Tünetek
A nyomtatás és a beolvasás sikertelen lehet, ha ezek az eszközök intelligens kártyás (PIV-) hitelesítést használnak.
Megjegyzés Az intelligens kártyás (PIV)-hitelesítés használatakor érintett eszközöknek a felhasználónév- és jelszó-hitelesítés használatakor a várt módon kell működnie.
A jelenség oka
2021. július 13-án Microsoft kiadott a CVE-2021-33764 korlátozási módosításait. Ez a probléma akkor fordulhat elő, ha 2021. július 13-án kiadott vagy újabb frissítéseket telepít egy tartományvezérlőre (DC). Az érintett eszközök a nyomtatók, szkennerek és többfunkciós eszközök hitelesítésére szolgáló intelligens kártyák, amelyek nem támogatják a kulcscserét Diffie-Hellman (DH) A PKINIT Kerberos-hitelesítés során, vagy nem hirdetik meg a des-ede3-cbc (háromszoros DES) támogatását a Kerberos AS-kérés során.
Az RFC 4556 specifikációjának 3.2.1 szakasza szerint ahhoz, hogy ez a kulcscsere működjön, az ügyfélnek támogatnia kell és értesítenie kell a kulcsterjesztési központot (KDC) a des-ede3-cbc ("háromszoros DES") támogatásáról. A Kerberos PKINIT titkosítási módban kulcscserével kezdeményező, de a KDC-nek nem támogatja és nem is mondja el, hogy támogatja a des-ede3-cbc (háromszoros DES) protokollt.
Ahhoz, hogy a nyomtató- és szkennerügyfél-eszközök megfelelőek legyenek, a következők valamelyikének kell lenniük:
-
A PKINIT Kerberos-hitelesítés során használja a Diffie-Hellman kulcscserét (előnyben részesített).
-
Vagy mindkettő támogatja és értesíti a KDC-t a des-ede3-cbc (háromszoros DES) támogatásáról.
További lépések
Ha ezt a problémát a nyomtató- vagy beolvasóeszközökkel tapasztalja, ellenőrizze, hogy az eszközhöz elérhető legújabb belső vezérlőprogramot és illesztőprogramokat használja-e. Ha a belső vezérlőprogram és az illesztőprogramok naprakészek, és a probléma továbbra is fennáll, javasoljuk, hogy lépjen kapcsolatba az eszköz gyártójával. Kérdezze meg, hogy szükség van-e konfigurációmódosításra ahhoz, hogy az eszköz megfeleljen a CVE-2021-33764 korlátozási változásának, vagy elérhetővé válik-e egy megfelelő frissítés.
Ha jelenleg nincs mód arra, hogy az eszközeit a CVE-2021-33764 szabványnak megfelelően az RFC 4556 specifikáció 3.2.1-es szakaszának megfelelően állítsa be, akkor a nyomtató- vagy ellenőrzőeszköz gyártójával együttműködve az alábbi idővonalon belül ideiglenes kockázatcsökkentés érhető el.
Fontos A nem megfelelő eszközöknek 2022. július 12-ig kell frissülniük és megfelelőknek lenniük, vagy le kell cserélniük azokat, ha az ideiglenes kockázatcsökkentés nem lesz használható a biztonsági frissítésekben.
Fontos értesítés
A forgatókönyv összes ideiglenes kockázatcsökkentése 2022 júliusában és 2022 augusztusában megszűnik a Windows ön által használt verziójától függően (lásd az alábbi táblázatot). A későbbi frissítésekben nem lesz további tartalék lehetőség. Minden nem megfelelő eszközt azonosítani kell a 2022 januárjától kezdődő naplózási események használatával, és frissíteni vagy lecserélni a 2022. július végén kezdődő kockázatcsökkentési eltávolítással.
2022 júliusa után az RFC 4456 specifikációnak és a CVE-2021-33764 szabványnak nem megfelelő eszközök nem használhatók frissített Windows-eszközzel.
Céldátum |
Esemény |
Érintett termékek |
2021. július 13. |
Frissítések a CVE-2021-33764 korlátozási módosításaival jelent meg. Alapértelmezés szerint minden későbbi frissítésnél be van kapcsolva ez a korlátozás. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2021. július 27. |
Frissítések a nem megfelelő eszközökön jelentkező nyomtatási és vizsgálati problémák megoldásához ideiglenes kockázatcsökkentéssel adták ki. Frissítések ezen a napon vagy később kiadott tartományvezérlőre kell telepíteni, és a kockázatcsökkentést be kell kapcsolni a beállításkulcson keresztül az alábbi lépések végrehajtásával. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2021. július 29. |
Frissítések a nem megfelelő eszközökön jelentkező nyomtatási és vizsgálati problémák megoldásához ideiglenes kockázatcsökkentéssel adták ki. Frissítések kiadást ezen a napon vagy később kell telepíteni a tartományvezérlőre, és a kockázatcsökkentést be kell kapcsolni a beállításkulcson keresztül az alábbi lépések végrehajtásával. |
Windows Server 2016 |
2022. január 25., szombat |
Frissítések naplózza az Active Directory-tartományvezérlők naplózási eseményeit, amelyek azonosítják azokat az RFC-4456 nem kompatibilis nyomtatókat, amelyek nem hitelesítenek a 2022. júliusi/2022. augusztusi vagy újabb frissítések telepítése után. |
Windows Server 2022 Windows Server 2019 |
2022. február 8. |
Frissítések naplózza az Active Directory-tartományvezérlők naplózási eseményeit, amelyek azonosítják azokat az RFC-4456 nem kompatibilis nyomtatókat, amelyek nem hitelesítenek a 2022. júliusi/2022. augusztusi vagy újabb frissítések telepítése után. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2022. július 21. |
Nem kötelező előzetes verziójú frissítési kiadás, amely eltávolítja az ideiglenes kockázatcsökkentést, hogy panasznyomtató és -beolvasó eszközöket igényeljen a környezetben. |
Windows Server 2019 |
2022. augusztus 9. |
Fontos Biztonsági frissítés kiadása, amely eltávolítja az ideiglenes kockázatcsökkentést, hogy panasznyomtató és -beolvasó eszközöket igényeljen a környezetben. Az ezen a napon vagy később kiadott frissítések nem fogják tudni használni az ideiglenes kockázatcsökkentést. Az intelligenskártya-hitelesítő nyomtatóknak és szkennereknek meg kell felelniük a CVE-2021-33764 szabványhoz szükséges RFC 4556 specifikáció 3.2.1-es szakaszának, miután telepítette ezeket a frissítéseket vagy újabb verziókat az Active Directory-tartományvezérlőkre |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Ha a környezetben szeretné használni az ideiglenes kockázatcsökkentést, kövesse az alábbi lépéseket az összes tartományvezérlőn:
-
A tartományvezérlőkön állítsa az alább felsorolt ideiglenes kockázatcsökkentési beállításjegyzék értékét 1 -re (engedélyezés) a Beállításszerkesztő vagy a környezetben elérhető automatizálási eszközök használatával.
Megjegyzés Ez az 1. lépés a 2. és a 3. lépés előtt vagy után végezhető el.
-
Telepítsen egy olyan frissítést, amely lehetővé teszi a 2021. július 27-i vagy újabb frissítésekben elérhető ideiglenes kockázatcsökkentést (az alábbi frissítések teszik lehetővé az ideiglenes kockázatcsökkentést):
-
Indítsa újra a tartományvezérlőt.
Beállításazonosító ideiglenes kockázatcsökkentéshez:
Figyelem Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ezekhez a problémákhoz szükség lehet az operációs rendszer újratelepítésére. Microsoft nem garantálható, hogy ezek a problémák megoldhatók. A beállításjegyzéket saját felelősségére módosíthatja.
Beállításjegyzék alkulcsa |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Érték |
Allow3DesFallback |
Adattípus |
DWORD |
Adat |
1 – Ideiglenes kockázatcsökkentés engedélyezése. 0 – Engedélyezze az alapértelmezett viselkedést, amely megköveteli, hogy az eszközök megfeleljenek az RFC 4556 specifikációjának 3.2.1-es szakaszának. |
Újraindítás szükséges? |
Nem |
A fenti beállításkulcs a következő paranccsal hozható létre, valamint az érték és az adatkészlet:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Naplózási események
A 2022. január 25-i és 2022. február 8-i Windows-frissítés új eseményazonosítókat is hozzáad az érintett eszközök azonosításához.
Eseménynapló |
Rendszer |
Esemény típusa |
Hiba |
Eseményforrás |
Kdcsvc |
Eseményazonosító |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Esemény szövege |
A Kerberos-ügyfél nem adott meg támogatott titkosítási típust a PKINIT protokollal való titkosítási mód használatához.
|
Eseménynapló |
Rendszer |
Esemény típusa |
Figyelmeztetés |
Eseményforrás |
Kdcsvc |
Eseményazonosító |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Esemény szövege |
Egy nem konformáló PKINIT Kerberos-ügyfél, amely ezzel a tartományvezérlővel van hitelesítve. A hitelesítés engedélyezve lett, mert a KDCGlobalAllowDesFallBack be lett állítva. A jövőben ezek a kapcsolatok nem fognak hitelesítést végrehajtani. Az eszköz azonosítása és a Kerberos-implementáció frissítése
|
Állapot
Microsoft megerősítette, hogy ez a probléma a "Hatókör" szakaszban felsorolt Microsoft termékekben található.