原始出版日期: 2026 年 1 月 13 日
鍵盤編號:5073381
Windows 安全開機憑證到期
重要: 大部分 Windows 裝置使用的安全開機憑證設定為從 2026 年 6 月開始到期。 如果未及時更新,這可能會影響某些個人和商務裝置安全開機的能力。 為避免中斷,建議您檢閱指導方針,並採取行動事先更新憑證。 如需詳細資料和準備步驟,請參閱 Windows 安全開機憑證到期和 CA 更新
本文內容
摘要
2026 年 1 月 13 日及之後發布的 Windows 更新包含針對 Kerberos 認證協定漏洞的防護措施。 Windows 更新針對資訊揭露漏洞進行處理,該漏洞可能讓攻擊者取得使用弱或舊有加密類型(如 RC4)的服務單,並進行離線攻擊以恢復服務帳號密碼。
為了幫助保護並強化環境,請將 2026 年 1 月 13 日或之後發布的 Windows 更新安裝到所有以網域控制器身份運行的 Windows 伺服器上。 欲了解更多漏洞資訊,請參閱 CVE-2026-20833。
為減輕此漏洞,DDSET) (DefaultDomainSupportedEncTypes 的預設值被更改,所有網域控制器僅支援 AES-SHA1) -加密工單,適用於沒有明確 Kerberos 加密類型設定的帳號Standard (AES-SHA1 -encrypted 工單。 欲了解更多資訊,請參閱支援的加密類型位元標誌。
在定義 DefaultDomainSupportedEncTypes 登錄值的網域控制器上,這些變更不會影響行為功能。 然而,若現有的 DefaultDomainSupportedEncTypes 設定不安全,系統事件日誌中可能會記錄 KDCSVC 事件 ID: 205。
採取行動
為協助保護您的環境並防止中斷,建議您執行下列步驟:
-
更新 Microsoft Active Directory 網域控制站,從 2026 年 1 月 13 日或之後釋出的 Windows 更新開始。
-
監控系統事件日誌中,尋找 Windows Server 2012 及更新網域控制器上記錄的 9 個審計事件,這些事件能識別啟用 RC4 保護時的風險。
-
緩解 系統事件日誌中記錄的 KDCSVC 事件,阻止手動或程式化啟用 RC4 保護。
-
啟用 執行模式用於處理 CVE-2026-20833 中針對的漏洞,當警告、封鎖或政策事件不再被記錄時。
重要 安裝於 2026 年 1 月 13 日或之後發布的更新,預設 不會 解決 Active Directory 網域控制所描述的 CVE-2026-20833 中所描述的漏洞。 為了完全減輕此漏洞,您必須盡快在所有網域控制器上切換到第 3 步) 所述的強制模式 (。
自 2026 年 4 月起,所有 Windows 網域控制器將啟用強制模式,並封鎖來自不合規裝置的有風險連線。 此時,您將無法關閉稽核,但可以回到稽核模式。 稽核模式將於 2026 年 7 月移除,詳情見更新時程 章節,強制模式將在所有 Windows 網域控制器啟用,並封鎖來自不合規裝置的易受攻擊連線。
如果你需要在 2026 年 4 月之後使用 RC4,我們建議在需要接受 RC4 使用的服務中,在 msds-SupportedEncryptionTypes 位元遮罩中明確啟用 RC4。
更新時間
2026年1月13日 - 初始部署階段
初始部署階段從 2026 年 1 月 13 日及之後發布的更新開始,接著持續到 Windows 更新 ,直到執行 階段。 此階段旨在警告客戶第二階段將引入的新安全措施。 此更新:
-
提供稽核事件,警告可能因即將到來的安全強化而受到負面影響的客戶。
-
引入登錄檔值 RC4DefaultDisablementPhase,當 KDCSVC 審計事件顯示安全時,主動在網域控制器上將該值設為 2 ,以啟用變更。
2026年4月-第二階段部署
此更新將 KDC 操作的預設 DefaultDomainSupportedEncTypes 值改為利用 AES-SHA1 ,適用於未明確定義 msds-SupportedEncryptionTypes 活動目錄屬性的帳號。
此階段將 DefaultDomainSupportedEncTypes 的預設值改為僅 AES-SHA1: 0x18。
2026年7月 - 執法階段
2026 年 7 月或之後釋出的 Windows 更新將移除對登錄檔子鍵 RC4DefaultDisablementPhase 的支援。
部署指導方針
要部署 2026 年 1 月 13 日或之後發布的 Windows 更新,請遵循以下步驟:
-
請以 2026 年 1 月 13 日或之後發布的 Windows 更新來更新你的網域控制站。
-
在初始部署階段記錄的事件,有助於保護您的環境安全。
-
透過登錄檔設定區塊,將您的網域控制器移至強制模式。
步驟一:更新
部署更新後,將 2026 年 1 月 13 日或之後發布的 Windows 更新部署到所有適用的 Windows Active Directory,並作為網域控制器運行。
-
如果您的網域控制器收到需要使用 RC4 密碼的 Kerberos 服務工單請求,但服務帳號設定為預設加密,審計事件會出現在系統事件日誌中。
-
如果您的網域控制器有明確的 DefaultDomainSupportedEncTypes 設定以允許 RC4 加密,審計事件會記錄在系統事件日誌中。
步驟二:監控
網域控制器更新後,如果沒有看到任何稽核事件,請將 RC4DefaultDisablementPhase 值改為 2,切換到強制模式。
如果產生稽核事件,你需要移除 RC4 相依,或明確設定 Kerberos 支援的加密類型帳號。 接著,你就能切換到 執法 模式。
想了解如何偵測您的網域中的 RC4 使用情況、審計仍依賴 RC4 的裝置與使用者帳號,並採取措施以更強加密類型來補救使用情況,或管理 RC4 相依性,請參閱「偵測並修復 RC4 在 Kerberos 中的使用」。
步驟三:啟用
啟用 強制模式 以解決環境中的 CVE-2026-20833 漏洞。
-
若 KDC 被要求為預設設定的帳號提供 RC4 服務單,將會記錄錯誤事件。
-
你仍然會看到 DefaultDomainSupportedEncTypes 任何不安全的設定都記錄事件 ID: 205。
登錄設定
在 2026 年 1 月 13 日或之後釋出的 Windows 更新安裝完成後,以下 Kerberos 協議登錄檔金鑰可供使用。
此登錄檔金鑰用來封鎖 Kerberos 變更的部署。 此登錄金鑰為臨時,執行日期過後將不再被讀取。
|
登錄機碼 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
|
資料類型 |
REG_DWORD |
|
值名稱 |
RC4DefaultDisablementPhase |
|
值資料 |
0 – 無稽核,無變更 1 - 警告事件會記錄在預設的 RC4 使用情況上。 (第一階段預設) 2 – Kerberos 會開始假設 RC4 預設未啟用。 (第二階段預設) |
|
需要重新啟動? |
是 |
審計事件
在 2026 年 1 月 13 日或之後釋出的 Windows 更新安裝完成後,以下稽核事件類型會被加入 Windows Server 2012 及之後的網域控制器。
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
201 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,因為服務 msds-SupportedEncryptionTypes 未定義,且用戶端僅支援不安全的加密類型,因此在執行階段將不予支援。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
事件 ID:201 將被記錄於以下情況:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
202 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,但在執行階段將不支援,因為服務 msds-SupportedEncryptionTypes 未定義,且服務帳號的金鑰不安全。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件202:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
203 |
|
事件文字 |
金鑰分發中心阻止了密碼的使用,因為服務 msds-SupportedEncryptionTypes 未定義,且用戶端只支援不安全的加密類型。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
錯誤事件 203 將被記錄於以下情況:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
204 |
|
事件文字 |
金鑰分發中心阻止了密碼的使用,因為服務 msds-SupportedEncryptionTypes 未被定義,且服務帳號只有不安全的金鑰。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
錯誤事件 204 將被記錄於以下情況:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
205 |
|
事件文字 |
金鑰分發中心偵測到預設域支援加密類型政策配置中明確啟用密碼。 密碼 () :<啟用不安全密碼> DefaultDomainSupportedEncTypes:<已設定 DefaultDomainSupportedEncTypes 值> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件205:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
206 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,該密碼在強制執行階段將不被支援,因為服務 msds-SupportedEncryptionTypes 設定為只支援 AES-SHA1,但用戶端並未宣告 AES-SHA1 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件206:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
207 |
|
事件文字 |
金鑰分發中心偵測到 <密碼名稱> 使用,該密碼在執行階段將不被支援,因為服務 msds-SupportedEncryptionTypes 設定為只支援 AES-SHA1,但服務帳號沒有 AES-SHA1 金鑰。 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,將記錄警告事件207:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
208 |
|
事件文字 |
金鑰分發中心故意拒絕使用密碼,因為服務 msds-SupportedEncryptionTypes 設定只支援 AES-SHA1,但客戶端並未宣告 AES-SHA1 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
錯誤事件 208 將被記錄於以下情況:
|
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
209 |
|
事件文字 |
金鑰分發中心故意拒絕使用密碼,因為服務 msds-SupportedEncryptionTypes 設定為只支援 AES-SHA1,但服務帳號沒有 AES-SHA1 金鑰 帳戶資訊 帳戶名稱:<帳戶名稱> 提供伺服器名稱:<提供伺服器名稱> msds-SupportedEncryptionTypes:<支援的加密類型> 可用金鑰:<可用金鑰> 服務資訊: 服務名稱:<服務名稱> 服務編號:<服務 SID> msds-SupportedEncryptionTypes:<服務支援的加密類型> 可用金鑰:<服務 可用金鑰> 網域控制器資訊: msds-SupportedEncryptionTypes:<網域控制器支援的加密類型> DefaultDomainSupportedEncTypes:<DefaultDomainSupportedEncTypes 值> 可用金鑰:<網域控制器可用金鑰> 網路資訊: 用戶端位址:<用戶端 IP 位址> 用戶端埠:<用戶端埠> 廣告電子類型:<Kerberos 加密類型> 詳情請見 https://go.microsoft.com/fwlink/?linkid=2344614。 |
|
註解 |
若發生以下情況,錯誤事件 209 將被記錄:
|
注意
如果你發現這些警告訊息在網域控制站上被記錄,很可能你網域中的所有網域控制站都沒有更新到 2026 年 1 月 13 日或之後的 Windows 更新。 為了減輕這個漏洞,你需要進一步調查你的網域,找出那些網域控制器不是最新的。
如果您在網域控制0x8000002A上看到事件 ID:,請參閱 KB5021131:如何管理與 CVE-2022-37966 相關的 Kerberos 協定變更。
常見問題 (常見問題)
這種強化會影響 Windows 網域控制器在發出服務單時。 Kerberos 信託基金及轉介流程未受影響。
無法處理 AES-SHA1 的第三方網域裝置,應該已經明確設定為允許 AES-SHA1。
否。 我們會記錄 DefaultDomainSupportedEncTypes 不安全設定的警告事件。 此外,我們不會忽略客戶明確設定的任何設定。
資源
KB5020805:如何管理與 CVE-2022-37967 相關的 Kerberos 協定變更
