Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Príznaky

Tlač a skenovanie môže zlyhať, keď tieto zariadenia používajú overovanie pomocou karty Smart Card (PIV). 

Poznámka Zariadenia, ktoré majú vplyv na používanie overovania pomocou karty Smart Card (PIV), by mali fungovať podľa očakávaní pri používaní mena používateľa a overovania heslom.

Príčina

13. júla 2021 Microsoft vydala sprísňujúce zmeny pre CVE-2021-33764 To môže spôsobiť tento problém pri inštalácii aktualizácií vydaných 13. júla 2021 alebo novších verzií na radiči domény (DC).  Dotknuté zariadenia overujú tlačiarne, skenery a multifunkčné zariadenia, ktoré nepodporujú Diffie-Hellman (DH) na výmenu kľúčov počas overovania PKINIT Kerberos, alebo neinzerujú podporu pre des-ede3-cbc ("triple DES") počas požiadavky Kerberos AS .

Podľa oddielu 3.2.1 špecifikácie RFC 4556, aby táto výmena kľúčov fungovala, musí klient podporovať a informovať kľúčové distribučné centrum (KDC) o svojej podpore des-ede3-cbc ("triple DES"). Klienti, ktorí inicializujú protokol Kerberos PKINIT pomocou výmeny kľúčov v režime šifrovania, ale nepodporujú ani neupoviete KDC, že podporujú des-ede3-cbc ("triple DES"), budú odmietnutí.

Ak majú byť klientske zariadenia tlačiarne a skenera kompatibilné, musia:

  • Používajte Diffie-Hellman na výmenu kľúčov počas overovania PKINIT Kerberos (preferované).

  • Alebo podporu a oznámenie KDC o ich podporu des-ede3-cbc ("triple DES").

Ďalšie kroky

Ak sa vyskytne tento problém s tlačiarňami alebo skenovacími zariadeniami, overte, či používate najnovší firmvér a ovládače, ktoré sú k dispozícii pre vaše zariadenie. Ak je váš firmvér a ovládače aktuálne a problém sa stále vyskytuje, odporúčame kontaktovať výrobcu zariadenia. Opýtajte sa, či je potrebná zmena konfigurácie, aby zariadenie dodržiavalo súlad so zmenou stvrdnutia pre CVE-2021-33764 alebo či bude k dispozícii kompatibilná aktualizácia.

Ak v súčasnosti neexistuje spôsob, ako dosiahnuť súlad zariadení s oddielom 3.2.1 špecifikácie RFC 4556 , ako sa vyžaduje pre CVE-2021-33764, počas práce s výrobcom tlačiarní alebo skenovacieho zariadenia je teraz k dispozícii dočasné zmiernenie, aby vaše prostredie bolo v súlade s časovou osou nižšie.

Dôležité Ak dočasné obmedzenie rizík nebude použiteľné v aktualizáciách zabezpečenia, musíte mať svoje nekompilovateľné zariadenia aktualizované a kompatibilné alebo nahradené do 12. júla 2022.

Dôležité upozornenie

Všetky dočasné zmiernenia tohto scenára sa odstránia v júli 2022 a auguste 2022 v závislosti od používanej verzie Windowsu (pozrite tabuľku nižšie). V neskorších aktualizáciách už nebude k dispozícii žiadna záložná možnosť. Všetky nekomplikantné zariadenia musia byť identifikované pomocou udalostí auditu od januára 2022 a aktualizované alebo nahradené odstránením zmiernenia od konca júla 2022. 

Po júli 2022 zariadenia, ktoré nie sú v súlade so špecifikáciou RFC 4456 a CVE-2021-33764, nebudú použiteľné s aktualizovaným zariadením s Windowsom.

Cieľový dátum

Udalosť

Vzťahuje sa na

13. júla 2021

Aktualizácie vydané s kalením zmien pre CVE-2021-33764. Všetky neskoršie aktualizácie majú túto vydýchnutú zmenu predvolene zapnutú.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

27. júla 2021

Aktualizácie vydaná s dočasným zmiernením na riešenie problémov s tlačou a skenovaním v nekompilantných zariadeniach. Aktualizácie vydané k tomuto dátumu alebo novšej verzii, musia byť nainštalované v dc a obmedzenie rizík musí byť zapnuté prostredníctvom kľúča databázy Registry pomocou nižšie uvedených krokov.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

29. júla 2021

Aktualizácie vydaná s dočasným zmiernením na riešenie problémov s tlačou a skenovaním v nekompilantných zariadeniach. Aktualizácie vydanie k tomuto dátumu alebo novšej verzii musí byť nainštalované v dc a zmiernenie musí byť zapnuté prostredníctvom kľúča databázy Registry pomocou nižšie uvedených krokov.

Windows Server 2016

25. januára 2022

Aktualizácie zaznamená udalosti auditu v radičoch domény služby Active Directory, ktoré identifikujú tlačiarne, ktoré sú nekompatibilnými tlačiarňami RFC-4456, ktoré zlyhajú pri overovaní po inštalácii aktualizácií z júla 2022/augusta 2022 alebo novšej.

Windows Server 2022

Windows Server 2019

8. februára 2022

Aktualizácie zaznamená udalosti auditu v radičoch domény služby Active Directory, ktoré identifikujú tlačiarne, ktoré sú nekompatibilnými tlačiarňami RFC-4456, ktoré zlyhajú pri overovaní po inštalácii aktualizácií z júla 2022/augusta 2022 alebo novšej.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

21. júla 2022

Voliteľné vydanie aktualizácie verzie Preview na odstránenie dočasného zmiernenia, ktoré vyžaduje tlač sťažností a skenovanie zariadení vo vašom prostredí.

Windows Server 2019

9. augusta 2022

Dôležité Vydanie aktualizácie zabezpečenia na odstránenie dočasného zmiernenia, ktoré vyžaduje tlač sťažností a skenovanie zariadení vo vašom prostredí.

Všetky aktualizácie vydané v tento deň alebo neskôr nebudú môcť používať dočasné obmedzenie rizík.

Tlačiarne a skenery overujúce karty SmartCard musia byť kompatibilné s oddielom 3.2.1 špecifikácie RFC 4556 požadovanej pre CVE-2021-33764 po inštalácii týchto aktualizácií alebo novšej verzie v radičoch domény služby Active Directory

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

Ak chcete vo svojom prostredí použiť dočasné obmedzenie rizík, postupujte podľa týchto krokov vo všetkých radičoch domény:

  1. V radičoch domény nastavte hodnotu dočasného obmedzenia rizík databázy Registry uvedenú nižšie na hodnotu 1 (povoliť) pomocou Editora databázy Registry alebo nástrojov automatizácie, ktoré sú k dispozícii vo vašom prostredí.

    Poznámka Tento krok 1 možno vykonať pred alebo po krokoch 2 a 3.

  2. Nainštalujte aktualizáciu, ktorá umožňuje dočasné obmedzenie rizík dostupné v aktualizáciách vydaných 27. júla 2021 alebo novších (nižšie sú uvedené prvé aktualizácie, ktoré umožňujú dočasné zmiernenie rizík):

  3. Reštartujte radič domény.

Hodnota databázy Registry pre dočasné obmedzenie rizík:

Upozornenie Ak databázu Registry upravíte nesprávne pomocou Editora databázy Registry alebo iným spôsobom, môžu sa vyskytnúť závažné problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Microsoft nemôže zaručiť, že tieto problémy možno vyriešiť. Databázu Registry upravujete na vlastné riziko.

Podkľúč databázy Registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Hodnota

Allow3DesFallback

Typ údajov

DWORD

Údaje

1 – Povoľte dočasné zmiernenie.

0 – Povoľte predvolené správanie, ktoré vyžaduje, aby vaše zariadenia dodržiavali súlad s oddielom 3.2.1 špecifikácie RFC 4556.

Vyžaduje sa reštartovanie?

Nie

Vyššie uvedený kľúč databázy Registry je možné vytvoriť a hodnotu a množinu údajov môžete vytvoriť pomocou nasledujúceho príkazu:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Udalosti auditovania

Aktualizácia Windowsu z 25. januára 2022 a 8. februára 2022 pridá aj nové ID udalostí, ktoré pomôžu identifikovať dotknuté zariadenia.

Denník udalostí

Systém

Typ udalosti

Chyba

Zdroj udalosti

Kdcsvc

Identifikačné číslo udalosti

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Text udalosti

Klient Kerberos neposkytol podporovaný typ šifrovania na použitie s protokolom PKINIT pomocou režimu šifrovania.

  • Hlavný názov klienta: <názov domény>\<názov klienta>

  • IP adresa klienta: IPv4/IPv6

  • Názov netBIOS poskytnuté klientom: %3

Denník udalostí

Systém

Typ udalosti

Upozornenie

Zdroj udalosti

Kdcsvc

Identifikačné číslo udalosti

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Text udalosti

Nekonformovaný klient PKINIT Kerberos overený v tomto dc. Overovanie bolo povolené, pretože bola nastavená funkcia KDCGlobalAllowDesFallBack. V budúcnosti tieto pripojenia zlyhajú pri overovaní. Identifikujte zariadenie a pozrite sa na inováciu implementácie protokolu Kerberos

  • Hlavný názov klienta: <názov domény>\<názov klienta>

  • IP adresa klienta: IPv4/IPv6

  • Názov netBIOS poskytnuté klientom: %3

Stav

Microsoft potvrdila, že ide o problém v produktoch Microsoft, ktoré sú uvedené v časti Vzťahuje sa na.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.