อาการ
การพิมพ์และการสแกนอาจล้มเหลวเมื่ออุปกรณ์เหล่านี้ใช้การรับรองความถูกต้องของสมาร์ทการ์ด (PIV)
หมายเหตุ อุปกรณ์ที่ได้รับผลกระทบเมื่อใช้การรับรองความถูกต้องสมาร์ทการ์ด (PIV) ควรทํางานตามที่คาดไว้เมื่อใช้การรับรองความถูกต้องชื่อผู้ใช้และรหัสผ่าน
สาเหตุ
ในวันที่ 13 กรกฎาคม 2021 Microsoftเผยแพร่การเปลี่ยนแปลงการชุบแข็งสําหรับ CVE-2021-33764 ซึ่งอาจทําให้เกิดปัญหานี้เมื่อคุณติดตั้งการอัปเดตที่เผยแพร่เมื่อวันที่ 13 กรกฎาคม 2021 หรือเวอร์ชันที่ใหม่กว่าบนตัวควบคุมโดเมน (DC) อุปกรณ์ที่ได้รับผลกระทบคือสมาร์ทการ์ดที่รับรองความถูกต้องของเครื่องพิมพ์ สแกนเนอร์ และอุปกรณ์มัลติฟังก์ชันที่ไม่สนับสนุนDiffie-Hellman (DH) สําหรับการแลกเปลี่ยนคีย์ระหว่างการรับรองความถูกต้อง PKINIT Kerberos หรือไม่ได้โฆษณาการสนับสนุนสําหรับ des-ede3-cbc ("สาม DES") ระหว่างการร้องขอ Kerberos AS
ตามส่วนที่ 3.2.1 ของข้อมูลจําเพาะ RFC 4556 สําหรับการแลกเปลี่ยนที่สําคัญนี้ในการทํางาน ลูกค้าต้องสนับสนุนและแจ้งศูนย์การแจกจ่ายหลัก (KDC) ของการสนับสนุน des-ede3-cbc ("triple DES") ไคลเอ็นต์ที่เริ่มต้น Kerberos PKINIT ด้วยการแลกเปลี่ยนคีย์ในโหมดการเข้ารหัส แต่ไม่สนับสนุนหรือบอก KDC ว่าพวกเขาสนับสนุน des-ede3-cbc ("triple DES") จะถูกปฏิเสธ
เพื่อให้อุปกรณ์ไคลเอ็นต์ของเครื่องพิมพ์และสแกนเนอร์เป็นไปตามข้อกําหนด จะต้องทําอย่างใดอย่างหนึ่งต่อไปนี้:
-
ใช้Diffie-Hellmanสําหรับการแลกเปลี่ยนคีย์ระหว่างการรับรองความถูกต้อง PKINIT Kerberos (แนะนํา)
-
หรือทั้งการสนับสนุนและแจ้ง KDC ถึงการสนับสนุน des-ede3-cbc ("triple DES")
ขั้นตอนต่อไป
หากคุณพบปัญหานี้กับอุปกรณ์การพิมพ์หรือการสแกนของคุณ ตรวจสอบว่าคุณกําลังใช้เฟิร์มแวร์และโปรแกรมควบคุมล่าสุดที่พร้อมใช้งานสําหรับอุปกรณ์ของคุณ หากเฟิร์มแวร์และโปรแกรมควบคุมของคุณทันสมัยอยู่เสมอ และคุณยังคงพบปัญหานี้ เราขอแนะนําให้คุณติดต่อผู้ผลิตอุปกรณ์ ถามว่าจําเป็นต้องมีการเปลี่ยนแปลงการกําหนดค่าเพื่อให้อุปกรณ์เป็นไปตามการเปลี่ยนแปลงการชุบแข็งสําหรับ CVE-2021-33764 หรือไม่ หรือการอัปเดตที่เข้ากันได้จะพร้อมใช้งาน
หากในปัจจุบันยังไม่มีวิธีที่จะทําให้อุปกรณ์ของคุณปฏิบัติตามข้อกําหนดของส่วน 3.2.1 ของ ข้อมูลจําเพาะ RFC 4556 ตามที่จําเป็นสําหรับ CVE-2021-33764 ขณะนี้การลดปัญหาชั่วคราวจะพร้อมใช้งานในขณะที่คุณทํางานกับผู้ผลิตอุปกรณ์การพิมพ์หรือการสแกนของคุณเพื่อนําสภาพแวดล้อมของคุณให้สอดคล้องกับข้อกําหนดภายในไทม์ไลน์ด้านล่าง
สำคัญ คุณต้องอัปเดตและปฏิบัติตามหรือเปลี่ยนอุปกรณ์ที่ไม่เป็นไปตามข้อกําหนดของคุณภายในวันที่ 12 กรกฎาคม 2022 เมื่อการแก้ไขชั่วคราวจะไม่สามารถใช้ได้ในการอัปเดตความปลอดภัย
ประกาศสําคัญ
การลดปัญหาชั่วคราวทั้งหมดสําหรับสถานการณ์นี้จะถูกลบออกในเดือนกรกฎาคม 2022 และสิงหาคม 2022 ขึ้นอยู่กับเวอร์ชันของ Windows ที่คุณใช้ (ดูตารางด้านล่าง) จะไม่มีตัวเลือกย้อนกลับเพิ่มเติมในการอัปเดตในภายหลัง อุปกรณ์ที่ไม่ตรงตามมาตรฐานทั้งหมดต้องระบุโดยใช้ เหตุการณ์การตรวจสอบตั้งแต่เดือนมกราคม 2022 และอัปเดตหรือแทนที่ด้วย การลบการลดปัญหาโดยเริ่มตั้งแต่ปลายเดือนกรกฎาคม 2022
หลังจากเดือนกรกฎาคม 2022 อุปกรณ์ที่ไม่สอดคล้องกับข้อมูลจําเพาะ RFC 4456 และ CVE-2021-33764 จะไม่สามารถใช้ได้กับอุปกรณ์ Windows ที่อัปเดตแล้ว
|
วันที่เป้าหมาย |
เหตุการณ์ |
นำไปใช้กับ |
|
13 กรกฎาคม 2021 |
Updatesที่เผยแพร่พร้อมการเปลี่ยนแปลงการชุบแข็งสําหรับ CVE-2021-33764 การอัปเดตในภายหลังทั้งหมดมีการเปลี่ยนแปลงการเพิ่มความแข็งแกร่งนี้ตามค่าเริ่มต้น |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows เซิร์ฟเวอร์ 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
วันที่ 27 กรกฎาคม 2564 |
Updatesที่ออกพร้อมการลดปัญหาชั่วคราวเพื่อแก้ไขปัญหาการพิมพ์และการสแกนบนอุปกรณ์ที่ไม่สอดคล้อง Updatesที่เผยแพร่ในวันที่นี้หรือใหม่กว่าต้องติดตั้งบน DC ของคุณ และการแก้ไขต้องเปิดผ่านทางรีจิสทรีคีย์โดยใช้ขั้นตอนด้านล่าง |
Windows Server 2019 Windows Server 2012 R2 Windows เซิร์ฟเวอร์ 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
วันที่ 29 กรกฎาคม 2564 |
Updatesที่ออกพร้อมการลดปัญหาชั่วคราวเพื่อแก้ไขปัญหาการพิมพ์และการสแกนบนอุปกรณ์ที่ไม่สอดคล้อง Updatesที่เผยแพร่ในวันที่นี้หรือใหม่กว่าต้องติดตั้งบน DC ของคุณ และการแก้ไขต้องเปิดผ่านทางรีจิสทรีคีย์โดยใช้ขั้นตอนด้านล่าง |
Windows Server 2016 |
|
วันที่ 25 มกราคม 2565 |
Updatesจะบันทึกเหตุการณ์การตรวจสอบบนตัวควบคุมโดเมน Active Directory ที่ระบุเครื่องพิมพ์ที่เป็นเครื่องพิมพ์ที่เข้ากันไม่ได้ RFC-4456 ที่ล้มเหลวในการรับรองความถูกต้องเมื่อ DC ติดตั้งการอัปเดตเดือนกรกฎาคม 2022/สิงหาคม 2022 หรือใหม่กว่า |
Windows Server 2022 Windows Server 2019 |
|
วันที่ 8 กุมภาพันธ์ 2565 |
Updatesจะบันทึกเหตุการณ์การตรวจสอบบนตัวควบคุมโดเมน Active Directory ที่ระบุเครื่องพิมพ์ที่เป็นเครื่องพิมพ์ที่เข้ากันไม่ได้ RFC-4456 ที่ล้มเหลวในการรับรองความถูกต้องเมื่อ DC ติดตั้งการอัปเดตเดือนกรกฎาคม 2022/สิงหาคม 2022 หรือใหม่กว่า |
Windows Server 2016 Windows Server 2012 R2 Windows เซิร์ฟเวอร์ 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
วันที่ 21 กรกฎาคม 2565 |
การเผยแพร่การอัปเดตตัวอย่างเพิ่มเติมเพื่อลบการบรรเทาชั่วคราวเพื่อกําหนดให้ต้องมีการพิมพ์การร้องเรียนและการสแกนอุปกรณ์ในสภาพแวดล้อมของคุณ |
Windows Server 2019 |
|
วันที่ 9 สิงหาคม 2565 |
สำคัญ การเผยแพร่การอัปเดตความปลอดภัยเพื่อลบการบรรเทาชั่วคราวเพื่อกําหนดให้ต้องมีการพิมพ์คําร้องเรียนและการสแกนอุปกรณ์ในสภาพแวดล้อมของคุณ การอัปเดตทั้งหมดที่เผยแพร่ในวันนี้หรือหลังจากนั้นจะไม่สามารถใช้การบรรเทาชั่วคราวได้ เครื่องพิมพ์และสแกนเนอร์ที่รับรองความถูกต้องของสมาร์ทการ์ดต้องเป็นไปตามส่วน 3.2.1 ของ ข้อมูลจําเพาะ RFC 4556 ที่จําเป็นสําหรับ CVE-2021-33764 หลังจากติดตั้งการอัปเดตเหล่านี้หรือใหม่กว่าบนตัวควบคุมโดเมน Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows เซิร์ฟเวอร์ 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
เมื่อต้องการใช้การลดปัญหาชั่วคราวในสภาพแวดล้อมของคุณ ให้ทําตามขั้นตอนเหล่านี้บนตัวควบคุมโดเมนทั้งหมด:
-
บนตัวควบคุมโดเมน ให้ตั้งค่ารีจิสทรีการลดชั่วคราวที่แสดงรายการด้านล่างเป็น 1 (เปิดใช้งาน) โดยใช้ Registry Editor หรือเครื่องมือการทํางานอัตโนมัติที่มีอยู่ในสภาพแวดล้อมของคุณ
หมายเหตุ ขั้นตอนที่ 1 สามารถทําได้ก่อนหรือหลังขั้นตอนที่ 2 และ 3
-
ติดตั้งการอัปเดตที่อนุญาตให้การแก้ไขชั่วคราวพร้อมใช้งานในการอัปเดตที่เผยแพร่เมื่อวันที่ 27 กรกฎาคม 2021 หรือใหม่กว่า (ด้านล่างเป็นการอัปเดตแรกที่อนุญาตให้การแก้ไขชั่วคราว):
-
รีสตาร์ตตัวควบคุมโดเมนของคุณ
ค่ารีจิสทรีสําหรับการลดปัญหาชั่วคราว:
คำเตือน ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้องโดยใช้ Registry Editor หรือใช้วิธีอื่น ปัญหาเหล่านี้อาจทําให้คุณต้องติดตั้งระบบปฏิบัติการใหม่ Microsoftไม่สามารถรับประกันได้ว่าปัญหาเหล่านี้จะสามารถแก้ไขได้ คุณต้องยอมรับความเสี่ยงในการปรับเปลี่ยนรีจิสทรีด้วยตนเอง
|
คีย์ย่อยรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
ค่า |
Allow3DesFallback |
|
ชนิดข้อมูล |
DWORD |
|
ข้อมูล |
1 – เปิดใช้งานการบรรเทาชั่วคราว 0 – เปิดใช้งานลักษณะการทํางานเริ่มต้น ซึ่งกําหนดให้อุปกรณ์ของคุณต้องปฏิบัติตามข้อกําหนดของ RFC 4556 ส่วนที่ 3.2.1 |
|
จําเป็นต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่ |
ไม่ใช่ |
สามารถสร้างรีจิสทรีคีย์ด้านบนและค่าและชุดข้อมูลโดยใช้คําสั่งต่อไปนี้:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
เหตุการณ์การตรวจสอบ
Windows Update ของวันที่ 25 มกราคม 2022 และ 8 กุมภาพันธ์ 2022 จะเพิ่มรหัสเหตุการณ์ใหม่เพื่อช่วยระบุอุปกรณ์ที่ได้รับผลกระทบ
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
ข้อความเหตุการณ์ |
ไคลเอ็นต์ Kerberos ไม่ได้ให้ชนิดการเข้ารหัสลับที่สนับสนุนสําหรับใช้กับโพรโทคอล PKINIT โดยใช้โหมดการเข้ารหัสลับ
|
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Kdcsvc |
|
ID เหตุการณ์ |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
ข้อความเหตุการณ์ |
ไคลเอ็นต์ PKINIT Kerberos ที่ไม่สอดคล้องกันได้รับการรับรองความถูกต้องกับ DC นี้ อนุญาตการรับรองความถูกต้องเนื่องจาก KDCGlobalAllowDesFallBack ถูกตั้งค่าแล้ว ในอนาคต การเชื่อมต่อเหล่านี้จะล้มเหลวในการรับรองความถูกต้อง ระบุอุปกรณ์และดูเพื่ออัปเกรดการใช้งาน Kerberos
|
สถานะ
Microsoftยืนยันว่าปัญหานี้เป็นปัญหาที่เกิดขึ้นกับผลิตภัณฑ์Microsoftที่แสดงในส่วน "นําไปใช้กับ"
