Oznaki
Drukowanie i skanowanie może zakończyć się niepowodzeniem, gdy te urządzenia używają uwierzytelniania kart inteligentnych (PIV).
Uwaga Urządzenia, których dotyczy uwierzytelnianie przy użyciu karty inteligentnej (PIV), powinny działać zgodnie z oczekiwaniami podczas korzystania z uwierzytelniania nazwy użytkownika i hasła.
Przyczyna
W dniu 13 lipca 2021 r. Microsoft wydano zmiany stwardnienia dla CVE-2021-33764 Może to powodować ten problem podczas instalowania aktualizacji wydanych 13 lipca 2021 r. lub nowszych na kontrolerze domeny (DC). Dotyczy to urządzeń uwierzytelniających karty inteligentne, skanerów i urządzeń wielofunkcyjnych, które nie obsługują ani Diffie-Hellman (DH) do wymiany kluczy podczas uwierzytelniania PKINIT Kerberos, ani nie reklamują obsługi des-ede3-cbc ("triple DES") podczas żądania Kerberos AS .
Na sekcję 3.2.1 specyfikacji RFC 4556, aby ta wymiana klucza działała, klient musi zarówno obsługiwać, jak i powiadamiać kluczowe centrum dystrybucji (KDC) o obsłudze des-ede3-cbc ("triple DES"). Klienci, którzy inicjują protokół Kerberos PKINIT za pomocą wymiany kluczy w trybie szyfrowania, ale nie obsługują ani nie informują usługi łączności danych biznesowych, że obsługują funkcję des-ede3-cbc ("triple DES"), zostaną odrzuceni.
Aby urządzenia klienckie drukarki i skanera były zgodne, muszą one:
-
Użyj Diffie-Hellman do wymiany kluczy podczas uwierzytelniania PKINIT Kerberos (preferowane).
-
Lub obu pomocy technicznej i powiadomić KDC o ich obsługi des-ede3-cbc ("triple DES").
Następne kroki
Jeśli napotkasz ten problem z urządzeniami do drukowania lub skanowania, sprawdź, czy używasz najnowszego oprogramowania układowego i sterowników dostępnych dla Twojego urządzenia. Jeśli oprogramowanie układowe i sterowniki są aktualne i nadal napotykasz ten problem, zalecamy skontaktowanie się z producentem urządzenia. Zapytaj, czy konieczna jest zmiana konfiguracji, aby zapewnić zgodność urządzenia ze zmianą hartowania dla cve-2021-33764 , czy też dostępna będzie zgodna aktualizacja.
Jeśli obecnie nie ma sposobu na zapewnienie zgodności urządzeń z sekcją 3.2.1 specyfikacji RFC 4556 wymaganej dla CVE-2021-33764, podczas pracy z producentem urządzenia do drukowania lub skanowania jest teraz dostępne tymczasowe ograniczenie w celu zapewnienia zgodności środowiska na poniższej osi czasu.
Ważne Twoje niezgodne urządzenia muszą zostać zaktualizowane i zgodne lub zastąpione 12 lipca 2022 r., gdy tymczasowe środki łagodzące nie będą możliwe w aktualizacjach zabezpieczeń.
Ważna uwaga
Wszystkie tymczasowe środki zaradcze dla tego scenariusza zostaną usunięte w lipcu 2022 r. i sierpniu 2022 r., w zależności od używanej wersji systemu Windows (zobacz tabelę poniżej). W późniejszych aktualizacjach nie będzie dostępna dalsza opcja rezerwowa. Wszystkie niezgodne urządzenia należy zidentyfikować na podstawie zdarzeń inspekcji rozpoczynających się w styczniu 2022 r. i zaktualizowanych lub zastąpionych usunięciem środków łagodzących rozpoczynających się pod koniec lipca 2022 r.
Po lipcu 2022 r. urządzenia niezgodne ze specyfikacją RFC 4456 i CVE-2021-33764 nie będą możliwe do zastosowania ze zaktualizowanym urządzeniem z systemem Windows.
Data docelowa |
Zdarzenie |
Dotyczy: |
13 lipca 2021 r. |
Aktualizacje wydana ze zmianami stwardnienia dla CVE-2021-33764. Wszystkie późniejsze aktualizacje domyślnie włączają tę zmianę hartowania. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 z dodatkiem SP1 Windows Server 2008 z dodatkiem SP2 |
27 lipca 2021 r. |
Aktualizacje wydana z tymczasowym środkiem zaradczym w celu rozwiązania problemów z drukowaniem i skanowaniem na niezgodnych urządzeniach. Aktualizacje wydana w tym dniu lub później musi zostać zainstalowana na komputerze dc i należy włączyć łagodzenie za pomocą klucza rejestru, wykonując poniższe czynności. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 z dodatkiem SP1 Windows Server 2008 z dodatkiem SP2 |
29 lipca 2021 r. |
Aktualizacje wydana z tymczasowym środkiem zaradczym w celu rozwiązania problemów z drukowaniem i skanowaniem na niezgodnych urządzeniach. Aktualizacje wydania w tym dniu lub nowszym muszą być zainstalowane na komputerze dc i łagodzenia musi być włączona za pośrednictwem klucza rejestru, wykonując poniższe czynności. |
Windows Server 2016 |
25 stycznia 2022 r. |
Aktualizacje będzie rejestrować zdarzenia inspekcji na kontrolerach domeny usługi Active Directory identyfikujące drukarki, które są niezgodnymi drukarkami RFC-4456, dla których uwierzytelnianie kończy się niepowodzeniem po zainstalowaniu aktualizacji z lipca 2022 r. i sierpnia 2022 r. lub nowszych. |
Windows Server 2022 Windows Server 2019 |
8 lutego 2022 r. |
Aktualizacje będzie rejestrować zdarzenia inspekcji na kontrolerach domeny usługi Active Directory identyfikujące drukarki, które są niezgodnymi drukarkami RFC-4456, dla których uwierzytelnianie kończy się niepowodzeniem po zainstalowaniu aktualizacji z lipca 2022 r. i sierpnia 2022 r. lub nowszych. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 z dodatkiem SP1 Windows Server 2008 z dodatkiem SP2 |
21 lipca 2022 r. |
Opcjonalna wersja zapoznawcza aktualizacji umożliwiająca usunięcie tymczasowego łagodzenia w celu wymagania drukowania skarg i skanowania urządzeń w środowisku. |
Windows Server 2019 |
9 sierpnia 2022 r. |
Ważne Wydanie aktualizacji zabezpieczeń w celu usunięcia tymczasowego łagodzenia w celu wymagania drukowania skarg i skanowania urządzeń w środowisku. Wszystkie aktualizacje wydane tego dnia lub później nie będą mogły korzystać z tymczasowego łagodzenia. Drukarki i skanery uwierzytelniające przy użyciu kart inteligentnych muszą być zgodne z sekcją 3.2.1 specyfikacji RFC 4556 wymaganej dla cve-2021-33764 po zainstalowaniu tych aktualizacji lub nowszych na kontrolerach domeny usługi Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 z dodatkiem SP1 Windows Server 2008 z dodatkiem SP2 |
Aby użyć tymczasowego łagodzenia w środowisku, wykonaj następujące czynności na wszystkich kontrolerach domeny:
-
Na kontrolerach domeny ustaw wartość rejestru tymczasowego łagodzenia na wartość 1 (włącz) za pomocą Edytora rejestru lub narzędzi automatyzacji dostępnych w środowisku.
Uwaga Ten krok 1 można wykonać przed lub po krokach 2 i 3.
-
Zainstaluj aktualizację, która umożliwia tymczasowe łagodzenie problemu dostępne w aktualizacjach wydanych 27 lipca 2021 r. lub nowszych (poniżej znajdują się pierwsze aktualizacje umożliwiające tymczasowe łagodzenie problemu):
-
Uruchom ponownie kontroler domeny.
Wartość rejestru tymczasowego łagodzenia:
Ostrzeżenie Niepoprawne zmodyfikowanie rejestru przy użyciu edytora rejestru lub innej metody może stać się przyczyną poważnych problemów. Te problemy mogą wymagać ponownej instalacji systemu operacyjnego. Microsoft nie może zagwarantować, że te problemy można rozwiązać. Zmodyfikuj rejestr na własne ryzyko.
Podklucz rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Wartość |
Allow3DesFallback |
Typ danych |
DWORD |
dane |
1 . Włącz tymczasowe łagodzenie. 0 — włącz zachowanie domyślne, wymagając od urządzeń zachowania zgodności z sekcją 3.2.1 specyfikacji RFC 4556. |
Wymagane jest ponowne uruchomienie komputera? |
Nie |
Powyższy klucz rejestru można utworzyć, a wartość i zestaw danych można utworzyć przy użyciu następującego polecenia:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Inspekcja zdarzeń
W aktualizacji systemu Windows z 25 stycznia 2022 r. i 8 lutego 2022 r. zostaną również dodane nowe identyfikatory zdarzeń ułatwiające identyfikację urządzeń, których dotyczy problem.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Błąd |
Źródło zdarzenia |
Kdcsvc |
Identyfikator zdarzenia |
307 39 (Windows Server 2008 R2 z dodatek SP1, Windows Server 2008 z dodatek SP2) |
Tekst zdarzenia |
Klient Kerberos nie dostarczył obsługiwanego typu szyfrowania używanego z protokołem PKINIT w trybie szyfrowania.
|
Dziennik zdarzeń |
System |
Typ zdarzenia |
Ostrzeżenie |
Źródło zdarzenia |
Kdcsvc |
Identyfikator zdarzenia |
308 40 (Windows Server 2008 R2 z dodatek SP1, Windows Server 2008 z dodatek SP2) |
Tekst zdarzenia |
Niekonformujący się klient PKINIT Kerberos uwierzytelniony do tego kontrolera domeny. Uwierzytelnianie było dozwolone, ponieważ ustawiono ustawienie KDCGlobalAllowDesFallBack. W przyszłości te połączenia nie będą się uwierzytelniać. Zidentyfikuj urządzenie i sprawdź, jak uaktualnić implementację protokołu Kerberos
|
Status
Microsoft potwierdziła, że jest to problem w Microsoft produktach wymienionych w sekcji "Dotyczy".