Applies ToWindows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Simptomi

Tiskanje in pregledovanje morda ne uspeta, če te naprave uporabljajo preverjanje pristnosti pametne kartice (PIV). 

Opomba Naprave, na katere to vpliva pri uporabi preverjanja pristnosti s pametno kartico (PIV), bi morale pri uporabi preverjanja pristnosti uporabniškega imena in gesla delovati po pričakovanjih.

Vzrok

13. julija 2021 je Microsoft izdal spremembe za utrjevanje za CVE-2021-33764 To lahko povzroči to težavo pri namestitvi posodobitev, izdanih 13. julija 2021 ali novejših različic, v krmilniku domene (DC).  Prizadete naprave so tiskalniki, optični bralniki in večnamenske naprave, ki med preverjanjem pristnosti PKINIT Kerberos ne podpirajo niti storitve Diffie-Hellman (DH) za izmenjavo tipk bodisi ne oglašujejo podpore za des-ede3-cbc (»trojni DES«) med zahtevo Kerberos AS .

V skladu z razdelkom 3.2.1 specifikacije RFC 4556 mora odjemalec tako podpirati kot obvestiti središče za distribucijo ključa (KDC) o svoji podpori za des-ede3-cbc (»trojni DES«). Odjemalci, ki sprožijo Kerberos PKINIT z izmenjavo ključev v načinu šifriranja, vendar ne podpirajo niti ne povejo KDC-ju, da podpirajo des-ede3-cbc (»trojni DES«), bodo zavrnjeni.

Če želite, da so odjemalske naprave tiskalnika in optičnega bralnika skladne, morajo:

  • Uporabite Diffie-Hellman za izmenjavo ključa med preverjanjem pristnosti PKINIT Kerberos (prednostno).

  • Ali pa oba podpirata in obveščata KDC o njihovi podpori za des-ede3-cbc (»trojni DES«).

Naslednji koraki

Če naletite na to težavo pri napravah za tiskanje ali pregledovanje, preverite, ali uporabljate najnovejšo vdelano programsko opremo in gonilnike, ki so na voljo za vašo napravo. Če so vdelana programska oprema in gonilniki posodobljeni in do te težave še vedno prihaja, priporočamo, da se obrnete na proizvajalca naprave. Vprašajte se, ali je potrebna sprememba konfiguracije, da bo naprava skladna s spremembo utrjenega za CVE-2021-33764 ali če bo na voljo skladna posodobitev.

Če trenutno ni na voljo načina za skladnost naprav z razdelkom 3.2.1 specifikacije RFC 4556 , kot je zahtevano za CVE-2021-33764, je začasno ublažitev na voljo, medtem ko sodelujete s proizvajalcem naprave za tiskanje ali pregledovanje, da bi vaše okolje v skladu s predpisi na časovnici spodaj.

Pomembno Naprave, ki niso združljive, morajo biti posodobljene in skladne ali zamenjane z 12. julijem 2022, ko začasne ublažitve ne bo mogoče uporabiti v varnostnih posodobitvah.

Pomembno obvestilo

Vse začasne ublažitve posledic tega scenarija bodo odstranjene julija 2022 in avgusta 2022, odvisno od različice sistema Windows, ki jo uporabljate (glejte spodnjo tabelo). V poznejših posodobitvah ne bo več možnosti nadomestne podpore. Z dogodki revizije od januarja 2022 je treba identificirati vse naprave, ki niso nezdružljive, in jih posodobiti ali nadomestiti z odstranitvijo ublažitve posledic, ki se začne konec julija 2022. 

Po juliju 2022 naprave, ki niso v skladu s specifikacijo RFC 4456 in CVE-2021-33764, ne bodo več mogoče uporabljati s posodobljeno napravo s sistemom Windows.

Ciljni datum

Dogodek

Velja za

13. julij 2021

Posodobitve izdan s spremembami utrjenega za CVE-2021-33764. Pri vseh poznejših posodobitvah je ta sprememba utrjenega dela privzeto vklopljena.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

strežnik Windows Server 2008 R2 s servisnim paketom SP1

Windows Server 2008 s servisnim paketom SP2

27. julij 2021

Posodobitve, ki je bila izdana z začasno ublažitvijo posledic za odpravljanje težav s tiskanjem in pregledovanjem v napravah, ki niso povezane z združljivostjo. Posodobitve, ki je bila izdana na ta datum ali pozneje, mora biti nameščena v računalniku s sistemom WINDOWS, ublažitev posledic pa mora biti vklopljena prek registrskega ključa tako, da upoštevate spodnja navodila.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

strežnik Windows Server 2008 R2 s servisnim paketom SP1

Windows Server 2008 s servisnim paketom SP2

29. julij 2021

Posodobitve, ki je bila izdana z začasno ublažitvijo posledic za odpravljanje težav s tiskanjem in pregledovanjem v napravah, ki niso povezane z združljivostjo. Posodobitve izdaje na ta datum ali novejšo različico je treba namestiti v vaš dc, ublažitev posledic pa je treba vklopiti prek registrskega ključa tako, da upoštevate navodila spodaj.

Windows Server 2016

25. januar 2022

Posodobitve dnevnik dogodkov nadzora v krmilnikih domene imenika Active Directory, ki identificirajo tiskalnike, ki so nezdružljivi tiskalniki RFC-4456 in pri katerih preverjanje pristnosti ni uspešno, ko računalniki namestijo posodobitve iz julija 2022/avgusta 2022 ali novejše.

Windows Server 2022

Windows Server 2019

8. februar 2022

Posodobitve dnevnik dogodkov nadzora v krmilnikih domene imenika Active Directory, ki identificirajo tiskalnike, ki so nezdružljivi tiskalniki RFC-4456 in pri katerih preverjanje pristnosti ni uspešno, ko računalniki namestijo posodobitve iz julija 2022/avgusta 2022 ali novejše.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

strežnik Windows Server 2008 R2 s servisnim paketom SP1

Windows Server 2008 s servisnim paketom SP2

21. julij 2022

Izdaja izbirne posodobitve predogleda za odstranitev začasnih ublažitev posledic zaradi zahtevanja naprav za tiskanje in pregledovanje pritožb v vašem okolju.

Windows Server 2019

9. avgust 2022

Pomembno Izdaja varnostne posodobitve za odstranjevanje začasnih ublažitev posledic zaradi zahtevanja naprav za tiskanje in pregledovanje pritožb v vašem okolju.

Vse posodobitve, izdane na ta dan ali pozneje, ne morejo uporabiti začasne ublažitve posledic.

Tiskalniki in optični bralniki, ki preverjajo pristnost pametnih kartic, morajo biti skladni z oddelkom 3.2.1 specifikacije RFC 4556 , ki je zahtevana za CVE-2021-33764 po namestitvi teh posodobitev ali novejših v krmilnikih domene imenika Active Directory

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

strežnik Windows Server 2008 R2 s servisnim paketom SP1

Windows Server 2008 s servisnim paketom SP2

Če želite v svojem okolju uporabiti začasno ublažitev posledic, upoštevajte ta navodila v vseh krmilnikih domene:

  1. V krmilnikih domene nastavite vrednost registra za začasno ublažitev posledic, ki je navedena spodaj, na 1 (omogočite) tako, da uporabite urejevalnik registra ali orodja za avtomatizacijo, ki so na voljo v vašem okolju.

    Opomba Ta korak 1 lahko izvedete pred ali po 2. in 3. koraku.

  2. Namestite posodobitev, ki omogoča začasno ublažitev posledic, ki je na voljo v posodobitvah, izdanih 27. julija 2021 ali novejših različicah (spodaj so prve posodobitve, ki omogočajo začasno ublažitev):

  3. Znova zaženite krmilnik domene.

Vrednost registra za začasno ublažitev:

Opozorilo Če z urejevalnikom registra ali na drug način nepravilno spremenite register, lahko pride do resnih težav. Zaradi teh težav boste morda morali znova namestiti operacijski sistem. Microsoft ne morete zagotoviti, da bo te težave mogoče odpraviti. Register spremenite na lastno odgovornost.

Registrski podključ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vrednost

Allow3DesFallback

Podatkovni tip

DWORD

Podatki

1 – Omogočite začasno ublažitev posledic.

0 – Omogočite privzeto delovanje, tako da morajo biti vaše naprave v skladu s specifikacijo iz razdelka 3.2.1 RFC 4556.

Ali je potreben vnovični zagon?

Ne

Zgornji registrski ključ lahko ustvarite, vrednost in nabor podatkov pa z naslednjim ukazom:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Dogodki nadzora

Posodobitev sistema Windows z dne 25. januarja 2022 in 8. februarja 2022 bo dodala tudi nove ID-je dogodkov za lažje prepoznavanje prizadetih naprav.

Dnevnik dogodkov

Sistem

Vrsta dogodka

Napaka

Vir dogodka

Kdcsvc

ID dogodka

307

39 (Windows Server 2008 R2 s servisnim paketom SP1, Windows Server 2008 s servisnim paketom SP2)

Besedilo dogodka

Odjemalec Kerberos ni prikazal podprte vrste šifriranja za uporabo s protokolom PKINIT s šifrirnim načinom.

  • Glavno ime odjemalca: <ime domene>\<ime odjemalca>

  • Naslov IP odjemalca: IPv4/IPv6

  • Ime NetBIOS, ki ga zagotovi odjemalec: %3

Dnevnik dogodkov

Sistem

Vrsta dogodka

Opozorilo

Vir dogodka

Kdcsvc

ID dogodka

308

40 (Windows Server 2008 R2 s servisnim paketom SP1, Windows Server 2008 s servisnim paketom SP2)

Besedilo dogodka

Neconforming PKINIT Kerberos client authenticated to this DC. Preverjanje pristnosti je bilo dovoljeno, ker je bila nastavljena možnost KDCGlobalAllowDesFallBack. V prihodnosti te povezave ne bodo uspele s preverjanjem pristnosti. Identificirajte napravo in si oglejte, kako nadgraditi njeno izvajanje Kerberos

  • Glavno ime odjemalca: <ime domene>\<ime odjemalca>

  • Naslov IP odjemalca: IPv4/IPv6

  • Ime NetBIOS, ki ga zagotovi odjemalec: %3

Stanje

Microsoft potrdil, da gre za težavo v izdelkih Microsoft ki so navedeni v razdelku »Velja za«.

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.