Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

증상

이러한 디바이스에서 PIV(스마트 카드) 인증을 사용하는 경우 인쇄 및 스캔이 실패할 수 있습니다. 

참고 PIV(스마트 카드) 인증을 사용할 때 영향을 받는 디바이스는 사용자 이름 및 암호 인증을 사용할 때 예상대로 작동해야 합니다.

원인

2021년 7월 13일, Microsoft CVE-2021-33764에 대한 강화 변경 내용을 릴리스했습니다. 이 문제는 2021년 7월 13일 또는 그 이후 버전이 DC(도메인 컨트롤러)에 릴리스된 업데이트를 설치할 때 발생할 수 있습니다.  영향을 받는 디바이스는 PKINIT Kerberos 인증 중에 키 교환에 대한 DH(Diffie-Hellman)를 지원하지 않거나 Kerberos AS 요청 중에 des-ede3-cbc("triple DES")에 대한 지원을 보급하지 않는 스마트 카드 인증 프린터, 스캐너 및 다기능 디바이스입니다.

RFC 4556 사양의 섹션 3.2.1에 따라 이 키 교환이 작동하려면 클라이언트가 des-ede3-cbc("triple DES")에 대한 지원을 KDC(키 배포 센터)에 지원하고 알려야 합니다. 암호화 모드에서 키 교환을 사용하여 Kerberos PKINIT를 시작하지만 des-ede3-cbc("triple DES")를 지원한다고 KDC에 알리거나 지원하지 않는 클라이언트는 거부됩니다.

프린터 및 스캐너 클라이언트 디바이스를 준수하려면 다음 중 하나를 수행해야 합니다.

  • PKINIT Kerberos 인증(기본 설정) 동안 키 교환에 Diffie-Hellman 사용합니다.

  • 또는 des-ede3-cbc("triple DES")에 대한 지원을 KDC에 지원하고 알립니다.

다음 단계

인쇄 또는 스캔 디바이스에서 이 문제가 발생하는 경우 장치에 사용할 수 있는 최신 펌웨어 및 드라이버를 사용하고 있는지 확인합니다. 펌웨어 및 드라이버가 최신 상태이고 이 문제가 계속 발생하는 경우 디바이스 제조업체에 문의하는 것이 좋습니다. CVE-2021-33764에 대한 강화 변경을 준수하도록 디바이스를 가져오는 데 구성 변경이 필요한지 또는 규격 업데이트를 사용할 수 있는지 여부를 묻습니다.

현재 CVE-2021-33764에 필요한 RFC 4556 사양의 섹션 3.2.1을 준수하도록 디바이스를 가져올 방법이 없는 경우, 인쇄 또는 스캔 디바이스 제조업체와 협력하여 환경이 아래 타임라인 내에서 준수되도록 하는 동안 임시 완화를 사용할 수 있습니다.

중요 보안 업데이트에서 임시 완화를 사용할 수 없는 경우 2022년 7월 12일까지 비규격 디바이스를 업데이트 및 준수하거나 교체해야 합니다.

중요 알림

이 시나리오에 대한 모든 임시 완화는 사용 중인 Windows 버전에 따라 2022년 7월과 2022년 8월에 제거됩니다(아래 표 참조). 이후 업데이트에서는 더 이상 대체 옵션이 없습니다. 모든 비규격 디바이스는 2022년 1월부터 감사 이벤트를 사용하여 식별되어야 하며 20227월 말부터 완화 제거로 업데이트되거나 대체되어야 합니다. 

2022년 7월 이후에는 RFC 4456 사양 및 CVE-2021-33764를 준수하지 않는 디바이스는 업데이트된 Windows 디바이스에서 사용할 수 없습니다.

목표 날짜

Event

적용 대상

2021년 7월 13일

업데이트 CVE-2021-33764에 대한 강화 변경 내용으로 릴리스되었습니다. 이후의 모든 업데이트에는 기본적으로 이 강화 변경 내용이 적용됩니다.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2021년 7월 27일

업데이트 비규격 디바이스의 인쇄 및 스캔 문제를 해결하기 위해 임시 완화와 함께 릴리스되었습니다. 이 날짜 이상에 릴리스된 업데이트 DC에 설치해야 하며 아래 단계를 사용하여 레지스트리 키를 통해 완화를 설정해야 합니다.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2021년 7월 29일

업데이트 비규격 디바이스의 인쇄 및 스캔 문제를 해결하기 위해 임시 완화와 함께 릴리스되었습니다. 이 날짜 이상의 업데이트 릴리스는 DC에 설치해야 하며 아래 단계를 사용하여 레지스트리 키를 통해 완화를 설정해야 합니다.

Windows Server 2016

2022년 1월 25일

업데이트 DC가 2022년 7월/2022년 8월 이상 업데이트를 설치한 후 인증에 실패하는 RFC-4456 호환되지 않는 프린터인 프린터를 식별하는 Active Directory 도메인 컨트롤러에 감사 이벤트를 기록합니다.

Windows Server 2022

Windows Server 2019

2022년 2월 8일

업데이트 DC가 2022년 7월/2022년 8월 이상 업데이트를 설치한 후 인증에 실패하는 RFC-4456 호환되지 않는 프린터인 프린터를 식별하는 Active Directory 도메인 컨트롤러에 감사 이벤트를 기록합니다.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2022년 7월 21일

사용자 환경에서 불만 인쇄 및 스캔 디바이스를 요구하기 위한 임시 완화를 제거하기 위한 선택적 미리 보기 업데이트 릴리스입니다.

Windows Server 2019

2022년 8월 9일

중요 사용자 환경에서 불만 인쇄 및 스캔 디바이스를 요구하기 위한 임시 완화를 제거하기 위한 보안 업데이트 릴리스입니다.

이 날짜 이상에 릴리스된 모든 업데이트는 임시 완화를 사용할 수 없습니다.

Smartcard 인증 프린터 및 스캐너는 Active Directory 도메인 컨트롤러에 이러한 업데이트를 설치한 후 CVE-2021-33764에 필요한 RFC 4556 사양의 섹션 3.2.1을 준수해야 합니다.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

사용자 환경에서 임시 완화를 사용하려면 모든 도메인 컨트롤러에서 다음 단계를 수행합니다.

  1. 도메인 컨트롤러에서 레지스트리 편집기 또는 사용자 환경에서 사용할 수 있는 자동화 도구를 사용하여 아래에 나열된 임시 완화 레지스트리 값을 1(사용)으로 설정합니다.

    참고 이 1단계는 2단계와 3단계 전후에 수행할 수 있습니다.

  2. 2021년 7월 27일 이상 릴리스된 업데이트에서 사용할 수 있는 임시 완화를 허용하는 업데이트를 설치합니다(다음은 임시 완화를 허용하는 첫 번째 업데이트).

  3. 도메인 컨트롤러를 다시 시작합니다.

임시 완화를 위한 레지스트리 값:

경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제를 해결하려면 운영 체제를 다시 설치해야 할 수 있습니다. Microsoft 이러한 문제를 해결할 수 있다고 보장할 수 없습니다. 레지스트리를 수정하는 데 따르는 위험은 사용자가 부담해야 합니다.

레지스트리 하위 키

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Allow3DesFallback

데이터 형식

DWORD

데이터

1 – 임시 완화를 사용하도록 설정합니다.

0 – 기본 동작을 사용하도록 설정하여 디바이스가 RFC 4556 사양의 섹션 3.2.1을 준수하도록 요구합니다.

다시 시작해야 하나요?

아니요

위의 레지스트리 키를 만들 수 있으며 다음 명령을 사용하여 값 및 데이터 세트를 만들 수 있습니다.

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

이벤트 감사

또한 2022년 1월 25일 및 2022년 2월 8일 Windows 업데이트는 영향을 받는 디바이스를 식별하는 데 도움이 되는 새 이벤트 ID를 추가합니다.

이벤트 로그

시스템

이벤트 형식

Error

이벤트 소스

Kdcsvc

이벤트 ID

307

39(Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

이벤트 텍스트

Kerberos 클라이언트는 암호화 모드를 사용하여 PKINIT 프로토콜에 사용할 수 있는 지원되는 암호화 유형을 제공하지 않았습니다.

  • 클라이언트 계정 이름: <도메인 이름>\<클라이언트 이름>

  • 클라이언트 IP 주소: IPv4/IPv6

  • 클라이언트 제공 NetBIOS 이름: %3

이벤트 로그

시스템

이벤트 형식

경고

이벤트 소스

Kdcsvc

이벤트 ID

308

40(Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

이벤트 텍스트

이 DC에 인증된 비정형 PKINIT Kerberos 클라이언트입니다. KDCGlobalAllowDesFallBack이 설정되었기 때문에 인증이 허용되었습니다. 나중에 이러한 연결은 인증에 실패합니다. 디바이스를 식별하고 Kerberos 구현을 업그레이드합니다.

  • 클라이언트 계정 이름: <도메인 이름>\<클라이언트 이름>

  • 클라이언트 IP 주소: IPv4/IPv6

  • 클라이언트 제공 NetBIOS 이름: %3

상태

Microsoft는 "적용 대상" 절에 나열한 Microsoft 제품에서 이 문제를 확인했습니다.

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.