Dấu hiệu
Việc in và quét có thể không thành công khi các thiết bị này sử dụng xác thực thẻ thông minh (PIV).
Lưu ý Các thiết bị bị ảnh hưởng khi sử dụng xác thực thẻ thông minh (PIV) sẽ hoạt động như mong đợi khi sử dụng xác thực tên người dùng và mật khẩu.
Nguyên nhân
Vào ngày 13 tháng 7 năm 2021, Microsoft đã phát hành các thay đổi cứng cho CVE-2021-33764 Điều này có thể gây ra sự cố này khi bạn cài đặt các bản cập nhật được phát hành vào ngày 13 tháng 7 năm 2021 hoặc phiên bản mới hơn trên bộ kiểm soát miền (DC). Các thiết bị bị ảnh hưởng là máy in, máy quét và thiết bị đa chức năng thẻ thông minh không hỗ trợ Diffie-Hellman (DH) để trao đổi khóa trong quá trình xác thực PKINIT Kerberos hoặc không quảng cáo hỗ trợ cho des-ede3-cbc ("triple DES") trong yêu cầu Kerberos AS .
Theo mục 3.2.1 của đặc tả RFC 4556, để trao đổi khóa này hoạt động, khách hàng phải hỗ trợ và thông báo cho trung tâm phân phối khóa (KDC) về việc hỗ trợ des-ede3-cbc ("triple DES"). Khách hàng khởi tạo Kerberos PKINIT với trao đổi khóa trong chế độ mã hóa nhưng không hỗ trợ cũng không nói với KDC rằng họ hỗ trợ des-ede3-cbc ("triple DES"), sẽ bị từ chối.
Để các thiết bị máy in và máy quét tuân thủ, chúng phải:
-
Sử Diffie-Hellman đổi khóa trong quá trình xác thực PKINIT Kerberos (ưu tiên).
-
Hoặc, cả hai hỗ trợ và thông báo cho KDC hỗ trợ của họ cho des-ede3-cbc ("triple DES").
Các bước tiếp theo
Nếu bạn gặp sự cố này với thiết bị in hoặc quét, hãy xác minh rằng bạn đang sử dụng vi chương trình và trình điều khiển mới nhất có sẵn cho thiết bị của mình. Nếu vi chương trình và trình điều khiển của bạn đã được cập nhật nhưng bạn vẫn gặp phải sự cố này, bạn nên liên hệ với nhà sản xuất thiết bị. Hỏi xem có cần thay đổi cấu hình để giúp thiết bị tuân thủ thay đổi cấu hình đối với CVE-2021-33764 hay không hoặc liệu có bản cập nhật tuân thủ nào được cung cấp hay không.
Nếu hiện không có cách nào để thiết bị của bạn tuân thủ mục 3.2.1 của thông số kỹ thuật RFC 4556 theo yêu cầu đối với CVE-2021-33764, hiện đã có biện pháp giảm nhẹ tạm thời khi bạn làm việc với nhà sản xuất thiết bị in hoặc quét để giúp môi trường của bạn tuân thủ trong dòng thời gian bên dưới.
Quan trọng Bạn phải cập nhật và thay thế các thiết bị không tuân thủ hoặc được thay thế bằng ngày 12 tháng 7 năm 2022, khi biện pháp giảm nhẹ tạm thời sẽ không thể sử dụng được trong các bản cập nhật bảo mật.
Thông báo Quan trọng
Tất cả biện pháp giảm nhẹ tạm thời cho trường hợp này sẽ bị loại bỏ trong tháng 7 năm 2022 và tháng 8 năm 2022, tùy thuộc vào phiên bản Windows bạn đang sử dụng (xem bảng bên dưới). Sẽ không có tùy chọn dự phòng nào khác trong các bản cập nhật sau này. Tất cả các thiết bị không tuân thủ phải được xác định bằng các sự kiện kiểm tra bắt đầu từ tháng 1 năm 2022 và được cập nhật hoặc thay thế bằng phương pháp loại bỏ biện pháp giảm nhẹ bắt đầu vào cuối tháng 7 năm 2022.
Sau tháng 7 năm 2022, các thiết bị không tuân thủ với thông số kỹ thuật RFC 4456 và CVE-2021-33764 sẽ không thể sử dụng với thiết bị Windows đã cập nhật.
Ngày Nhắm mục tiêu |
Sự kiện |
Áp dụng cho |
13/7/2021 |
Cập nhật hành với những thay đổi khó khăn cho CVE-2021-33764. Tất cả các bản cập nhật sau này đều được bật thay đổi khó khăn này theo mặc định. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Ngày 27 tháng 7 năm 2021 |
Cập nhật hành với biện pháp giảm thiểu tạm thời để giải quyết các sự cố in và quét trên các thiết bị không tuân thủ. Cập nhật phát hành vào ngày này hoặc sau đó phải được cài đặt trên bạn DC và giảm thiểu phải được bật thông qua khóa đăng ký bằng cách sử dụng các bước dưới đây. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Ngày 29 tháng 7 năm 2021 |
Cập nhật hành với biện pháp giảm thiểu tạm thời để giải quyết các sự cố in và quét trên các thiết bị không tuân thủ. Cập nhật phát hành vào ngày này hoặc sau đó phải được cài đặt trên bạn DC và giảm thiểu phải được bật thông qua khóa đăng ký bằng cách sử dụng các bước dưới đây. |
Windows Server 2016 |
Ngày 25 tháng 1 năm 2022 |
Cập nhật sẽ ghi nhật ký các sự kiện kiểm tra trên bộ kiểm soát miền Active Directory giúp xác định máy in là máy in RFC-4456 không thể xác thực sau khi PC cài đặt bản cập nhật tháng 7 năm 2022/tháng 8 năm 2022 trở lên. |
Windows Server 2022 Windows Server 2019 |
Ngày 8 tháng 2 năm 2022 |
Cập nhật sẽ ghi nhật ký các sự kiện kiểm tra trên bộ kiểm soát miền Active Directory giúp xác định máy in là máy in RFC-4456 không thể xác thực sau khi PC cài đặt bản cập nhật tháng 7 năm 2022/tháng 8 năm 2022 trở lên. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Ngày 21 tháng 7 năm 2022 |
Bản phát hành bản cập nhật xem trước tùy chọn để loại bỏ biện pháp giảm nhẹ tạm thời nhằm yêu cầu các thiết bị in và quét khiếu nại trong môi trường của bạn. |
Windows Server 2019 |
Ngày 9 tháng 8 năm 2022 |
Quan trọng Bản phát hành bản cập nhật bảo mật để loại bỏ biện pháp giảm nhẹ tạm thời để yêu cầu các thiết bị in và quét khiếu nại trong môi trường của bạn. Tất cả các bản cập nhật được phát hành vào ngày này hoặc sau đó sẽ không thể sử dụng biện pháp giảm nhẹ tạm thời. Máy in và máy quét xác thực thẻ thông minh phải tuân thủ mục 3.2.1 của đặc tả RFC 4556 bắt buộc đối với CVE-2021-33764 sau khi cài đặt các bản cập nhật này trở lên trên bộ kiểm soát miền Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Để sử dụng biện pháp giảm nhẹ tạm thời trong môi trường của bạn, hãy làm theo các bước sau trên tất cả các bộ kiểm soát miền:
-
Trên bộ kiểm soát miền, đặt giá trị sổ đăng ký giảm nhẹ tạm thời được liệt kê bên dưới thành 1 (bật) bằng cách sử dụng Trình soạn thảo Sổ đăng ký hoặc các công cụ tự động có sẵn trong môi trường của bạn.
Lưu ý Bạn có thể thực hiện bước 1 này trước hoặc sau bước 2 và 3.
-
Cài đặt bản cập nhật cho phép giảm thiểu tạm thời có sẵn trong các bản cập nhật được phát hành ngày 27 tháng 7 năm 2021 trở lên (dưới đây là các bản cập nhật đầu tiên cho phép biện pháp giảm nhẹ tạm thời):
-
Khởi động lại bộ điều khiển miền của bạn.
Giá trị sổ đăng ký cho biện pháp giảm nhẹ tạm thời:
Cảnh báo Các vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng cách bằng cách sử dụng Trình soạn thảo Sổ đăng ký hoặc bằng phương pháp khác. Những sự cố này có thể yêu cầu bạn phải cài đặt lại hệ điều hành. Microsoft thể đảm bảo có thể giải quyết những sự cố này. Bạn phải tự chịu rủi ro khi sửa đổi sổ đăng ký.
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Giá trị |
Allow3DesFallback |
Kiểu dữ liệu |
DWORD |
Dữ liệu |
1 – Bật biện pháp giảm nhẹ tạm thời. 0 – Bật hành vi mặc định, yêu cầu thiết bị của bạn tuân thủ mục 3.2.1 của thông số kỹ thuật RFC 4556. |
Bạn cần khởi động lại? |
Không |
Bạn có thể tạo khóa đăng ký ở trên cũng như tạo giá trị và tập dữ liệu bằng cách sử dụng lệnh sau đây:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Sự kiện Kiểm tra
Bản cập nhật Windows ngày 25 tháng 1 năm 2022 và ngày 8 tháng 2 năm 2022 cũng sẽ thêm ID sự kiện mới để giúp xác định các thiết bị bị ảnh hưởng.
Nhật ký Sự kiện |
Hệ thống |
Loại Sự kiện |
Lỗi |
Nguồn Sự kiện |
Kdcsvc |
ID Sự kiện |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Văn bản Sự kiện |
Máy khách Kerberos không cung cấp kiểu mã hóa được hỗ trợ để sử dụng với giao thức PKINIT bằng cách sử dụng chế độ mã hóa.
|
Nhật ký Sự kiện |
Hệ thống |
Loại Sự kiện |
Cảnh báo |
Nguồn Sự kiện |
Kdcsvc |
ID Sự kiện |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
Văn bản Sự kiện |
Một máy khách PKINIT Kerberos không phù hợp được xác thực với DC này. Xác thực được cho phép vì KDCGlobalAllowDesFallBack đã được thiết lập. Trong tương lai, các kết nối này sẽ không xác thực được. Xác định thiết bị và tìm cách nâng cấp việc triển khai Kerberos của thiết bị
|
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong các Microsoft sản phẩm được liệt kê trong mục "Áp dụng cho".