原始出版日期: 2026 年 1 月 13 日
鍵盤編號:5073381
|
變更日期 |
變更描述 |
|
2026年2月10日 |
|
本文內容
摘要
2026 年 1 月 13 日及之後發布的 Windows 更新包含針對 Kerberos 認證協定漏洞的防護措施。 Windows 更新針對 CVE-2026-20833 中的資訊揭露漏洞,該漏洞可能允許攻擊者取得使用弱或舊有加密類型(如 RC4)的服務工單,進行離線攻擊以恢復服務帳號密碼。
為了減輕此漏洞,會啟用強制模式來更改 DefaultDomainSupportedEncTypes 的預設值。 以強制模式運行的更新網域控制器僅支援進階加密Standard (AES) 加密類型的配置。 欲了解更多資訊,請參閱支援的加密類型位元標誌。 DefaultDomainSupportedEncTypes 的預設值在沒有明確值的情況下適用
在定義 DefaultDomainSupportedEncTypes 登錄值的網域控制器上,這些變更不會影響行為功能。 然而,若現有的 DefaultDomainSupportedEncTypes 設定不安全,系統事件日誌中會記錄 KDCSVC 事件 ID: 205,例如當使用 RC4 密碼 () 時。
採取行動
為了保護您的環境並防止停電,我們建議您:
-
更新 Microsoft Active Directory 網域控制站,從 2026 年 1 月 13 日或之後釋出的 Windows 更新開始。
-
監控系統事件日誌,尋找在Windows Server 2012及更新網域控制器上記錄的九個 KDCSVC 201 > 209 稽核事件,這些事件能識別啟用 RC4 保護時的風險。
-
緩解 系統事件日誌中記錄的 KDCSVC 事件,阻止手動或程式化啟用 RC4 保護。
-
啟用 執行模式用於處理 CVE-2026-20833 中針對的漏洞,當警告、封鎖或政策事件不再被記錄時。
重要 安裝於 2026 年 1 月 13 日或之後發布的更新,預設 不會 解決 Active Directory 網域控制所描述的 CVE-2026-20833 中所描述的漏洞。 為了完全緩解此漏洞,你應該手動啟用 (步驟3:啟用所有網域控制器的強制模式(如步驟 3:啟用) )。 2026 年 7 月及之後發布的 Windows 匯報安裝將以程式方式啟用執行階段。
強制模式將透過在所有 Windows 網域控制器安裝 2026 年 4 月或之後發布的 Windows 匯報自動啟用,並封鎖來自不合規裝置的有漏洞連線。 此時,您將無法關閉稽核,但可以回到稽核模式。 稽核模式將於 2026 年 7 月移除,詳情見更新時程 章節,強制模式將在所有 Windows 網域控制器啟用,並封鎖來自不合規裝置的易受攻擊連線。
如果你需要在 2026 年 4 月之後使用 RC4,我們建議在需要接受 RC4 使用的服務中,在 msds-SupportedEncryptionTypes 位元遮罩中明確啟用 RC4。
更新時間
2026年1月13日 - 初始部署階段
初始部署階段從 2026 年 1 月 13 日及之後發布的更新開始,接著持續到 Windows 更新 ,直到執行 階段。 此階段旨在警告客戶第二階段將引入的新安全措施。 此更新:
-
提供稽核事件,警告可能因即將到來的安全強化而受到負面影響的客戶。
-
在管理員主動啟用登錄檔值 R C4DefaultDisablementPhase 後,當 KDCSVC 審計事件顯示安全時,會在網域控制器上將該值設為 2 後,引入對登錄檔值 RC4DefaultDisablementPhase 的支援。
2026年4月 - 執行階段,手動回滾
此更新將 KDC 操作的預設 DefaultDomainSupportedEncTypes 值改為利用 AES-SHA1 ,適用於未明確定義 msds-SupportedEncryptionTypes 活動目錄屬性的帳號。
此階段將 DefaultDomainSupportedEncTypes 的預設值改為僅 AES-SHA1: 0x18。
此階段也允許手動設定 RC4DefaultDisablementPhase 回滾值,直到 2026 年 7 月程式強制執行。
2026年7月 - 執法階段
2026 年 7 月或之後釋出的 Windows 更新將移除對登錄檔子鍵 RC4DefaultDisablementPhase 的支援。
部署指導方針
要部署 2026 年 1 月 13 日或之後發布的 Windows 更新,請遵循以下步驟:
-
請以 2026 年 1 月 13 日或之後發布的 Windows 更新來更新你的網域控制站。
-
在初始部署階段記錄的事件,有助於保護您的環境安全。
-
透過登錄檔設定區塊,將您的網域控制器移至強制模式。
步驟一:更新
部署更新後,將 2026 年 1 月 13 日或之後發布的 Windows 更新部署到所有適用的 Windows Active Directory,並作為網域控制器運行。
-
如果您的 Windows Server 2012 或更新版本網域控制器收到需要使用 RC4 密碼的 Kerberos 服務票請求,但服務帳號設定為預設加密,審計事件會出現在系統事件日誌中。
-
如果您的網域控制器有明確的 DefaultDomainSupportedEncTypes 設定以允許 RC4 加密,審計事件 205 會被記錄在系統事件日誌中。
步驟二:監控
網域控制器更新後,如果沒有看到任何稽核事件,請將 RC4DefaultDisablementPhase 值改為 2,切換到強制模式。
若產生稽核事件,您需要移除 RC4 相依,或明確設定 Kerberos 支援的帳號加密類型,以支援在手動或自動啟用強制 模式後仍持續使用 RC4。
要學習如何在你的網域中偵測 RC4 的使用情況,稽核會找出仍依賴 RC4 的裝置和使用者帳號。 管理員應採取措施,改善使用,轉而使用更強的加密類型,或管理 RC4 相依性。 欲了解更多資訊,請參閱 Detect and remediate RC4 在 Kerberos 中的使用。
步驟三:啟用
啟用 強制模式 以解決環境中的 CVE-2026-20833 漏洞。
-
若 KDC 被要求為預設設定的帳號提供 RC4 服務單,將會記錄錯誤事件。
-
對於任何不安全的 DefaultDomainSupportedEncTypes 設定,你仍會看到事件 ID: 205 被記錄。
登錄設定
在 2026 年 1 月 13 日或之後釋出的 Windows 更新安裝完成後,以下 Kerberos 協議登錄檔金鑰可供使用。
此登錄檔金鑰用來封鎖 Kerberos 變更的部署。 此登錄金鑰為臨時,執行日期過後將不再被讀取。
|
登錄機碼 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
資料類型 |
REG_DWORD |
|
值名稱 |
RC4DefaultDisablementPhase |
|
值資料 |
0 – 無稽核,無變更 1 - 警告事件會記錄在預設的 RC4 使用情況上。 (第一階段預設) 2 – Kerberos 會開始假設 RC4 預設未啟用。 (第二階段預設) |
|
需要重新啟動? |
是 |
審計事件
在 2026 年 1 月 13 日或之後釋出的 Windows 更新安裝完成後,以下 KSCSVC 審計事件類型會被加入 Windows Server 2012 及之後作為網域控制器執行的系統事件日誌中。
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
201 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,因為服務 msds-SupportedEncryptionTypes 未定義,且用戶端僅支援不安全的加密類型,因此在執行階段將不予支援。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
事件 ID:201 將被記錄於以下情況:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
202 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,但在執行階段將不支援,因為服務 msds-SupportedEncryptionTypes 未定義,且服務帳號的金鑰不安全。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件202:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
203 |
|
事件文字 |
金鑰分發中心阻止了密碼的使用,因為服務 msds-SupportedEncryptionTypes 未定義,且用戶端只支援不安全的加密類型。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
錯誤事件 203 將被記錄於以下情況:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
204 |
|
事件文字 |
金鑰分發中心阻止了密碼的使用,因為服務 msds-SupportedEncryptionTypes 未被定義,且服務帳號只有不安全的金鑰。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
錯誤事件 204 將被記錄於以下情況:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
205 |
|
事件文字 |
金鑰分發中心偵測到預設域支援加密類型政策配置中明確啟用密碼。 密碼 () :<啟用不安全密碼> DefaultDomainSupportedEncTypes:<已設定 DefaultDomainSupportedEncTypes 值> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件205:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
206 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,該密碼在強制執行階段將不被支援,因為服務 msds-SupportedEncryptionTypes 設定為只支援 AES-SHA1,但用戶端並未宣告 AES-SHA1 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件206:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
207 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,該密碼在執行階段將不被支援,因為服務 msds-SupportedEncryptionTypes 設定為只支援 AES-SHA1,但服務帳號沒有 AES-SHA1 金鑰。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件207:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
208 |
|
事件文字 |
金鑰分發中心故意拒絕使用密碼,因為服務 msds-SupportedEncryptionTypes 設定只支援 AES-SHA1,但客戶端並未宣告 AES-SHA1 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
錯誤事件 208 將被記錄於以下情況:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
209 |
|
事件文字 |
金鑰分發中心故意拒絕使用密碼,因為服務 msds-SupportedEncryptionTypes 設定為只支援 AES-SHA1,但服務帳號沒有 AES-SHA1 金鑰 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,錯誤事件 209 將被記錄:
|
注意
如果你發現這些警告訊息在網域控制站上被記錄,很可能你網域中的所有網域控制站都沒有更新到 2026 年 1 月 13 日或之後的 Windows 更新。 為了減輕這個漏洞,你需要進一步調查你的網域,找出那些網域控制器不是最新的。
如果您在網域控制0x8000002A上看到事件 ID:,請參閱 KB5021131:如何管理與 CVE-2022-37966 相關的 Kerberos 協定變更。
常見問題 (常見問題)
這項強化變更只影響 Windows 網域控制器。 Kerberos 信任及與其他 Windows 網域控制器或第三方 KDC 的推薦流程則不受影響。
無法處理 AES-SHA1 加密的第三方網域裝置,應已明確設定為允許 AES-SHA1 加密。
否。 我們會記錄 DefaultDomainSupportedEncTypes 不安全設定的警告事件。 此外,我們會尊重管理員明確設定的任何設定。
資源
KB5020805:如何管理與 CVE-2022-37967 相關的 Kerberos 協定變更
