Sintomi
La stampa e l'analisi potrebbero non riuscire quando questi dispositivi usano l'autenticazione con smart card (PIV).
Nota I dispositivi interessati dall'uso dell'autenticazione con smart card (PIV) dovrebbero funzionare come previsto quando si usa l'autenticazione con nome utente e password.
Causa
Il 13 luglio 2021 Microsoft rilasciato modifiche di protezione avanzata per CVE-2021-33764 Questo potrebbe causare questo problema quando si installano gli aggiornamenti rilasciati il 13 luglio 2021 o versioni successive in un controller di dominio. I dispositivi interessati sono stampanti per l'autenticazione delle smart card, scanner e dispositivi multifunzione che non supportano Diffie-Hellman (DH) per il cambio di chiave durante l'autenticazione Kerberos PKINIT o non annunciano il supporto per des-ede3-cbc ("triple DES") durante la richiesta Kerberos AS .
In base alla sezione 3.2.1 della specifica RFC 4556, per il funzionamento di questo scambio di chiavi, il client deve supportare e notificare al centro di distribuzione chiave (KDC) il supporto per des-ede3-cbc ("triple DES"). I client che avviano Kerberos PKINIT con scambio di chiavi in modalità di crittografia, ma non supportano né comunicano al KDC che supportano des-ede3-cbc ("triple DES"), verranno rifiutati.
Affinché i dispositivi client per stampanti e scanner siano conformi, devono:
-
Usare Diffie-Hellman per lo scambio di chiavi durante l'autenticazione Kerberos PKINIT (scelta preferita).
-
Oppure, entrambi supportano e notificano al KDC il supporto per des-ede3-cbc ("triple DES").
Passaggi successivi
Se si verifica questo problema con i dispositivi di stampa o di scansione, verifica di usare il firmware e i driver più recenti disponibili per il tuo dispositivo. Se il firmware e i driver sono aggiornati e il problema persiste, ti consigliamo di contattare il produttore del dispositivo. Chiedi se è necessaria una modifica della configurazione per rendere il dispositivo conforme alla modifica di protezione avanzata per CVE-2021-33764 o se verrà reso disponibile un aggiornamento conforme.
Se attualmente non è possibile rendere i dispositivi conformi alla sezione 3.2.1 della specifica RFC 4556 come richiesto per CVE-2021-33764, è ora disponibile una prevenzione temporanea mentre si collabora con il produttore del dispositivo di stampa o di scansione per rendere l'ambiente conforme alla sequenza temporale seguente.
Importante È necessario che i dispositivi non conformi siano aggiornati e conformi o sostituiti entro il 12 luglio 2022, quando la prevenzione temporanea non sarà utilizzabile negli aggiornamenti della sicurezza.
Avviso importante
Tutte le misure di prevenzione temporanee per questo scenario verranno rimosse a luglio 2022 e agosto 2022, a seconda della versione di Windows in uso (vedere la tabella seguente). Non ci saranno altre opzioni di fallback negli aggiornamenti successivi. Tutti i dispositivi non conformi devono essere identificati usando gli eventi di controllo a partire da gennaio 2022 e aggiornati o sostituiti dalla rimozione delle misure di prevenzione a partire dalla fine di luglio 2022.
Dopo luglio 2022, i dispositivi che non sono conformi alle specifiche RFC 4456 e CVE-2021-33764 non saranno utilizzabili con un dispositivo Windows aggiornato.
|
Data target |
Evento |
Si applica a |
|
13 luglio 2021 |
Aggiornamenti rilasciato con modifiche di protezione avanzata per CVE-2021-33764. Per tutti gli aggiornamenti successivi questa modifica della protezione avanzata è attivata per impostazione predefinita. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
27 luglio 2021 |
Aggiornamenti rilasciato con una prevenzione temporanea per risolvere i problemi di stampa e analisi nei dispositivi non conformi. Aggiornamenti rilasciato in questa data o in un secondo momento deve essere installato nel controller di dominio dell'utente e la prevenzione deve essere attivata tramite la chiave del Registro di sistema utilizzando la procedura seguente. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29 luglio 2021 |
Aggiornamenti rilasciato con una prevenzione temporanea per risolvere i problemi di stampa e analisi nei dispositivi non conformi. Aggiornamenti rilascio in questa data o versione successiva deve essere installato nel controller di dominio e la prevenzione deve essere attivata tramite chiave del Registro di sistema utilizzando la procedura seguente. |
Windows Server 2016 |
|
25 gennaio 2022 |
Aggiornamenti registrerà eventi di controllo nei controller di dominio di Active Directory che identificano stampanti compatibili CON RFC-4456 che non eseguono l'autenticazione dopo che i controller di dominio installano gli aggiornamenti di luglio 2022/agosto 2022 o successivi. |
Windows Server 2022 Windows Server 2019 |
|
8 febbraio 2022 |
Aggiornamenti registrerà eventi di controllo nei controller di dominio di Active Directory che identificano stampanti compatibili CON RFC-4456 che non eseguono l'autenticazione dopo che i controller di dominio installano gli aggiornamenti di luglio 2022/agosto 2022 o successivi. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21 luglio 2022 |
Versione di aggiornamento di anteprima facoltativa per rimuovere la prevenzione temporanea per richiedere la stampa e la scansione dei reclami nel tuo ambiente. |
Windows Server 2019 |
|
9 agosto 2022 |
Importante Rilascio dell'aggiornamento della sicurezza per rimuovere la mitigazione temporanea per richiedere la stampa di reclami e la scansione dei dispositivi nel tuo ambiente. Tutti gli aggiornamenti rilasciati in questo giorno o in un secondo momento non saranno in grado di usare la prevenzione temporanea. Le stampanti e gli scanner che e autenticano le smart card devono essere conformi alla sezione 3.2.1 della specifica RFC 4556 richiesta per CVE-2021-33764 dopo l'installazione di questi aggiornamenti o versioni successive nei controller di dominio Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Per usare la prevenzione temporanea nell'ambiente, seguire questa procedura in tutti i controller di dominio:
-
Nei controller di dominio impostare il valore del Registro di sistema di prevenzione temporanea elencato di seguito su 1 (abilita) tramite l'editor del Registro di sistema o gli strumenti di automazione disponibili nell'ambiente.
Nota Questo passaggio 1 può essere eseguito prima o dopo i passaggi 2 e 3.
-
Installa un aggiornamento che consente la prevenzione temporanea disponibile negli aggiornamenti rilasciati il 27 luglio 2021 o versione successiva (di seguito sono elencati i primi aggiornamenti per consentire la prevenzione temporanea):
-
Riavviare il controller di dominio.
Valore del Registro di sistema per la prevenzione temporanea:
Avviso Potrebbero verificarsi gravi problemi se si modifica il registro in modo errato utilizzando Registry Editor o un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la risoluzione di questi problemi. Qualsiasi modifica del Registro di sistema viene eseguita a rischio dell'utente.
|
Sottochiave del Registro di sistema |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Valore |
Allow3DesFallback |
|
Tipo di dati |
DWORD |
|
Dati |
1 – Abilita la prevenzione temporanea. 0 - Abilitare il comportamento predefinito, richiedendo ai dispositivi la conformità alla sezione 3.2.1 della specifica RFC 4556. |
|
È necessario riavviare il sistema? |
No |
La chiave del Registro di sistema precedente può essere creata e il valore e il set di dati utilizzando il comando seguente:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Eventi di controllo
L'aggiornamento di Windows del 25 gennaio 2022 e dell'8 febbraio 2022 aggiungerà anche nuovi ID evento per identificare i dispositivi interessati.
|
Registro eventi |
Sistema |
|
Tipo di evento |
Errore |
|
Origine evento |
Kdcsvc |
|
ID evento |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Testo evento |
Il client Kerberos non ha fornito un tipo di crittografia supportato per l'uso con il protocollo PKINIT tramite la modalità di crittografia.
|
|
Registro eventi |
Sistema |
|
Tipo di evento |
Attenzione |
|
Origine evento |
Kdcsvc |
|
ID evento |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Testo evento |
Client PKINIT Kerberos non in conformità autenticato a questo controller di dominio. L'autenticazione è stata consentita perché È stato impostato KDCGlobalAllowDesFallBack. In futuro, queste connessioni non riusciranno a eseguire l'autenticazione. Identificare il dispositivo e cercare di aggiornare l'implementazione Kerberos
|
Stato
Microsoft ha confermato che si tratta di un problema nei prodotti Microsoft elencati nella sezione "Si applica a".
