الأعراض
قد تفشل الطباعة والمسح الضوئي عندما تستخدم هذه الأجهزة مصادقة البطاقة الذكية (PIV).
ملاحظة يجب أن تعمل الأجهزة المتأثرة عند استخدام مصادقة البطاقة الذكية (PIV) كما هو متوقع عند استخدام مصادقة اسم المستخدم وكلمة المرور.
السبب
في 13 يوليو 2021، Microsoft إصدار تغييرات تقوية ل CVE-2021-33764 قد يتسبب هذا في حدوث هذه المشكلة عند تثبيت التحديثات التي تم إصدارها في 13 يوليو 2021 أو الإصدارات الأحدث على وحدة تحكم المجال (DC). الأجهزة المتأثرة هي مصادقة البطاقة الذكية للطابعات والماسحات الضوئية والأجهزة متعددة الوظائف التي لا تدعم إما Diffie-Hellman (DH) لتبادل المفاتيح أثناء مصادقة PKINIT Kerberos أو لا تعلن عن دعم des-ede3-cbc ("DES الثلاثي") أثناء طلب Kerberos AS .
لكل قسم 3.2.1 من مواصفات RFC 4556، لكي يعمل هذا التبادل الرئيسي، يجب على العميل دعم مركز توزيع المفاتيح (KDC) وإخطاره بدعمه ل des-ede3-cbc ("DES الثلاثي"). سيتم رفض العملاء الذين يبدأون Kerberos PKINIT مع تبادل المفاتيح في وضع التشفير ولكن لا يدعمون ولا يخبرون KDC بأنهم يدعمون des-ede3-cbc ("DES الثلاثي")، .
لكي تكون أجهزة عميل الطابعة والماسح الضوئي متوافقة، يجب عليهم إما:
-
استخدم Diffie-Hellman لتبادل المفاتيح أثناء مصادقة PKINIT Kerberos (المفضلة).
-
أو، يدعم كل من KDC ويخطره بدعمه ل des-ede3-cbc ("TRIPLE DES").
الخطوات التالية
إذا واجهت هذه المشكلة في أجهزة الطباعة أو المسح الضوئي، فتحقق من أنك تستخدم أحدث البرامج الثابتة وبرامج التشغيل المتوفرة لجهازك. إذا كانت البرامج الثابتة وبرامج التشغيل محدثة ولا تزال تواجه هذه المشكلة، نوصي بالاتصال بالشركة المصنعة للجهاز. اسأل عما إذا كان تغيير التكوين مطلوبا لجعل الجهاز متوافقا مع تغيير التصلب ل CVE-2021-33764 أو ما إذا كان سيتم توفير تحديث متوافق.
إذا لم تكن هناك طريقة حاليا لجعل أجهزتك متوافقة مع القسم 3.2.1 من مواصفات RFC 4556 كما هو مطلوب ل CVE-2021-33764، يتوفر الآن تخفيف مؤقت أثناء العمل مع الشركة المصنعة للطباعة أو المسح الضوئي للجهاز لجعل بيئتك متوافقة ضمن المخطط الزمني أدناه.
هام يجب أن يتم تحديث أجهزتك غير المتوافقة ومتوافقة أو استبدالها بحلول 12 يوليو 2022، عندما لا يكون التخفيف المؤقت قابلا للاستخدام في تحديثات الأمان.
إشعار مهم
ستتم إزالة جميع عوامل التخفيف المؤقتة لهذا السيناريو في يوليو 2022 وأغسطس 2022، اعتمادا على إصدار Windows الذي تستخدمه (راجع الجدول أدناه). لن يكون هناك خيار احتياطي آخر في التحديثات اللاحقة. يجب تحديد جميع الأجهزة غير المتوافقة باستخدام أحداث التدقيق بدءا من يناير 2022 وتحديثها أو استبدالها بإزالة التخفيف بدءا من أواخر يوليو 2022.
بعد يوليو 2022، لن تكون الأجهزة غير المتوافقة مع مواصفات RFC 4456 وCVE-2021-33764 قابلة للاستخدام مع جهاز Windows محدث.
تاريخ الهدف |
الحدث |
منطبقة على |
13 يوليو 2021 |
تم إصدار التحديثات مع التغييرات المتصلبة ل CVE-2021-33764. تحتوي جميع التحديثات اللاحقة على هذا التغيير المتصلب بشكل افتراضي. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
27 يوليو 2021 |
التحديثات تم إصداره مع التخفيف المؤقت لمعالجة مشكلات الطباعة والمسح الضوئي على الأجهزة غير المتوافقة. يجب تثبيت التحديثات التي تم إصدارها في هذا التاريخ أو إصدار أحدث على DC ويجب تشغيل التخفيف من المخاطر من خلال مفتاح التسجيل باستخدام الخطوات أدناه. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
29 يوليو 2021 |
التحديثات تم إصداره مع التخفيف المؤقت لمعالجة مشكلات الطباعة والمسح الضوئي على الأجهزة غير المتوافقة. يجب تثبيت التحديثات الإصدار في هذا التاريخ أو إصدار أحدث على DC ويجب تشغيل التخفيف من المخاطر من خلال مفتاح التسجيل باستخدام الخطوات أدناه. |
Windows Server 2016 |
25 يناير 2022 |
سيقوم التحديثات بتسجيل أحداث التدقيق على وحدات تحكم مجال Active Directory التي تحدد الطابعات التي هي طابعات RFC-4456 غير متوافقة تفشل في المصادقة بمجرد تثبيت DCs لشهر يوليو 2022/أغسطس 2022 أو التحديثات الأحدث. |
Windows Server 2022 Windows Server 2019 |
8 فبراير 2022 |
سيقوم التحديثات بتسجيل أحداث التدقيق على وحدات تحكم مجال Active Directory التي تحدد الطابعات التي هي طابعات RFC-4456 غير متوافقة تفشل في المصادقة بمجرد تثبيت DCs لشهر يوليو 2022/أغسطس 2022 أو التحديثات الأحدث. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
21 يوليو 2022 |
إصدار تحديث المعاينة الاختياري لإزالة التخفيف المؤقت لطلب طباعة الشكاوى ومسح الأجهزة ضوئيا في بيئتك. |
Windows Server 2019 |
9 أغسطس 2022 |
هام إصدار تحديث الأمان لإزالة التخفيف المؤقت لطلب طباعة الشكاوى ومسح الأجهزة ضوئيا في بيئتك. لن تتمكن جميع التحديثات التي تم إصدارها في هذا اليوم أو لاحقا من استخدام التخفيف المؤقت. يجب أن تكون الطابعات والماسحات الضوئية لمصادقة البطاقة الذكية متوافقة مع القسم 3.2.1 من مواصفات RFC 4556 المطلوبة ل CVE-2021-33764 بعد تثبيت هذه التحديثات أو إصدار أحدث على وحدات تحكم مجال Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
لاستخدام التخفيف المؤقت في بيئتك، اتبع الخطوات التالية على جميع وحدات التحكم بالمجال:
-
في وحدات التحكم بالمجال، قم بتعيين قيمة سجل التخفيف المؤقت المدرجة أدناه إلى 1 (تمكين) باستخدام محرر السجل أو أدوات الأتمتة المتوفرة في بيئتك.
ملاحظة يمكن القيام بهذه الخطوة 1 قبل الخطوتي 2 و3 أو بعدهما.
-
تثبيت تحديث يسمح بتخفيف المخاطر المؤقت المتوفر في التحديثات التي تم إصدارها في 27 يوليو 2021 أو أحدث (فيما يلي التحديثات الأولى للسماح بالتخفيف المؤقت):
-
أعد تشغيل وحدة التحكم بالمجال.
قيمة التسجيل للتخفيف المؤقت:
Warning قد تحدث مشاكل خطيرة إذا قمت بتعديل السجل بشكل غير صحيح باستخدام "محرر السجل" أو باستخدام أسلوب آخر. قد تتطلب منك هذه المشاكل إعادة تثبيت نظام التشغيل. Microsoft لا يمكن أن تضمن إمكانية حل هذه المشاكل. قم بتعديل السجل على مسؤوليتك الخاصة.
مفتاح التسجيل الفرعي |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
القيمة |
Allow3DesFallback |
نوع البيانات |
DWORD |
بيانات |
1 - تمكين التخفيف المؤقت. 0 - تمكين السلوك الافتراضي، مما يتطلب امتثال أجهزتك للقسم 3.2.1 من مواصفات RFC 4556. |
هل إعادة التشغيل مطلوبة؟ |
لا |
يمكن إنشاء مفتاح التسجيل أعلاه والقيمة ومجموعة البيانات باستخدام الأمر التالي:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
أحداث التدقيق
سيضيف تحديث Windows في 25 يناير 2022 و8 فبراير 2022 معرفات أحداث جديدة للمساعدة في تحديد الأجهزة المتأثرة.
سجل الأحداث |
النظام |
نوع الحدث |
الخطأ |
مصدر الحدث |
Kdcsvc |
معرف الحدث |
307 39 (Windows Server 2008 R2 SP1، Windows Server 2008 SP2) |
نص الحدث |
لم يوفر عميل Kerberos نوع تشفير مدعوم للاستخدام مع بروتوكول PKINIT باستخدام وضع التشفير.
|
سجل الأحداث |
النظام |
نوع الحدث |
تحذير |
مصدر الحدث |
Kdcsvc |
معرف الحدث |
308 40 (Windows Server 2008 R2 SP1، Windows Server 2008 SP2) |
نص الحدث |
عميل PKINIT Kerberos غير مكون تمت مصادقته على DC هذا. تم السماح بالمصادقة لأنه تم تعيين KDCGlobalAllowDesFallBack. في المستقبل، ستفشل هذه الاتصالات في المصادقة. تحديد الجهاز والبحث عن ترقية تطبيق Kerberos الخاص به
|
الحالة
أكد Microsoft أن هذه مشكلة في منتجات Microsoft المدرجة في قسم "ينطبق على".