Simptome
Štampanje i skeniranje možda neće uspeti kada ovi uređaji koriste potvrdu identiteta pametne kartice (PIV).
Beleške Uređaji na koje se utiče prilikom korišćenja potvrde identiteta pametne kartice (PIV) trebalo bi da rade kao što se očekuje prilikom korišćenja korisničkog imena i potvrde lozinke.
Izazvati
13. jula 2021. Microsoft je objavio oštke promene za CVE-2021-33764 Ovo može dovesti do ovog problema kada instalirate ispravke objavljene 13. jula 2021. ili novije verzije na kontroloru domena (DC). Ugroženi uređaji su štampači za potvrdu identiteta pametne kartice, skeneri i višefunkcionalni uređaji koji ne podržavaju Diffie-Hellman (DH) za razmenu tastera tokom PKINIT Kerberos potvrde identiteta ili ne oglašavaju podršku za des-ede3-cbc ("triple DES") tokom zahteva Kerberos AS .
Po odeljku 3.2.1 specifikacije RFC 4556, da bi ova razmena ključeva funkcionisala, klijent mora da podrži i obavesti ključni distribucioni centar (KDC) o podršci za des-ede3-cbc ("triple DES"). Klijenti koji pokrenu Kerberos PKINIT sa razmenom ključeva u režimu šifrovanja, ali ne podržavaju i ne obaveštavaju KDC da podržava des-ede3-cbc ("triput DES"), biće odbijeni.
Da bi uređaji štampača i skenera bili usaglašni, moraju:
-
Koristite Diffie-Hellman za razmenu tastera tokom PKINIT Kerberos potvrde identiteta (željeno).
-
Ili, i jedno i drugo podržava i obaveštava KDC o njihovoj podršci za des-ede3-cbc ("triput DES").
Sledeći koraci
Ako naiđete na ovaj problem sa uređajima za štampanje ili skeniranje, proverite da li koristite najnoviji firmver i upravljačke programe dostupne za vaš uređaj. Ako su firmver i upravljački programi ažurirani, a i dalje nailazite na ovaj problem, preporučujemo da se obratite proizvođaču uređaja. Pitajte da li je potrebna promena konfiguracije da bi se uređaj usaglašio sa oštre promene za CVE-2021-33764 ili će usaglašena ispravka biti dostupna.
Ako trenutno ne postoji način da usaglasite uređaje sa odeljkom 3.2.1 specifikacije RFC 4556 kao što je neophodno za CVE-2021-33764, privremeno umanjivanje je sada dostupno dok radite sa proizvođačem uređaja za štampanje ili skeniranje kako bi se okruženje usaglašeno u okviru vremenske ose ispod.
Vaћno Morate da ažurirate i usaglašite uređaje bez ograničenja ili da ih zamenite do 12. jula 2022, kada privremeno ublaženje neće biti upotrebljivo u bezbednosnim ispravkama.
Važno obaveštenje
Sva privremena umanjivanja za ovaj scenario biće uklonjena u julu 2022. i avgustu 2022, u zavisnosti od verzije operativnog sistema Windows koju koristite (pogledajte tabelu ispod). U kasnijim ispravkama neće biti dodatne opcije za povratne informacije. Svi uređaji bez ograničenja moraju se identifikovati pomoću događaja nadzora počev od januara 2022 . i ažurirati ili zameniti uklanjanjem ublažavanja koje počinje krajem jula 2022. godine.
Nakon jula 2022. uređaji koji nisu usaglašeni sa specifikacijom RFC 4456 i CVE-2021-33764 neće biti upotrebljivi uz ažurirani Windows uređaj.
|
Ciljni datum |
Događaja |
Odnosi se na |
|
13. jul 2021. |
Novosti objavljene uz oštke promene za CVE-2021-33764. Sva kasnija ažuriranja podrazumevano imaju ovu oteženu promenu. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
27. jul 2021. |
Novosti je objavljena uz privremeno ublažavanje za rešavanje problema sa štampanjem i skeniranjem na bezuslovnim uređajima. Novosti je objavljena ovog datuma ili novije verzije, mora se instalirati na vašem DC-u i umanjivanje mora biti uključeno putem ključa registratora pomoću dolenavedenih koraka. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29. jul 2021. |
Novosti je objavljena uz privremeno ublažavanje za rešavanje problema sa štampanjem i skeniranjem na bezuslovnim uređajima. Novosti datuma ili novije verzije mora biti instalirano na vašem DC-u i umanjivanje mora biti uključeno putem ključa registratora pomoću dolenavedenih koraka. |
Windows Server 2016 |
|
25. januar 2022. |
Novosti evidentira događaje nadzora na Active Directory kontrolerima domena koji identifikuju štampače koji su RFC-4456 štampači koji ne uspevaju da potvrde identitet kada DCs instaliraju ispravke iz jula 2022/avgusta 2022. ili novije. |
Windows Server 2022 Windows Server 2019 |
|
8. februar 2022. |
Novosti evidentira događaje nadzora na Active Directory kontrolerima domena koji identifikuju štampače koji su RFC-4456 štampači koji ne uspevaju da potvrde identitet kada DCs instaliraju ispravke iz jula 2022/avgusta 2022. ili novije. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21. jul 2022. |
Opcionalno izdanje ažuriranja pregleda da biste uklonili privremeno umanjivanje kako biste zahtevali štampanje žalbi i skeniranje uređaja u okruženju. |
Windows Server 2019 |
|
9. avgust 2022. |
Vaћno Izdanje bezbednosnih ispravki da biste uklonili privremeno umanjivanje kako biste zahtevali štampanje žalbi i skeniranje uređaja u okruženju. Sve ispravke objavljene ovog dana ili kasnije neće moći da koriste privremeno umanjivanje. Štampači i skeneri za potvrdu identiteta pametne kartice moraju biti usaglašeni sa odeljkom 3.2.1 specifikacije RFC 4556 koja je potrebna za CVE-2021-33764 nakon instaliranja ovih ispravki ili novijih u active Directory kontroleru domena |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Da biste koristili privremeno umanjivanje u okruženju, pratite ove korake na svim kontrolerima domena:
-
U upravljačima domena postavite vrednost registratora privremenog umanjivanja navedenu ispod na 1 (omogući) pomoću uređivača registratora ili alatki za automatizaciju dostupne u vašem okruženju.
Beleške Ovaj korak 1 može da se obavi pre ili posle koraka 2 i 3.
-
Instalirajte ispravku koja omogućava privremeno umanjivanje dostupno u ispravkama objavljenim 27. jula 2021. ili novijim (ispod su prve ispravke koje omogućavaju privremeno umanjivanje):
-
Ponovo pokrenite kontroler domena.
Vrednost registratora za privremeno umanjivanje:
Upozorenje Ako neispravno izmenite registrator pomoću uređivača registratora ili na neki drugi način, može doći do ozbiljnih problema. Zbog ovih problema ćete možda morati ponovo da instalirate operativni sistem. Microsoft garantuje da se ti problemi mogu rešiti. Registrator menjate na sopstveni rizik.
|
Potključ registratora |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Vrednost |
Allow3DesFallback |
|
Tip podataka |
DWORD |
|
Podataka |
1 – Omogućavanje privremenog umanjivanja. 0 – Omogućavanje podrazumevanog ponašanja, zahtevanja uređaja da usaglaše sa odeljkom 3.2.1 specifikacije RFC 4556. |
|
Potrebno je ponovno pokretanje? |
Ne |
Gorenavedeni ključ registratora može se kreirati, a vrednost i skup podataka pomoću sledeće komande:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Događaji nadzora
Windows ispravka od 25. januara 2022. i 8. februara 2022. dodaće i nove ID-ove događaja da bi pomogla u identifikovanje uređaja na koje ovo utiče.
|
Evidencija događaja |
Sistem |
|
Tip događaja |
Greška |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Tekst događaja |
Kerberos klijent nije obezbedio podržani tip šifrovanja za korišćenje sa PKINIT protokolom pomoću režima šifrovanja.
|
|
Evidencija događaja |
Sistem |
|
Tip događaja |
Upozorenje |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Tekst događaja |
Neuoblikovani PKINIT Kerberos klijent koji je potvrdio identitet za ovaj DC. Potvrda identiteta je dozvoljena zato što je postavljen KDCGlobalAllowDesFallBack. U budućnosti, ove veze neće uspeti da potvrde identitet. Identifikujte uređaj i potražite nadogradnju Kerberos primene
|
Status
Microsoft je potvrdio da je ovo problem u Microsoft koji su navedeni u odeljku "Odnosi se na".
