Simptomi
Tiskanje in pregledovanje morda ne uspeta, če te naprave uporabljajo preverjanje pristnosti pametne kartice (PIV).
Opomba Naprave, na katere to vpliva pri uporabi preverjanja pristnosti s pametno kartico (PIV), bi morale pri uporabi preverjanja pristnosti uporabniškega imena in gesla delovati po pričakovanjih.
Vzrok
13. julija 2021 je Microsoft izdal spremembe za utrjevanje za CVE-2021-33764 To lahko povzroči to težavo pri namestitvi posodobitev, izdanih 13. julija 2021 ali novejših različic, v krmilniku domene (DC). Prizadete naprave so tiskalniki, optični bralniki in večnamenske naprave, ki med preverjanjem pristnosti PKINIT Kerberos ne podpirajo niti storitve Diffie-Hellman (DH) za izmenjavo tipk bodisi ne oglašujejo podpore za des-ede3-cbc (»trojni DES«) med zahtevo Kerberos AS .
V skladu z razdelkom 3.2.1 specifikacije RFC 4556 mora odjemalec tako podpirati kot obvestiti središče za distribucijo ključa (KDC) o svoji podpori za des-ede3-cbc (»trojni DES«). Odjemalci, ki sprožijo Kerberos PKINIT z izmenjavo ključev v načinu šifriranja, vendar ne podpirajo niti ne povejo KDC-ju, da podpirajo des-ede3-cbc (»trojni DES«), bodo zavrnjeni.
Če želite, da so odjemalske naprave tiskalnika in optičnega bralnika skladne, morajo:
-
Uporabite Diffie-Hellman za izmenjavo ključa med preverjanjem pristnosti PKINIT Kerberos (prednostno).
-
Ali pa oba podpirata in obveščata KDC o njihovi podpori za des-ede3-cbc (»trojni DES«).
Naslednji koraki
Če naletite na to težavo pri napravah za tiskanje ali pregledovanje, preverite, ali uporabljate najnovejšo vdelano programsko opremo in gonilnike, ki so na voljo za vašo napravo. Če so vdelana programska oprema in gonilniki posodobljeni in do te težave še vedno prihaja, priporočamo, da se obrnete na proizvajalca naprave. Vprašajte se, ali je potrebna sprememba konfiguracije, da bo naprava skladna s spremembo utrjenega za CVE-2021-33764 ali če bo na voljo skladna posodobitev.
Če trenutno ni na voljo načina za skladnost naprav z razdelkom 3.2.1 specifikacije RFC 4556 , kot je zahtevano za CVE-2021-33764, je začasno ublažitev na voljo, medtem ko sodelujete s proizvajalcem naprave za tiskanje ali pregledovanje, da bi vaše okolje v skladu s predpisi na časovnici spodaj.
Pomembno Naprave, ki niso združljive, morajo biti posodobljene in skladne ali zamenjane z 12. julijem 2022, ko začasne ublažitve ne bo mogoče uporabiti v varnostnih posodobitvah.
Pomembno obvestilo
Vse začasne ublažitve posledic tega scenarija bodo odstranjene julija 2022 in avgusta 2022, odvisno od različice sistema Windows, ki jo uporabljate (glejte spodnjo tabelo). V poznejših posodobitvah ne bo več možnosti nadomestne podpore. Z dogodki revizije od januarja 2022 je treba identificirati vse naprave, ki niso nezdružljive, in jih posodobiti ali nadomestiti z odstranitvijo ublažitve posledic, ki se začne konec julija 2022.
Po juliju 2022 naprave, ki niso v skladu s specifikacijo RFC 4456 in CVE-2021-33764, ne bodo več mogoče uporabljati s posodobljeno napravo s sistemom Windows.
Ciljni datum |
Dogodek |
Velja za |
13. julij 2021 |
Posodobitve izdan s spremembami utrjenega za CVE-2021-33764. Pri vseh poznejših posodobitvah je ta sprememba utrjenega dela privzeto vklopljena. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 strežnik Windows Server 2008 R2 s servisnim paketom SP1 Windows Server 2008 s servisnim paketom SP2 |
27. julij 2021 |
Posodobitve, ki je bila izdana z začasno ublažitvijo posledic za odpravljanje težav s tiskanjem in pregledovanjem v napravah, ki niso povezane z združljivostjo. Posodobitve, ki je bila izdana na ta datum ali pozneje, mora biti nameščena v računalniku s sistemom WINDOWS, ublažitev posledic pa mora biti vklopljena prek registrskega ključa tako, da upoštevate spodnja navodila. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 strežnik Windows Server 2008 R2 s servisnim paketom SP1 Windows Server 2008 s servisnim paketom SP2 |
29. julij 2021 |
Posodobitve, ki je bila izdana z začasno ublažitvijo posledic za odpravljanje težav s tiskanjem in pregledovanjem v napravah, ki niso povezane z združljivostjo. Posodobitve izdaje na ta datum ali novejšo različico je treba namestiti v vaš dc, ublažitev posledic pa je treba vklopiti prek registrskega ključa tako, da upoštevate navodila spodaj. |
Windows Server 2016 |
25. januar 2022 |
Posodobitve dnevnik dogodkov nadzora v krmilnikih domene imenika Active Directory, ki identificirajo tiskalnike, ki so nezdružljivi tiskalniki RFC-4456 in pri katerih preverjanje pristnosti ni uspešno, ko računalniki namestijo posodobitve iz julija 2022/avgusta 2022 ali novejše. |
Windows Server 2022 Windows Server 2019 |
8. februar 2022 |
Posodobitve dnevnik dogodkov nadzora v krmilnikih domene imenika Active Directory, ki identificirajo tiskalnike, ki so nezdružljivi tiskalniki RFC-4456 in pri katerih preverjanje pristnosti ni uspešno, ko računalniki namestijo posodobitve iz julija 2022/avgusta 2022 ali novejše. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 strežnik Windows Server 2008 R2 s servisnim paketom SP1 Windows Server 2008 s servisnim paketom SP2 |
21. julij 2022 |
Izdaja izbirne posodobitve predogleda za odstranitev začasnih ublažitev posledic zaradi zahtevanja naprav za tiskanje in pregledovanje pritožb v vašem okolju. |
Windows Server 2019 |
9. avgust 2022 |
Pomembno Izdaja varnostne posodobitve za odstranjevanje začasnih ublažitev posledic zaradi zahtevanja naprav za tiskanje in pregledovanje pritožb v vašem okolju. Vse posodobitve, izdane na ta dan ali pozneje, ne morejo uporabiti začasne ublažitve posledic. Tiskalniki in optični bralniki, ki preverjajo pristnost pametnih kartic, morajo biti skladni z oddelkom 3.2.1 specifikacije RFC 4556 , ki je zahtevana za CVE-2021-33764 po namestitvi teh posodobitev ali novejših v krmilnikih domene imenika Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 strežnik Windows Server 2008 R2 s servisnim paketom SP1 Windows Server 2008 s servisnim paketom SP2 |
Če želite v svojem okolju uporabiti začasno ublažitev posledic, upoštevajte ta navodila v vseh krmilnikih domene:
-
V krmilnikih domene nastavite vrednost registra za začasno ublažitev posledic, ki je navedena spodaj, na 1 (omogočite) tako, da uporabite urejevalnik registra ali orodja za avtomatizacijo, ki so na voljo v vašem okolju.
Opomba Ta korak 1 lahko izvedete pred ali po 2. in 3. koraku.
-
Namestite posodobitev, ki omogoča začasno ublažitev posledic, ki je na voljo v posodobitvah, izdanih 27. julija 2021 ali novejših različicah (spodaj so prve posodobitve, ki omogočajo začasno ublažitev):
-
Znova zaženite krmilnik domene.
Vrednost registra za začasno ublažitev:
Opozorilo Če z urejevalnikom registra ali na drug način nepravilno spremenite register, lahko pride do resnih težav. Zaradi teh težav boste morda morali znova namestiti operacijski sistem. Microsoft ne morete zagotoviti, da bo te težave mogoče odpraviti. Register spremenite na lastno odgovornost.
Registrski podključ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Vrednost |
Allow3DesFallback |
Podatkovni tip |
DWORD |
Podatki |
1 – Omogočite začasno ublažitev posledic. 0 – Omogočite privzeto delovanje, tako da morajo biti vaše naprave v skladu s specifikacijo iz razdelka 3.2.1 RFC 4556. |
Ali je potreben vnovični zagon? |
Ne |
Zgornji registrski ključ lahko ustvarite, vrednost in nabor podatkov pa z naslednjim ukazom:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Dogodki nadzora
Posodobitev sistema Windows z dne 25. januarja 2022 in 8. februarja 2022 bo dodala tudi nove ID-je dogodkov za lažje prepoznavanje prizadetih naprav.
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Napaka |
Vir dogodka |
Kdcsvc |
ID dogodka |
307 39 (Windows Server 2008 R2 s servisnim paketom SP1, Windows Server 2008 s servisnim paketom SP2) |
Besedilo dogodka |
Odjemalec Kerberos ni prikazal podprte vrste šifriranja za uporabo s protokolom PKINIT s šifrirnim načinom.
|
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Opozorilo |
Vir dogodka |
Kdcsvc |
ID dogodka |
308 40 (Windows Server 2008 R2 s servisnim paketom SP1, Windows Server 2008 s servisnim paketom SP2) |
Besedilo dogodka |
Neconforming PKINIT Kerberos client authenticated to this DC. Preverjanje pristnosti je bilo dovoljeno, ker je bila nastavljena možnost KDCGlobalAllowDesFallBack. V prihodnosti te povezave ne bodo uspele s preverjanjem pristnosti. Identificirajte napravo in si oglejte, kako nadgraditi njeno izvajanje Kerberos
|
Stanje
Microsoft potrdil, da gre za težavo v izdelkih Microsoft ki so navedeni v razdelku »Velja za«.