Признаки
Печать и сканирование могут завершиться ошибкой, если эти устройства используют проверку подлинности со смарт-картой (PIV).
Примечание Устройства, затронутые при использовании проверки подлинности со смарт-картой (PIV), должны работать должным образом при использовании проверки подлинности с использованием имени пользователя и пароля.
Причина
13 июля 2021 г. Майкрософт выпустили изменения защиты для CVE-2021-33764 Это может вызвать эту проблему при установке обновлений, выпущенных 13 июля 2021 г. или более поздних версий на контроллере домена (DC). Затронутые устройства являются смарт-картами для проверки подлинности принтеров, сканеров и многофункциональных устройств, которые не поддерживают ни Diffie-Hellman (DH) для обмена ключами во время проверки подлинности Kerberos PKINIT, либо не объявляют поддержку des-ede3-cbc ("triple DES") во время запроса Kerberos AS .
Согласно разделу 3.2.1 спецификации RFC 4556, чтобы этот обмен ключами работал, клиент должен поддерживать и уведомлять центр распространения ключей (KDC) о поддержке des-ede3-cbc ("triple DES"). Клиенты, которые инициируют Kerberos PKINIT с обменом ключами в режиме шифрования, но не поддерживают и не сообщают KDC, что они поддерживают des-ede3-cbc ("triple DES"), будут отклонены.
Чтобы клиентские устройства принтера и сканера соответствовали требованиям, они должны:
-
Используйте Diffie-Hellman для обмена ключами во время проверки подлинности PKINIT Kerberos (предпочтительно).
-
Или обе поддерживают и уведомляют KDC о поддержке des-ede3-cbc ("triple DES").
Дальнейшие действия
Если вы столкнулись с этой проблемой на устройствах печати или сканирования, убедитесь, что используется последняя версия встроенного ПО и драйверов, доступных для вашего устройства. Если встроенное ПО и драйверы обновлены и эта проблема по-прежнему возникает, рекомендуется обратиться к производителю устройства. Спросите, требуется ли изменение конфигурации для приведения устройства в соответствие с изменением защиты для CVE-2021-33764 или будет доступно соответствующее обновление.
Если в настоящее время нет способа привести устройства в соответствие с разделом 3.2.1 спецификации RFC 4556 , как это требуется для CVE-2021-33764, теперь доступно временное устранение рисков, пока вы работаете с производителем устройства печати или сканирования, чтобы обеспечить соответствие вашей среды в течение указанной ниже временной шкалы.
Важно! Несоответствующие устройства должны быть обновлены или заменены до 12 июля 2022 г., если временное устранение рисков не будет использоваться в обновлениях для системы безопасности.
Важное уведомление
Все временные средства устранения рисков для этого сценария будут удалены в июле 2022 г. и августе 2022 г. в зависимости от используемой версии Windows (см. таблицу ниже). В последующих обновлениях не будет дополнительных резервных вариантов. Все несоответствующие устройства должны быть идентифицированы с помощью событий аудита, начиная с января 2022 г ., и обновлены или заменены удалением мер по устранению рисков, начиная с конца июля 2022 г.
После июля 2022 г. устройства, которые не соответствуют спецификации RFC 4456 и CVE-2021-33764, не будут использоваться с обновленным устройством Windows.
|
Целевая дата |
Событие |
Применимо к: |
|
13 июля 2021 г. |
Обновления выпущена с изменениями защиты для CVE-2021-33764. Во всех последующих обновлениях это изменение защиты по умолчанию включено. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 с пакетом обновления 1 (SP1) Windows Server 2008 с пакетом обновления 2 (SP2) |
|
27 июля 2021 г. |
Обновления выпущены с временным устранением проблем печати и сканирования на устройствах, не соответствующих требованиям. Обновления, выпущенные в эту или более позднюю дату, должны быть установлены на вашем контроллере домена, а устранение рисков должно быть включено с помощью раздела реестра, выполнив приведенные ниже действия. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 с пакетом обновления 1 (SP1) Windows Server 2008 с пакетом обновления 2 (SP2) |
|
29 июля 2021 г. |
Обновления выпущены с временным устранением проблем печати и сканирования на устройствах, не соответствующих требованиям. Обновления выпуск на эту или более позднюю дату должен быть установлен на вашем контроллере домена, а устранение рисков должно быть включено с помощью раздела реестра, выполнив приведенные ниже действия. |
Windows Server 2016 |
|
25 января 2022 г. |
Обновления регистрирует события аудита на контроллерах домена Active Directory, которые определяют принтеры, несовместимые с RFC-4456, которые завершаются ошибкой проверки подлинности после установки контроллерами домена за июль 2022 г. или август 2022 г. или более поздних версий. |
Windows Server 2022 Windows Server 2019 |
|
8 февраля 2022 г. |
Обновления регистрирует события аудита на контроллерах домена Active Directory, которые определяют принтеры, несовместимые с RFC-4456, которые завершаются ошибкой проверки подлинности после установки контроллерами домена за июль 2022 г. или август 2022 г. или более поздних версий. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 с пакетом обновления 1 (SP1) Windows Server 2008 с пакетом обновления 2 (SP2) |
|
21 июля 2022 г. |
Необязательный выпуск предварительной версии обновления для удаления временных мер, чтобы требовать печати и сканирования жалоб устройств в вашей среде. |
Windows Server 2019 |
|
9 августа 2022 г. |
Важно! Выпуск обновления для системы безопасности для устранения временных мер, чтобы требовать печати и проверки жалоб устройств в вашей среде. Все обновления, выпущенные в этот или более поздний день, не смогут использовать временную меру. Принтеры и сканеры для проверки подлинности смарт-карт должны соответствовать разделу 3.2.1 спецификации RFC 4556 , необходимой для CVE-2021-33764 после установки этих обновлений или более поздней версии на контроллерах домена Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 с пакетом обновления 1 (SP1) Windows Server 2008 с пакетом обновления 2 (SP2) |
Чтобы использовать временное устранение рисков в вашей среде, выполните следующие действия на всех контроллерах домена:
-
На контроллерах домена задайте для временного параметра реестра устранение рисков, указанное ниже, значение 1 (включить) с помощью редактора реестра или средств автоматизации, доступных в вашей среде.
Примечание Этот шаг 1 можно выполнить до или после шагов 2 и 3.
-
Установите обновление, позволяющее временное устранение рисков, доступное в обновлениях, выпущенных 27 июля 2021 г. или более поздней версии (ниже приведены первые обновления, разрешающие временное устранение рисков):
-
Перезапустите контроллер домена.
Значение реестра для временного устранения рисков:
Внимание! Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок. Эти проблемы могут потребовать переустановки операционной системы. Майкрософт не может гарантировать, что эти проблемы можно устранить. Внося изменения в реестр, вы действуете на свой страх и риск.
|
Подраздел реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Значение |
Allow3DesFallback |
|
Тип данных |
DWORD |
|
Данные |
1 — включение временного устранения рисков. 0 — включите поведение по умолчанию, требуя, чтобы устройства соответствовали разделу 3.2.1 спецификации RFC 4556. |
|
Требуется перезапуск? |
Нет |
Приведенный выше раздел реестра можно создать, а также значение и набор данных с помощью следующей команды:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
События аудита
Обновление Windows от 25 января 2022 г. и 8 февраля 2022 г. также добавит новые идентификаторы событий для выявления затронутых устройств.
|
Журнал событий |
Система |
|
Тип события |
Ошибка |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
307 39 (Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2008 с пакетом обновления 2 (SP2) |
|
Текст события |
Клиент Kerberos не предоставляет поддерживаемый тип шифрования для использования с протоколом PKINIT в режиме шифрования.
|
|
Журнал событий |
Система |
|
Тип события |
Предупреждение |
|
Источник события |
Kdcsvc |
|
Идентификатор события |
308 40 (Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2008 с пакетом обновления 2 (SP2) |
|
Текст события |
Несоверяющий клиент PKINIT Kerberos, прошедший проверку подлинности в этом контроллере домена. Проверка подлинности была разрешена, так как была задана KDCGlobalAllowDesFallBack. В будущем эти подключения завершатся ошибкой проверки подлинности. Определите устройство и выполните поиск для обновления его реализации Kerberos.
|
Состояние
Майкрософт подтвердила, что эта проблема связана с Майкрософт продуктами, перечисленными в разделе "Применимо к".
