Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Признаки

Печать и сканирование могут завершиться ошибкой, если эти устройства используют проверку подлинности со смарт-картой (PIV). 

Примечание Устройства, затронутые при использовании проверки подлинности со смарт-картой (PIV), должны работать должным образом при использовании проверки подлинности с использованием имени пользователя и пароля.

Причина

13 июля 2021 г. Майкрософт выпустили изменения защиты для CVE-2021-33764 Это может вызвать эту проблему при установке обновлений, выпущенных 13 июля 2021 г. или более поздних версий на контроллере домена (DC).  Затронутые устройства являются смарт-картами для проверки подлинности принтеров, сканеров и многофункциональных устройств, которые не поддерживают ни Diffie-Hellman (DH) для обмена ключами во время проверки подлинности Kerberos PKINIT, либо не объявляют поддержку des-ede3-cbc ("triple DES") во время запроса Kerberos AS .

Согласно разделу 3.2.1 спецификации RFC 4556, чтобы этот обмен ключами работал, клиент должен поддерживать и уведомлять центр распространения ключей (KDC) о поддержке des-ede3-cbc ("triple DES"). Клиенты, которые инициируют Kerberos PKINIT с обменом ключами в режиме шифрования, но не поддерживают и не сообщают KDC, что они поддерживают des-ede3-cbc ("triple DES"), будут отклонены.

Чтобы клиентские устройства принтера и сканера соответствовали требованиям, они должны:

  • Используйте Diffie-Hellman для обмена ключами во время проверки подлинности PKINIT Kerberos (предпочтительно).

  • Или обе поддерживают и уведомляют KDC о поддержке des-ede3-cbc ("triple DES").

Дальнейшие действия

Если вы столкнулись с этой проблемой на устройствах печати или сканирования, убедитесь, что используется последняя версия встроенного ПО и драйверов, доступных для вашего устройства. Если встроенное ПО и драйверы обновлены и эта проблема по-прежнему возникает, рекомендуется обратиться к производителю устройства. Спросите, требуется ли изменение конфигурации для приведения устройства в соответствие с изменением защиты для CVE-2021-33764 или будет доступно соответствующее обновление.

Если в настоящее время нет способа привести устройства в соответствие с разделом 3.2.1 спецификации RFC 4556 , как это требуется для CVE-2021-33764, теперь доступно временное устранение рисков, пока вы работаете с производителем устройства печати или сканирования, чтобы обеспечить соответствие вашей среды в течение указанной ниже временной шкалы.

Важно! Несоответствующие устройства должны быть обновлены или заменены до 12 июля 2022 г., если временное устранение рисков не будет использоваться в обновлениях для системы безопасности.

Важное уведомление

Все временные средства устранения рисков для этого сценария будут удалены в июле 2022 г. и августе 2022 г. в зависимости от используемой версии Windows (см. таблицу ниже). В последующих обновлениях не будет дополнительных резервных вариантов. Все несоответствующие устройства должны быть идентифицированы с помощью событий аудита, начиная с января 2022 г ., и обновлены или заменены удалением мер по устранению рисков, начиная с конца июля 2022 г. 

После июля 2022 г. устройства, которые не соответствуют спецификации RFC 4456 и CVE-2021-33764, не будут использоваться с обновленным устройством Windows.

Целевая дата

Событие

Применимо к:

13 июля 2021 г.

Обновления выпущена с изменениями защиты для CVE-2021-33764. Во всех последующих обновлениях это изменение защиты по умолчанию включено.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Windows Server 2008 с пакетом обновления 2 (SP2)

27 июля 2021 г.

Обновления выпущены с временным устранением проблем печати и сканирования на устройствах, не соответствующих требованиям. Обновления, выпущенные в эту или более позднюю дату, должны быть установлены на вашем контроллере домена, а устранение рисков должно быть включено с помощью раздела реестра, выполнив приведенные ниже действия.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Windows Server 2008 с пакетом обновления 2 (SP2)

29 июля 2021 г.

Обновления выпущены с временным устранением проблем печати и сканирования на устройствах, не соответствующих требованиям. Обновления выпуск на эту или более позднюю дату должен быть установлен на вашем контроллере домена, а устранение рисков должно быть включено с помощью раздела реестра, выполнив приведенные ниже действия.

Windows Server 2016

25 января 2022 г.

Обновления регистрирует события аудита на контроллерах домена Active Directory, которые определяют принтеры, несовместимые с RFC-4456, которые завершаются ошибкой проверки подлинности после установки контроллерами домена за июль 2022 г. или август 2022 г. или более поздних версий.

Windows Server 2022

Windows Server 2019

8 февраля 2022 г.

Обновления регистрирует события аудита на контроллерах домена Active Directory, которые определяют принтеры, несовместимые с RFC-4456, которые завершаются ошибкой проверки подлинности после установки контроллерами домена за июль 2022 г. или август 2022 г. или более поздних версий.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Windows Server 2008 с пакетом обновления 2 (SP2)

21 июля 2022 г.

Необязательный выпуск предварительной версии обновления для удаления временных мер, чтобы требовать печати и сканирования жалоб устройств в вашей среде.

Windows Server 2019

9 августа 2022 г.

Важно! Выпуск обновления для системы безопасности для устранения временных мер, чтобы требовать печати и проверки жалоб устройств в вашей среде.

Все обновления, выпущенные в этот или более поздний день, не смогут использовать временную меру.

Принтеры и сканеры для проверки подлинности смарт-карт должны соответствовать разделу 3.2.1 спецификации RFC 4556 , необходимой для CVE-2021-33764 после установки этих обновлений или более поздней версии на контроллерах домена Active Directory

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 с пакетом обновления 1 (SP1)

Windows Server 2008 с пакетом обновления 2 (SP2)

Чтобы использовать временное устранение рисков в вашей среде, выполните следующие действия на всех контроллерах домена:

  1. На контроллерах домена задайте для временного параметра реестра устранение рисков, указанное ниже, значение 1 (включить) с помощью редактора реестра или средств автоматизации, доступных в вашей среде.

    Примечание Этот шаг 1 можно выполнить до или после шагов 2 и 3.

  2. Установите обновление, позволяющее временное устранение рисков, доступное в обновлениях, выпущенных 27 июля 2021 г. или более поздней версии (ниже приведены первые обновления, разрешающие временное устранение рисков):

    • Windows Server 2019: KB5005394

    • Windows Server 2016: KB5005393

    • Windows Server 2012 R2: KB5005391

    • Windows Server 2012: KB5005389

    • Windows Server 2008 R2 с пакетом обновления 1 (SP1): 5005392

    • Windows Server 2008 с пакетом обновления 2 (SP2): KB5005390

  3. Перезапустите контроллер домена.

Значение реестра для временного устранения рисков:

Внимание! Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок. Эти проблемы могут потребовать переустановки операционной системы. Майкрософт не может гарантировать, что эти проблемы можно устранить. Внося изменения в реестр, вы действуете на свой страх и риск.

Подраздел реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Значение

Allow3DesFallback

Тип данных

DWORD

Данные

1 — включение временного устранения рисков.

0 — включите поведение по умолчанию, требуя, чтобы устройства соответствовали разделу 3.2.1 спецификации RFC 4556.

Требуется перезапуск?

Нет

Приведенный выше раздел реестра можно создать, а также значение и набор данных с помощью следующей команды:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

События аудита

Обновление Windows от 25 января 2022 г. и 8 февраля 2022 г. также добавит новые идентификаторы событий для выявления затронутых устройств.

Журнал событий

Система

Тип события

Ошибка

Источник события

Kdcsvc

Идентификатор события

307

39 (Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2008 с пакетом обновления 2 (SP2)

Текст события

Клиент Kerberos не предоставляет поддерживаемый тип шифрования для использования с протоколом PKINIT в режиме шифрования.

  • Имя субъекта-клиента: <доменное имя>\<имя клиента>

  • IP-адрес клиента: IPv4/IPv6

  • Имя NetBIOS, предоставленное клиентом: %3

Журнал событий

Система

Тип события

Предупреждение

Источник события

Kdcsvc

Идентификатор события

308

40 (Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2008 с пакетом обновления 2 (SP2)

Текст события

Несоверяющий клиент PKINIT Kerberos, прошедший проверку подлинности в этом контроллере домена. Проверка подлинности была разрешена, так как была задана KDCGlobalAllowDesFallBack. В будущем эти подключения завершатся ошибкой проверки подлинности. Определите устройство и выполните поиск для обновления его реализации Kerberos.

  • Имя субъекта-клиента: <доменное имя>\<имя клиента>

  • IP-адрес клиента: IPv4/IPv6

  • Имя NetBIOS, предоставленное клиентом: %3

Состояние

Майкрософт подтвердила, что эта проблема связана с Майкрософт продуктами, перечисленными в разделе "Применимо к".

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.