Symptômes
L’impression et l’analyse peuvent échouer lorsque ces appareils utilisent l’authentification par carte à puce (PIV).
Remarque Les appareils affectés lors de l’utilisation de l’authentification par carte à puce (PIV) doivent fonctionner comme prévu lors de l’utilisation de l’authentification par nom d’utilisateur et mot de passe.
Cause
Le 13 juillet 2021, Microsoft publié des modifications de renforcement pour CVE-2021-33764 Cela peut entraîner ce problème lorsque vous installez les mises à jour publiées le 13 juillet 2021 ou ultérieures sur un contrôleur de domaine (DC). Les appareils concernés sont des imprimantes d’authentification de carte à puce, des scanneurs et des appareils multifonctions qui ne prennent pas en charge les Diffie-Hellman (DH) pour l’échange de clés pendant l’authentification Kerberos PKINIT ou ne publient pas la prise en charge de des-ede3-cbc (« triple DES ») pendant la demande Kerberos AS .
Conformément à la section 3.2.1 de la spécification RFC 4556, pour que cet échange de clés fonctionne, le client doit à la fois prendre en charge et informer le centre de distribution de clés (KDC) de sa prise en charge de des-ede3-cbc (« triple DES »). Les clients qui lancent Kerberos PKINIT avec l’échange de clés en mode de chiffrement, mais qui ne prennent pas en charge ou n’indiquent pas au KDC qu’ils prennent en charge des-ede3-cbc (« triple DES ») sont rejetés.
Pour que les appareils clients de l’imprimante et du scanneur soient conformes, ils doivent :
-
Utilisez Diffie-Hellman pour l’échange de clés pendant l’authentification Kerberos PKINIT (par défaut).
-
Ou, les deux prennent en charge et informent le KDC de leur soutien pour des-ede3-cbc (« triple DES »).
Prochaines étapes
Si vous rencontrez ce problème avec vos appareils d’impression ou d’analyse, vérifiez que vous utilisez les derniers microprogrammes et pilotes disponibles pour votre appareil. Si votre microprogramme et vos pilotes sont à jour et que vous rencontrez toujours ce problème, nous vous recommandons de contacter le fabricant de l’appareil. Demandez si une modification de la configuration est nécessaire pour mettre l’appareil en conformité avec la modification de renforcement pour CVE-2021-33764 ou si une mise à jour conforme sera mise à disposition.
S’il n’existe actuellement aucun moyen de mettre vos appareils en conformité avec la section 3.2.1 de la spécification RFC 4556 comme requis pour CVE-2021-33764, une atténuation temporaire est désormais disponible pendant que vous travaillez avec le fabricant de votre appareil d’impression ou d’analyse pour mettre votre environnement en conformité dans la chronologie ci-dessous.
Important Vos appareils non conformes doivent être mis à jour et conformes ou remplacés avant le 12 juillet 2022, lorsque l’atténuation temporaire ne sera pas utilisable dans les mises à jour de sécurité.
Avis important
Toutes les mesures d’atténuation temporaires pour ce scénario seront supprimées en juillet 2022 et en août 2022, selon la version de Windows que vous utilisez (voir le tableau ci-dessous). Il n’y aura plus d’option de secours dans les mises à jour ultérieures. Tous les appareils non conformes doivent être identifiés à l’aide des événements d’audit à compter de janvier 2022 et mis à jour ou remplacés par la suppression de l’atténuation à partir de la fin de juillet 2022.
Après juillet 2022, les appareils qui ne sont pas conformes à la spécification RFC 4456 et CVE-2021-33764 ne seront plus utilisables avec un appareil Windows mis à jour.
Date cible |
Événement |
S’applique à |
13 juillet 2021 |
Mises à jour publiée avec des modifications de renforcement pour CVE-2021-33764. Cette modification de renforcement est activée par défaut pour toutes les mises à jour ultérieures. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
27 juillet 2021 |
Mises à jour publiée avec une atténuation temporaire pour résoudre les problèmes d’impression et d’analyse sur les appareils non conformes. Mises à jour publiées à cette date ou ultérieurement doivent être installées sur votre contrôleur de domaine et l’atténuation doit être activée via une clé de Registre en suivant les étapes ci-dessous. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
29 juillet 2021 |
Mises à jour publiée avec une atténuation temporaire pour résoudre les problèmes d’impression et d’analyse sur les appareils non conformes. Mises à jour version à cette date ou ultérieure doit être installée sur votre contrôleur de domaine et l’atténuation doit être activée via une clé de Registre en suivant les étapes ci-dessous. |
Windows Server 2016 |
25 janvier 2022 |
Mises à jour journalise les événements d’audit sur les contrôleurs de domaine Active Directory qui identifient les imprimantes incompatibles RFC-4456 qui échouent à l’authentification une fois que les contrôleurs de domaine ont installé les mises à jour de juillet 2022/août 2022 ou ultérieures. |
Windows Server 2022 Windows Server 2019 |
8 février 2022 |
Mises à jour journalise les événements d’audit sur les contrôleurs de domaine Active Directory qui identifient les imprimantes incompatibles RFC-4456 qui échouent à l’authentification une fois que les contrôleurs de domaine ont installé les mises à jour de juillet 2022/août 2022 ou ultérieures. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
21 juillet 2022 |
Mise à jour de préversion facultative pour supprimer l’atténuation temporaire afin d’exiger l’impression et l’analyse des plaintes sur les appareils de votre environnement. |
Windows Server 2019 |
9 août 2022 |
Important Mise à jour de sécurité pour supprimer l’atténuation temporaire afin d’exiger l’impression et l’analyse des plaintes sur les appareils de votre environnement. Toutes les mises à jour publiées ce jour ou ultérieurement ne pourront pas utiliser l’atténuation temporaire. Les imprimantes et scanneurs d’authentification par carte à puce doivent être conformes à la section 3.2.1 de la spécification RFC 4556 requise pour CVE-2021-33764 après l’installation de ces mises à jour ou ultérieurement sur les contrôleurs de domaine Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Pour utiliser l’atténuation temporaire dans votre environnement, procédez comme suit sur tous les contrôleurs de domaine :
-
Sur les contrôleurs de domaine, définissez la valeur de Registre d’atténuation temporaire répertoriée ci-dessous sur 1 (activer) à l’aide de l’Éditeur du Registre ou des outils d’automatisation disponibles dans votre environnement.
Remarque Cette étape 1 peut être effectuée avant ou après les étapes 2 et 3.
-
Installez une mise à jour qui autorise l’atténuation temporaire disponible dans les mises à jour publiées le 27 juillet 2021 ou une version ultérieure (voici les premières mises à jour permettant l’atténuation temporaire) :
-
Redémarrez votre contrôleur de domaine.
Valeur de Registre pour l’atténuation temporaire :
Avertissement Toute modification incorrecte du Registre à l’aide de l’Éditeur du Registre ou d’une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent nécessiter la réinstallation du système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous assumez l’ensemble des risques liés à la modification du Registre.
Sous-clé de Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Valeur |
Allow3DesFallback |
Type de données |
DWORD |
Données |
1 – Activer l’atténuation temporaire. 0 – Activez le comportement par défaut, en exigeant que vos appareils soient conformes à la section 3.2.1 de la spécification RFC 4556. |
Le redémarrage est-il nécessaire ? |
Non |
La clé de Registre ci-dessus peut être créée, ainsi que la valeur et le jeu de données à l’aide de la commande suivante :
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Audit des événements
La mise à jour Windows du 25 janvier 2022 et du 8 février 2022 ajoute également de nouveaux ID d’événement pour aider à identifier les appareils affectés.
Journal des événements |
Système |
Type d’événement |
Error |
Source de l’événement |
Kdcsvc |
ID d’événement |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Texte de l’événement |
Le client Kerberos n’a pas fourni de type de chiffrement pris en charge pour une utilisation avec le protocole PKINIT en mode de chiffrement.
|
Journal des événements |
Système |
Type d’événement |
Avertissement |
Source de l’événement |
Kdcsvc |
ID d’événement |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Texte de l’événement |
Client Kerberos PKINIT non compatible authentifié auprès de ce contrôleur de domaine. L’authentification a été autorisée, car KDCGlobalAllowDesFallBack a été défini. À l’avenir, ces connexions échouent à l’authentification. Identifier l’appareil et rechercher la mise à niveau de son implémentation Kerberos
|
État
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la liste des produits concernés par cet article.