Symtom
Utskrift och genomsökning kan misslyckas när dessa enheter använder autentisering med smartkort (PIV).
Obs! Enheter som påverkas när du använder smartkortsautentisering (PIV) bör fungera som förväntat när du använder användarnamn och lösenordsautentisering.
Orsak
Den 13 juli 2021 släppte Microsoft härdningsändringar för CVE-2021-33764 Detta kan orsaka problemet när du installerar uppdateringar som släpptes 13 juli 2021 eller senare versioner på en domänkontrollant (DC). De enheter som påverkas är smartkort som autentiserar skrivare, skannrar och multifunktionsenheter som inte stöder antingen Diffie-Hellman (DH) för nyckelutbyte under PKINIT Kerberos-autentisering eller som inte annonserar stöd för des-ede3-cbc ("triple DES") under Kerberos AS-begäran .
Enligt avsnitt 3.2.1 i RFC 4556-specifikationen måste klienten både stödja och meddela nyckeldistributionscentret (KDC) om deras stöd för des-ede3-cbc ("triple DES"). Klienter som initierar Kerberos PKINIT med nyckelutbyte i krypteringsläge men varken stöder eller säger till KDC att de stöder des-ede3-cbc ("triple DES"), kommer att avvisas.
För att skrivar- och skannerklientenheter ska vara kompatibla måste de antingen:
-
Använd Diffie-Hellman för nyckelutbyte under PKINIT Kerberos-autentisering (standard).
-
Du kan också både stödja och meddela KDC om deras stöd för des-ede3-cbc ("triple DES").
Nästa steg
Om du stöter på det här problemet med dina utskrifts- eller skanningsenheter kontrollerar du att du använder den senaste inbyggda programvaran och drivrutinerna som är tillgängliga för enheten. Om den inbyggda programvaran och drivrutinerna är uppdaterade och du fortfarande stöter på det här problemet rekommenderar vi att du kontaktar enhetstillverkaren. Fråga om en konfigurationsändring krävs för att enheten ska följa härdningsändringen för CVE-2021-33764 eller om en kompatibel uppdatering kommer att göras tillgänglig.
Om det för närvarande inte finns något sätt att anpassa dina enheter till avsnitt 3.2.1 i RFC 4556-specifikationen som krävs för CVE-2021-33764, finns nu en tillfällig lösning tillgänglig när du arbetar med tillverkaren av utskrifts- eller skanningsenheten för att anpassa din miljö inom tidslinjen nedan.
Viktigt! Du måste ha alla enheter som inte är kompatibla uppdaterade och kompatibla eller ersatta den 12 juli 2022, när den tillfälliga begränsningen inte kan användas i säkerhetsuppdateringar.
Viktigt meddelande
Alla tillfälliga lösningar för det här scenariot tas bort i juli 2022 och augusti 2022, beroende på vilken version av Windows du använder (se tabellen nedan). Det kommer inte att finnas något ytterligare reservalternativ i senare uppdateringar. Alla enheter som inte är kompatibla måste identifieras med hjälp av granskningshändelserna från och med januari 2022 och uppdateras eller ersättas med åtgärdsborttagningen från och med slutet av juli 2022.
Efter juli 2022 kan enheter som inte följer RFC 4456-specifikationen och CVE-2021-33764 inte användas med en uppdaterad Windows-enhet.
|
Måldatum |
Händelse |
Gäller för |
|
13 juli 2021 |
Uppdateringar släppt med härdningsändringar för CVE-2021-33764. Den härdningsändringen är aktiverad som standard i alla senare uppdateringar. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
den 27 juli 2021 |
Uppdateringar som släppts med tillfällig begränsning för att åtgärda problem med utskrift och skanning på enheter som inte är kompatibla. Uppdateringar som släpptes det här datumet eller senare måste installeras på din domänkontrollant och begränsningen måste aktiveras via registernyckeln enligt stegen nedan. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
den 29 juli 2021 |
Uppdateringar som släppts med tillfällig begränsning för att åtgärda problem med utskrift och skanning på enheter som inte är kompatibla. Uppdateringar version på detta datum eller senare måste installeras på din domänkontrollant och begränsningen måste aktiveras via registernyckeln enligt stegen nedan. |
Windows Server 2016 |
|
den 25 januari 2022 |
Uppdateringar loggar granskningshändelser på Active Directory-domänkontrollanter som identifierar skrivare som är RFC-4456-inkompatibla skrivare som inte är kompatibla skrivare som inte kan autentisering när DC:er installerar uppdateringarna för juli 2022/augusti 2022 eller senare. |
Windows Server 2022 Windows Server 2019 |
|
den 8 februari 2022 |
Uppdateringar loggar granskningshändelser på Active Directory-domänkontrollanter som identifierar skrivare som är RFC-4456-inkompatibla skrivare som inte är kompatibla skrivare som inte kan autentisering när DC:er installerar uppdateringarna för juli 2022/augusti 2022 eller senare. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
den 21 juli 2022 |
Valfri förhandsversionsuppdatering för att ta bort tillfälliga åtgärder för att kräva att klagomålsutskrifts- och skanningsenheter krävs i din miljö. |
Windows Server 2019 |
|
den 9 augusti 2022 |
Viktigt! Säkerhetsuppdatering för att ta bort tillfälliga åtgärder för att kräva att klagomålsutskrifts- och skanningsenheter krävs i din miljö. Alla uppdateringar som släpps den här dagen eller senare kan inte använda den tillfälliga begränsningen. Smartcard-autentiserande skrivare och skannrar måste vara kompatibla med avsnitt 3.2.1 i RFC 4556-specifikationen som krävs för CVE-2021-33764 efter installation av dessa uppdateringar eller senare på Active Directory-domänkontrollanter |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Följ de här stegen på alla domänkontrollanter om du vill använda den tillfälliga begränsningen i din miljö:
-
På domänkontrollanterna anger du värdet 1 (aktivera) för registret med hjälp av Registereditorn eller automatiseringsverktygen som är tillgängliga i miljön.
Obs! Det här steget 1 kan utföras före eller efter steg 2 och 3.
-
Installera en uppdatering som tillåter den tillfälliga begränsning som är tillgänglig i uppdateringar som släpptes 27 juli 2021 eller senare (nedan är de första uppdateringarna som tillåter den tillfälliga begränsningen):
-
Starta om domänkontrollanten.
Registervärde för tillfällig åtgärd:
Varning! Om du ändrar i registret på fel sätt med Registereditorn eller någon annan metod kan det orsaka allvarliga problem. De här problemen kan innebära att du måste installera om operativsystemet. Microsoft kan inte garantera att dessa problem kan lösas. Du ändrar registret på egen risk.
|
Registerundernyckel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Värde |
Allow3DesFallback |
|
Datatyp |
DWORD |
|
Data |
1 – Aktivera tillfällig begränsning. 0 – Aktivera standardbeteende, vilket kräver att dina enheter följer avsnitt 3.2.1 i RFC 4556-specifikationen. |
|
Krävs en omstart? |
Nej |
Registernyckeln ovan kan skapas och värdet och datauppsättningen med följande kommando:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Granskningshändelser
Windows-uppdateringen från 25 januari 2022 och 8 februari 2022 lägger också till nya händelse-ID:er för att identifiera berörda enheter.
|
Händelselogg |
System |
|
Händelsetyp |
Fel |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Händelsetext |
Kerberos-klienten angav inte en krypteringstyp som stöds för användning med PKINIT-protokollet i krypteringsläge.
|
|
Händelselogg |
System |
|
Händelsetyp |
Varning |
|
Händelsekälla |
Kdcsvc |
|
Händelse-ID |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Händelsetext |
En icke-konform PKINIT Kerberos-klient autentiserad till den här domänkontrollanten. Autentiseringen tilläts eftersom KDCGlobalAllowDesFallBack angavs. I framtiden kommer dessa anslutningar att misslyckas med autentiseringen. Identifiera enheten och se om du vill uppgradera Kerberos-implementeringen
|
Status
Microsoft har bekräftat att detta är ett problem i de Microsoft produkter som anges i avsnittet "Gäller för".
