증상
이러한 디바이스에서 PIV(스마트 카드) 인증을 사용하는 경우 인쇄 및 스캔이 실패할 수 있습니다.
참고 PIV(스마트 카드) 인증을 사용할 때 영향을 받는 디바이스는 사용자 이름 및 암호 인증을 사용할 때 예상대로 작동해야 합니다.
원인
2021년 7월 13일, Microsoft CVE-2021-33764에 대한 강화 변경 내용을 릴리스했습니다. 이 문제는 2021년 7월 13일 또는 그 이후 버전이 DC(도메인 컨트롤러)에 릴리스된 업데이트를 설치할 때 발생할 수 있습니다. 영향을 받는 디바이스는 PKINIT Kerberos 인증 중에 키 교환에 대한 DH(Diffie-Hellman)를 지원하지 않거나 Kerberos AS 요청 중에 des-ede3-cbc("triple DES")에 대한 지원을 보급하지 않는 스마트 카드 인증 프린터, 스캐너 및 다기능 디바이스입니다.
RFC 4556 사양의 섹션 3.2.1에 따라 이 키 교환이 작동하려면 클라이언트가 des-ede3-cbc("triple DES")에 대한 지원을 KDC(키 배포 센터)에 지원하고 알려야 합니다. 암호화 모드에서 키 교환을 사용하여 Kerberos PKINIT를 시작하지만 des-ede3-cbc("triple DES")를 지원한다고 KDC에 알리거나 지원하지 않는 클라이언트는 거부됩니다.
프린터 및 스캐너 클라이언트 디바이스를 준수하려면 다음 중 하나를 수행해야 합니다.
-
PKINIT Kerberos 인증(기본 설정) 동안 키 교환에 Diffie-Hellman 사용합니다.
-
또는 des-ede3-cbc("triple DES")에 대한 지원을 KDC에 지원하고 알립니다.
다음 단계
인쇄 또는 스캔 디바이스에서 이 문제가 발생하는 경우 장치에 사용할 수 있는 최신 펌웨어 및 드라이버를 사용하고 있는지 확인합니다. 펌웨어 및 드라이버가 최신 상태이고 이 문제가 계속 발생하는 경우 디바이스 제조업체에 문의하는 것이 좋습니다. CVE-2021-33764에 대한 강화 변경을 준수하도록 디바이스를 가져오는 데 구성 변경이 필요한지 또는 규격 업데이트를 사용할 수 있는지 여부를 묻습니다.
현재 CVE-2021-33764에 필요한 RFC 4556 사양의 섹션 3.2.1을 준수하도록 디바이스를 가져올 방법이 없는 경우, 인쇄 또는 스캔 디바이스 제조업체와 협력하여 환경이 아래 타임라인 내에서 준수되도록 하는 동안 임시 완화를 사용할 수 있습니다.
중요 보안 업데이트에서 임시 완화를 사용할 수 없는 경우 2022년 7월 12일까지 비규격 디바이스를 업데이트 및 준수하거나 교체해야 합니다.
중요 알림
이 시나리오에 대한 모든 임시 완화는 사용 중인 Windows 버전에 따라 2022년 7월과 2022년 8월에 제거됩니다(아래 표 참조). 이후 업데이트에서는 더 이상 대체 옵션이 없습니다. 모든 비규격 디바이스는 2022년 1월부터 감사 이벤트를 사용하여 식별되어야 하며 2022년 7월 말부터 완화 제거로 업데이트되거나 대체되어야 합니다.
2022년 7월 이후에는 RFC 4456 사양 및 CVE-2021-33764를 준수하지 않는 디바이스는 업데이트된 Windows 디바이스에서 사용할 수 없습니다.
|
목표 날짜 |
Event |
적용 대상 |
|
2021년 7월 13일 |
업데이트 CVE-2021-33764에 대한 강화 변경 내용으로 릴리스되었습니다. 이후의 모든 업데이트에는 기본적으로 이 강화 변경 내용이 적용됩니다. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
2021년 7월 27일 |
업데이트 비규격 디바이스의 인쇄 및 스캔 문제를 해결하기 위해 임시 완화와 함께 릴리스되었습니다. 이 날짜 이상에 릴리스된 업데이트 DC에 설치해야 하며 아래 단계를 사용하여 레지스트리 키를 통해 완화를 설정해야 합니다. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
2021년 7월 29일 |
업데이트 비규격 디바이스의 인쇄 및 스캔 문제를 해결하기 위해 임시 완화와 함께 릴리스되었습니다. 이 날짜 이상의 업데이트 릴리스는 DC에 설치해야 하며 아래 단계를 사용하여 레지스트리 키를 통해 완화를 설정해야 합니다. |
Windows Server 2016 |
|
2022년 1월 25일 |
업데이트 DC가 2022년 7월/2022년 8월 이상 업데이트를 설치한 후 인증에 실패하는 RFC-4456 호환되지 않는 프린터인 프린터를 식별하는 Active Directory 도메인 컨트롤러에 감사 이벤트를 기록합니다. |
Windows Server 2022 Windows Server 2019 |
|
2022년 2월 8일 |
업데이트 DC가 2022년 7월/2022년 8월 이상 업데이트를 설치한 후 인증에 실패하는 RFC-4456 호환되지 않는 프린터인 프린터를 식별하는 Active Directory 도메인 컨트롤러에 감사 이벤트를 기록합니다. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
2022년 7월 21일 |
사용자 환경에서 불만 인쇄 및 스캔 디바이스를 요구하기 위한 임시 완화를 제거하기 위한 선택적 미리 보기 업데이트 릴리스입니다. |
Windows Server 2019 |
|
2022년 8월 9일 |
중요 사용자 환경에서 불만 인쇄 및 스캔 디바이스를 요구하기 위한 임시 완화를 제거하기 위한 보안 업데이트 릴리스입니다. 이 날짜 이상에 릴리스된 모든 업데이트는 임시 완화를 사용할 수 없습니다. Smartcard 인증 프린터 및 스캐너는 Active Directory 도메인 컨트롤러에 이러한 업데이트를 설치한 후 CVE-2021-33764에 필요한 RFC 4556 사양의 섹션 3.2.1을 준수해야 합니다. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
사용자 환경에서 임시 완화를 사용하려면 모든 도메인 컨트롤러에서 다음 단계를 수행합니다.
-
도메인 컨트롤러에서 레지스트리 편집기 또는 사용자 환경에서 사용할 수 있는 자동화 도구를 사용하여 아래에 나열된 임시 완화 레지스트리 값을 1(사용)으로 설정합니다.
참고 이 1단계는 2단계와 3단계 전후에 수행할 수 있습니다.
-
2021년 7월 27일 이상 릴리스된 업데이트에서 사용할 수 있는 임시 완화를 허용하는 업데이트를 설치합니다(다음은 임시 완화를 허용하는 첫 번째 업데이트).
-
도메인 컨트롤러를 다시 시작합니다.
임시 완화를 위한 레지스트리 값:
경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제를 해결하려면 운영 체제를 다시 설치해야 할 수 있습니다. Microsoft 이러한 문제를 해결할 수 있다고 보장할 수 없습니다. 레지스트리를 수정하는 데 따르는 위험은 사용자가 부담해야 합니다.
|
레지스트리 하위 키 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
값 |
Allow3DesFallback |
|
데이터 형식 |
DWORD |
|
데이터 |
1 – 임시 완화를 사용하도록 설정합니다. 0 – 기본 동작을 사용하도록 설정하여 디바이스가 RFC 4556 사양의 섹션 3.2.1을 준수하도록 요구합니다. |
|
다시 시작해야 하나요? |
아니요 |
위의 레지스트리 키를 만들 수 있으며 다음 명령을 사용하여 값 및 데이터 세트를 만들 수 있습니다.
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
이벤트 감사
또한 2022년 1월 25일 및 2022년 2월 8일 Windows 업데이트는 영향을 받는 디바이스를 식별하는 데 도움이 되는 새 이벤트 ID를 추가합니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
Error |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
307 39(Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
이벤트 텍스트 |
Kerberos 클라이언트는 암호화 모드를 사용하여 PKINIT 프로토콜에 사용할 수 있는 지원되는 암호화 유형을 제공하지 않았습니다.
|
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kdcsvc |
|
이벤트 ID |
308 40(Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
이벤트 텍스트 |
이 DC에 인증된 비정형 PKINIT Kerberos 클라이언트입니다. KDCGlobalAllowDesFallBack이 설정되었기 때문에 인증이 허용되었습니다. 나중에 이러한 연결은 인증에 실패합니다. 디바이스를 식별하고 Kerberos 구현을 업그레이드합니다.
|
상태
Microsoft는 "적용 대상" 절에 나열한 Microsoft 제품에서 이 문제를 확인했습니다.
