Симптоми
Отпечатването и сканирането може да са неуспешни, когато тези устройства използват удостоверяване със смарт карта (PIV).
Забележка Устройства, които са засегнати при използване на удостоверяване със смарт карта (PIV), трябва да работят по очаквания начин, когато използвате удостоверяване с потребителско име и парола.
Причина
На 13 юли 2021 г. Microsoft издаде промени за втвърдяване за CVE-2021-33764 Това може да доведе до този проблем, когато инсталирате актуализации, издадени на 13 юли 2021 г. или по-нови версии на домейнов контролер (DC). Засегнатите устройства са смарт карта, удостоверяваща принтери, скенери и многофункционални устройства, които не поддържат Diffie-Hellman (DH) за обмен на ключове по време на PKINIT Kerberos удостоверяване или не рекламират поддръжка за des-ede3-cbc ("троен DES") по време на заявката за Kerberos AS .
За да работи този ключ за обмен, раздел 3.2.1 от спецификацията RFC 4556 клиентът трябва както да поддържа, така и да уведомява ключовия център за разпространение (KDC) за поддръжката си за des-ede3-cbc ("triple DES"). Клиентите, които инициират Kerberos PKINIT с ключообмен в режим на шифроване, но нито поддържат, нито казват на KDC, че поддържат des-ede3-cbc ("triple DES"), ще бъдат отхвърлени.
За да бъдат съвместими клиентските устройства за принтери и скенери, те трябва да:
-
Използвайте Diffie-Hellman за обмен на ключове по време на PKINIT Kerberos удостоверяване (предпочитано).
-
Или както поддръжка, така и уведомяване на KDC за тяхната поддръжка за des-ede3-cbc ("triple DES").
Следващи стъпки
Ако срещнете този проблем с вашия печат или сканиране на устройства, проверете дали използвате най-новия фърмуер и драйвери, налични за вашето устройство. Ако фърмуерът и драйверите са актуализирани и все още срещате този проблем, ви препоръчваме да се свържете с производителя на устройството. Попитайте дали е необходима промяна в конфигурацията, за да се приведе устройството в съответствие с промяната за втвърдяване за CVE-2021-33764 , или ще бъде направена съвместима актуализация.
Ако в момента няма начин да приведете вашите устройства в съответствие с раздел 3.2.1 от спецификацията RFC 4556 , както е необходимо за CVE-2021-33764, сега е налично временно смекчаване, докато работите с производителя на вашето устройство за печат или сканиране, за да приведете вашата среда в съответствие във времевата линия по-долу.
Важно Трябва да сте актуализирали и заменили несъответстващите си устройства или да бъдат заменени с 12 юли 2022 г., когато временното смекчаване няма да бъде използваемо в актуализации на защитата.
Важно съобщение
Всички временни предпазни мерки за този сценарий ще бъдат премахнати през юли 2022 г. и август 2022 г., в зависимост от версията на Windows, която използвате (вж. таблицата по-долу). Няма да има допълнителна резервна опция в по-късните актуализации. Всички несравними устройства трябва да бъдат идентифицирани с помощта на събитията от проверката от януари 2022 г. и да се актуализират или заменят с премахването на смекчаването, започвайки от края на юли 2022 г.
След юли 2022 г. устройства, които не са съвместими със спецификацията RFC 4456 и CVE-2021-33764, няма да могат да се използват с актуализирано устройство с Windows.
Целева дата |
Събитие |
Прилага се за |
Юли 13, 2021 г. |
Актуализации издадени с промени за втвърдяване за CVE-2021-33764. Всички по-късни актуализации са с включена тази промяна на подсилването по подразбиране. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
27 юли 2021 г. |
Актуализации издаден с временно смекчаване, за да се коригират проблеми с отпечатването и сканирането на несравними устройства. Актуализации, издадени на тази дата или по-нова, трябва да бъдат инсталирани на DC и смекчаването трябва да бъде включено чрез ключ от системния регистър, като се използват стъпките по-долу. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
29 юли 2021 г. |
Актуализации издаден с временно смекчаване, за да се коригират проблеми с отпечатването и сканирането на несравними устройства. Актуализации издание на тази дата или по-нова версия трябва да бъде инсталиран на DC и смекчаването трябва да бъде включено чрез ключ от системния регистър с помощта на стъпките по-долу. |
Windows Server 2016 |
25 януари 2022 г. |
Актуализации ще регистрира събития за проверка на домейнови контролери на Active Directory, които идентифицират принтери, които са несъвместими принтери RFC-4456, които не успяват да извършат удостоверяване, след като DCs инсталират актуализации от юли 2022 г./август 2022 г. или по-нови. |
Windows Server 2022 Windows Server 2019 |
8 февруари 2022 г. |
Актуализации ще регистрира събития за проверка на домейнови контролери на Active Directory, които идентифицират принтери, които са несъвместими принтери RFC-4456, които не успяват да извършат удостоверяване, след като DCs инсталират актуализации от юли 2022 г./август 2022 г. или по-нови. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
21 юли 2022 г. |
Опционално издание на актуализацията за предварителен преглед за премахване на временно смекчаване, за да се изисква отпечатване с оплакване и сканиране на устройства във вашата среда. |
Windows Server 2019 |
9 август 2022 г. |
Важно Издание на актуализация на защитата за премахване на временно смекчаване, за да се изисква отпечатване с оплакване и сканиране на устройства във вашата среда. Всички актуализации, издадени на този ден или по-късно, няма да могат да използват временно смекчаване. Удостоверяващите със смарт карта принтери и скенери трябва да са съвместими с раздел 3.2.1 от спецификацията RFC 4556 , необходима за CVE-2021-33764 след инсталирането на тези актуализации или по-нови версии на домейнови контролери на Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
За да използвате временно смекчаване във вашата среда, изпълнете следните стъпки за всички домейнови контролери:
-
На домейнови контролери задайте временната стойност на системния регистър за смекчаване, посочена по-долу, на 1 (разрешаване), като използвате редактора на системния регистър или инструментите за автоматизация, налични във вашата среда.
Забележка Тази стъпка 1 може да бъде направена преди или след стъпки 2 и 3.
-
Инсталирайте актуализация, която позволява временно смекчаване, налично в актуализации, издадени на 27 юли 2021 г. или по-нова версия (по-долу са първите актуализации, които позволяват временно смекчаване):
-
Рестартирайте домейновия контролер.
Стойност на системния регистър за временно смекчаване:
Предупреждение Ако промените системния регистър неправилно, като използвате редактора на системния регистър или друг метод, е възможно да възникнат сериозни проблеми. Поради тези проблеми може да се наложи да преинсталирате операционната система. Microsoft не може да гарантира, че тези проблеми могат да бъдат решени. Променете системния регистър на собствена отговорност.
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Стойност |
Allow3DesFallback |
Тип данни |
DWORD |
Данни |
1 – Разрешете временно смекчаване. 0 – Разрешете поведението по подразбиране, като изисквате устройствата да са в съответствие с раздел 3.2.1 от спецификацията RFC 4556. |
Изисква ли се рестартиране? |
Не |
Горният ключ от системния регистър може да бъде създаден и стойността и наборът от данни с помощта на следната команда:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Събития за проверка
Актуализацията на Windows от 25 януари 2022 г. и 8 февруари 2022 г. също ще добави нови ИД на събития, за да помогне за идентифицирането на засегнатите устройства.
Регистър на събитията |
Система |
Тип събитие |
Грешка |
Източник на събитие |
Kdcsvc |
ИД на събитие |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Текст на събитие |
Клиентът на Kerberos не предостави поддържан тип шифроване за използване с протокола PKINIT с помощта на режим на шифроване.
|
Регистър на събитията |
Система |
Тип събитие |
Предупреждение |
Източник на събитие |
Kdcsvc |
ИД на събитие |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Текст на събитие |
Неконформиран PKINIT Kerberos клиент, удостоверен за този DC. Удостоверяването е разрешено, защото е зададен KDCGlobalAllowDesFallBack. В бъдеще тези връзки ще бъдат неуспешни. Идентифицирайте устройството и погледнете, за да надстроите неговата реализация на Kerberos
|
Състояние
Microsoft потвърди, че това е проблем в Microsoft продукти, които са изброени в раздела "Отнася се за".