<可用密钥> 服务信息: 服务名称:<服务名称> 服务 ID:<服务 SID> msds-SupportedEncryptionTypes:<服务支持的加密类型> 可用密钥:<服务可用密钥> 域控制器信息: msds-SupportedEncryptionTypes:<域控制器支持的加密类型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes Value> 可用密钥:<域控制器可用密钥> 网络信息: 客户端地址:<客户端 IP 地址> 客户端端口:<客户端端口> 广告化 Etypes:<Advertized Kerberos 加密类型> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
批注 |
如果出现,则会记录警告事件 206:
|
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
Kdcsvc |
|
事件 ID |
207 |
|
事件文本 |
密钥分发中心检测到 <密码名称>,因为服务 msds-SupportedEncryptionTypes 配置为仅支持 AES-SHA1,但服务帐户没有 AES-SHA1 密钥,因此在强制阶段不受支持。 帐户信息 帐户名称:<帐户名称> 提供的领域名称:<提供的领域名称> msds-SupportedEncryptionTypes:<支持的加密类型> 可用密钥:<可用密钥> 服务信息: 服务名称:<服务名称> 服务 ID:<服务 SID> msds-SupportedEncryptionTypes:<服务支持的加密类型> 可用密钥:<服务可用密钥> 域控制器信息: msds-SupportedEncryptionTypes:<域控制器支持的加密类型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes Value> 可用密钥:<域控制器可用密钥> 网络信息: 客户端地址:<客户端 IP 地址> 客户端端口:<客户端端口> 广告化 Etypes:<Advertized Kerberos 加密类型> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
批注 |
在出现时,将记录警告事件 207:
|
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
Kdcsvc |
|
事件 ID |
208 |
|
事件文本 |
密钥分发中心有意拒绝使用密码,因为服务 msds-SupportedEncryptionTypes 配置为仅支持 AES-SHA1,但客户端不广告 AES-SHA1 帐户信息 帐户名称:<帐户名称> 提供的领域名称:<提供的领域名称> msds-SupportedEncryptionTypes:<支持的加密类型> 可用密钥:<可用密钥> 服务信息: 服务名称:<服务名称> 服务 ID:<服务 SID> msds-SupportedEncryptionTypes:<服务支持的加密类型> 可用密钥:<服务可用密钥> 域控制器信息: msds-SupportedEncryptionTypes:<域控制器支持的加密类型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes Value> 可用密钥:<域控制器可用密钥> 网络信息: 客户端地址:<客户端 IP 地址> 客户端端口:<客户端端口> 广告化 Etypes:<Advertized Kerberos 加密类型> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
批注 |
在以下情况下,将记录错误事件 208:
|
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
Kdcsvc |
|
事件 ID |
209 |
|
事件文本 |
密钥分发中心有意拒绝使用密码,因为服务 msds-SupportedEncryptionTypes 配置为仅支持 AES-SHA1,但服务帐户没有 AES-SHA1 密钥 帐户信息 帐户名称:<帐户名称> 提供的领域名称:<提供的领域名称> msds-SupportedEncryptionTypes:<支持的加密类型> 可用密钥:<可用密钥> 服务信息: 服务名称:<服务名称> 服务 ID:<服务 SID> msds-SupportedEncryptionTypes:<服务支持的加密类型> 可用密钥:<服务可用密钥> 域控制器信息: msds-SupportedEncryptionTypes:<域控制器支持的加密类型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes Value> 可用密钥:<域控制器可用密钥> 网络信息: 客户端地址:<客户端 IP 地址> 客户端端口:<客户端端口> 广告化 Etypes:<Advertized Kerberos 加密类型> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
批注 |
在以下情况下,将记录错误事件 209:
|
注意
如果你发现这些警告消息中的任何一条都记录在域控制器上,则可能是域中的所有域控制器都未在 2026 年 1 月 13 日或之后发布的 Windows 更新中处于最新状态。 若要缓解漏洞,需要进一步调查域,以查找不是最新的域控制器。
如果看到事件 ID:0x8000002A登录域控制器,请参阅KB5021131:如何管理与 CVE-2022-37966 相关的 Kerberos 协议更改。
常见问题 (FAQ)
此强化会影响 Windows 域控制器在颁发服务票证时的影响。 Kerberos 信任和引荐流不受影响。
无法处理 AES-SHA1 的第三方域设备应已显式配置为允许 AES-SHA1。
不。 我们将记录 DefaultDomainSupportedEncTypes 不安全配置的警告事件。 此外,我们不会忽略客户显式设置的任何配置。
资源
KB5020805:如何管理与 CVE-2022-37967 相关的 Kerberos 协议更改
