Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

徵兆

當這些裝置使用智慧卡 (PIV) 驗證時,列印和掃描可能會失敗。 

附註: 使用智慧卡 (PIV) 驗證時受影響的裝置,在使用使用者名稱和密碼驗證時,應如預期般運作。

原因

在 2021 年 7 月 13 日,Microsoft發佈了CVE-2021-33764的硬化變更:當您在網域控制站 (DC) 上安裝 2021 年 7 月 13 日或更新版本時,可能會造成此問題。  受影響的裝置是驗證印表機、掃描器和多功能裝置的智慧卡,這些裝置不支援在 PKINIT Kerberos 驗證期間Diffie-Hellman (DH) 進行金鑰交換,或在 Kerberos AS 要求期間不公告對 des-ede3-cbc (「triple DES」) 的支援。

根據RFC 4556 規格的第 3.2.1 節,用戶端必須同時支援及通知金鑰發佈中心, (KDC) 他們對於 des-ede3-cbc (「triple DES」) 的支援。 在加密模式中使用 Key-exchange 啟動 Kerberos PKINIT 但不支援或告知 KDC 支援 des-ede3-cbc (「triple DES」) 的用戶端,將會遭到拒絕。

若要讓印表機和掃描器用戶端裝置符合規範,它們必須符合下列任一項:

  • 在 PKINIT Kerberos 驗證期間使用Diffie-Hellman鍵交換, (慣用的) 。

  • 或者,支援及通知 KDC 支援 des-ede3-cbc (「triple DES」) 。

後續步驟

如果您在列印或掃描裝置時遇到此問題,請確認您使用的是適用于裝置的最新韌體和驅動程式。 如果您的韌體和驅動程式是最新狀態,而您仍然遇到此問題,建議您連絡裝置製造商。 詢問是否需要變更組態,讓裝置符合 CVE-2021-33764 的硬化變更,或是否要提供符合規範的更新。

如果目前沒有辦法讓您的裝置符合CVE-2021-33764所需的RFC 4556 規格第 3.2.1 節規範,您現在可以在與列印或掃描裝置製造商合作時使用暫時性保護功能,讓您的環境在下列時程表內符合規範。

重要: 當暫時安全性防護功能無法在安全性更新中使用時,您必須更新並相容,或是以 2022 年 7 月 12 日取代不相容的裝置。

重要注意事項

視您使用的 Windows 版本而定,此案例的所有暫時緩和功能將在 2022 年 7 月和 2022 年 8 月移除, (請參閱下表) 。 在後續更新中將不再提供退回選項。 所有不相容的裝置都必須使用 2022 年 1 月開始的稽核事件 進行識別,並從 2022 年 7 月底開始更新或取代安全性移除。 

2022 年 7 月之後,不符合 RFC 4456 規格和 CVE-2021-33764 的裝置將無法與更新的 Windows 裝置搭配使用。

目標日期

事件

適用於

2021 年 7 月 13 日

更新CVE-2021-33764的硬化變更發行。 所有之後的更新預設都會開啟此硬化變更。

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2021 年 7 月 27 日

更新使用暫時性降低功能功能發行,以解決不相容裝置上的列印和掃描問題。 在此日期或更新版本發行的更新必須安裝在 DC 上,且必須使用下列步驟透過登錄機碼開啟安全性功能。

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2021 年 7 月 29 日

更新使用暫時性降低功能功能發行,以解決不相容裝置上的列印和掃描問題。 更新在此日期或更新版本發行必須安裝在您的 DC 上,且必須使用下列步驟透過登錄機碼開啟安全性功能。

Windows Server 2016

2022 年 1 月 25 日

更新會記錄 Active Directory 網域控制站上的稽核事件,這些稽核事件會在 DCS 安裝 2022 年 7 月/2022 年 8 月或更新版本更新後,識別 RFC-4456 不相容印表機無法通過驗證的印表機。

Windows Server 2022

Windows Server 2019

2022 年 2 月 8 日

更新會記錄 Active Directory 網域控制站上的稽核事件,這些稽核事件會在 DCS 安裝 2022 年 7 月/2022 年 8 月或更新版本更新後,識別 RFC-4456 不相容印表機無法通過驗證的印表機。

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2022 年 7 月 21 日

選擇性預覽更新發行,以移除暫時性降低效能,以要求在您的環境中進行抱怨列印和掃描裝置。

Windows Server 2019

2022 年 8 月 9 日

重要: 安全性更新發行,以移除暫時防護功能,以要求在您的環境中對裝置進行抱怨列印和掃描。

在這一天或更新版本發行的所有更新將無法使用暫時性降低功能

在 Active Directory 網域控制站上安裝這些更新或更新之後,驗證印表機和掃描器的 Smartcard 必須符合CVE-2021-33764所需的RFC 4556 規格第 3.2.1 節

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

若要在您的環境中使用暫時性防震功能,請在所有網域控制站上遵循下列步驟:

  1. 在網域控制站上,使用登錄編輯程式或您環境中可用的自動化工具,將以下所列的暫時性減輕登錄值設定為 1 (啟用) 。

    附註: 這個步驟 1 可以在步驟 2 和 3 之前或之後完成。

  2. 安裝可在 2021 年 7 月 27 日或更新版本發行之更新中使用暫時防護功能的更新, (下列是允許暫時性防護功能) 的第一個更新:

  3. 重新開機您的網域控制站。

暫時減輕功能的登錄值:

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。 這些問題可能會要求您重新安裝作業系統。 Microsoft無法保證這些問題都能解決。 Modify the registry at your own risk.

登錄子機碼

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Allow3DesFallback

資料類型

DWORD

資料

1 - 啟用暫時性緩和功能。

0 – 啟用預設行為,要求您的裝置符合 RFC 4556 規格的 3.2.1 節。

需要重新啟動?

您可以使用下列命令建立上述登錄機碼以及值和資料集:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

稽核事件

2022 年 1 月 25 日和 2022 年 2 月 8 日 Windows 更新也會新增新的事件識別碼,以協助識別受影響的裝置。

事件記錄檔

系統

事件類型

錯誤

事件來源

Kdcsvc

事件識別碼

307

39 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2)

事件文字

Kerberos 用戶端未提供支援的加密類型,以便使用加密模式搭配 PKINIT 通訊協定使用。

  • 用戶端主體名稱: <功能變數名稱>\<Client Name>

  • 用戶端 IP 位址:IPv4/IPv6

  • 用戶端提供的 NetBIOS 名稱:%3

事件記錄檔

系統

事件類型

警告

事件來源

Kdcsvc

事件識別碼

308

40 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2)

事件文字

經此 DC 驗證的非格式 PKINIT Kerberos 用戶端。 因為 KDCGlobalAllowDesFallBack 已設定完成,因此允許進行驗證。 日後這些連線將無法通過驗證。 識別裝置,並尋找升級其 Kerberos 實作

  • 用戶端主體名稱: <功能變數名稱>\<Client Name>

  • 用戶端 IP 位址:IPv4/IPv6

  • 用戶端提供的 NetBIOS 名稱:%3

狀態

Microsoft 已確認「套用至」部分所列的 Microsoft 產品確實有上述問題。

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。