現象
これらのデバイスでスマート カード (PIV) 認証を使用すると、印刷とスキャンが失敗する可能性があります。
注 スマート カード (PIV) 認証を使用する場合に影響を受けるデバイスは、ユーザー名とパスワード認証を使用するときに想定どおりに動作する必要があります。
原因
2021 年 7 月 13 日Microsoft CVE-2021-33764 のセキュリティ強化の変更がリリースされました。ドメイン コントローラー (DC) に 2021 年 7 月 13 日以降にリリースされた更新プログラムをインストールすると、この問題が発生する可能性があります。 影響を受けるデバイスは、スマート カード認証プリンター、スキャナー、多機能デバイスであり、PKINIT Kerberos 認証中にキー交換にDiffie-Hellman (DH) をサポートしないか、Kerberos AS 要求中に des-ede3-cbc ("triple DES") のサポートをアドバタイズしません。
RFC 4556 仕様のセクション 3.2.1 に従って、このキー交換を機能させるには、クライアントが des-ede3-cbc ("triple DES") のサポートをサポートし、キー配布センター (KDC) に通知する必要があります。 暗号化モードでキー交換を使用して Kerberos PKINIT を開始するが、des-ede3-cbc ("triple DES") をサポートしていることを KDC に通知しないクライアントは拒否されます。
プリンターとスキャナーのクライアント デバイスが準拠するには、次のいずれかを行う必要があります。
-
PKINIT Kerberos 認証中にキー交換にDiffie-Hellmanを使用します (推奨)。
-
または、des-ede3-cbc ("triple DES") のサポートをサポートし、KDC に通知します。
次の手順
印刷またはスキャンデバイスでこの問題が発生した場合は、デバイスで利用可能な最新のファームウェアとドライバーを使用していることを確認します。 ファームウェアとドライバーが最新の状態で、引き続きこの問題が発生する場合は、デバイスの製造元にお問い合わせください。 CVE-2021-33764 のセキュリティ強化の変更にデバイスを準拠させるために構成の変更が必要かどうか、または準拠している更新プログラムが利用可能になるかどうかを確認します。
CVE-2021-33764 に必要な RFC 4556 仕様のセクション 3.2.1 にデバイスを準拠させる方法が現在ない場合は、印刷またはスキャンデバイスの製造元と協力して、以下のタイムライン内で環境をコンプライアンスに移行する一時的な軽減策を利用できるようになりました。
重要 一時的な軽減策がセキュリティ更新プログラムで使用できない場合は、非準拠デバイスを 2022 年 7 月 12 日に更新し、準拠または置き換える必要があります。
重要なお知らせ
このシナリオのすべての一時的な軽減策は、使用している Windows のバージョンに応じて、2022 年 7 月と 2022 年 8 月に削除されます (下の表を参照)。 以降の更新では、それ以上のフォールバック オプションはありません。 すべての非準拠デバイスは、2022 年 1 月以降の監査イベントを使用して識別し、2022 年 7 月下旬から軽減策の削除に更新または置き換える必要があります。
2022 年 7 月以降、RFC 4456 仕様と CVE-2021-33764 に準拠していないデバイスは、更新された Windows デバイスでは使用できなくなります。
目標日 |
Event |
適用対象 |
2021 年 7 月 13 日 |
更新 CVE-2021-33764 のセキュリティ強化の変更がリリースされました。 以降のすべての更新プログラムでは、このセキュリティ強化の変更が既定でオンになっています。 |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2021 年 7 月 27 日 |
更新非準拠デバイスでの印刷とスキャンの問題に対処するための一時的な軽減策がリリースされました。 この日付以降にリリースされた更新は DC にインストールする必要があり、次の手順を使用してレジストリ キーを使用して軽減策を有効にする必要があります。 |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2021 年 7 月 29 日 |
更新非準拠デバイスでの印刷とスキャンの問題に対処するための一時的な軽減策がリリースされました。 この日付以降のリリース更新 DC にインストールする必要があり、次の手順を使用してレジストリ キーを使用して軽減策を有効にする必要があります。 |
Windows Server 2016 |
2022 年 1 月 25 日 |
更新は、DC が 2022 年 7 月/2022 年 8 月以降の更新プログラムをインストールした後に認証に失敗する RFC-4456 互換性のないプリンターを識別する Active Directory ドメイン コントローラーの監査イベントをログに記録します。 |
Windows Server 2022 Windows Server 2019 |
2022 年 2 月 8 日 |
更新は、DC が 2022 年 7 月/2022 年 8 月以降の更新プログラムをインストールした後に認証に失敗する RFC-4456 互換性のないプリンターを識別する Active Directory ドメイン コントローラーの監査イベントをログに記録します。 |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2022 年 7 月 21 日 |
環境内のデバイスの苦情の印刷とスキャンを必要とする一時的な軽減策を削除するためのオプションのプレビュー更新プログラム リリース。 |
Windows Server 2019 |
2022 年 8 月 9 日 |
重要 環境内のデバイスの苦情の印刷とスキャンを必要とする一時的な軽減策を削除するためのセキュリティ更新プログラムのリリース。 この日以降にリリースされたすべての更新プログラムは、一時的な軽減策を使用できません。 スマートカード認証プリンターとスキャナーは、これらの更新プログラムを Active Directory ドメイン コントローラーにインストールした後、CVE-2021-33764 に必要な RFC 4556 仕様のセクション 3.2.1 に準拠している必要があります |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
環境内で一時的な軽減策を使用するには、すべてのドメイン コントローラーで次の手順を実行します。
-
ドメイン コントローラーで、レジストリ エディターまたは環境内で使用できる自動化ツールを使用して、以下に示す一時的な軽減策レジストリ値を 1 (有効) に設定します。
注 この手順 1 は、手順 2 と 3 の前後で実行できます。
-
2021 年 7 月 27 日以降にリリースされた更新プログラムで利用可能な一時的な軽減策を可能にする更新プログラムをインストールします (一時的な軽減策を可能にする最初の更新プログラムを以下に示します)。
-
ドメイン コントローラーを再起動します。
一時的な軽減策のレジストリ値:
警告: レジストリ エディターまたは別の方法でレジストリを誤って変更すると、重大な問題が発生することがあります。 その場合、オペレーティング システムの再インストールが必要になる可能性があります。 最悪の場合、オペレーティング システムの再インストールが必要になることがあります。 マイクロソフトは、このような問題の解決に関して、一切責任を負わないものとします。 レジストリの変更はユーザー自身の責任において行ってください。
レジストリ サブキー |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
値 |
Allow3DesFallback |
データの種類 |
DWORD |
データ |
1 – 一時的な軽減策を有効にします。 0 – 既定の動作を有効にします。デバイスは RFC 4556 仕様のセクション 3.2.1 に準拠している必要があります。 |
再起動が必要ですか? |
X |
上記のレジストリ キーを作成し、次のコマンドを使用して値とデータセットを作成できます。
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
イベントの監査
2022 年 1 月 25 日と 2022 年 2 月 8 日の Windows 更新プログラムでは、影響を受けるデバイスを識別するのに役立つ新しいイベント ID も追加されます。
Event Log |
System |
イベント タイプ |
Error |
イベント ソース |
Kdcsvc |
イベント ID |
307 39 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2) |
イベント テキスト |
Kerberos クライアントは、暗号化モードを使用する PKINIT プロトコルで使用するためにサポートされている暗号化の種類を提供しませんでした。
|
Event Log |
System |
イベント タイプ |
警告 |
イベント ソース |
Kdcsvc |
イベント ID |
308 40 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2) |
イベント テキスト |
この DC に対して認証された不適合の PKINIT Kerberos クライアント。 KDCGlobalAllowDesFallBack が設定されたため、認証が許可されました。 今後、これらの接続は認証に失敗します。 デバイスを特定し、Kerberos 実装をアップグレードする
|
ステータス
マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。