Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

อาการ

การพิมพ์และการสแกนอาจล้มเหลวเมื่ออุปกรณ์เหล่านี้ใช้การรับรองความถูกต้องของสมาร์ทการ์ด (PIV) 

หมายเหตุ อุปกรณ์ที่ได้รับผลกระทบเมื่อใช้การรับรองความถูกต้องสมาร์ทการ์ด (PIV) ควรทํางานตามที่คาดไว้เมื่อใช้การรับรองความถูกต้องชื่อผู้ใช้และรหัสผ่าน

สาเหตุ

ในวันที่ 13 กรกฎาคม 2021 Microsoftเผยแพร่การเปลี่ยนแปลงการชุบแข็งสําหรับ CVE-2021-33764 ซึ่งอาจทําให้เกิดปัญหานี้เมื่อคุณติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 13 กรกฎาคม 2021 หรือเวอร์ชันที่ใหม่กว่าบนตัวควบคุมโดเมน (DC)  อุปกรณ์ที่ได้รับผลกระทบคือสมาร์ทการ์ดที่รับรองความถูกต้องของเครื่องพิมพ์ สแกนเนอร์ และอุปกรณ์มัลติฟังก์ชันที่ไม่สนับสนุนDiffie-Hellman (DH) สําหรับการแลกเปลี่ยนคีย์ระหว่างการรับรองความถูกต้อง PKINIT Kerberos หรือไม่ได้โฆษณาการสนับสนุนสําหรับ des-ede3-cbc ("สาม DES") ระหว่างการร้องขอ Kerberos AS

ตามส่วนที่ 3.2.1 ของข้อมูลจําเพาะ RFC 4556 สําหรับการแลกเปลี่ยนที่สําคัญนี้ในการทํางาน ลูกค้าต้องสนับสนุนและแจ้งศูนย์การแจกจ่ายหลัก (KDC) ของการสนับสนุน des-ede3-cbc ("triple DES") ไคลเอ็นต์ที่เริ่มต้น Kerberos PKINIT ด้วยการแลกเปลี่ยนคีย์ในโหมดการเข้ารหัส แต่ไม่สนับสนุนหรือบอก KDC ว่าพวกเขาสนับสนุน des-ede3-cbc ("triple DES") จะถูกปฏิเสธ

เพื่อให้อุปกรณ์ไคลเอ็นต์ของเครื่องพิมพ์และสแกนเนอร์เป็นไปตามข้อกําหนด จะต้องทําอย่างใดอย่างหนึ่งต่อไปนี้:

  • ใช้Diffie-Hellmanสําหรับการแลกเปลี่ยนคีย์ระหว่างการรับรองความถูกต้อง PKINIT Kerberos (แนะนํา)

  • หรือทั้งการสนับสนุนและแจ้ง KDC ถึงการสนับสนุน des-ede3-cbc ("triple DES")

ขั้นตอนต่อไป

หากคุณพบปัญหานี้กับอุปกรณ์การพิมพ์หรือการสแกนของคุณ ตรวจสอบว่าคุณกําลังใช้เฟิร์มแวร์และโปรแกรมควบคุมล่าสุดที่พร้อมใช้งานสําหรับอุปกรณ์ของคุณ หากเฟิร์มแวร์และโปรแกรมควบคุมของคุณทันสมัยอยู่เสมอ และคุณยังคงพบปัญหานี้ เราขอแนะนําให้คุณติดต่อผู้ผลิตอุปกรณ์ ถามว่าจําเป็นต้องมีการเปลี่ยนแปลงการกําหนดค่าเพื่อให้อุปกรณ์เป็นไปตามการเปลี่ยนแปลงการชุบแข็งสําหรับ CVE-2021-33764 หรือไม่ หรือการอัปเดตที่เข้ากันได้จะพร้อมใช้งาน

หากในปัจจุบันยังไม่มีวิธีที่จะทําให้อุปกรณ์ของคุณปฏิบัติตามข้อกําหนดของส่วน 3.2.1 ของ ข้อมูลจําเพาะ RFC 4556 ตามที่จําเป็นสําหรับ CVE-2021-33764 ขณะนี้การลดปัญหาชั่วคราวจะพร้อมใช้งานในขณะที่คุณทํางานกับผู้ผลิตอุปกรณ์การพิมพ์หรือการสแกนของคุณเพื่อนําสภาพแวดล้อมของคุณให้สอดคล้องกับข้อกําหนดภายในไทม์ไลน์ด้านล่าง

สำคัญ คุณต้องอัปเดตและปฏิบัติตามหรือเปลี่ยนอุปกรณ์ที่ไม่เป็นไปตามข้อกําหนดของคุณภายในวันที่ 12 กรกฎาคม 2022 เมื่อการแก้ไขชั่วคราวจะไม่สามารถใช้ได้ในการอัปเดตความปลอดภัย

ประกาศสําคัญ

การลดปัญหาชั่วคราวทั้งหมดสําหรับสถานการณ์นี้จะถูกลบออกในเดือนกรกฎาคม 2022 และสิงหาคม 2022 ขึ้นอยู่กับเวอร์ชันของ Windows ที่คุณใช้ (ดูตารางด้านล่าง) จะไม่มีตัวเลือกย้อนกลับเพิ่มเติมในการอัปเดตในภายหลัง อุปกรณ์ที่ไม่ตรงตามมาตรฐานทั้งหมดต้องระบุโดยใช้ เหตุการณ์การตรวจสอบตั้งแต่เดือนมกราคม 2022 และอัปเดตหรือแทนที่ด้วย การลบการลดปัญหาโดยเริ่มตั้งแต่ปลายเดือนกรกฎาคม 2022 

หลังจากเดือนกรกฎาคม 2022 อุปกรณ์ที่ไม่สอดคล้องกับข้อมูลจําเพาะ RFC 4456 และ CVE-2021-33764 จะไม่สามารถใช้ได้กับอุปกรณ์ Windows ที่อัปเดตแล้ว

วันที่เป้าหมาย

เหตุการณ์

นำไปใช้กับ

13 กรกฎาคม 2021

Updatesที่เผยแพร่พร้อมการเปลี่ยนแปลงการชุบแข็งสําหรับ CVE-2021-33764 การอัปเดตในภายหลังทั้งหมดมีการเปลี่ยนแปลงการเพิ่มความแข็งแกร่งนี้ตามค่าเริ่มต้น

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows เซิร์ฟเวอร์ 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

วันที่ 27 กรกฎาคม 2564

Updatesที่ออกพร้อมการลดปัญหาชั่วคราวเพื่อแก้ไขปัญหาการพิมพ์และการสแกนบนอุปกรณ์ที่ไม่สอดคล้อง Updatesที่เผยแพร่ในวันที่นี้หรือใหม่กว่าต้องติดตั้งบน DC ของคุณ และการแก้ไขต้องเปิดผ่านทางรีจิสทรีคีย์โดยใช้ขั้นตอนด้านล่าง

Windows Server 2019

Windows Server 2012 R2

Windows เซิร์ฟเวอร์ 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

วันที่ 29 กรกฎาคม 2564

Updatesที่ออกพร้อมการลดปัญหาชั่วคราวเพื่อแก้ไขปัญหาการพิมพ์และการสแกนบนอุปกรณ์ที่ไม่สอดคล้อง Updatesที่เผยแพร่ในวันที่นี้หรือใหม่กว่าต้องติดตั้งบน DC ของคุณ และการแก้ไขต้องเปิดผ่านทางรีจิสทรีคีย์โดยใช้ขั้นตอนด้านล่าง

Windows Server 2016

วันที่ 25 มกราคม 2565

Updatesจะบันทึกเหตุการณ์การตรวจสอบบนตัวควบคุมโดเมน Active Directory ที่ระบุเครื่องพิมพ์ที่เป็นเครื่องพิมพ์ที่เข้ากันไม่ได้ RFC-4456 ที่ล้มเหลวในการรับรองความถูกต้องเมื่อ DC ติดตั้งการอัปเดตเดือนกรกฎาคม 2022/สิงหาคม 2022 หรือใหม่กว่า

Windows Server 2022

Windows Server 2019

วันที่ 8 กุมภาพันธ์ 2565

Updatesจะบันทึกเหตุการณ์การตรวจสอบบนตัวควบคุมโดเมน Active Directory ที่ระบุเครื่องพิมพ์ที่เป็นเครื่องพิมพ์ที่เข้ากันไม่ได้ RFC-4456 ที่ล้มเหลวในการรับรองความถูกต้องเมื่อ DC ติดตั้งการอัปเดตเดือนกรกฎาคม 2022/สิงหาคม 2022 หรือใหม่กว่า

Windows Server 2016

Windows Server 2012 R2

Windows เซิร์ฟเวอร์ 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

วันที่ 21 กรกฎาคม 2565

การเผยแพร่การอัปเดตตัวอย่างเพิ่มเติมเพื่อลบการบรรเทาชั่วคราวเพื่อกําหนดให้ต้องมีการพิมพ์การร้องเรียนและการสแกนอุปกรณ์ในสภาพแวดล้อมของคุณ

Windows Server 2019

วันที่ 9 สิงหาคม 2565

สำคัญ การเผยแพร่การอัปเดตความปลอดภัยเพื่อลบการบรรเทาชั่วคราวเพื่อกําหนดให้ต้องมีการพิมพ์คําร้องเรียนและการสแกนอุปกรณ์ในสภาพแวดล้อมของคุณ

การอัปเดตทั้งหมดที่เผยแพร่ในวันนี้หรือหลังจากนั้นจะไม่สามารถใช้การบรรเทาชั่วคราวได้

เครื่องพิมพ์และสแกนเนอร์ที่รับรองความถูกต้องของสมาร์ทการ์ดต้องเป็นไปตามส่วน 3.2.1 ของ ข้อมูลจําเพาะ RFC 4556 ที่จําเป็นสําหรับ CVE-2021-33764 หลังจากติดตั้งการอัปเดตเหล่านี้หรือใหม่กว่าบนตัวควบคุมโดเมน Active Directory

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows เซิร์ฟเวอร์ 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

เมื่อต้องการใช้การลดปัญหาชั่วคราวในสภาพแวดล้อมของคุณ ให้ทําตามขั้นตอนเหล่านี้บนตัวควบคุมโดเมนทั้งหมด:

  1. บนตัวควบคุมโดเมน ให้ตั้งค่ารีจิสทรีการลดชั่วคราวที่แสดงรายการด้านล่างเป็น 1 (เปิดใช้งาน) โดยใช้ Registry Editor หรือเครื่องมือการทํางานอัตโนมัติที่มีอยู่ในสภาพแวดล้อมของคุณ

    หมายเหตุ ขั้นตอนที่ 1 สามารถทําได้ก่อนหรือหลังขั้นตอนที่ 2 และ 3

  2. ติดตั้งการอัปเดตที่อนุญาตให้การแก้ไขชั่วคราวพร้อมใช้งานในการอัปเดตที่เผยแพร่เมื่อวันที่ 27 กรกฎาคม 2021 หรือใหม่กว่า (ด้านล่างเป็นการอัปเดตแรกที่อนุญาตให้การแก้ไขชั่วคราว):

  3. รีสตาร์ตตัวควบคุมโดเมนของคุณ

ค่ารีจิสทรีสําหรับการลดปัญหาชั่วคราว:

คำเตือน ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้องโดยใช้ Registry Editor หรือใช้วิธีอื่น ปัญหาเหล่านี้อาจทําให้คุณต้องติดตั้งระบบปฏิบัติการใหม่ Microsoftไม่สามารถรับประกันได้ว่าปัญหาเหล่านี้จะสามารถแก้ไขได้ คุณต้องยอมรับความเสี่ยงในการปรับเปลี่ยนรีจิสทรีด้วยตนเอง

คีย์ย่อยรีจิสทรี

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

ค่า

Allow3DesFallback

ชนิดข้อมูล

DWORD

ข้อมูล

1 – เปิดใช้งานการบรรเทาชั่วคราว

0 – เปิดใช้งานลักษณะการทํางานเริ่มต้น ซึ่งกําหนดให้อุปกรณ์ของคุณต้องปฏิบัติตามข้อกําหนดของ RFC 4556 ส่วนที่ 3.2.1

จําเป็นต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่

ไม่ใช่

สามารถสร้างรีจิสทรีคีย์ด้านบนและค่าและชุดข้อมูลโดยใช้คําสั่งต่อไปนี้:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

เหตุการณ์การตรวจสอบ

Windows Update ของวันที่ 25 มกราคม 2022 และ 8 กุมภาพันธ์ 2022 จะเพิ่มรหัสเหตุการณ์ใหม่เพื่อช่วยระบุอุปกรณ์ที่ได้รับผลกระทบ

บันทึกเหตุการณ์

ระบบ

ชนิดเหตุการณ์

ข้อผิดพลาด

แหล่งของเหตุการณ์

Kdcsvc

ID เหตุการณ์

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

ข้อความเหตุการณ์

ไคลเอ็นต์ Kerberos ไม่ได้ให้ชนิดการเข้ารหัสลับที่สนับสนุนสําหรับใช้กับโพรโทคอล PKINIT โดยใช้โหมดการเข้ารหัสลับ

  • ชื่อหลักไคลเอ็นต์: <ชื่อโดเมน>\ ชื่อไคลเอ็นต์<>

  • ที่อยู่ IP ไคลเอ็นต์: IPv4/IPv6

  • ชื่อ NetBIOS ที่ไคลเอ็นต์ระบุ: %3

บันทึกเหตุการณ์

ระบบ

ชนิดเหตุการณ์

คำเตือน

แหล่งของเหตุการณ์

Kdcsvc

ID เหตุการณ์

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

ข้อความเหตุการณ์

ไคลเอ็นต์ PKINIT Kerberos ที่ไม่สอดคล้องกันได้รับการรับรองความถูกต้องกับ DC นี้ อนุญาตการรับรองความถูกต้องเนื่องจาก KDCGlobalAllowDesFallBack ถูกตั้งค่าแล้ว ในอนาคต การเชื่อมต่อเหล่านี้จะล้มเหลวในการรับรองความถูกต้อง ระบุอุปกรณ์และดูเพื่ออัปเกรดการใช้งาน Kerberos

  • ชื่อหลักไคลเอ็นต์: <ชื่อโดเมน>\ ชื่อไคลเอ็นต์<>

  • ที่อยู่ IP ไคลเอ็นต์: IPv4/IPv6

  • ชื่อ NetBIOS ที่ไคลเอ็นต์ระบุ: %3

สถานะ

Microsoftยืนยันว่าปัญหานี้เป็นปัญหาที่เกิดขึ้นกับผลิตภัณฑ์Microsoftที่แสดงในส่วน "นําไปใช้กับ"

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย