Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Tünetek

A nyomtatás és a beolvasás sikertelen lehet, ha ezek az eszközök intelligens kártyás (PIV-) hitelesítést használnak. 

Megjegyzés Az intelligens kártyás (PIV)-hitelesítés használatakor érintett eszközöknek a felhasználónév- és jelszó-hitelesítés használatakor a várt módon kell működnie.

A jelenség oka

2021. július 13-án Microsoft kiadott a CVE-2021-33764 korlátozási módosításait. Ez a probléma akkor fordulhat elő, ha 2021. július 13-án kiadott vagy újabb frissítéseket telepít egy tartományvezérlőre (DC).  Az érintett eszközök a nyomtatók, szkennerek és többfunkciós eszközök hitelesítésére szolgáló intelligens kártyák, amelyek nem támogatják a kulcscserét Diffie-Hellman (DH) A PKINIT Kerberos-hitelesítés során, vagy nem hirdetik meg a des-ede3-cbc (háromszoros DES) támogatását a Kerberos AS-kérés során.

Az RFC 4556 specifikációjának 3.2.1 szakasza szerint ahhoz, hogy ez a kulcscsere működjön, az ügyfélnek támogatnia kell és értesítenie kell a kulcsterjesztési központot (KDC) a des-ede3-cbc ("háromszoros DES") támogatásáról. A Kerberos PKINIT titkosítási módban kulcscserével kezdeményező, de a KDC-nek nem támogatja és nem is mondja el, hogy támogatja a des-ede3-cbc (háromszoros DES) protokollt.

Ahhoz, hogy a nyomtató- és szkennerügyfél-eszközök megfelelőek legyenek, a következők valamelyikének kell lenniük:

  • A PKINIT Kerberos-hitelesítés során használja a Diffie-Hellman kulcscserét (előnyben részesített).

  • Vagy mindkettő támogatja és értesíti a KDC-t a des-ede3-cbc (háromszoros DES) támogatásáról.

További lépések

Ha ezt a problémát a nyomtató- vagy beolvasóeszközökkel tapasztalja, ellenőrizze, hogy az eszközhöz elérhető legújabb belső vezérlőprogramot és illesztőprogramokat használja-e. Ha a belső vezérlőprogram és az illesztőprogramok naprakészek, és a probléma továbbra is fennáll, javasoljuk, hogy lépjen kapcsolatba az eszköz gyártójával. Kérdezze meg, hogy szükség van-e konfigurációmódosításra ahhoz, hogy az eszköz megfeleljen a CVE-2021-33764 korlátozási változásának, vagy elérhetővé válik-e egy megfelelő frissítés.

Ha jelenleg nincs mód arra, hogy az eszközeit a CVE-2021-33764 szabványnak megfelelően az RFC 4556 specifikáció 3.2.1-es szakaszának megfelelően állítsa be, akkor a nyomtató- vagy ellenőrzőeszköz gyártójával együttműködve az alábbi idővonalon belül ideiglenes kockázatcsökkentés érhető el.

Fontos A nem megfelelő eszközöknek 2022. július 12-ig kell frissülniük és megfelelőknek lenniük, vagy le kell cserélniük azokat, ha az ideiglenes kockázatcsökkentés nem lesz használható a biztonsági frissítésekben.

Fontos értesítés

A forgatókönyv összes ideiglenes kockázatcsökkentése 2022 júliusában és 2022 augusztusában megszűnik a Windows ön által használt verziójától függően (lásd az alábbi táblázatot). A későbbi frissítésekben nem lesz további tartalék lehetőség. Minden nem megfelelő eszközt azonosítani kell a 2022 januárjától kezdődő naplózási események használatával, és frissíteni vagy lecserélni a 2022. július végén kezdődő kockázatcsökkentési eltávolítással. 

2022 júliusa után az RFC 4456 specifikációnak és a CVE-2021-33764 szabványnak nem megfelelő eszközök nem használhatók frissített Windows-eszközzel.

Céldátum

Esemény

Érintett termékek

2021. július 13.

Frissítések a CVE-2021-33764 korlátozási módosításaival jelent meg. Alapértelmezés szerint minden későbbi frissítésnél be van kapcsolva ez a korlátozás.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2021. július 27.

Frissítések a nem megfelelő eszközökön jelentkező nyomtatási és vizsgálati problémák megoldásához ideiglenes kockázatcsökkentéssel adták ki. Frissítések ezen a napon vagy később kiadott tartományvezérlőre kell telepíteni, és a kockázatcsökkentést be kell kapcsolni a beállításkulcson keresztül az alábbi lépések végrehajtásával.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2021. július 29.

Frissítések a nem megfelelő eszközökön jelentkező nyomtatási és vizsgálati problémák megoldásához ideiglenes kockázatcsökkentéssel adták ki. Frissítések kiadást ezen a napon vagy később kell telepíteni a tartományvezérlőre, és a kockázatcsökkentést be kell kapcsolni a beállításkulcson keresztül az alábbi lépések végrehajtásával.

Windows Server 2016

2022. január 25., szombat

Frissítések naplózza az Active Directory-tartományvezérlők naplózási eseményeit, amelyek azonosítják azokat az RFC-4456 nem kompatibilis nyomtatókat, amelyek nem hitelesítenek a 2022. júliusi/2022. augusztusi vagy újabb frissítések telepítése után.

Windows Server 2022

Windows Server 2019

2022. február 8.

Frissítések naplózza az Active Directory-tartományvezérlők naplózási eseményeit, amelyek azonosítják azokat az RFC-4456 nem kompatibilis nyomtatókat, amelyek nem hitelesítenek a 2022. júliusi/2022. augusztusi vagy újabb frissítések telepítése után.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2022. július 21.

Nem kötelező előzetes verziójú frissítési kiadás, amely eltávolítja az ideiglenes kockázatcsökkentést, hogy panasznyomtató és -beolvasó eszközöket igényeljen a környezetben.

Windows Server 2019

2022. augusztus 9.

Fontos Biztonsági frissítés kiadása, amely eltávolítja az ideiglenes kockázatcsökkentést, hogy panasznyomtató és -beolvasó eszközöket igényeljen a környezetben.

Az ezen a napon vagy később kiadott frissítések nem fogják tudni használni az ideiglenes kockázatcsökkentést.

Az intelligenskártya-hitelesítő nyomtatóknak és szkennereknek meg kell felelniük a CVE-2021-33764 szabványhoz szükséges RFC 4556 specifikáció 3.2.1-es szakaszának, miután telepítette ezeket a frissítéseket vagy újabb verziókat az Active Directory-tartományvezérlőkre

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

Ha a környezetben szeretné használni az ideiglenes kockázatcsökkentést, kövesse az alábbi lépéseket az összes tartományvezérlőn:

  1. A tartományvezérlőkön állítsa az alább felsorolt ideiglenes kockázatcsökkentési beállításjegyzék értékét 1 -re (engedélyezés) a Beállításszerkesztő vagy a környezetben elérhető automatizálási eszközök használatával.

    Megjegyzés Ez az 1. lépés a 2. és a 3. lépés előtt vagy után végezhető el.

  2. Telepítsen egy olyan frissítést, amely lehetővé teszi a 2021. július 27-i vagy újabb frissítésekben elérhető ideiglenes kockázatcsökkentést (az alábbi frissítések teszik lehetővé az ideiglenes kockázatcsökkentést):

  3. Indítsa újra a tartományvezérlőt.

Beállításazonosító ideiglenes kockázatcsökkentéshez:

Figyelem Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ezekhez a problémákhoz szükség lehet az operációs rendszer újratelepítésére. Microsoft nem garantálható, hogy ezek a problémák megoldhatók. A beállításjegyzéket saját felelősségére módosíthatja.

Beállításjegyzék alkulcsa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Érték

Allow3DesFallback

Adattípus

DWORD

Adat

1 – Ideiglenes kockázatcsökkentés engedélyezése.

0 – Engedélyezze az alapértelmezett viselkedést, amely megköveteli, hogy az eszközök megfeleljenek az RFC 4556 specifikációjának 3.2.1-es szakaszának.

Újraindítás szükséges?

Nem

A fenti beállításkulcs a következő paranccsal hozható létre, valamint az érték és az adatkészlet:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Naplózási események

A 2022. január 25-i és 2022. február 8-i Windows-frissítés új eseményazonosítókat is hozzáad az érintett eszközök azonosításához.

Eseménynapló

Rendszer

Esemény típusa

Hiba

Eseményforrás

Kdcsvc

Eseményazonosító

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Esemény szövege

A Kerberos-ügyfél nem adott meg támogatott titkosítási típust a PKINIT protokollal való titkosítási mód használatához.

  • Egyszerű ügyfél neve: <tartománynév>\<ügyfélnév>

  • Ügyfél IP-címe: IPv4/IPv6

  • Ügyfél által megadott NetBIOS-név: %3

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés

Eseményforrás

Kdcsvc

Eseményazonosító

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Esemény szövege

Egy nem konformáló PKINIT Kerberos-ügyfél, amely ezzel a tartományvezérlővel van hitelesítve. A hitelesítés engedélyezve lett, mert a KDCGlobalAllowDesFallBack be lett állítva. A jövőben ezek a kapcsolatok nem fognak hitelesítést végrehajtani. Az eszköz azonosítása és a Kerberos-implementáció frissítése

  • Egyszerű ügyfél neve: <tartománynév>\<ügyfélnév>

  • Ügyfél IP-címe: IPv4/IPv6

  • Ügyfél által megadott NetBIOS-név: %3

Állapot

Microsoft megerősítette, hogy ez a probléma a "Hatókör" szakaszban felsorolt Microsoft termékekben található.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.