Symptomer
Utskrift og skanning kan mislykkes når disse enhetene bruker smartkortgodkjenning (PIV).
Obs! Enheter som påvirkes når du bruker smartkortgodkjenning (PIV), skal fungere som forventet når du bruker brukernavn og passordgodkjenning.
Årsak
13. juli 2021 Microsoft utgitt herdingsendringer for CVE-2021-33764 Dette kan føre til dette problemet når du installerer oppdateringer utgitt 13. juli 2021 eller nyere versjoner på en domenekontroller (DC). De berørte enhetene er smartkort som godkjenner skrivere, skannere og enheter med flere funksjoner som ikke støtter enten Diffie-Hellman (DH) for nøkkelutveksling under PKINIT Kerberos-godkjenning eller ikke annonserer støtte for des-ede3-cbc ("triple DES") under Kerberos AS-forespørselen .
I henhold til avsnitt 3.2.1 i RFC 4556-spesifikasjonen, for at denne nøkkelutvekslingen skal fungere, må klienten både støtte og varsle nøkkeldistribusjonssenteret (KDC) om deres støtte for des-ede3-cbc ("triple DES"). Klienter som starter Kerberos PKINIT med nøkkelutveksling i krypteringsmodus, men verken støtter eller forteller KDC at de støtter des-ede3-cbc ("triple DES"), vil bli avvist.
For at skriver- og skannerklientenheter skal være kompatible, må de enten:
-
Bruk Diffie-Hellman for nøkkelutveksling under PKINIT Kerberos-godkjenning (foretrukket).
-
Eller både støtte og varsle KDC om deres støtte for des-ede3-cbc ("triple DES").
Neste trinn
Hvis du støter på dette problemet med utskrifts- eller skanneenhetene, må du kontrollere at du bruker den nyeste fastvaren og driverne som er tilgjengelige for enheten. Hvis fastvaren og driverne er oppdatert og du fremdeles støter på dette problemet, anbefaler vi at du kontakter enhetsprodusenten. Spør om en konfigurasjonsendring er nødvendig for å få enheten i samsvar med den harde endringen for CVE-2021-33764 , eller om en kompatibel oppdatering blir gjort tilgjengelig.
Hvis det for øyeblikket ikke er mulig å få enhetene i samsvar med avsnitt 3.2.1 i RFC 4556-spesifikasjonen som kreves for CVE-2021-33764, er en midlertidig begrensning nå tilgjengelig mens du arbeider med produsenten av utskrifts- eller skanneenheten for å få miljøet i samsvar innenfor tidslinjen nedenfor.
Viktig! Du må ha de ikke-kompatible enhetene oppdatert og kompatible eller erstattet med 12. juli 2022, når den midlertidige reduksjonen ikke kan brukes i sikkerhetsoppdateringer.
Viktig merknad
Alle midlertidige begrensninger for dette scenarioet vil bli fjernet i juli 2022 og august 2022, avhengig av hvilken versjon av Windows du bruker (se tabellen nedenfor). Det vil ikke være noe ytterligere tilbakefallsalternativ i senere oppdateringer. Alle ikke-kompatible enheter må identifiseres ved hjelp av overvåkingshendelsene fra og med januar 2022 og oppdateres eller erstattes av fjerning av begrensninger fra slutten av juli 2022.
Etter juli 2022 vil enheter som ikke samsvarer med RFC 4456-spesifikasjonen og CVE-2021-33764, ikke kunne brukes med en oppdatert Windows-enhet.
Måldato |
Hendelse |
Gjelder for |
13. juli 2021 |
Oppdateringer utgitt med herding endringer for CVE-2021-33764. Alle senere oppdateringer har denne herdingsendringen aktivert som standard. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
27. juli 2021 kl. |
Oppdateringer utgitt med midlertidig begrensning for å løse utskrifts- og skanneproblemer på ikke-kompatible enheter. Oppdateringer utgitt på denne datoen eller senere, må være installert på DC, og begrensningen må aktiveres via registernøkkelen ved hjelp av fremgangsmåten nedenfor. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
29. juli 2021 kl. |
Oppdateringer utgitt med midlertidig begrensning for å løse utskrifts- og skanneproblemer på ikke-kompatible enheter. Oppdateringer utgivelse på denne datoen eller senere må være installert på DC, og begrensningen må aktiveres via registernøkkelen ved hjelp av fremgangsmåten nedenfor. |
Windows Server 2016 |
25. januar 2022 kl. |
Oppdateringer logger overvåkingshendelser på Active Directory-domenekontrollere som identifiserer skrivere som er RFC-4456-inkompatible skrivere som ikke kan godkjennes når DCer installerer oppdateringene for juli 2022/august 2022 eller senere. |
Windows Server 2022 Windows Server 2019 |
8. februar 2022 kl. |
Oppdateringer logger overvåkingshendelser på Active Directory-domenekontrollere som identifiserer skrivere som er RFC-4456-inkompatible skrivere som ikke kan godkjennes når DCer installerer oppdateringene for juli 2022/august 2022 eller senere. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
21. juli 2022 kl. |
Valgfri utgivelse av forhåndsvisningsoppdatering for å fjerne midlertidige begrensninger for å kreve klageutskrift og skanning av enheter i miljøet ditt. |
Windows Server 2019 |
9. august 2022 kl. |
Viktig! Sikkerhetsoppdateringsutgivelse for å fjerne midlertidige begrensninger for å kreve klageutskrift og -skanning av enheter i miljøet ditt. Alle oppdateringer som utgis på denne dagen eller senere, kan ikke bruke den midlertidige begrensningen. Smartkort-autentiserende skrivere og skannere må være kompatible med avsnitt 3.2.1 i RFC 4556-spesifikasjonen som kreves for CVE-2021-33764 etter installasjon av disse oppdateringene eller nyere på Active Directory-domenekontrollere |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Hvis du vil bruke den midlertidige begrensningen i miljøet, følger du disse trinnene på alle domenekontrollere:
-
På domenekontrollerne angir du registerverdien for midlertidig begrensning som er oppført nedenfor, til 1 (aktiver) ved hjelp av Registerredigering eller automatiseringsverktøyene som er tilgjengelige i miljøet ditt.
Obs! Dette trinnet 1 kan gjøres før eller etter trinn 2 og 3.
-
Installer en oppdatering som tillater midlertidig avløsning tilgjengelig i oppdateringer utgitt 27. juli 2021 eller nyere (nedenfor er de første oppdateringene som tillater midlertidig reduksjon):
-
Start domenekontrolleren på nytt.
Registerverdi for midlertidig avløsning:
Advarsel! Det kan oppstå alvorlige problemer hvis du endrer registeret feil ved å bruke Registerredigering eller en annen metode. Disse problemene kan kreve at du installerer operativsystemet på nytt. Microsoft kan ikke garantere at disse problemene kan løses. Endre registeret på egen risiko.
Registerundernøkkel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Verdi |
Allow3DesFallback |
Datatype |
DWORD |
Data |
1 – Aktiver midlertidig reduksjon. 0 – Aktiver standard virkemåte, noe som krever at enhetene samsvarer med avsnitt 3.2.1 i RFC 4556-spesifikasjonen. |
Kreves omstart? |
Nei |
Registernøkkelen ovenfor kan opprettes, og verdien og datasettet ved hjelp av følgende kommando:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Overvåkingshendelser
Windows-oppdateringen 25. januar 2022 og 8. februar 2022 legger også til nye hendelses-ID-er for å identifisere berørte enheter.
Hendelseslogg |
System |
Hendelsestype |
Feil |
Hendelseskilde |
Kdcsvc |
Hendelses-ID |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Hendelsestekst |
Kerberos-klienten leverte ikke en støttet krypteringstype for bruk med PKINIT-protokollen ved hjelp av krypteringsmodus.
|
Hendelseslogg |
System |
Hendelsestype |
Advarsel |
Hendelseskilde |
Kdcsvc |
Hendelses-ID |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Hendelsestekst |
En ikke-samsvarende PKINIT Kerberos-klient godkjent til denne DC-en. Godkjenningen ble tillatt fordi KDCGlobalAllowDesFallBack ble angitt. I fremtiden vil disse tilkoblingene mislykkes godkjenning. Identifiser enheten, og se for å oppgradere Kerberos-implementeringen
|
Status
Microsoft har bekreftet at dette er et problem i Microsoft produkter som er oppført i delen Gjelder for.