Simptome
Imprimarea și scanarea pot să nu reușească atunci când aceste dispozitive utilizează autentificarea smart card (PIV).
Notă Dispozitivele afectate atunci când utilizați autentificarea prin smart card (PIV) ar trebui să funcționeze așa cum vă așteptați atunci când utilizați autentificarea prin nume de utilizator și parolă.
Cauza
Pe 13 iulie 2021, Microsoft lansat modificări de întărire pentru CVE-2021-33764 Acest lucru poate cauza această problemă atunci când instalați actualizări lansate pe 13 iulie 2021 sau versiuni mai recente pe un controler de domeniu (DC). Dispozitivele afectate sunt imprimante, scanere și dispozitive multifuncționale de autentificare cu smart card care nu acceptă nici Diffie-Hellman (DH) pentru schimbul de chei în timpul autentificării PKINIT Kerberos sau nu anunță suport pentru des-ede3-cbc ("triple DES") în timpul solicitării Kerberos AS .
În funcție de secțiunea 3.2.1 din specificația RFC 4556, pentru ca acest schimb cheie să funcționeze, clientul trebuie să accepte și să notifice centrul de distribuție cheie (KDC) cu privire la asistența pentru des-ede3-cbc ("triple DES"). Clienții care inițiază Kerberos PKINIT cu schimbul de chei în modul de criptare, dar nici nu acceptă și nu spun KDC că acceptă des-ede3-cbc ("triple DES") vor fi respinși.
Pentru ca dispozitivele client de imprimantă și scaner să fie conforme, acestea trebuie să fie:
-
Utilizați Diffie-Hellman pentru schimbul de chei în timpul autentificării PKINIT Kerberos (preferat).
-
Sau, atât asistența, cât și notificarea KDC cu privire la suportul lor pentru des-ede3-cbc ("triple DES").
Următorii pași
Dacă întâmpinați această problemă cu dispozitivele de imprimare sau de scanare, verificați dacă utilizați cel mai recent firmware și cele mai recente drivere disponibile pentru dispozitivul dvs. Dacă firmware-ul și driverele sunt actualizate și întâmpinați în continuare această problemă, vă recomandăm să contactați producătorul dispozitivului. Întrebați dacă este necesară o modificare de configurație pentru a aduce dispozitivul în conformitate cu modificarea de consolidare pentru CVE-2021-33764 sau dacă va fi disponibilă o actualizare conformă.
Dacă momentan nu există nicio modalitate de a vă aduce dispozitivele în conformitate cu secțiunea 3.2.1 din specificația RFC 4556 , după cum este necesar pentru CVE-2021-33764, o atenuare temporară este disponibilă acum în timp ce lucrați cu producătorul dispozitivului de imprimare sau de scanare pentru a aduce mediul în conformitate în cronologia de mai jos.
Important Trebuie să aveți dispozitivele necompletate actualizate și conforme sau înlocuite până la 12 iulie 2022, când atenuarea temporară nu va putea fi utilizat în actualizările de securitate.
Notificare importantă
Toate atenuarea temporară pentru acest scenariu va fi eliminată în iulie 2022 și august 2022, în funcție de versiunea de Windows pe care o utilizați (consultați tabelul de mai jos). Nu va mai exista nicio opțiune de rezervă în actualizările ulterioare. Toate dispozitivele necompletate trebuie identificate utilizând evenimentele de auditare începând din ianuarie 2022 și actualizate sau înlocuite de eliminarea atenuării începând de la sfârșitul lunii iulie 2022.
După iulie 2022, dispozitivele care nu sunt conforme cu specificațiile RFC 4456 și CVE-2021-33764 nu vor putea fi utilizabile cu un dispozitiv Windows actualizat.
Dată țintă |
Eveniment |
Se aplică la |
13 Iulie, 2021 |
Actualizări lansat cu modificări de întărire pentru CVE-2021-33764. Toate actualizările ulterioare au această modificare de întărire activată în mod implicit. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
27 iulie 2021 |
Actualizări lansat cu atenuare temporară pentru a rezolva problemele de imprimare și scanare de pe dispozitivele care nu sunt compatibile. Actualizări lansate la această dată sau mai târziu trebuie să fie instalate pe DC, iar atenuarea trebuie să fie activată prin cheia de registry utilizând pașii de mai jos. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
29 iulie 2021 |
Actualizări lansat cu atenuare temporară pentru a rezolva problemele de imprimare și scanare de pe dispozitivele care nu sunt compatibile. Actualizări lansare la această dată sau o versiune mai recentă trebuie să fie instalată pe DC, iar atenuarea trebuie activată prin cheia de registry utilizând pașii de mai jos. |
Windows Server 2016 |
25 ianuarie 2022 |
Actualizări vor înregistra în jurnal evenimente de auditare pe controlerele de domeniu Active Directory care identifică imprimantele incompatibile cu RFC-4456 care nu reușesc autentificarea după instalarea actualizărilor din iulie 2022/august 2022 sau mai recente. |
Windows Server 2022 Windows Server 2019 |
8 februarie 2022 |
Actualizări vor înregistra în jurnal evenimente de auditare pe controlerele de domeniu Active Directory care identifică imprimantele incompatibile cu RFC-4456 care nu reușesc autentificarea după instalarea actualizărilor din iulie 2022/august 2022 sau mai recente. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
21 iulie 2022 |
Lansarea actualizării opționale de previzualizare pentru a elimina atenuarea temporară, pentru a necesita imprimarea reclamațiilor și dispozitive de scanare în mediul dvs. |
Windows Server 2019 |
9 august 2022 |
Important Actualizare de securitate lansată pentru a elimina atenuarea temporară, pentru a solicita imprimarea reclamațiilor și dispozitive de scanare în mediul dvs. Toate actualizările lansate în această zi sau mai târziu nu vor putea utiliza atenuarea temporară. Imprimantele și scanerele cu autentificare SmartCard trebuie să fie conforme cu secțiunea 3.2.1 din specificația RFC 4556 necesară pentru CVE-2021-33764 după instalarea acestor actualizări sau a unei versiuni ulterioare pe controlerele de domeniu Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Pentru a utiliza atenuarea temporară în mediul dvs., urmați acești pași pe toate controlerele de domeniu:
-
Pe controlerele de domeniu, setați valoarea de registry temporară de atenuare listată mai jos la 1 (activare), utilizând Registry Editor sau instrumentele de automatizare disponibile în mediul dvs.
Notă Acest pas 1 se poate efectua înainte sau după pașii 2 și 3.
-
Instalați o actualizare care permite atenuarea temporară disponibilă în actualizările lansate la 27 iulie 2021 sau o versiune mai recentă (mai jos sunt primele actualizări pentru a permite atenuarea temporară):
-
Reporniți controlerul de domeniu.
Valoare de registry pentru atenuare temporară:
Avertisment Pot apărea probleme grave dacă faceți modificări incorecte în registry utilizând Registry Editor sau altă metodă. Aceste probleme pot necesita reinstalarea sistemului de operare. Microsoft nu poate garanta că aceste probleme pot fi rezolvate. Modificați registry pe propriul risc.
Subcheie de registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Valoare |
Allow3DesFallback |
Tip de date |
DWORD |
Date |
1 – Activați atenuarea temporară. 0 – Activați comportamentul implicit, necesitând ca dispozitivele dvs. să respecte secțiunea 3.2.1 din specificația RFC 4556. |
Repornire necesară? |
Nu |
Cheia de registry de mai sus poate fi creată și valoarea și setul de date utilizând următoarea comandă:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Evenimente de audit
Actualizarea Windows din 25 ianuarie 2022 și din 8 februarie 2022 va adăuga, de asemenea, ID-uri de eveniment noi pentru a ajuta la identificarea dispozitivelor afectate.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Eroare |
Sursa de eveniment |
Kdcsvc |
ID eveniment |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Text eveniment |
Clientul Kerberos nu a furnizat un tip de criptare acceptat pentru utilizarea cu protocolul PKINIT utilizând modul de criptare.
|
Jurnal de evenimente |
Sistem |
Tip eveniment |
Avertisment |
Sursa de eveniment |
Kdcsvc |
ID eveniment |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Text eveniment |
Un client PKINIT Kerberos neconformant autentificat în acest DC. Autentificarea a fost permisă deoarece S-a setat KDCGlobalAllowDesFallBack. În viitor, aceste conexiuni nu vor mai reuși autentificarea. Identificați dispozitivul și căutați să faceți upgrade implementării Kerberos
|
Stare
Microsoft a confirmat că aceasta este o problemă în produsele Microsoft listate în secțiunea "Se aplică la".