Simptomi
Ispis i skeniranje možda neće uspjeti kada ti uređaji koriste provjeru autentičnosti pametne kartice (PIV).
Napomena Uređaji na koje utječe provjera autentičnosti pametne kartice (PIV) trebali bi funkcionirati prema očekivanjima prilikom korištenja provjere autentičnosti korisničkim imenom i lozinkom.
Uzrok
13. srpnja 2021. Microsoft je objavio promjene otećivanja za CVE-2021-33764 To može uzrokovati taj problem kada instalirate ažuriranja objavljena 13. srpnja 2021. ili novije verzije na kontroloru domene (DC). Zahvaćeni su uređaji pisači, skeneri i višefunkcijski uređaji koji ne podržavaju ni Diffie-Hellman (DH) za razmjenu ključeva tijekom provjere autentičnosti putem protokola PKINIT Kerberos ili ne oglašavaju podršku za des-ede3-cbc ("triple DES") tijekom kerberos AS zahtjeva.
Po odjeljku 3.2.1 specifikacije RFC 4556, da bi ta razmjena ključeva funkcionirala, klijent mora i podržavati i obavijestiti centar za raspodjelu ključa (KDC) o podršci za des-ede3-cbc ("trostruki DES"). Klijenti koji pokrenu Kerberos PKINIT s načinom šifriranja za razmjenu tipki, ali ne podržavaju ni kažu KDC-u da podržavaju des-ede3-cbc ("triple DES"), bit će odbačeni.
Da bi klijentski uređaji pisača i skenera bili usklađeni, moraju:
-
Koristite Diffie-Hellman za razmjenu ključeva tijekom provjere autentičnosti PKINIT Kerberos (preferirano).
-
Ili, i podrška i obavještavanje KDC-a o podršci za des-ede3-cbc ("trostruki DES").
Sljedeći koraci
Ako naiđete na taj problem s uređajima za ispis ili skeniranje, provjerite koristite li najnoviju opremu i upravljačke programe dostupne za vaš uređaj. Ako su oprema i upravljački programi ažurni i i dalje nailazite na taj problem, preporučujemo da se obratite proizvođaču uređaja. Pitajte je li potrebna promjena konfiguracije da bi uređaj bio usklađen s promjenom otećivanja za CVE-2021-33764 ili će biti dostupno usklađeno ažuriranje.
Ako trenutačno ne postoji način usklađivanja uređaja s odjeljkom 3.2.1 specifikacije RFC 4556 prema potrebi za CVE-2021-33764, privremeno ublažavanje sada je dostupno dok radite s proizvođačem uređaja za ispis ili skeniranje da bi vaše okruženje bilo usklađeno unutar vremenske crte u nastavku.
Važno Uređaje koji nisu kompatibilni moraju biti ažurirani i usklađeni ili zamijenjeni sa 12. srpnja 2022., kada privremeno ublažavanje neće biti moguće koristiti u sigurnosnim ažuriranjima.
Važna obavijest
Sva privremena ublažavanja tog scenarija uklonit će se u srpnju 2022. i kolovozu 2022., ovisno o verziji sustava Windows koju koristite (pogledajte tablicu u nastavku). U kasnijim ažuriranjima više neće biti rezervnih mogućnosti. Svi neuspodjelivi uređaji moraju se prepoznati pomoću događaja nadzora od siječnja 2022 . i ažurirati ili zamijeniti uklanjanjem ublažavanja koje počinje krajem srpnja 2022.
Nakon srpnja 2022. uređaji koji nisu usklađeni sa specifikacijom RFC 4456 i CVE-2021-33764 neće se moći koristiti s ažuriranim uređajem sa sustavom Windows.
|
Ciljani datum |
Događaj |
Vrijedi za |
|
13. srpnja 2021. |
Ažuriranja objavljen s promjenama otećivanja za CVE-2021-33764. U svim se novijim ažuriranjima ta promjena po zadanom otegne. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
Srpanj 27, 2021 |
Ažuriranja s privremenim ublažavanjem radi rješavanja problema s ispisom i skeniranjem na uređajima koji nisu kompatibilni. Ažuriranja objavljen na ovaj datum ili kasnije mora biti instaliran na dc i ublažavanje se mora uključiti putem ključa registra pomoću koraka u nastavku. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29. srpnja 2021. |
Ažuriranja s privremenim ublažavanjem radi rješavanja problema s ispisom i skeniranjem na uređajima koji nisu kompatibilni. Ažuriranja datum ili novije izdanje mora biti instalirano na dc i ublažavanje se mora uključiti putem ključa registra pomoću koraka u nastavku. |
Windows Server 2016 |
|
Siječanj 25, 2022 |
Ažuriranja će evidentirati događaje nadzora na domenske kontrolere servisa Active Directory koji identificiraju pisače koji su RFC-4456 nekompatibilni pisači koji ne uspijevaju provjeravati autentičnost kada DCS instaliraju ažuriranja za srpanj 2022./kolovoz 2022. ili novija. |
Windows Server 2022 Windows Server 2019 |
|
8. veljače 2022. |
Ažuriranja će evidentirati događaje nadzora na domenske kontrolere servisa Active Directory koji identificiraju pisače koji su RFC-4456 nekompatibilni pisači koji ne uspijevaju provjeravati autentičnost kada DCS instaliraju ažuriranja za srpanj 2022./kolovoz 2022. ili novija. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21. srpnja 2022. |
Neobavezno izdanje ažuriranja pretpregleda radi uklanjanja privremenog ublažavanja kako bi se zahtijevao ispis pritužbi i skeniranje uređaja u vašem okruženju. |
Windows Server 2019 |
|
9. kolovoza 2022. |
Važno Sigurnosno ažuriranje za uklanjanje privremenog ublažavanja kako bi se zahtijevao ispis pritužbi i skeniranje uređaja u vašem okruženju. Sva ažuriranja objavljena ovog dana ili kasnije neće moći koristiti privremeno ublažavanje. Pisači i skeneri koji provjeravaju autentičnost smartcard moraju biti usklađeni s odjeljkom 3.2.1 specifikacije RFC 4556 potrebne zaCVE-2021-33764 nakon instalacije tih ažuriranja ili novijih na domenske kontrolere servisa Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Da biste koristili privremeno ublažavanje u okruženju, slijedite ove korake na svim domenskim kontrolerima:
-
Na domenskim kontrolerima postavite privremenu vrijednost registra ublažavanja navedenu u nastavku na 1 (omogući) pomoću uređivača registra ili alata automatizacije dostupnih u vašem okruženju.
Napomena Ovaj korak 1 može se izvršiti prije ili nakon 2. i 3. koraka.
-
Instalirajte ažuriranje koje omogućuje privremeno ublažavanje dostupno u ažuriranjima objavljenim 27. srpnja 2021. ili novijim (u nastavku su prva ažuriranja koja omogućuju privremeno ublažavanje):
-
Ponovno pokrenite domenski kontroler.
Vrijednost registra za privremeno ublažavanje:
Upozorenje Ako nepravilno izmijenite registar pomoću Uređivača registra ili na neki drugi način, može doći do ozbiljnih problema. Za te probleme možda ćete morati ponovno instalirati operacijski sustav. Microsoft ne može jamčiti da se ti problemi mogu riješiti. Izmijenite registar na vlastitu odgovornost.
|
Potključ registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Vrijednost |
Allow3DesFallback |
|
Vrsta podataka |
DWORD |
|
Podaci |
1 – Omogućite privremeno ublažavanje. 0 – Omogućite zadano ponašanje, što zahtijeva usklađenost uređaja s odjeljkom 3.2.1 specifikacije RFC 4556. |
|
Potrebno je ponovno pokretanje? |
Ne |
Gore navedeni ključ registra može se stvoriti, a vrijednost i skup podataka pomoću sljedeće naredbe:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Događaji nadzora
Ažuriranjem sustava Windows od 25. siječnja 2022. i 8. veljače 2022. dodat će se i novi ID-ovi događaja radi lakšeg prepoznavanja zahvaćenih uređaja.
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Pogreška |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Tekst događaja |
Klijent Kerberos nije dobavio podržanu vrstu šifriranja za korištenje s protokolom PKINIT pomoću načina šifriranja.
|
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Tekst događaja |
Klijent PKINIT Kerberos koji nije udostojio autentičnost za ovaj DC. Provjera autentičnosti je dopuštena jer je postavljena KDCGlobalAllowDesFallBack. U budućnosti te veze neće uspjeti u provjeri autentičnosti. Identificirajte uređaj i pogledajte kako nadograditi implementaciju kerberos
|
Status
Microsoft je potvrdio da je to problem u Microsoft proizvodima koji su navedeni u odjeljku "Odnosi se na".
