原始出版日期: 2026 年 1 月 13 日
鍵盤編號:5073381
本文內容
摘要
2026 年 1 月 13 日及之後發布的 Windows 更新包含針對 Kerberos 認證協定漏洞的防護措施。 Windows 更新針對 CVE-2026-20833 中的資訊揭露漏洞,該漏洞可能允許攻擊者取得使用弱或舊有加密類型(如 RC4)的服務工單,進行離線攻擊以恢復服務帳號密碼。
為減輕此漏洞,2026 年 4 月 14 日及之後發布的 Windows 更新,將 Kerberos 金鑰分發中心 (KDC 的預設值) DefaultDomainSupportedEncTypes 的值,除非管理員提前啟用強制模式。 在執行模式下運行的更新網域控制器,僅在未明確指定時,才會假設支援 AES Standard () 加密類型的進階加密。 欲了解更多資訊,請參閱支援的加密類型位元標誌。 DefaultDomainSupportedEncTypes 的預設值在沒有明確值的情況下適用。
在定義 DefaultDomainSupportedEncTypes 登錄值的網域控制器上,這些變更不會影響行為功能。 然而,若現有的 DefaultDomainSupportedEncTypes 設定不安全,系統事件日誌中會記錄 KDCSVC 事件 ID: 205,例如當使用 RC4 密碼 () 時。
採取行動
為了保護您的環境並防止停電,我們建議您:
-
更新 Microsoft Active Directory 網域控制站,從 2026 年 1 月 13 日或之後釋出的 Windows 更新開始。
-
監控系統事件日誌,尋找在Windows Server 2012及更新網域控制器上記錄的九個 KDCSVC 201 > 209 稽核事件,這些事件能識別啟用 RC4 保護時的風險。
-
緩解 系統事件日誌中記錄的 KDCSVC 事件,阻止手動或程式化啟用 RC4 保護。
-
啟用 執行模式用於處理 CVE-2026-20833 中針對的漏洞,當警告、封鎖或政策事件不再被記錄時。
重要 安裝於 2026 年 1 月 13 日或之後發布的更新,預設 不會 解決 Active Directory 網域控制所描述的 CVE-2026-20833 中所描述的漏洞。 為了完全緩解此漏洞,你應該手動啟用 (步驟3:啟用所有網域控制器的強制模式(如步驟 3:啟用) )。 2026 年 7 月及之後發布的 Windows 匯報安裝將以程式方式啟用執行階段。
強制模式將透過在所有 Windows 網域控制器安裝 2026 年 4 月或之後發布的 Windows 匯報自動啟用,並封鎖來自不合規裝置的有漏洞連線。 此時,您將無法關閉稽核,但可以回到稽核模式。 稽核模式將於 2026 年 7 月移除,詳情見更新時程 章節,強制模式將在所有 Windows 網域控制器啟用,並封鎖來自不合規裝置的易受攻擊連線。
如果你需要在 2026 年 4 月之後使用 RC4,我們建議在需要接受 RC4 使用的服務中,在 msds-SupportedEncryptionTypes 位元遮罩中明確啟用 RC4。
更新時間
2026年1月13日 - 初始部署階段
初始部署階段從 2026 年 1 月 13 日及之後發布的更新開始,接著持續到 Windows 更新 ,直到執行 階段。 此階段旨在警告客戶第二階段將引入的新安全措施。 此更新:
-
提供稽核事件,警告可能因即將到來的安全強化而受到負面影響的客戶。
-
在管理員主動啟用登錄檔值 RC4DefaultDisablementPhase 後,當 KDCSVC 審計事件顯示安全時,先在網域控制器上將該值設為 2 ,並引入對登錄檔值 RC4DefaultDisablementPhase 的支援。
2026年4月14日 - 執行階段含手動回滾
此更新將 KDC 操作的預設 DefaultDomainSupportedEncTypes 值改為利用 AES-SHA1 ,適用於未明確定義 msds-SupportedEncryptionTypes 活動目錄屬性的帳號。
此階段將 DefaultDomainSupportedEncTypes 的預設值改為僅 AES-SHA1: 0x18。
此階段也允許手動設定 RC4DefaultDisablementPhase 回滾值,直到 2026 年 7 月程式強制執行。
2026年7月 - 執法階段
2026 年 7 月或之後釋出的 Windows 更新將移除對登錄檔子鍵 RC4DefaultDisablementPhase 的支援。
部署指導方針
要部署 2026 年 1 月 13 日或之後發布的 Windows 更新,請遵循以下步驟:
-
請以 2026 年 1 月 13 日或之後發布的 Windows 更新來更新你的網域控制站。
-
在初始部署階段記錄的事件,有助於保護您的環境安全。
-
透過登錄檔設定區塊,將您的網域控制器移至強制模式。
步驟一:更新
部署更新後,將 2026 年 1 月 13 日或之後發布的 Windows 更新部署到所有適用的 Windows Active Directory,並作為網域控制器運行。
-
如果您的 Windows Server 2012 或更新版本網域控制器收到需要使用 RC4 密碼的 Kerberos 服務票請求,但服務帳號設定為預設加密,審計事件會出現在系統事件日誌中。
-
如果您的網域控制器有明確的 DefaultDomainSupportedEncTypes 設定以允許 RC4 加密,審計事件 205 會被記錄在系統事件日誌中。
步驟二:監控
網域控制器更新後,如果你在本文中沒有看到審計事件記錄,請將 RC4DefaultDisablementPhase 登錄檔值改為 2,切換到強制模式。
若產生稽核事件,您需要移除 RC4 相依性,或明確設定 msds-SupportedEncryptionTypes 屬性的帳號,以支援在手動或自動啟用強制 模式後仍持續使用 RC4。
對於有興趣更廣泛修復 RC4 使用情況的管理員,建議參考 Kerberos 中的 Detect and remediate RC4 使用資訊以獲得更多資訊。
重要 與此變更相關的稽核事件僅在 Active Directory 無法發出 AES-SHA1 服務票或會話金鑰時產生。 缺乏稽核 事件並不保證 所有非 Windows 裝置在四月更新後都能成功接受 Kerberos 認證。 客戶應透過測試驗證非 Windows 互通性,再廣泛啟用此行為。
步驟三:啟用
啟用 強制模式 以解決環境中的 CVE-2026-20833 漏洞。
-
若 KDC 被要求為預設設定的帳號提供 RC4 服務單,將會記錄錯誤事件。
-
對於任何不安全的 DefaultDomainSupportedEncTypes 設定,你仍會看到事件 ID: 205 被記錄。
登錄設定
在 2026 年 1 月 13 日或之後釋出的 Windows 更新安裝完成後,以下 Kerberos 協議登錄檔金鑰可供使用。
RC4DefaultDisablementPhase
此登錄檔金鑰用來封鎖 Kerberos 變更的部署。 此登錄金鑰為臨時,執行日期過後將不再被讀取。
|
登錄機碼 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
資料類型 |
REG_DWORD |
|
值名稱 |
RC4DefaultDisablementPhase |
|
值資料 |
0 – 無稽核,無變更 1 - 警告事件會記錄在預設的 RC4 使用情況上。 (第一階段預設) 2 – Kerberos 會開始假設 RC4 預設未啟用。 (第二階段預設) |
|
需要重新啟動? |
是 |
審計事件
在 2026 年 1 月 13 日或之後釋出的 Windows 更新安裝完成後,以下 KSCSVC 審計事件類型會被加入 Windows Server 2012 及之後作為網域控制器執行的系統事件日誌中。
本節內容
事件編號:201
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
201 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,因為服務 msds-SupportedEncryptionTypes 未定義,且用戶端僅支援不安全的加密類型,因此在執行階段將不予支援。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
事件 ID:201 將被記錄於以下情況:
|
事件編號:202
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
202 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,但在執行階段將不支援,因為服務 msds-SupportedEncryptionTypes 未定義,且服務帳號的金鑰不安全。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件202:
|
事件編號:203
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
203 |
|
事件文字 |
金鑰分發中心阻止了密碼的使用,因為服務 msds-SupportedEncryptionTypes 未定義,且用戶端只支援不安全的加密類型。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
錯誤事件 203 將被記錄於以下情況:
|
事件編號:204
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
204 |
|
事件文字 |
金鑰分發中心阻止了密碼的使用,因為服務 msds-SupportedEncryptionTypes 未被定義,且服務帳號只有不安全的金鑰。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
錯誤事件 204 將被記錄於以下情況:
|
事件編號:205
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
205 |
|
事件文字 |
金鑰分發中心偵測到預設域支援加密類型政策配置中明確啟用密碼。 密碼 () :<啟用不安全密碼> DefaultDomainSupportedEncTypes:<已設定 DefaultDomainSupportedEncTypes 值> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件205:
|
事件編號:206
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
206 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,該密碼在強制執行階段將不被支援,因為服務 msds-SupportedEncryptionTypes 設定為只支援 AES-SHA1,但用戶端並未宣告 AES-SHA1 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件206:
|
事件編號:207
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
207 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,該密碼在執行階段將不被支援,因為服務 msds-SupportedEncryptionTypes 設定為只支援 AES-SHA1,但服務帳號沒有 AES-SHA1 金鑰。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件207:
|
事件編號:208
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
208 |
|
事件文字 |
金鑰分發中心故意拒絕使用密碼,因為服務 msds-SupportedEncryptionTypes 設定只支援 AES-SHA1,但客戶端並未宣告 AES-SHA1 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
錯誤事件 208 將被記錄於以下情況:
|
事件編號:209
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
209 |
|
事件文字 |
金鑰分發中心故意拒絕使用密碼,因為服務 msds-SupportedEncryptionTypes 設定為只支援 AES-SHA1,但服務帳號沒有 AES-SHA1 金鑰 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,錯誤事件 209 將被記錄:
|
注意
關於服務單加密選擇的隱性變更,Microsoft 對於非 Windows 裝置在 KDC 套用四月更新並轉為 預設 AES-SHA1 行為後,無法接受 Kerberos 認證的原因,仍有限度了解。 我們建議在廣泛啟用這種行為前,先在自身環境中測試驗證這些變更。
這種情況最常見的情況是使用 Kerberos Keytabs 的裝置。 如果 Kerberos Keytab 只匯出 RC4 金鑰,但目標服務帳號使用 AES-SHA1 金鑰且未定義 msds-SupportedEncryptionTypes,則有可能該服務的認證失敗。 這很可能會以目標服務的認證失敗表現,而非 KDC 的失敗。
我們的主要建議是與非 Windows 裝置的廠商合作。 一般而言,非 Windows 裝置無法接受 Kerberos 認證並非 4 月變更獨有,可能是裝置特定或實作的限制所致。
若在此變更後非 Windows 裝置出現 Kerberos 認證問題,且廠商無法修復,我們的建議如下:
-
在受影響的服務帳號上,明確定義 msDS-SupportedEncryptionTypes 包含帶有 AES 會話金鑰 (0x24) 的 RC4。
-
若無法行,作為最後手段,手動設定所有相關 KDC 的 DefaultDomainSupportedEncTypes 登錄值,包含帶有 AES-SHA1 會話金鑰 (0x24) 的 RC4。 請注意,這會使該網域內的所有帳號都可能受到 CVE-2026-20833 的侵害。
值得注意的是,此設定不安全,我們長期建議將非 Windows 裝置遷移至 支援 AES-SHA1 Kerberos 工單加密的版本。
常見問題 (常見問題)
問1:這項變更如何影響擁有第三方 KDC 的網域?
這項強化變更只影響 Windows 網域控制器。 Kerberos 信任及與其他 Windows 網域控制器或第三方 KDC 的推薦流程則不受影響。
Q2:這項變更如何與擁有非 Windows 網域裝置的網域互動?
無法處理 AES-SHA1 加密的第三方網域裝置,應該已經明確設定為允許 RC4 加密。 無法處理 AES-SHA1 工單的服務,需在主動指令中修正或明確設定,以提供上述 RC4 加密。 請徹底驗證這些變更。
Q3:Microsoft 會移除設定 DefaultDomainSupportedEncTypes 的功能嗎?
否。 我們會記錄 DefaultDomainSupportedEncTypes 不安全設定的警告事件。 此外,我們會尊重管理員明確設定的任何設定。
資源
變更記錄
|
變更日期 |
變更描述 |
|
2026 年 4 月 14 日 |
|
|
2026年4月7日 |
|
|
2026年3月16日 |
|
|
2026年2月10日 |
|
