Symptomer
Udskrivning og scanning kan mislykkes, når disse enheder bruger PIV-godkendelse (chipkort).
Bemærk! Enheder, der påvirkes, når du bruger PIV-godkendelse (chipkort), bør fungere som forventet, når du bruger brugernavn og adgangskodegodkendelse.
Årsag
Den 13. juli 2021 Microsoft frigivet hærdningsændringer for CVE-2021-33764 Dette kan medføre dette problem, når du installerer opdateringer, der er udgivet d. 13. juli 2021 eller nyere på en domænecontroller. De berørte enheder er chipkortgodkendelsesprintere, scannere og multifunktionsenheder, der ikke understøtter enten Diffie-Hellman (DH) til nøgleudveksling under PKINIT Kerberos-godkendelse eller ikke annoncerer understøttelse af des-ede3-cbc ("triple DES") under Kerberos AS-anmodningen .
I henhold til afsnit 3.2.1 i RFC 4556-specifikationen skal klienten både understøtte og underrette nøgledistributionscentret (KDC) om deres understøttelse af des-ede3-cbc ("triple DES"). Klienter, der starter Kerberos PKINIT med nøgleudveksling i krypteringstilstand, men hverken understøtter eller fortæller KDC, at de understøtter des-ede3-cbc ("triple DES"), afvises.
For at printer- og scannerklientenheder skal være kompatible, skal de enten:
-
Brug Diffie-Hellman til nøgleudveksling under PKINIT Kerberos-godkendelse (foretrukket).
-
Eller både support og meddelelse til KDC om deres understøttelse af des-ede3-cbc ("triple DES").
Næste trin
Hvis du støder på dette problem med dine udskrivnings- eller scanningsenheder, skal du kontrollere, at du bruger den nyeste firmware og de nyeste drivere, der er tilgængelige for enheden. Hvis din firmware og dine drivere er opdaterede, og du stadig oplever dette problem, anbefaler vi, at du kontakter enhedsproducenten. Spørg, om der kræves en konfigurationsændring for at bringe enheden i overensstemmelse med hærdningsændringen for CVE-2021-33764 , eller om der bliver gjort en kompatibel opdatering tilgængelig.
Hvis det i øjeblikket ikke er muligt at bringe dine enheder i overensstemmelse med afsnit 3.2.1 i RFC 4556-specifikationen som påkrævet for CVE-2021-33764, er en midlertidig afhjælpning nu tilgængelig, mens du arbejder med producenten af din udskrivnings- eller scanningsenhed for at bringe dit miljø i overensstemmelse med nedenstående tidslinje.
Vigtigt! Du skal have dine ikke-kompatible enheder opdateret og kompatibel eller erstattet senest den 12. juli 2022, når den midlertidige afhjælpning ikke kan bruges i sikkerhedsopdateringer.
Vigtig meddelelse
Al midlertidig afhjælpning af dette scenarie fjernes i juli 2022 og august 2022, afhængigt af hvilken version af Windows du bruger (se tabellen nedenfor). Der vil ikke være flere fallback-muligheder i senere opdateringer. Alle ikke-kompatible enheder skal identificeres ved hjælp af overvågningshændelserne fra januar 2022 og opdateres eller erstattes af fjernelse af afhjælpning fra slutningen af juli 2022.
Efter juli 2022 kan enheder, der ikke overholder RFC 4456-specifikationen og CVE-2021-33764, ikke bruges med en opdateret Windows-enhed.
Destinations dato |
Hændelse |
Gælder for |
13. juli 2021 |
Opdateringer udgivet med hærdningsændringer for CVE-2021-33764. Alle senere opdateringer har som standard denne hærdningsændring slået til. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
27. juli 2021 |
Opdateringer udgivet med midlertidig afhjælpning for at løse problemer med udskrivning og scanning på ikke-kompatible enheder. Opdateringer, der udgives på denne dato eller nyere, skal installeres på din domænecontroller, og afhjælpningen skal være slået til via registreringsdatabasenøglen ved hjælp af nedenstående trin. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
29. juli 2021 |
Opdateringer udgivet med midlertidig afhjælpning for at løse problemer med udskrivning og scanning på ikke-kompatible enheder. Opdateringer udgivelse på denne dato eller nyere skal være installeret på din domænecontroller, og afhjælpningen skal være slået til via registreringsdatabasenøglen ved hjælp af nedenstående trin. |
Windows Server 2016 |
25. januar 2022 |
Opdateringer logføre overvågningshændelser på Active Directory-domænecontrollere, der identificerer printere, der er RFC-4456 inkompatible printere, der ikke kan godkendes, når domænecontrollerne har installeret juli 2022/august 2022 eller nyere opdateringer. |
Windows Server 2022 Windows Server 2019 |
8. februar 2022 |
Opdateringer logføre overvågningshændelser på Active Directory-domænecontrollere, der identificerer printere, der er RFC-4456 inkompatible printere, der ikke kan godkendes, når domænecontrollerne har installeret juli 2022/august 2022 eller nyere opdateringer. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
21. juli 2022 |
Valgfri prøveversion af opdateringsversionen for at fjerne midlertidig afhjælpning for at kræve udskrivning af klager og scanning af enheder i dit miljø. |
Windows Server 2019 |
9. august 2022 |
Vigtigt! Sikkerhedsopdateringsversion for at fjerne midlertidig afhjælpning for at kræve udskrivning af klager og scanning af enheder i dit miljø. Alle opdateringer, der er udgivet på denne dag eller senere, kan ikke bruge den midlertidige afhjælpning. Smartcard-godkenderprintere og -scannere skal være kompatible med afsnit 3.2.1 i RFC 4556-specifikationen , der kræves til CVE-2021-33764 efter installation af disse opdateringer eller senere på Active Directory-domænecontrollere |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Hvis du vil bruge den midlertidige afhjælpning i dit miljø, skal du følge disse trin på alle domænecontrollere:
-
På domænecontrollerne skal du angive den midlertidige værdi for afhjælpningsregistreringsdatabasen, der er angivet nedenfor, til 1 (aktivér) ved hjælp af Registreringseditor eller de automatiseringsværktøjer, der er tilgængelige i dit miljø.
Bemærk! Dette trin 1 kan udføres før eller efter trin 2 og 3.
-
Installér en opdatering, der giver mulighed for midlertidig afhjælpning i opdateringer, der er udgivet d. 27. juli 2021 eller nyere (nedenfor er de første opdateringer, der tillader midlertidig afhjælpning):
-
Genstart domænecontrolleren.
Registreringsdatabaseværdi for midlertidig afhjælpning:
Advarsel! Der kan forekomme alvorlige problemer, hvis du ved hjælp af Registreringseditor eller anden metode foretager forkerte ændringer af registreringsdatabasen. Disse problemer kan kræve, at du geninstallerer operativsystemet. Microsoft kan ikke garantere, at disse problemer kan løses. Ændringer af registreringsdatabasen er på eget ansvar.
Undernøgle i registreringsdatabasen |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Værdi |
Allow3DesFallback |
Datatype |
DWORD |
Data |
1 – Aktivér midlertidig afhjælpning. 0 – Aktivér standardfunktionsmåden, der kræver, at dine enheder overholder afsnit 3.2.1 i RFC 4556-specifikationen. |
Skal du genstarte? |
Nej |
Ovennævnte registreringsdatabasenøgle kan oprettes, og værdien og datasættet kan oprettes ved hjælp af følgende kommando:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Overvågningshændelser
Windows-opdateringen for 25. januar 2022 og 8. februar 2022 tilføjer også nye hændelses-id'er for at identificere berørte enheder.
Hændelseslog |
System |
Hændelsestype |
Fejl |
Hændelseskilde |
Kdcsvc |
Hændelses-id |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Hændelsestekst |
Kerberos-klienten har ikke angivet en understøttet krypteringstype til brug med PKINIT-protokollen ved hjælp af krypteringstilstand.
|
Hændelseslog |
System |
Hændelsestype |
Advarsel |
Hændelseskilde |
Kdcsvc |
Hændelses-id |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Hændelsestekst |
En PKINIT Kerberos-klient, der ikke er i overensstemmelse med den, er godkendt til denne domænecontroller. Godkendelsen blev tilladt, fordi KDCGlobalAllowDesFallBack blev angivet. Fremover vil disse forbindelser ikke kunne godkendes. Identificer enheden, og søg efter at opgradere kerberos-implementeringen
|
Status
Microsoft har bekræftet, at dette er et problem i de Microsoft produkter, der er angivet i afsnittet "Gælder for".