Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Oireet

Tulostaminen ja skannaaminen voi epäonnistua, kun nämä laitteet käyttävät ÄLYKORTTI (PIV) -todennusta. 

Huomautus Laitteiden, joihin älykortin (PIV) todennus vaikuttaa, pitäisi toimia odotetulla tavalla käyttäjänimeä ja salasanatodennusta käytettäessä.

Syy

13. heinäkuuta 2021 Microsoft julkaissut CVE-2021-33764 :n kovennusmuutoksia Tämä saattaa aiheuttaa tämän ongelman, kun asennat 13. heinäkuuta 2021 tai uudempia versioita toimialueen ohjauskoneeseen (DC).  Kyseiset laitteet ovat älykortti, joka todentaa tulostimet, skannerit ja monitoimilaitteet, jotka eivät tue Diffie-Hellman (DH) avainten vaihtoon PKINIT Kerberos -todennuksen aikana tai jotka eivät ilmoita tukea des-ede3-cbc :lle ("triple DES") Kerberos AS -pyynnön aikana.

RFC 4556 -määrityksen osion 3.2.1 mukaan asiakkaan on sekä tuettava avainjakelukeskusta että ilmoitettava siitä tuestaan des-ede3-cbc:lle ("triple DES"). Asiakkaat, jotka käynnistävät Kerberos PKINIT:n salaustilassa avaimenvaihdolla, mutta eivät tue eivätkä kerro KDC:lle tukevansa des-ede3-cbc:tä ("triple DES"), hylätään.

Jotta tulostimen ja skannerin asiakaslaitteet olisivat yhteensopivia, niiden on joko

  • Käytä Diffie-Hellman avainten vaihtoon PKINIT Kerberos -todennuksen aikana (ensisijainen).

  • Voit myös sekä tukea että ilmoittaa KDC:lle tuestaan des-ede3-cbc:lle ("triple DES").

Seuraavat vaiheet

Jos kohtaat tämän ongelman tulostus- tai skannauslaitteissa, varmista, että käytät uusinta laiteohjelmistoa ja ohjaimia, jotka ovat käytettävissä laitteessasi. Jos laiteohjelmistosi ja ohjaimesi ovat ajan tasalla ja ongelma jatkuu, suosittelemme, että otat yhteyttä laitteen valmistajaan. Kysy, tarvitaanko määritysmuutos, jotta laite voidaan saattaa CVE-2021-33764 :n kovennusmuutoksen mukaiseksi, vai onko yhteensopiva päivitys saatavilla.

Jos laitteesi eivät tällä hetkellä ole CVE-2021-33764:n edellyttämän RFC 4556 -määrityksen kohdan 3.2.1 mukaisia, tilapäinen lievennys on nyt käytettävissä, kun työskentelet tulostus- tai skannauslaitteen valmistajan kanssa ympäristösi vaatimustenmukaisuuden varmistamiseksi alla olevassa aikajanassa.

Tärkeää Sinun on päivitettävä ja korvattava ei-yhteensopivat laitteesi 12. heinäkuuta 2022 mennessä, jolloin väliaikaista lievennystä ei voi käyttää tietoturvapäivityksissä.

Tärkeä ilmoitus

Kaikki tämän skenaarion väliaikaiset lievennystoiminnot poistetaan heinäkuussa 2022 ja elokuussa 2022 käyttämäsi Windows-version mukaan (katso alla oleva taulukko). Myöhemmissa päivityksissä ei ole enää varavaihtoehtoa. Kaikki ei-kilpailulliset laitteet on tunnistettava tammikuusta 2022 alkaen alkavien valvontatapahtumien avulla ja ne on päivitettävä tai korvattava lievennyksen poistolla heinäkuun lopusta 2022 alkaen. 

Heinäkuun 2022 jälkeen laitteita, jotka eivät ole RFC 4456 -määrityksen ja CVE-2021-33764:n mukaisia, ei voi käyttää päivitetyssä Windows-laitteessa.

Tavoitepäivämäärä

Tapahtuma

Koskee seuraavia:

13.7.2021

Päivitykset julkaistu CVE-2021-33764-tiivistysmuutoksilla. Kaikissa myöhemmissa päivityksissä tämä kovettumismuutos on oletusarvoisesti käytössä.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

27. heinäkuuta 2021

Päivitykset julkaistu tilapäisellä lievennyksellä tulostus- ja skannausongelmien ratkaisemiseksi ei-vastaamattoissa laitteissa. Päivitykset, jotka on julkaistu tänä päivänä tai sitä uudempana päivänä, on asennettava dc:hen ja lievennys on otettava käyttöön rekisteriavaimen kautta alla olevien ohjeiden mukaisesti.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

29. heinäkuuta 2021

Päivitykset julkaistu tilapäisellä lievennyksellä tulostus- ja skannausongelmien ratkaisemiseksi ei-vastaamattoissa laitteissa. Päivitykset julkaisun on oltava asennettuna dc:hen ja lievennys on otettava käyttöön rekisteriavaimen kautta alla olevien ohjeiden mukaisesti.

Windows Server 2016

25. tammikuuta 2022

Päivitykset kirjaa active directory -toimialueen ohjauskoneiden valvontatapahtumat, jotka tunnistavat tulostimet, jotka ovat RFC-4456-yhteensopimattomia tulostimia, jotka epäonnistuvat todennuksessa, kun tietokoneet asentavat heinäkuun 2022/elokuun 2022 tai uudemmat päivitykset.

Windows Server 2022

Windows Server 2019

8. helmikuuta 2022

Päivitykset kirjaa active directory -toimialueen ohjauskoneiden valvontatapahtumat, jotka tunnistavat tulostimet, jotka ovat RFC-4456-yhteensopimattomia tulostimia, jotka epäonnistuvat todennuksessa, kun tietokoneet asentavat heinäkuun 2022/elokuun 2022 tai uudemmat päivitykset.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

21. heinäkuuta 2022

Valinnainen esikatselupäivitysversio, joka poistaa tilapäisen lievennyksen ja vaatii valitusten tulostus- ja skannauslaitteita ympäristössäsi.

Windows Server 2019

9. elokuuta 2022

Tärkeää Suojauspäivityksen julkaisu, jonka avulla voidaan poistaa tilapäinen lievennys, joka edellyttää valitusten tulostus- ja skannauslaitteita ympäristössäsi.

Kaikki tänä päivänä tai myöhemmin julkaistut päivitykset eivät voi käyttää väliaikaista lievennystä.

Smartcard-todentavien tulostimien ja skannereiden on oltava yhteensopivia CVE-2021-33764:n vaatiman RFC 4556 -määrityksen kohdan 3.2.1 kanssa, kun nämä päivitykset on asennettu tai uudempi Active Directory -toimialueen ohjauskoneisiin

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

Jos haluat käyttää tilapäistä lievennystä ympäristössäsi, noudata seuraavia ohjeita kaikissa toimialueen ohjauskoneissa:

  1. Määritä toimialueen ohjauskoneissa alla olevan tilapäisen lievennyksen rekisteriarvoksi 1 (ota käyttöön) rekisterieditorin tai ympäristössä käytettävissä olevien automaatiotyökalujen avulla.

    Huomautus Tämä vaihe 1 voidaan tehdä ennen vaiheita 2 ja 3 tai sen jälkeen.

  2. Asenna päivitys, joka sallii tilapäisen lieventämisen 27. heinäkuuta 2021 tai uudemmissa päivityksissä (alla on ensimmäiset päivitykset, jotka mahdollistavat tilapäisen lieventämisen):

  3. Käynnistä toimialueen ohjauskone uudelleen.

Tilapäisen lieventämisen rekisteriarvo:

Varoitus Rekisterin virheellinen muokkaaminen Rekisterieditorin tai muun menetelmän avulla voi aiheuttaa vakavia ongelmia. Nämä ongelmat saattavat edellyttää käyttöjärjestelmän uudelleenasentamista. Microsoft ei voi taata, että nämä ongelmat voidaan ratkaista. Muokkaa rekisteriä omalla vastuullasi.

Rekisterin aliavain

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Arvo

Allow3DesFallback

Tietotyyppi

DWORD

Tiedot

1 – Ota käyttöön väliaikainen lievennys.

0 – Ota käyttöön oletustoiminta, joka edellyttää, että laitteesi ovat RFC 4556 -määrityksen kohdan 3.2.1 mukaisia.

Tarvitaanko uudelleenkäynnistystä?

Ei

Yllä oleva rekisteriavain voidaan luoda ja arvo ja tietojoukko käyttää seuraavaa komentoa:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Tapahtumien valvonta

Windowsin 25. tammikuuta 2022 ja 8. helmikuuta 2022 julkaistu päivitys lisää myös uusia tapahtumatunnuksia, jotka auttavat tunnistamaan kyseiset laitteet.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Virhe

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Tapahtuman teksti

Kerberos-asiakasohjelma ei ole kirjoittanut tuettua salaustyyppiä käytettäväksi PKINIT-protokollan kanssa salaustilassa.

  • Asiakkaan päänimi: <toimialuenimi>\<asiakkaan nimi>

  • Asiakkaan IP-osoite: IPv4/IPv6

  • Asiakkaan toimittama NetBIOS-nimi: %3

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Varoitus

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Tapahtuman teksti

Epäyhtenäinen PKINIT Kerberos -asiakas todennettu tähän DC:hen. Todennus on sallittu, koska KDCGlobalAllowDesFallBack on määritetty. Jatkossa nämä yhteydet epäonnistuvat todennuksessa. Laitteen tunnistaminen ja Kerberos-toteutuksen päivittäminen

  • Asiakkaan päänimi: <toimialuenimi>\<asiakkaan nimi>

  • Asiakkaan IP-osoite: IPv4/IPv6

  • Asiakkaan toimittama NetBIOS-nimi: %3

Tila

Microsoft on vahvistanut, että tämä ongelma ilmenee Microsoft tuotteissa, jotka on lueteltu Koskee seuraavia-osiossa.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.