Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

תסמינים

הדפסה וסריקה עלולות להיכשל כאשר מכשירים אלה משתמשים באימות כרטיס חכם (PIV). 

הערה מכשירים המושפעים בעת שימוש באימות כרטיס חכם (PIV) אמורים לפעול כצפוי בעת שימוש באימות שם משתמש וסיסמה.

סיבה

ב- 13 ביולי 2021, Microsoft פרסמה שינויי הקשחה עבור CVE-2021-33764 הדבר עלול לגרום לבעיה זו בעת התקנת עדכונים שהופצו ב- 13 ביולי, 2021 או בגירסאות מתקדמות יותר בבקר תחום (DC).  המכשירים המושפעים הם מדפסות, סורקים והתקנים רב-תכליתיים של אימות כרטיסים חכמים שאינם תומכים ב- Diffie-Hellman (DH) עבור חילופי מפתח במהלך אימות PKINIT Kerberos או אינם מפרסמים תמיכה עבור des-ede3-cbc ("triple DES") במהלך בקשת Kerberos AS .

לפי סעיף 3.2.1 של מפרט RFC 4556, כדי ש חילופי מפתח אלה יפעלו, הלקוח צריך הן לתמוך ולהודיע למרכז ההפצה של המפתח (KDC) על התמיכה שלו ב- des-ede3-cbc ("triple DES"). לקוחות המשתמשים ב- Kerberos PKINIT עם חילופי מפתחות במצב הצפנה, אך לא תומכים ואינם אומרים ל- KDC שהם תומכים ב- des-ede3-cbc ("triple DES"), יידחה.

כדי שהתקני לקוח של מדפסת וסורק יהיו תואמים, עליהם לבצע אחת מהפעולות הבאות:

  • השתמש Diffie-Hellman עבור חילופי מפתח במהלך אימות Kerberos של PKINIT (מועדף).

  • לחלופין, הן תמיכה והן הודעה ל- KDC על התמיכה שלהם עבור des-ede3-cbc ("triple DES").

השלבים הבאים

אם אתה נתקל בבעיה זו בהדפסה או בסריקה של מכשירים, ודא שאתה משתמש בקושחה וב מנהלי ההתקנים העדכניים ביותר הזמינים עבור המכשיר שלך. אם הקושחה ומנהלי ההתקנים שלך מעודכנים ואתה עדיין נתקל בבעיה זו, מומלץ לפנות ליצרן המכשיר. שאל אם נדרש שינוי תצורה כדי לעדכן את המכשיר בתאימות לשינוי הקשחה עבור CVE-2021-33764 או אם עדכון תואם יהיה זמין.

אם בשלב זה אין דרך להכניס את המכשירים שלך לתאימות לסעיף 3.2.1 של מפרט RFC 4556 , כפי שנדרש עבור CVE-2021-33764, צמצום סיכונים זמני זמין כעת בזמן שאתה עובד עם יצרן התקן ההדפסה או הסריקה שלך כדי להפוך את הסביבה שלך לתאימות בציר הזמן שלהלן.

חשוב עליך לעדכן ולעדכן את המכשירים שאינם תואמים או להחליף אותם ב- 12 ביולי 2022, כאשר צמצום הסיכונים הזמני לא יהיה ניתן לשימוש בעדכוני אבטחה.

הודעה חשובה

כל צמצום הסיכונים הזמני עבור תרחיש זה יוסר ביולי 2022 ואוגוסט 2022, בהתאם לגירסת Windows שבה אתה משתמש (ראה טבלה להלן). לא תהיה אפשרות חזרה נוספת בעדכונים מאוחרים יותר. יש לזהות את כל המכשירים שאינם תואמים באמצעות אירועי הביקורת החל מינואר 2022 ולעדכן או להחליף אותם בהסרת צמצום הסיכונים החל מסוף יולי 2022. 

לאחר יולי 2022, מכשירים שאינם תואמים למפרט RFC 4456 ול- CVE-2021-33764 לא יהיו ניתנים לשימוש במכשיר Windows מעודכן.

תאריך יעד

‏‏אירוע

חל על

13 ביולי 2021

עדכונים עם שינויי הקשחה עבור CVE-2021-33764. כל העדכונים המ מאוחרים יותר כוללים שינוי הקשה זה כברירת מחדל.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

ה-27 ביולי 2021

עדכונים עם צמצום סיכונים זמני כדי לטפל בבעיות הדפסה וסריקה במכשירים שאינם תואמים. עדכונים שפורסמו בתאריך זה או במועד מאוחר יותר חייב להיות מותקן ב- DC שלך ויש להפעיל את צמצום הסיכונים באמצעות מפתח הרישום באמצעות השלבים הבאים.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

ה-29 ביולי 2021

עדכונים עם צמצום סיכונים זמני כדי לטפל בבעיות הדפסה וסריקה במכשירים שאינם תואמים. עדכונים ההפצה בתאריך זה או במועד מאוחר יותר חייב להיות מותקן ב- DC שלך ויש להפעיל את צמצום הסיכונים באמצעות מפתח הרישום באמצעות השלבים הבאים.

Windows Server 2016

ה-25 בינואר 2022

עדכונים ירשום אירועי ביקורת בבקרי תחום של Active Directory שמזהים מדפסות שאינן תואמות ל- RFC-4456, שנכשלות באימות לאחר שמחשבים מתקינים את העדכונים של יולי 2022/אוגוסט 2022 ואילך.

Windows Server 2022

Windows Server 2019

ה-8 בפברואר 2022

עדכונים ירשום אירועי ביקורת בבקרי תחום של Active Directory שמזהים מדפסות שאינן תואמות ל- RFC-4456, שנכשלות באימות לאחר שמחשבים מתקינים את העדכונים של יולי 2022/אוגוסט 2022 ואילך.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

ה-21 ביולי 2022

מהדורת עדכון תצוגה מקדימה אופציונלית להסרת צמצום סיכונים זמני כדי לדרוש הדפסה וסריקה של תלונה במכשירים בסביבה שלך.

Windows Server 2019

ה-9 באוגוסט 2022

חשוב מהדורת עדכון אבטחה כדי להסיר צמצום סיכונים זמני כדי לדרוש הדפסה וסריקה של תלונה במכשירים בסביבה שלך.

כל העדכונים שהופצו ביום זה או מאוחר יותר לא יוכלו להשתמש בצמצום הסיכונים הזמני.

מדפסות וסורקים לאימות כרטיס חכם חייבים להיות תואמים לסעיף 3.2.1 של מפרט RFC 4556 הנדרש עבור CVE-2021-33764 לאחר התקנת עדכונים אלה ואילך בבקרי תחום של Active Directory

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

כדי להשתמש בהפחתת הסיכון הזמנית בסביבה שלך, בצע שלבים אלה בכל בקרי התחום:

  1. בבקרי התחום, הגדר את ערך הרישום הזמני לצמצום סיכונים המפורט להלן ל- 1 (זמין) באמצעות עורך הרישום או באמצעות כלי האוטומציה הזמינים בסביבה שלך.

    הערה ניתן לבצע שלב 1 זה לפני או אחרי שלבים 2 ו- 3.

  2. התקן עדכון המאפשר צמצום סיכונים זמני שזמין בעדכונים שהופצו ב- 27 ביולי, 2021 ואילך (להלן העדכונים הראשונים המאפשרים צמצום סיכונים זמני):

  3. הפעל מחדש את בקר התחום שלך.

ערך הרישום עבור צמצום זמני:

אזהרה בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי באמצעות עורך הרישום או באמצעות שיטה אחרת. בעיות אלה עשויות לדרוש התקנה מחדש של מערכת ההפעלה. Microsoft להבטיח שניתן יהיה לפתור בעיות אלה. שנה את הרישום על אחריותך.

מפתח משנה של הרישום

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

‏‏ערך

Allow3DesFallback

סוג נתונים

DWORD

‏‏נתונים

1 – אפשר צמצום זמני.

0 – הפוך אופן פעולה המהווה ברירת מחדל לזמין, הדורש את המכשירים שלך לתאימות לסעיף 3.2.1 של מפרט RFC 4556.

נדרשת הפעלה מחדש?

לא

ניתן ליצור את מפתח הרישום לעיל ואת הערך וערכות הנתונים באמצעות הפקודה הבאה:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

אירועי ביקורת

עדכון Windows שפורסם ב- 25 בינואר 2022 וב- 8 בפברואר 2022 יוסיף גם מזהי אירועים חדשים כדי לסייע בזיהוי המכשירים המושפעים.

‏‏יומן אירועים

מערכת

סוג אירוע

שגיאה

מקור האירוע

Kdcsvc

מזהה האירוע

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

טקסט אירוע

לקוח Kerberos לא ספק סוג הצפנה נתמך לשימוש עם פרוטוקול PKINIT באמצעות מצב הצפנה.

  • שם ראשי של לקוח: <שם תחום>\<שם לקוח>

  • כתובת IP של לקוח: IPv4/IPv6

  • שם NetBIOS שסופק על-ידי הלקוח: %3

‏‏יומן אירועים

מערכת

סוג אירוע

שלט אזהרה

מקור האירוע

Kdcsvc

מזהה האירוע

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

טקסט אירוע

לקוח PKINIT Kerberos שאינו תואם מאומת ב- DC זה. האימות הוגדר כיוון שהוגדר KDCGlobalAllowDesFallBack. בעתיד, אימות חיבורים אלה ייכשל. זהה את המכשיר וחפש לשדרג את יישום Kerberos שלו

  • שם ראשי של לקוח: <שם תחום>\<שם לקוח>

  • כתובת IP של לקוח: IPv4/IPv6

  • שם NetBIOS שסופק על-ידי הלקוח: %3

מצב

Microsoft אישר כי זוהי בעיה Microsoft המפורטים בסעיף "חל על".

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.