Příznaky
Tisk a skenování může selhat, pokud tato zařízení používají ověřování pomocí čipové karty (PIV).
Poznámka Zařízení, která jsou ovlivněna při ověřování pomocí čipové karty (PIV), by měla při ověřování uživatelských jmen a hesla fungovat podle očekávání.
Příčina
13. července 2021 společnost Microsoft vydala změny posílení zabezpečení pro cve-2021-33764 To může způsobit tento problém při instalaci aktualizací vydaných 13. července 2021 nebo novějších na řadič domény. Ovlivněná zařízení jsou čipová karta ověřující tiskárny, skenery a multifunkční zařízení, která nepodporují buď Diffie-Hellman (DH) pro výměnu klíčů během ověřování protokolem Kerberos PKINIT, nebo neinzerují podporu des-ede3-cbc ("triple DES") během žádosti Kerberos AS .
Podle oddílu 3.2.1 specifikace RFC 4556 musí klient podporovat a informovat centrum distribuce klíčů (KDC) o své podpoře des-ede3-cbc ("triple DES"). Klienti, kteří iniciují Protokol Kerberos PKINIT s výměnou klíčů v režimu šifrování, ale nepodporují ani nesdělují KDC, že podporují des-ede3-cbc ("triple DES"), budou odmítnuti.
Aby klientská zařízení tiskárny a skeneru vyhovovala předpisům, musí buď:
-
Při ověřování protokolem Kerberos PKINIT použijte Diffie-Hellman pro výměnu klíčů (upřednostňované).
-
Nebo obě podporují a upozorňují KDC na podporu des-ede3-cbc ("triple DES").
Další kroky
Pokud narazíte na tento problém s tiskovým nebo skenovacím zařízením, ověřte, že používáte nejnovější firmware a ovladače, které jsou pro vaše zařízení k dispozici. Pokud máte aktuální firmware a ovladače a tento problém přetrvává, doporučujeme kontaktovat výrobce zařízení. Zeptejte se, jestli se vyžaduje změna konfigurace, aby zařízení bylo v souladu se změnou posílení zabezpečení pro CVE-2021-33764 , nebo jestli bude k dispozici odpovídající aktualizace.
Pokud v současné době neexistuje způsob, jak vaše zařízení uvést do souladu s oddílem 3.2.1 specifikace RFC 4556 , jak je vyžadováno pro CVE-2021-33764, je teď k dispozici dočasné zmírnění, když budete spolupracovat s výrobcem tiskového nebo skenovacího zařízení, aby vaše prostředí bylo v souladu s níže určitou osou.
Důležité Zařízení, která nedodržují předpisy, musí být aktualizovaná a vyhovující nebo nahrazená do 12. července 2022, kdy dočasné zmírnění rizik nebude možné použít v aktualizacích zabezpečení.
Důležité upozornění
Všechna dočasná omezení rizik pro tento scénář budou v červenci 2022 a srpnu 2022 odebrána v závislosti na používané verzi Windows (viz tabulka níže). Vpozdějších Všechna nevyhovující zařízení musí být identifikována pomocí událostí auditu od ledna 2022 a aktualizovat nebo nahradit odebráním zmírnění rizik od konce července 2022.
Po červenci 2022 nebudou zařízení, která nevyhovují specifikaci RFC 4456 a CVE-2021-33764, použitelná s aktualizovaným zařízením s Windows.
|
Cílové datum |
Událost |
Platí pro |
|
13. července 2021 |
Aktualizace vydáno se změnami posílení zabezpečení pro CVE-2021-33764. U všech pozdějších aktualizací je tato změna posílení zabezpečení ve výchozím nastavení zapnutá. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
úterý 27. července 2021 |
Aktualizace vydáno s dočasným zmírněním problémů s tiskem a kontrolou na zařízeních nesplňujících předpisy. Aktualizace vydané k tomuto datu nebo později musí být na řadiči domény nainstalované a zmírnění rizik musí být zapnuto prostřednictvím klíče registru pomocí následujícího postupu. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
úterý 29. července 2021 |
Aktualizace vydáno s dočasným zmírněním problémů s tiskem a kontrolou na zařízeních nesplňujících předpisy. Aktualizace vydání k tomuto datu nebo později musí být na řadiči domény nainstalované a zmírnění rizik musí být zapnuto prostřednictvím klíče registru pomocí následujícího postupu. |
Windows Server 2016 |
|
úterý 25. ledna 2022 |
Aktualizace protokoluje události auditu na řadičích domény služby Active Directory, které identifikují tiskárny, které jsou nekompatibilními tiskárnami RFC-4456 a které selhaly při ověřování, jakmile řadiče domény nainstalují aktualizace z července 2022 nebo srpna 2022 nebo novější. |
Windows Server 2022 Windows Server 2019 |
|
středa 8. února 2022 |
Aktualizace protokoluje události auditu na řadičích domény služby Active Directory, které identifikují tiskárny, které jsou nekompatibilními tiskárnami RFC-4456 a které selhaly při ověřování, jakmile řadiče domény nainstalují aktualizace z července 2022 nebo srpna 2022 nebo novější. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
úterý 21. července 2022 |
Volitelná verze Preview aktualizace pro odebrání dočasného zmírnění, které vyžaduje tisk a skenování zařízení se stížnostmi ve vašem prostředí. |
Windows Server 2019 |
|
úterý 9. srpna 2022 |
Důležité Vydání aktualizace zabezpečení pro odebrání dočasného zmírnění rizik, které vyžaduje tisk a kontrolu stížností zařízení ve vašem prostředí. Všechny aktualizace vydané tento den nebo později nebudou moct použít dočasné zmírnění rizik. Tiskárny a skenery ověřující čipovou kartou musí být po instalaci těchto aktualizací nebo novějších na řadičích domény Active Directory kompatibilní s oddílem 3.2.1 specifikace RFC 4556 vyžadovanou pro CVE-2021-33764 . |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Pokud chcete použít dočasné zmírnění rizik ve vašem prostředí, na všech řadičích domény postupujte takto:
-
Na řadičích domény nastavte níže uvedenou hodnotu registru dočasného zmírnění rizik na hodnotu 1 (povolit) pomocí Editoru registru nebo nástrojů pro automatizaci dostupných ve vašem prostředí.
Poznámka Tento krok 1 můžete provést před nebo po krocích 2 a 3.
-
Nainstalujte aktualizaci, která umožňuje dočasné zmírnění rizik dostupné v aktualizacích vydaných 27. července 2021 nebo novějších (níže jsou uvedeny první aktualizace, které umožňují dočasné zmírnění rizik):
-
Restartujte řadič domény.
Hodnota registru pro dočasné zmírnění rizik:
Upozornění Pokud pomocí Editoru registru nebo jiným způsobem změníte registr nesprávně, může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Microsoft nemůže zaručit, že se tyto problémy dají vyřešit. Registr upravujete na vlastní nebezpečí.
|
Podklíč registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Hodnota |
Allow3DesFallback |
|
Datový typ |
DWORD |
|
Data |
1 – Povolte dočasné zmírnění rizik. 0 – Povolte výchozí chování, které vyžaduje, aby vaše zařízení byla v souladu s oddílem 3.2.1 specifikace RFC 4556. |
|
Vyžaduje se restartování? |
Ne |
Výše uvedený klíč registru a hodnotu a datovou sadu je možné vytvořit pomocí následujícího příkazu:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Události auditování
Aktualizace Windows z 25. ledna 2022 a 8. února 2022 také přidají nová ID událostí, která pomáhají identifikovat ovlivněná zařízení.
|
Protokol událostí |
Systém |
|
Typ události |
Chyba |
|
Zdroj události |
Kdcsvc |
|
ID události |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Text události |
Klient Kerberos nezadal podporovaný typ šifrování pro použití s protokolem PKINIT pomocí režimu šifrování.
|
|
Protokol událostí |
Systém |
|
Typ události |
Upozornění |
|
Zdroj události |
Kdcsvc |
|
ID události |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Text události |
K tomuto řadiči domény byl ověřen nekonformní klient Kerberos PKINIT. Ověřování bylo povoleno, protože byla nastavena funkce KDCGlobalAllowDesFallBack. V budoucnu se u těchto připojení nezdaří ověření. Identifikujte zařízení a vyhledejte upgrade implementace protokolu Kerberos.
|
Stav
Microsoft potvrdil, že se jedná o problém v Microsoft produktech, které jsou uvedené v části Platí pro.
