Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Sintomi

La stampa e l'analisi potrebbero non riuscire quando questi dispositivi usano l'autenticazione con smart card (PIV). 

Nota I dispositivi interessati dall'uso dell'autenticazione con smart card (PIV) dovrebbero funzionare come previsto quando si usa l'autenticazione con nome utente e password.

Causa

Il 13 luglio 2021 Microsoft rilasciato modifiche di protezione avanzata per CVE-2021-33764 Questo potrebbe causare questo problema quando si installano gli aggiornamenti rilasciati il 13 luglio 2021 o versioni successive in un controller di dominio.  I dispositivi interessati sono stampanti per l'autenticazione delle smart card, scanner e dispositivi multifunzione che non supportano Diffie-Hellman (DH) per il cambio di chiave durante l'autenticazione Kerberos PKINIT o non annunciano il supporto per des-ede3-cbc ("triple DES") durante la richiesta Kerberos AS .

In base alla sezione 3.2.1 della specifica RFC 4556, per il funzionamento di questo scambio di chiavi, il client deve supportare e notificare al centro di distribuzione chiave (KDC) il supporto per des-ede3-cbc ("triple DES"). I client che avviano Kerberos PKINIT con scambio di chiavi in modalità di crittografia, ma non supportano né comunicano al KDC che supportano des-ede3-cbc ("triple DES"), verranno rifiutati.

Affinché i dispositivi client per stampanti e scanner siano conformi, devono:

  • Usare Diffie-Hellman per lo scambio di chiavi durante l'autenticazione Kerberos PKINIT (scelta preferita).

  • Oppure, entrambi supportano e notificano al KDC il supporto per des-ede3-cbc ("triple DES").

Passaggi successivi

Se si verifica questo problema con i dispositivi di stampa o di scansione, verifica di usare il firmware e i driver più recenti disponibili per il tuo dispositivo. Se il firmware e i driver sono aggiornati e il problema persiste, ti consigliamo di contattare il produttore del dispositivo. Chiedi se è necessaria una modifica della configurazione per rendere il dispositivo conforme alla modifica di protezione avanzata per CVE-2021-33764 o se verrà reso disponibile un aggiornamento conforme.

Se attualmente non è possibile rendere i dispositivi conformi alla sezione 3.2.1 della specifica RFC 4556 come richiesto per CVE-2021-33764, è ora disponibile una prevenzione temporanea mentre si collabora con il produttore del dispositivo di stampa o di scansione per rendere l'ambiente conforme alla sequenza temporale seguente.

Importante È necessario che i dispositivi non conformi siano aggiornati e conformi o sostituiti entro il 12 luglio 2022, quando la prevenzione temporanea non sarà utilizzabile negli aggiornamenti della sicurezza.

Avviso importante

Tutte le misure di prevenzione temporanee per questo scenario verranno rimosse a luglio 2022 e agosto 2022, a seconda della versione di Windows in uso (vedere la tabella seguente). Non ci saranno altre opzioni di fallback negli aggiornamenti successivi. Tutti i dispositivi non conformi devono essere identificati usando gli eventi di controllo a partire da gennaio 2022 e aggiornati o sostituiti dalla rimozione delle misure di prevenzione a partire dalla fine di luglio 2022. 

Dopo luglio 2022, i dispositivi che non sono conformi alle specifiche RFC 4456 e CVE-2021-33764 non saranno utilizzabili con un dispositivo Windows aggiornato.

Data target

Evento

Si applica a

13 luglio 2021

Aggiornamenti rilasciato con modifiche di protezione avanzata per CVE-2021-33764. Per tutti gli aggiornamenti successivi questa modifica della protezione avanzata è attivata per impostazione predefinita.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

27 luglio 2021

Aggiornamenti rilasciato con una prevenzione temporanea per risolvere i problemi di stampa e analisi nei dispositivi non conformi. Aggiornamenti rilasciato in questa data o in un secondo momento deve essere installato nel controller di dominio dell'utente e la prevenzione deve essere attivata tramite la chiave del Registro di sistema utilizzando la procedura seguente.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

29 luglio 2021

Aggiornamenti rilasciato con una prevenzione temporanea per risolvere i problemi di stampa e analisi nei dispositivi non conformi. Aggiornamenti rilascio in questa data o versione successiva deve essere installato nel controller di dominio e la prevenzione deve essere attivata tramite chiave del Registro di sistema utilizzando la procedura seguente.

Windows Server 2016

25 gennaio 2022

Aggiornamenti registrerà eventi di controllo nei controller di dominio di Active Directory che identificano stampanti compatibili CON RFC-4456 che non eseguono l'autenticazione dopo che i controller di dominio installano gli aggiornamenti di luglio 2022/agosto 2022 o successivi.

Windows Server 2022

Windows Server 2019

8 febbraio 2022

Aggiornamenti registrerà eventi di controllo nei controller di dominio di Active Directory che identificano stampanti compatibili CON RFC-4456 che non eseguono l'autenticazione dopo che i controller di dominio installano gli aggiornamenti di luglio 2022/agosto 2022 o successivi.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

21 luglio 2022

Versione di aggiornamento di anteprima facoltativa per rimuovere la prevenzione temporanea per richiedere la stampa e la scansione dei reclami nel tuo ambiente.

Windows Server 2019

9 agosto 2022

Importante Rilascio dell'aggiornamento della sicurezza per rimuovere la mitigazione temporanea per richiedere la stampa di reclami e la scansione dei dispositivi nel tuo ambiente.

Tutti gli aggiornamenti rilasciati in questo giorno o in un secondo momento non saranno in grado di usare la prevenzione temporanea.

Le stampanti e gli scanner che e autenticano le smart card devono essere conformi alla sezione 3.2.1 della specifica RFC 4556 richiesta per CVE-2021-33764 dopo l'installazione di questi aggiornamenti o versioni successive nei controller di dominio Active Directory

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

Per usare la prevenzione temporanea nell'ambiente, seguire questa procedura in tutti i controller di dominio:

  1. Nei controller di dominio impostare il valore del Registro di sistema di prevenzione temporanea elencato di seguito su 1 (abilita) tramite l'editor del Registro di sistema o gli strumenti di automazione disponibili nell'ambiente.

    Nota Questo passaggio 1 può essere eseguito prima o dopo i passaggi 2 e 3.

  2. Installa un aggiornamento che consente la prevenzione temporanea disponibile negli aggiornamenti rilasciati il 27 luglio 2021 o versione successiva (di seguito sono elencati i primi aggiornamenti per consentire la prevenzione temporanea):

  3. Riavviare il controller di dominio.

Valore del Registro di sistema per la prevenzione temporanea:

Avviso Potrebbero verificarsi gravi problemi se si modifica il registro in modo errato utilizzando Registry Editor o un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la risoluzione di questi problemi. Qualsiasi modifica del Registro di sistema viene eseguita a rischio dell'utente.

Sottochiave del Registro di sistema

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Valore

Allow3DesFallback

Tipo di dati

DWORD

Dati

1 – Abilita la prevenzione temporanea.

0 - Abilitare il comportamento predefinito, richiedendo ai dispositivi la conformità alla sezione 3.2.1 della specifica RFC 4556.

È necessario riavviare il sistema?

No

La chiave del Registro di sistema precedente può essere creata e il valore e il set di dati utilizzando il comando seguente:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Eventi di controllo

L'aggiornamento di Windows del 25 gennaio 2022 e dell'8 febbraio 2022 aggiungerà anche nuovi ID evento per identificare i dispositivi interessati.

Registro eventi

Sistema

Tipo di evento

Errore

Origine evento

Kdcsvc

ID evento

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Testo evento

Il client Kerberos non ha fornito un tipo di crittografia supportato per l'uso con il protocollo PKINIT tramite la modalità di crittografia.

  • Nome entità client: <nome di dominio>\<nome client>

  • Indirizzo IP client: IPv4/IPv6

  • Nome NetBIOS fornito dal client: %3

Registro eventi

Sistema

Tipo di evento

Attenzione

Origine evento

Kdcsvc

ID evento

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Testo evento

Client PKINIT Kerberos non in conformità autenticato a questo controller di dominio. L'autenticazione è stata consentita perché È stato impostato KDCGlobalAllowDesFallBack. In futuro, queste connessioni non riusciranno a eseguire l'autenticazione. Identificare il dispositivo e cercare di aggiornare l'implementazione Kerberos

  • Nome entità client: <nome di dominio>\<nome client>

  • Indirizzo IP client: IPv4/IPv6

  • Nome NetBIOS fornito dal client: %3

Stato

Microsoft ha confermato che si tratta di un problema nei prodotti Microsoft elencati nella sezione "Si applica a".

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.