徵兆
當這些裝置使用智慧卡 (PIV) 驗證時,列印和掃描可能會失敗。
附註: 使用智慧卡 (PIV) 驗證時受影響的裝置,在使用使用者名稱和密碼驗證時,應如預期般運作。
原因
在 2021 年 7 月 13 日,Microsoft發佈了CVE-2021-33764的硬化變更:當您在網域控制站 (DC) 上安裝 2021 年 7 月 13 日或更新版本時,可能會造成此問題。 受影響的裝置是驗證印表機、掃描器和多功能裝置的智慧卡,這些裝置不支援在 PKINIT Kerberos 驗證期間Diffie-Hellman (DH) 進行金鑰交換,或在 Kerberos AS 要求期間不公告對 des-ede3-cbc (「triple DES」) 的支援。
根據RFC 4556 規格的第 3.2.1 節,用戶端必須同時支援及通知金鑰發佈中心, (KDC) 他們對於 des-ede3-cbc (「triple DES」) 的支援。 在加密模式中使用 Key-exchange 啟動 Kerberos PKINIT 但不支援或告知 KDC 支援 des-ede3-cbc (「triple DES」) 的用戶端,將會遭到拒絕。
若要讓印表機和掃描器用戶端裝置符合規範,它們必須符合下列任一項:
-
在 PKINIT Kerberos 驗證期間使用Diffie-Hellman鍵交換, (慣用的) 。
-
或者,支援及通知 KDC 支援 des-ede3-cbc (「triple DES」) 。
後續步驟
如果您在列印或掃描裝置時遇到此問題,請確認您使用的是適用于裝置的最新韌體和驅動程式。 如果您的韌體和驅動程式是最新狀態,而您仍然遇到此問題,建議您連絡裝置製造商。 詢問是否需要變更組態,讓裝置符合 CVE-2021-33764 的硬化變更,或是否要提供符合規範的更新。
如果目前沒有辦法讓您的裝置符合CVE-2021-33764所需的RFC 4556 規格第 3.2.1 節規範,您現在可以在與列印或掃描裝置製造商合作時使用暫時性保護功能,讓您的環境在下列時程表內符合規範。
重要: 當暫時安全性防護功能無法在安全性更新中使用時,您必須更新並相容,或是以 2022 年 7 月 12 日取代不相容的裝置。
重要注意事項
視您使用的 Windows 版本而定,此案例的所有暫時緩和功能將在 2022 年 7 月和 2022 年 8 月移除, (請參閱下表) 。 在後續更新中將不再提供退回選項。 所有不相容的裝置都必須使用 2022 年 1 月開始的稽核事件 進行識別,並從 2022 年 7 月底開始更新或取代安全性移除。
2022 年 7 月之後,不符合 RFC 4456 規格和 CVE-2021-33764 的裝置將無法與更新的 Windows 裝置搭配使用。
目標日期 |
事件 |
適用於 |
2021 年 7 月 13 日 |
更新CVE-2021-33764的硬化變更發行。 所有之後的更新預設都會開啟此硬化變更。 |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2021 年 7 月 27 日 |
更新使用暫時性降低功能功能發行,以解決不相容裝置上的列印和掃描問題。 在此日期或更新版本發行的更新必須安裝在 DC 上,且必須使用下列步驟透過登錄機碼開啟安全性功能。 |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2021 年 7 月 29 日 |
更新使用暫時性降低功能功能發行,以解決不相容裝置上的列印和掃描問題。 更新在此日期或更新版本發行必須安裝在您的 DC 上,且必須使用下列步驟透過登錄機碼開啟安全性功能。 |
Windows Server 2016 |
2022 年 1 月 25 日 |
更新會記錄 Active Directory 網域控制站上的稽核事件,這些稽核事件會在 DCS 安裝 2022 年 7 月/2022 年 8 月或更新版本更新後,識別 RFC-4456 不相容印表機無法通過驗證的印表機。 |
Windows Server 2022 Windows Server 2019 |
2022 年 2 月 8 日 |
更新會記錄 Active Directory 網域控制站上的稽核事件,這些稽核事件會在 DCS 安裝 2022 年 7 月/2022 年 8 月或更新版本更新後,識別 RFC-4456 不相容印表機無法通過驗證的印表機。 |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2022 年 7 月 21 日 |
選擇性預覽更新發行,以移除暫時性降低效能,以要求在您的環境中進行抱怨列印和掃描裝置。 |
Windows Server 2019 |
2022 年 8 月 9 日 |
重要: 安全性更新發行,以移除暫時防護功能,以要求在您的環境中對裝置進行抱怨列印和掃描。 在這一天或更新版本發行的所有更新將無法使用暫時性降低功能。 在 Active Directory 網域控制站上安裝這些更新或更新之後,驗證印表機和掃描器的 Smartcard 必須符合CVE-2021-33764所需的RFC 4556 規格第 3.2.1 節 |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
若要在您的環境中使用暫時性防震功能,請在所有網域控制站上遵循下列步驟:
-
在網域控制站上,使用登錄編輯程式或您環境中可用的自動化工具,將以下所列的暫時性減輕登錄值設定為 1 (啟用) 。
附註: 這個步驟 1 可以在步驟 2 和 3 之前或之後完成。
-
安裝可在 2021 年 7 月 27 日或更新版本發行之更新中使用暫時防護功能的更新, (下列是允許暫時性防護功能) 的第一個更新:
-
重新開機您的網域控制站。
暫時減輕功能的登錄值:
警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。 這些問題可能會要求您重新安裝作業系統。 Microsoft無法保證這些問題都能解決。 Modify the registry at your own risk.
登錄子機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
值 |
Allow3DesFallback |
資料類型 |
DWORD |
資料 |
1 - 啟用暫時性緩和功能。 0 – 啟用預設行為,要求您的裝置符合 RFC 4556 規格的 3.2.1 節。 |
需要重新啟動? |
否 |
您可以使用下列命令建立上述登錄機碼以及值和資料集:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
稽核事件
2022 年 1 月 25 日和 2022 年 2 月 8 日 Windows 更新也會新增新的事件識別碼,以協助識別受影響的裝置。
事件記錄檔 |
系統 |
事件類型 |
錯誤 |
事件來源 |
Kdcsvc |
事件識別碼 |
307 39 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2) |
事件文字 |
Kerberos 用戶端未提供支援的加密類型,以便使用加密模式搭配 PKINIT 通訊協定使用。
|
事件記錄檔 |
系統 |
事件類型 |
警告 |
事件來源 |
Kdcsvc |
事件識別碼 |
308 40 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2) |
事件文字 |
經此 DC 驗證的非格式 PKINIT Kerberos 用戶端。 因為 KDCGlobalAllowDesFallBack 已設定完成,因此允許進行驗證。 日後這些連線將無法通過驗證。 識別裝置,並尋找升級其 Kerberos 實作
|
狀態
Microsoft 已確認「套用至」部分所列的 Microsoft 產品確實有上述問題。