Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Symptomen

Afdrukken en scannen kan mislukken wanneer deze apparaten smartcardverificatie (PIV) gebruiken. 

Opmerking Apparaten die worden beïnvloed bij het gebruik van piv-verificatie (smartcard) moeten werken zoals verwacht bij het gebruik van gebruikersnaam- en wachtwoordverificatie.

Oorzaak

Op 13 juli 2021 heeft Microsoft wijzigingen in beveiliging uitgebracht voor CVE-2021-33764. Dit kan dit probleem veroorzaken wanneer u updates installeert die zijn uitgebracht op 13 juli 2021 of latere versies op een domeincontroller (DC).  De betrokken apparaten zijn smartcard-verificatieprinters, scanners en multifunctionele apparaten die geen ondersteuning bieden voor Diffie-Hellman (DH) voor sleuteluitwisseling tijdens PKINIT Kerberos-verificatie of geen ondersteuning bieden voor des-ede3-cbc ('triple DES') tijdens de Kerberos AS-aanvraag .

Volgens sectie 3.2.1 van RFC 4556-specificatie moet de client, om deze sleuteluitwisseling te laten werken, zowel het sleuteldistributiecentrum (KDC) ondersteunen als op de hoogte stellen van hun ondersteuning voor des-ede3-cbc ('triple DES'). Clients die Kerberos PKINIT met sleuteluitwisseling in de versleutelingsmodus initiëren, maar de KDC niet ondersteunen of vertellen dat ze ondersteuning bieden voor des-ede3-cbc ('triple DES'), worden geweigerd.

Printer- en scannerclientapparaten zijn alleen compatibel als ze:

  • Gebruik Diffie-Hellman voor sleuteluitwisseling tijdens PKINIT Kerberos-verificatie (voorkeur).

  • Of zowel ondersteuning als kennisgeving aan de KDC van hun ondersteuning voor des-ede3-cbc ('triple DES').

Volgende stappen

Als u dit probleem ondervindt met uw afdruk- of scanapparaten, controleert u of u de nieuwste firmware en stuurprogramma's gebruikt die beschikbaar zijn voor uw apparaat. Als uw firmware en stuurprogramma's up-to-date zijn en u dit probleem nog steeds ondervindt, raden we u aan contact op te neemt met de fabrikant van het apparaat. Vraag of een configuratiewijziging is vereist om het apparaat in overeenstemming te brengen met de wijziging in beveiliging voor CVE-2021-33764 of dat er een compatibele update beschikbaar wordt gesteld.

Als er momenteel geen manier is om uw apparaten in overeenstemming te brengen met sectie 3.2.1 van RFC 4556-specificatie , zoals vereist voor CVE-2021-33764, is er nu een tijdelijke beperking beschikbaar terwijl u samenwerkt met de fabrikant van uw afdruk- of scanapparaat om uw omgeving binnen de onderstaande tijdlijn in overeenstemming te brengen.

Belangrijk U moet uw niet-compatibele apparaten op 12 juli 2022 hebben bijgewerkt en compatibel of vervangen, wanneer de tijdelijke beperking niet kan worden gebruikt in beveiligingsupdates.

Belangrijke mededeling

Alle tijdelijke oplossingen voor dit scenario worden in juli 2022 en augustus 2022 verwijderd, afhankelijk van de versie van Windows die u gebruikt (zie de onderstaande tabel). Er is geen verdere terugvaloptie in latere updates. Alle niet-compatibele apparaten moeten vanaf januari 2022 worden geïdentificeerd met behulp van de controlegebeurtenissen en worden bijgewerkt of vervangen door de verwijdering van de risicobeperking vanaf eind juli 2022. 

Na juli 2022 zijn apparaten die niet voldoen aan de RFC 4456-specificatie en CVE-2021-33764 niet meer bruikbaar met een bijgewerkt Windows-apparaat.

Streefdatum

Gebeurtenis

Van toepassing op

13 juli 2021

Updates uitgebracht met wijzigingen in beveiliging voor CVE-2021-33764. Voor alle latere updates is deze wijziging voor beveiliging standaard ingeschakeld.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

dinsdag 27 juli 2021

Updates uitgebracht met tijdelijke beperking om afdruk- en scanproblemen op niet-compatibele apparaten op te lossen. Updates die op deze datum of later zijn uitgebracht, moet op uw DC worden geïnstalleerd en de beperking moet worden ingeschakeld via de registersleutel met behulp van de onderstaande stappen.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

dinsdag 29 juli 2021

Updates uitgebracht met tijdelijke beperking om afdruk- en scanproblemen op niet-compatibele apparaten op te lossen. Updates release op deze datum of later moet op uw DC worden geïnstalleerd en de beperking moet worden ingeschakeld via de registersleutel met behulp van de onderstaande stappen.

Windows Server 2016

dinsdag 25 januari 2022

Updates worden auditgebeurtenissen geregistreerd op Active Directory-domeincontrollers die printers identificeren die rfc-4456-niet-compatibele printers zijn die de verificatie mislukken zodra DC's de updates van juli 2022/augustus 2022 of hoger installeren.

Windows Server 2022

Windows Server 2019

dinsdag 8 februari 2022

Updates worden auditgebeurtenissen geregistreerd op Active Directory-domeincontrollers die printers identificeren die rfc-4456-niet-compatibele printers zijn die de verificatie mislukken zodra DC's de updates van juli 2022/augustus 2022 of hoger installeren.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

dinsdag 21 juli 2022

Optionele preview-updaterelease voor het verwijderen van tijdelijke beperking voor het afdrukken en scannen van apparaten met klachten in uw omgeving.

Windows Server 2019

dinsdag 9 augustus 2022

Belangrijk Beveiligingsupdaterelease voor het verwijderen van tijdelijke oplossingen voor het afdrukken en scannen van apparaten met klachten in uw omgeving.

Alle updates die op deze dag of later worden uitgebracht, kunnen de tijdelijke beperking niet gebruiken.

Smartcard-verificatieprinters en scanners moeten voldoen aan sectie 3.2.1 van de RFC 4556-specificatie die is vereist voor CVE-2021-33764 na installatie van deze updates of hoger op Active Directory-domeincontrollers

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

Als u de tijdelijke beperking in uw omgeving wilt gebruiken, volgt u deze stappen op alle domeincontrollers:

  1. Stel op de domeincontrollers de onderstaande registerwaarde voor tijdelijke risicobeperking in op 1 (inschakelen) met behulp van registereditor of de automatiseringsprogramma's die beschikbaar zijn in uw omgeving.

    Opmerking Deze stap 1 kan vóór of na stap 2 en 3 worden uitgevoerd.

  2. Installeer een update die de tijdelijke beperking toestaat die beschikbaar is in updates die zijn uitgebracht op 27 juli 2021 of later (hieronder vindt u de eerste updates om de tijdelijke beperking toe te staan):

  3. Start de domeincontroller opnieuw op.

Registerwaarde voor tijdelijke beperking:

Waarschuwing Er kunnen ernstige problemen optreden als u het register verkeerd wijzigt met de Register-editor of een andere methode. Voor deze problemen moet u het besturingssysteem mogelijk opnieuw installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Wijzig het register op eigen risico.

Registersubsleutel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Waarde

Allow3DesFallback

Gegevenstype

DWORD

Gegevens

1 : tijdelijke beperking inschakelen.

0 : schakel standaardgedrag in, waardoor uw apparaten moeten voldoen aan sectie 3.2.1 van RFC 4556-specificatie.

Opnieuw opstarten vereist?

Nee

De bovenstaande registersleutel kan worden gemaakt en de waarde en gegevensset met behulp van de volgende opdracht:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Controle-gebeurtenissen

De Windows-update van 25 januari 2022 en 8 februari 2022 voegt ook nieuwe gebeurtenis-id's toe om de betrokken apparaten te identificeren.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Fout

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Gebeurtenistekst

De Kerberos-client heeft geen ondersteund versleutelingstype opgegeven voor gebruik met het PKINIT-protocol met behulp van de versleutelingsmodus.

  • Client principal name: <domain name>\<client name>

  • IP-adres van client: IPv4/IPv6

  • Door client opgegeven NetBIOS-naam: %3

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Gebeurtenistekst

Een niet-conforme PKINIT Kerberos-client die is geverifieerd bij deze DC. De verificatie is toegestaan omdat KDCGlobalAllowDesFallBack is ingesteld. In de toekomst mislukt de verificatie van deze verbindingen. Het apparaat identificeren en de Kerberos-implementatie ervan upgraden

  • Client principal name: <domain name>\<client name>

  • IP-adres van client: IPv4/IPv6

  • Door client opgegeven NetBIOS-naam: %3

Status

Microsoft heeft bevestigd dat dit een probleem is in de Microsoft producten die worden vermeld in de sectie 'Van toepassing op'.

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.