Symptomen
Afdrukken en scannen kan mislukken wanneer deze apparaten smartcardverificatie (PIV) gebruiken.
Opmerking Apparaten die worden beïnvloed bij het gebruik van piv-verificatie (smartcard) moeten werken zoals verwacht bij het gebruik van gebruikersnaam- en wachtwoordverificatie.
Oorzaak
Op 13 juli 2021 heeft Microsoft wijzigingen in beveiliging uitgebracht voor CVE-2021-33764. Dit kan dit probleem veroorzaken wanneer u updates installeert die zijn uitgebracht op 13 juli 2021 of latere versies op een domeincontroller (DC). De betrokken apparaten zijn smartcard-verificatieprinters, scanners en multifunctionele apparaten die geen ondersteuning bieden voor Diffie-Hellman (DH) voor sleuteluitwisseling tijdens PKINIT Kerberos-verificatie of geen ondersteuning bieden voor des-ede3-cbc ('triple DES') tijdens de Kerberos AS-aanvraag .
Volgens sectie 3.2.1 van RFC 4556-specificatie moet de client, om deze sleuteluitwisseling te laten werken, zowel het sleuteldistributiecentrum (KDC) ondersteunen als op de hoogte stellen van hun ondersteuning voor des-ede3-cbc ('triple DES'). Clients die Kerberos PKINIT met sleuteluitwisseling in de versleutelingsmodus initiëren, maar de KDC niet ondersteunen of vertellen dat ze ondersteuning bieden voor des-ede3-cbc ('triple DES'), worden geweigerd.
Printer- en scannerclientapparaten zijn alleen compatibel als ze:
-
Gebruik Diffie-Hellman voor sleuteluitwisseling tijdens PKINIT Kerberos-verificatie (voorkeur).
-
Of zowel ondersteuning als kennisgeving aan de KDC van hun ondersteuning voor des-ede3-cbc ('triple DES').
Volgende stappen
Als u dit probleem ondervindt met uw afdruk- of scanapparaten, controleert u of u de nieuwste firmware en stuurprogramma's gebruikt die beschikbaar zijn voor uw apparaat. Als uw firmware en stuurprogramma's up-to-date zijn en u dit probleem nog steeds ondervindt, raden we u aan contact op te neemt met de fabrikant van het apparaat. Vraag of een configuratiewijziging is vereist om het apparaat in overeenstemming te brengen met de wijziging in beveiliging voor CVE-2021-33764 of dat er een compatibele update beschikbaar wordt gesteld.
Als er momenteel geen manier is om uw apparaten in overeenstemming te brengen met sectie 3.2.1 van RFC 4556-specificatie , zoals vereist voor CVE-2021-33764, is er nu een tijdelijke beperking beschikbaar terwijl u samenwerkt met de fabrikant van uw afdruk- of scanapparaat om uw omgeving binnen de onderstaande tijdlijn in overeenstemming te brengen.
Belangrijk U moet uw niet-compatibele apparaten op 12 juli 2022 hebben bijgewerkt en compatibel of vervangen, wanneer de tijdelijke beperking niet kan worden gebruikt in beveiligingsupdates.
Belangrijke mededeling
Alle tijdelijke oplossingen voor dit scenario worden in juli 2022 en augustus 2022 verwijderd, afhankelijk van de versie van Windows die u gebruikt (zie de onderstaande tabel). Er is geen verdere terugvaloptie in latere updates. Alle niet-compatibele apparaten moeten vanaf januari 2022 worden geïdentificeerd met behulp van de controlegebeurtenissen en worden bijgewerkt of vervangen door de verwijdering van de risicobeperking vanaf eind juli 2022.
Na juli 2022 zijn apparaten die niet voldoen aan de RFC 4456-specificatie en CVE-2021-33764 niet meer bruikbaar met een bijgewerkt Windows-apparaat.
Streefdatum |
Gebeurtenis |
Van toepassing op |
13 juli 2021 |
Updates uitgebracht met wijzigingen in beveiliging voor CVE-2021-33764. Voor alle latere updates is deze wijziging voor beveiliging standaard ingeschakeld. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
dinsdag 27 juli 2021 |
Updates uitgebracht met tijdelijke beperking om afdruk- en scanproblemen op niet-compatibele apparaten op te lossen. Updates die op deze datum of later zijn uitgebracht, moet op uw DC worden geïnstalleerd en de beperking moet worden ingeschakeld via de registersleutel met behulp van de onderstaande stappen. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
dinsdag 29 juli 2021 |
Updates uitgebracht met tijdelijke beperking om afdruk- en scanproblemen op niet-compatibele apparaten op te lossen. Updates release op deze datum of later moet op uw DC worden geïnstalleerd en de beperking moet worden ingeschakeld via de registersleutel met behulp van de onderstaande stappen. |
Windows Server 2016 |
dinsdag 25 januari 2022 |
Updates worden auditgebeurtenissen geregistreerd op Active Directory-domeincontrollers die printers identificeren die rfc-4456-niet-compatibele printers zijn die de verificatie mislukken zodra DC's de updates van juli 2022/augustus 2022 of hoger installeren. |
Windows Server 2022 Windows Server 2019 |
dinsdag 8 februari 2022 |
Updates worden auditgebeurtenissen geregistreerd op Active Directory-domeincontrollers die printers identificeren die rfc-4456-niet-compatibele printers zijn die de verificatie mislukken zodra DC's de updates van juli 2022/augustus 2022 of hoger installeren. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
dinsdag 21 juli 2022 |
Optionele preview-updaterelease voor het verwijderen van tijdelijke beperking voor het afdrukken en scannen van apparaten met klachten in uw omgeving. |
Windows Server 2019 |
dinsdag 9 augustus 2022 |
Belangrijk Beveiligingsupdaterelease voor het verwijderen van tijdelijke oplossingen voor het afdrukken en scannen van apparaten met klachten in uw omgeving. Alle updates die op deze dag of later worden uitgebracht, kunnen de tijdelijke beperking niet gebruiken. Smartcard-verificatieprinters en scanners moeten voldoen aan sectie 3.2.1 van de RFC 4556-specificatie die is vereist voor CVE-2021-33764 na installatie van deze updates of hoger op Active Directory-domeincontrollers |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Als u de tijdelijke beperking in uw omgeving wilt gebruiken, volgt u deze stappen op alle domeincontrollers:
-
Stel op de domeincontrollers de onderstaande registerwaarde voor tijdelijke risicobeperking in op 1 (inschakelen) met behulp van registereditor of de automatiseringsprogramma's die beschikbaar zijn in uw omgeving.
Opmerking Deze stap 1 kan vóór of na stap 2 en 3 worden uitgevoerd.
-
Installeer een update die de tijdelijke beperking toestaat die beschikbaar is in updates die zijn uitgebracht op 27 juli 2021 of later (hieronder vindt u de eerste updates om de tijdelijke beperking toe te staan):
-
Start de domeincontroller opnieuw op.
Registerwaarde voor tijdelijke beperking:
Waarschuwing Er kunnen ernstige problemen optreden als u het register verkeerd wijzigt met de Register-editor of een andere methode. Voor deze problemen moet u het besturingssysteem mogelijk opnieuw installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Wijzig het register op eigen risico.
Registersubsleutel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Waarde |
Allow3DesFallback |
Gegevenstype |
DWORD |
Gegevens |
1 : tijdelijke beperking inschakelen. 0 : schakel standaardgedrag in, waardoor uw apparaten moeten voldoen aan sectie 3.2.1 van RFC 4556-specificatie. |
Opnieuw opstarten vereist? |
Nee |
De bovenstaande registersleutel kan worden gemaakt en de waarde en gegevensset met behulp van de volgende opdracht:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Controle-gebeurtenissen
De Windows-update van 25 januari 2022 en 8 februari 2022 voegt ook nieuwe gebeurtenis-id's toe om de betrokken apparaten te identificeren.
Gebeurtenislogboek |
Systeem |
Gebeurtenistype |
Fout |
Bron van gebeurtenis |
Kdcsvc |
Gebeurtenis-id |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Gebeurtenistekst |
De Kerberos-client heeft geen ondersteund versleutelingstype opgegeven voor gebruik met het PKINIT-protocol met behulp van de versleutelingsmodus.
|
Gebeurtenislogboek |
Systeem |
Gebeurtenistype |
Waarschuwing |
Bron van gebeurtenis |
Kdcsvc |
Gebeurtenis-id |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Gebeurtenistekst |
Een niet-conforme PKINIT Kerberos-client die is geverifieerd bij deze DC. De verificatie is toegestaan omdat KDCGlobalAllowDesFallBack is ingesteld. In de toekomst mislukt de verificatie van deze verbindingen. Het apparaat identificeren en de Kerberos-implementatie ervan upgraden
|
Status
Microsoft heeft bevestigd dat dit een probleem is in de Microsoft producten die worden vermeld in de sectie 'Van toepassing op'.