Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Simptome

Štampanje i skeniranje možda neće uspeti kada ovi uređaji koriste potvrdu identiteta pametne kartice (PIV). 

Beleške Uređaji na koje se utiče prilikom korišćenja potvrde identiteta pametne kartice (PIV) trebalo bi da rade kao što se očekuje prilikom korišćenja korisničkog imena i potvrde lozinke.

Izazvati

13. jula 2021. Microsoft je objavio oštke promene za CVE-2021-33764 Ovo može dovesti do ovog problema kada instalirate ispravke objavljene 13. jula 2021. ili novije verzije na kontroloru domena (DC).  Ugroženi uređaji su štampači za potvrdu identiteta pametne kartice, skeneri i višefunkcionalni uređaji koji ne podržavaju Diffie-Hellman (DH) za razmenu tastera tokom PKINIT Kerberos potvrde identiteta ili ne oglašavaju podršku za des-ede3-cbc ("triple DES") tokom zahteva Kerberos AS .

Po odeljku 3.2.1 specifikacije RFC 4556, da bi ova razmena ključeva funkcionisala, klijent mora da podrži i obavesti ključni distribucioni centar (KDC) o podršci za des-ede3-cbc ("triple DES"). Klijenti koji pokrenu Kerberos PKINIT sa razmenom ključeva u režimu šifrovanja, ali ne podržavaju i ne obaveštavaju KDC da podržava des-ede3-cbc ("triput DES"), biće odbijeni.

Da bi uređaji štampača i skenera bili usaglašni, moraju:

  • Koristite Diffie-Hellman za razmenu tastera tokom PKINIT Kerberos potvrde identiteta (željeno).

  • Ili, i jedno i drugo podržava i obaveštava KDC o njihovoj podršci za des-ede3-cbc ("triput DES").

Sledeći koraci

Ako naiđete na ovaj problem sa uređajima za štampanje ili skeniranje, proverite da li koristite najnoviji firmver i upravljačke programe dostupne za vaš uređaj. Ako su firmver i upravljački programi ažurirani, a i dalje nailazite na ovaj problem, preporučujemo da se obratite proizvođaču uređaja. Pitajte da li je potrebna promena konfiguracije da bi se uređaj usaglašio sa oštre promene za CVE-2021-33764 ili će usaglašena ispravka biti dostupna.

Ako trenutno ne postoji način da usaglasite uređaje sa odeljkom 3.2.1 specifikacije RFC 4556 kao što je neophodno za CVE-2021-33764, privremeno umanjivanje je sada dostupno dok radite sa proizvođačem uređaja za štampanje ili skeniranje kako bi se okruženje usaglašeno u okviru vremenske ose ispod.

Vaћno Morate da ažurirate i usaglašite uređaje bez ograničenja ili da ih zamenite do 12. jula 2022, kada privremeno ublaženje neće biti upotrebljivo u bezbednosnim ispravkama.

Važno obaveštenje

Sva privremena umanjivanja za ovaj scenario biće uklonjena u julu 2022. i avgustu 2022, u zavisnosti od verzije operativnog sistema Windows koju koristite (pogledajte tabelu ispod). U kasnijim ispravkama neće biti dodatne opcije za povratne informacije. Svi uređaji bez ograničenja moraju se identifikovati pomoću događaja nadzora počev od januara 2022 . i ažurirati ili zameniti uklanjanjem ublažavanja koje počinje krajem jula 2022. godine. 

Nakon jula 2022. uređaji koji nisu usaglašeni sa specifikacijom RFC 4456 i CVE-2021-33764 neće biti upotrebljivi uz ažurirani Windows uređaj.

Ciljni datum

Događaja

Odnosi se na

13. jul 2021.

Novosti objavljene uz oštke promene za CVE-2021-33764. Sva kasnija ažuriranja podrazumevano imaju ovu oteženu promenu.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

27. jul 2021.

Novosti je objavljena uz privremeno ublažavanje za rešavanje problema sa štampanjem i skeniranjem na bezuslovnim uređajima. Novosti je objavljena ovog datuma ili novije verzije, mora se instalirati na vašem DC-u i umanjivanje mora biti uključeno putem ključa registratora pomoću dolenavedenih koraka.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

29. jul 2021.

Novosti je objavljena uz privremeno ublažavanje za rešavanje problema sa štampanjem i skeniranjem na bezuslovnim uređajima. Novosti datuma ili novije verzije mora biti instalirano na vašem DC-u i umanjivanje mora biti uključeno putem ključa registratora pomoću dolenavedenih koraka.

Windows Server 2016

25. januar 2022.

Novosti evidentira događaje nadzora na Active Directory kontrolerima domena koji identifikuju štampače koji su RFC-4456 štampači koji ne uspevaju da potvrde identitet kada DCs instaliraju ispravke iz jula 2022/avgusta 2022. ili novije.

Windows Server 2022

Windows Server 2019

8. februar 2022.

Novosti evidentira događaje nadzora na Active Directory kontrolerima domena koji identifikuju štampače koji su RFC-4456 štampači koji ne uspevaju da potvrde identitet kada DCs instaliraju ispravke iz jula 2022/avgusta 2022. ili novije.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

21. jul 2022.

Opcionalno izdanje ažuriranja pregleda da biste uklonili privremeno umanjivanje kako biste zahtevali štampanje žalbi i skeniranje uređaja u okruženju.

Windows Server 2019

9. avgust 2022.

Vaћno Izdanje bezbednosnih ispravki da biste uklonili privremeno umanjivanje kako biste zahtevali štampanje žalbi i skeniranje uređaja u okruženju.

Sve ispravke objavljene ovog dana ili kasnije neće moći da koriste privremeno umanjivanje.

Štampači i skeneri za potvrdu identiteta pametne kartice moraju biti usaglašeni sa odeljkom 3.2.1 specifikacije RFC 4556 koja je potrebna za CVE-2021-33764 nakon instaliranja ovih ispravki ili novijih u active Directory kontroleru domena

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

Da biste koristili privremeno umanjivanje u okruženju, pratite ove korake na svim kontrolerima domena:

  1. U upravljačima domena postavite vrednost registratora privremenog umanjivanja navedenu ispod na 1 (omogući) pomoću uređivača registratora ili alatki za automatizaciju dostupne u vašem okruženju.

    Beleške Ovaj korak 1 može da se obavi pre ili posle koraka 2 i 3.

  2. Instalirajte ispravku koja omogućava privremeno umanjivanje dostupno u ispravkama objavljenim 27. jula 2021. ili novijim (ispod su prve ispravke koje omogućavaju privremeno umanjivanje):

  3. Ponovo pokrenite kontroler domena.

Vrednost registratora za privremeno umanjivanje:

Upozorenje Ako neispravno izmenite registrator pomoću uređivača registratora ili na neki drugi način, može doći do ozbiljnih problema. Zbog ovih problema ćete možda morati ponovo da instalirate operativni sistem. Microsoft garantuje da se ti problemi mogu rešiti. Registrator menjate na sopstveni rizik.

Potključ registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vrednost

Allow3DesFallback

Tip podataka

DWORD

Podataka

1 – Omogućavanje privremenog umanjivanja.

0 – Omogućavanje podrazumevanog ponašanja, zahtevanja uređaja da usaglaše sa odeljkom 3.2.1 specifikacije RFC 4556.

Potrebno je ponovno pokretanje?

Ne

Gorenavedeni ključ registratora može se kreirati, a vrednost i skup podataka pomoću sledeće komande:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Događaji nadzora

Windows ispravka od 25. januara 2022. i 8. februara 2022. dodaće i nove ID-ove događaja da bi pomogla u identifikovanje uređaja na koje ovo utiče.

Evidencija događaja

Sistem

Tip događaja

Greška

Izvor događaja

Kdcsvc

ID događaja

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Tekst događaja

Kerberos klijent nije obezbedio podržani tip šifrovanja za korišćenje sa PKINIT protokolom pomoću režima šifrovanja.

  • Glavno ime klijenta: <ime domena>\<ime klijenta>

  • IP adresa klijenta: IPv4/IPv6

  • Ime klijenta koje je obezbedio NetBIOS: %3

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

Kdcsvc

ID događaja

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Tekst događaja

Neuoblikovani PKINIT Kerberos klijent koji je potvrdio identitet za ovaj DC. Potvrda identiteta je dozvoljena zato što je postavljen KDCGlobalAllowDesFallBack. U budućnosti, ove veze neće uspeti da potvrde identitet. Identifikujte uređaj i potražite nadogradnju Kerberos primene

  • Glavno ime klijenta: <ime domena>\<ime klijenta>

  • IP adresa klijenta: IPv4/IPv6

  • Ime klijenta koje je obezbedio NetBIOS: %3

Status

Microsoft je potvrdio da je ovo problem u Microsoft koji su navedeni u odeljku "Odnosi se na".

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.