Príznaky
Tlač a skenovanie môže zlyhať, keď tieto zariadenia používajú overovanie pomocou karty Smart Card (PIV).
Poznámka Zariadenia, ktoré majú vplyv na používanie overovania pomocou karty Smart Card (PIV), by mali fungovať podľa očakávaní pri používaní mena používateľa a overovania heslom.
Príčina
13. júla 2021 Microsoft vydala sprísňujúce zmeny pre CVE-2021-33764 To môže spôsobiť tento problém pri inštalácii aktualizácií vydaných 13. júla 2021 alebo novších verzií na radiči domény (DC). Dotknuté zariadenia overujú tlačiarne, skenery a multifunkčné zariadenia, ktoré nepodporujú Diffie-Hellman (DH) na výmenu kľúčov počas overovania PKINIT Kerberos, alebo neinzerujú podporu pre des-ede3-cbc ("triple DES") počas požiadavky Kerberos AS .
Podľa oddielu 3.2.1 špecifikácie RFC 4556, aby táto výmena kľúčov fungovala, musí klient podporovať a informovať kľúčové distribučné centrum (KDC) o svojej podpore des-ede3-cbc ("triple DES"). Klienti, ktorí inicializujú protokol Kerberos PKINIT pomocou výmeny kľúčov v režime šifrovania, ale nepodporujú ani neupoviete KDC, že podporujú des-ede3-cbc ("triple DES"), budú odmietnutí.
Ak majú byť klientske zariadenia tlačiarne a skenera kompatibilné, musia:
-
Používajte Diffie-Hellman na výmenu kľúčov počas overovania PKINIT Kerberos (preferované).
-
Alebo podporu a oznámenie KDC o ich podporu des-ede3-cbc ("triple DES").
Ďalšie kroky
Ak sa vyskytne tento problém s tlačiarňami alebo skenovacími zariadeniami, overte, či používate najnovší firmvér a ovládače, ktoré sú k dispozícii pre vaše zariadenie. Ak je váš firmvér a ovládače aktuálne a problém sa stále vyskytuje, odporúčame kontaktovať výrobcu zariadenia. Opýtajte sa, či je potrebná zmena konfigurácie, aby zariadenie dodržiavalo súlad so zmenou stvrdnutia pre CVE-2021-33764 alebo či bude k dispozícii kompatibilná aktualizácia.
Ak v súčasnosti neexistuje spôsob, ako dosiahnuť súlad zariadení s oddielom 3.2.1 špecifikácie RFC 4556 , ako sa vyžaduje pre CVE-2021-33764, počas práce s výrobcom tlačiarní alebo skenovacieho zariadenia je teraz k dispozícii dočasné zmiernenie, aby vaše prostredie bolo v súlade s časovou osou nižšie.
Dôležité Ak dočasné obmedzenie rizík nebude použiteľné v aktualizáciách zabezpečenia, musíte mať svoje nekompilovateľné zariadenia aktualizované a kompatibilné alebo nahradené do 12. júla 2022.
Dôležité upozornenie
Všetky dočasné zmiernenia tohto scenára sa odstránia v júli 2022 a auguste 2022 v závislosti od používanej verzie Windowsu (pozrite tabuľku nižšie). V neskorších aktualizáciách už nebude k dispozícii žiadna záložná možnosť. Všetky nekomplikantné zariadenia musia byť identifikované pomocou udalostí auditu od januára 2022 a aktualizované alebo nahradené odstránením zmiernenia od konca júla 2022.
Po júli 2022 zariadenia, ktoré nie sú v súlade so špecifikáciou RFC 4456 a CVE-2021-33764, nebudú použiteľné s aktualizovaným zariadením s Windowsom.
Cieľový dátum |
Udalosť |
Vzťahuje sa na |
13. júla 2021 |
Aktualizácie vydané s kalením zmien pre CVE-2021-33764. Všetky neskoršie aktualizácie majú túto vydýchnutú zmenu predvolene zapnutú. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
27. júla 2021 |
Aktualizácie vydaná s dočasným zmiernením na riešenie problémov s tlačou a skenovaním v nekompilantných zariadeniach. Aktualizácie vydané k tomuto dátumu alebo novšej verzii, musia byť nainštalované v dc a obmedzenie rizík musí byť zapnuté prostredníctvom kľúča databázy Registry pomocou nižšie uvedených krokov. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
29. júla 2021 |
Aktualizácie vydaná s dočasným zmiernením na riešenie problémov s tlačou a skenovaním v nekompilantných zariadeniach. Aktualizácie vydanie k tomuto dátumu alebo novšej verzii musí byť nainštalované v dc a zmiernenie musí byť zapnuté prostredníctvom kľúča databázy Registry pomocou nižšie uvedených krokov. |
Windows Server 2016 |
25. januára 2022 |
Aktualizácie zaznamená udalosti auditu v radičoch domény služby Active Directory, ktoré identifikujú tlačiarne, ktoré sú nekompatibilnými tlačiarňami RFC-4456, ktoré zlyhajú pri overovaní po inštalácii aktualizácií z júla 2022/augusta 2022 alebo novšej. |
Windows Server 2022 Windows Server 2019 |
8. februára 2022 |
Aktualizácie zaznamená udalosti auditu v radičoch domény služby Active Directory, ktoré identifikujú tlačiarne, ktoré sú nekompatibilnými tlačiarňami RFC-4456, ktoré zlyhajú pri overovaní po inštalácii aktualizácií z júla 2022/augusta 2022 alebo novšej. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
21. júla 2022 |
Voliteľné vydanie aktualizácie verzie Preview na odstránenie dočasného zmiernenia, ktoré vyžaduje tlač sťažností a skenovanie zariadení vo vašom prostredí. |
Windows Server 2019 |
9. augusta 2022 |
Dôležité Vydanie aktualizácie zabezpečenia na odstránenie dočasného zmiernenia, ktoré vyžaduje tlač sťažností a skenovanie zariadení vo vašom prostredí. Všetky aktualizácie vydané v tento deň alebo neskôr nebudú môcť používať dočasné obmedzenie rizík. Tlačiarne a skenery overujúce karty SmartCard musia byť kompatibilné s oddielom 3.2.1 špecifikácie RFC 4556 požadovanej pre CVE-2021-33764 po inštalácii týchto aktualizácií alebo novšej verzie v radičoch domény služby Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Ak chcete vo svojom prostredí použiť dočasné obmedzenie rizík, postupujte podľa týchto krokov vo všetkých radičoch domény:
-
V radičoch domény nastavte hodnotu dočasného obmedzenia rizík databázy Registry uvedenú nižšie na hodnotu 1 (povoliť) pomocou Editora databázy Registry alebo nástrojov automatizácie, ktoré sú k dispozícii vo vašom prostredí.
Poznámka Tento krok 1 možno vykonať pred alebo po krokoch 2 a 3.
-
Nainštalujte aktualizáciu, ktorá umožňuje dočasné obmedzenie rizík dostupné v aktualizáciách vydaných 27. júla 2021 alebo novších (nižšie sú uvedené prvé aktualizácie, ktoré umožňujú dočasné zmiernenie rizík):
-
Reštartujte radič domény.
Hodnota databázy Registry pre dočasné obmedzenie rizík:
Upozornenie Ak databázu Registry upravíte nesprávne pomocou Editora databázy Registry alebo iným spôsobom, môžu sa vyskytnúť závažné problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Microsoft nemôže zaručiť, že tieto problémy možno vyriešiť. Databázu Registry upravujete na vlastné riziko.
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Hodnota |
Allow3DesFallback |
Typ údajov |
DWORD |
Údaje |
1 – Povoľte dočasné zmiernenie. 0 – Povoľte predvolené správanie, ktoré vyžaduje, aby vaše zariadenia dodržiavali súlad s oddielom 3.2.1 špecifikácie RFC 4556. |
Vyžaduje sa reštartovanie? |
Nie |
Vyššie uvedený kľúč databázy Registry je možné vytvoriť a hodnotu a množinu údajov môžete vytvoriť pomocou nasledujúceho príkazu:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Udalosti auditovania
Aktualizácia Windowsu z 25. januára 2022 a 8. februára 2022 pridá aj nové ID udalostí, ktoré pomôžu identifikovať dotknuté zariadenia.
Denník udalostí |
Systém |
Typ udalosti |
Chyba |
Zdroj udalosti |
Kdcsvc |
Identifikačné číslo udalosti |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Text udalosti |
Klient Kerberos neposkytol podporovaný typ šifrovania na použitie s protokolom PKINIT pomocou režimu šifrovania.
|
Denník udalostí |
Systém |
Typ udalosti |
Upozornenie |
Zdroj udalosti |
Kdcsvc |
Identifikačné číslo udalosti |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Text udalosti |
Nekonformovaný klient PKINIT Kerberos overený v tomto dc. Overovanie bolo povolené, pretože bola nastavená funkcia KDCGlobalAllowDesFallBack. V budúcnosti tieto pripojenia zlyhajú pri overovaní. Identifikujte zariadenie a pozrite sa na inováciu implementácie protokolu Kerberos
|
Stav
Microsoft potvrdila, že ide o problém v produktoch Microsoft, ktoré sú uvedené v časti Vzťahuje sa na.