Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Příznaky

Tisk a skenování může selhat, pokud tato zařízení používají ověřování pomocí čipové karty (PIV). 

Poznámka Zařízení, která jsou ovlivněna při ověřování pomocí čipové karty (PIV), by měla při ověřování uživatelských jmen a hesla fungovat podle očekávání.

Příčina

13. července 2021 společnost Microsoft vydala změny posílení zabezpečení pro cve-2021-33764 To může způsobit tento problém při instalaci aktualizací vydaných 13. července 2021 nebo novějších na řadič domény.  Ovlivněná zařízení jsou čipová karta ověřující tiskárny, skenery a multifunkční zařízení, která nepodporují buď Diffie-Hellman (DH) pro výměnu klíčů během ověřování protokolem Kerberos PKINIT, nebo neinzerují podporu des-ede3-cbc ("triple DES") během žádosti Kerberos AS .

Podle oddílu 3.2.1 specifikace RFC 4556 musí klient podporovat a informovat centrum distribuce klíčů (KDC) o své podpoře des-ede3-cbc ("triple DES"). Klienti, kteří iniciují Protokol Kerberos PKINIT s výměnou klíčů v režimu šifrování, ale nepodporují ani nesdělují KDC, že podporují des-ede3-cbc ("triple DES"), budou odmítnuti.

Aby klientská zařízení tiskárny a skeneru vyhovovala předpisům, musí buď:

  • Při ověřování protokolem Kerberos PKINIT použijte Diffie-Hellman pro výměnu klíčů (upřednostňované).

  • Nebo obě podporují a upozorňují KDC na podporu des-ede3-cbc ("triple DES").

Další kroky

Pokud narazíte na tento problém s tiskovým nebo skenovacím zařízením, ověřte, že používáte nejnovější firmware a ovladače, které jsou pro vaše zařízení k dispozici. Pokud máte aktuální firmware a ovladače a tento problém přetrvává, doporučujeme kontaktovat výrobce zařízení. Zeptejte se, jestli se vyžaduje změna konfigurace, aby zařízení bylo v souladu se změnou posílení zabezpečení pro CVE-2021-33764 , nebo jestli bude k dispozici odpovídající aktualizace.

Pokud v současné době neexistuje způsob, jak vaše zařízení uvést do souladu s oddílem 3.2.1 specifikace RFC 4556 , jak je vyžadováno pro CVE-2021-33764, je teď k dispozici dočasné zmírnění, když budete spolupracovat s výrobcem tiskového nebo skenovacího zařízení, aby vaše prostředí bylo v souladu s níže určitou osou.

Důležité Zařízení, která nedodržují předpisy, musí být aktualizovaná a vyhovující nebo nahrazená do 12. července 2022, kdy dočasné zmírnění rizik nebude možné použít v aktualizacích zabezpečení.

Důležité upozornění

Všechna dočasná omezení rizik pro tento scénář budou v červenci 2022 a srpnu 2022 odebrána v závislosti na používané verzi Windows (viz tabulka níže). Vpozdějších Všechna nevyhovující zařízení musí být identifikována pomocí událostí auditu od ledna 2022 a aktualizovat nebo nahradit odebráním zmírnění rizik od konce července 2022. 

Po červenci 2022 nebudou zařízení, která nevyhovují specifikaci RFC 4456 a CVE-2021-33764, použitelná s aktualizovaným zařízením s Windows.

Cílové datum

Událost

Platí pro

13. července 2021

Aktualizace vydáno se změnami posílení zabezpečení pro CVE-2021-33764. U všech pozdějších aktualizací je tato změna posílení zabezpečení ve výchozím nastavení zapnutá.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

úterý 27. července 2021

Aktualizace vydáno s dočasným zmírněním problémů s tiskem a kontrolou na zařízeních nesplňujících předpisy. Aktualizace vydané k tomuto datu nebo později musí být na řadiči domény nainstalované a zmírnění rizik musí být zapnuto prostřednictvím klíče registru pomocí následujícího postupu.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

úterý 29. července 2021

Aktualizace vydáno s dočasným zmírněním problémů s tiskem a kontrolou na zařízeních nesplňujících předpisy. Aktualizace vydání k tomuto datu nebo později musí být na řadiči domény nainstalované a zmírnění rizik musí být zapnuto prostřednictvím klíče registru pomocí následujícího postupu.

Windows Server 2016

úterý 25. ledna 2022

Aktualizace protokoluje události auditu na řadičích domény služby Active Directory, které identifikují tiskárny, které jsou nekompatibilními tiskárnami RFC-4456 a které selhaly při ověřování, jakmile řadiče domény nainstalují aktualizace z července 2022 nebo srpna 2022 nebo novější.

Windows Server 2022

Windows Server 2019

středa 8. února 2022

Aktualizace protokoluje události auditu na řadičích domény služby Active Directory, které identifikují tiskárny, které jsou nekompatibilními tiskárnami RFC-4456 a které selhaly při ověřování, jakmile řadiče domény nainstalují aktualizace z července 2022 nebo srpna 2022 nebo novější.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

úterý 21. července 2022

Volitelná verze Preview aktualizace pro odebrání dočasného zmírnění, které vyžaduje tisk a skenování zařízení se stížnostmi ve vašem prostředí.

Windows Server 2019

úterý 9. srpna 2022

Důležité Vydání aktualizace zabezpečení pro odebrání dočasného zmírnění rizik, které vyžaduje tisk a kontrolu stížností zařízení ve vašem prostředí.

Všechny aktualizace vydané tento den nebo později nebudou moct použít dočasné zmírnění rizik.

Tiskárny a skenery ověřující čipovou kartou musí být po instalaci těchto aktualizací nebo novějších na řadičích domény Active Directory kompatibilní s oddílem 3.2.1 specifikace RFC 4556 vyžadovanou pro CVE-2021-33764 .

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

Pokud chcete použít dočasné zmírnění rizik ve vašem prostředí, na všech řadičích domény postupujte takto:

  1. Na řadičích domény nastavte níže uvedenou hodnotu registru dočasného zmírnění rizik na hodnotu 1 (povolit) pomocí Editoru registru nebo nástrojů pro automatizaci dostupných ve vašem prostředí.

    Poznámka Tento krok 1 můžete provést před nebo po krocích 2 a 3.

  2. Nainstalujte aktualizaci, která umožňuje dočasné zmírnění rizik dostupné v aktualizacích vydaných 27. července 2021 nebo novějších (níže jsou uvedeny první aktualizace, které umožňují dočasné zmírnění rizik):

  3. Restartujte řadič domény.

Hodnota registru pro dočasné zmírnění rizik:

Upozornění Pokud pomocí Editoru registru nebo jiným způsobem změníte registr nesprávně, může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Microsoft nemůže zaručit, že se tyto problémy dají vyřešit. Registr upravujete na vlastní nebezpečí.

Podklíč registru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Hodnota

Allow3DesFallback

Datový typ

DWORD

Data

1 – Povolte dočasné zmírnění rizik.

0 – Povolte výchozí chování, které vyžaduje, aby vaše zařízení byla v souladu s oddílem 3.2.1 specifikace RFC 4556.

Vyžaduje se restartování?

Ne

Výše uvedený klíč registru a hodnotu a datovou sadu je možné vytvořit pomocí následujícího příkazu:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Události auditování

Aktualizace Windows z 25. ledna 2022 a 8. února 2022 také přidají nová ID událostí, která pomáhají identifikovat ovlivněná zařízení.

Protokol událostí

Systém

Typ události

Chyba

Zdroj události

Kdcsvc

ID události

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Text události

Klient Kerberos nezadal podporovaný typ šifrování pro použití s protokolem PKINIT pomocí režimu šifrování.

  • Hlavní název klienta: název domény<>\<Název klienta>

  • IP adresa klienta: IPv4/IPv6

  • Název rozhraní NetBIOS zadaný klientem: %3

Protokol událostí

Systém

Typ události

Upozornění

Zdroj události

Kdcsvc

ID události

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Text události

K tomuto řadiči domény byl ověřen nekonformní klient Kerberos PKINIT. Ověřování bylo povoleno, protože byla nastavena funkce KDCGlobalAllowDesFallBack. V budoucnu se u těchto připojení nezdaří ověření. Identifikujte zařízení a vyhledejte upgrade implementace protokolu Kerberos.

  • Hlavní název klienta: název domény<>\<Název klienta>

  • IP adresa klienta: IPv4/IPv6

  • Název rozhraní NetBIOS zadaný klientem: %3

Stav

Microsoft potvrdil, že se jedná o problém v Microsoft produktech, které jsou uvedené v části Platí pro.

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.