症状
当这些设备使用智能卡 (PIV) 身份验证时,打印和扫描可能会失败。
备注 使用智能卡 (PIV) 身份验证时受影响的设备在使用用户名和密码身份验证时应按预期工作。
原因
2021 年 7 月 13 日,Microsoft发布了 CVE-2021-33764 的强化更改,在域控制器 (DC) 安装 2021 年 7 月 13 日或更高版本的更新时,可能会导致此问题。 受影响的设备是智能卡验证打印机、扫描仪和多功能设备,它们不支持在 PKINIT Kerberos 身份验证期间Diffie-Hellman (DH) 进行密钥交换,或者在 Kerberos AS 请求期间不播发对 des-ede3-cbc (“triple DES”) 的支持。
根据 RFC 4556 规范的第 3.2.1 节,要使此密钥交换正常工作,客户端必须同时支持并通知密钥分发中心 (KDC) 其支持 des-ede3-cbc (“triple DES”) 。 在加密模式下通过密钥交换启动 Kerberos PKINIT,但既不支持也不告诉 KDC 支持 des-ede3-cbc (“triple DES”) 的客户端将被拒绝。
要使打印机和扫描仪客户端设备符合要求,它们必须:
-
在 PKINIT Kerberos 身份验证期间使用Diffie-Hellman进行密钥交换 (首选) 。
-
或者,支持并通知 KDC 其支持 des-ede3-cbc (“triple DES”) 。
后续步骤
如果打印或扫描设备遇到此问题,请验证你使用的是适用于设备的最新固件和驱动程序。 如果你的固件和驱动程序是最新的,并且你仍然遇到此问题,我们建议你联系设备制造商。 询问是否需要更改配置才能使设备符合 CVE-2021-33764 的强化更改,或者是否将提供合规更新。
如果目前无法使设备符合 RFC 4556 规范 第 3.2.1 节(符合 CVE-2021-33764 的要求),那么在与打印或扫描设备制造商合作以使环境在以下时间线内符合性时,现在可以使用临时缓解措施。
重要说明 必须在 2022 年 7 月 12 日前更新并符合或替换不合规的设备,届时临时缓解措施将无法在安全更新中使用。
重要通知
此方案的所有临时缓解措施将在 2022 年 7 月和 2022 年 8 月删除,具体取决于你正在使用的 Windows 版本 (请参阅下表) 。 在以后的更新中将没有进一步的回退选项。 所有不符合的设备都必须使用从 2022 年 1 月开始的审核事件进行标识,并从 2022 年 7 月下旬开始更新或替换为缓解删除。
2022 年 7 月之后,不符合 RFC 4456 规范和 CVE-2021-33764 的设备将无法用于更新的 Windows 设备。
目标日期 |
Event |
适用对象 |
2021 年 7 月 13 日 |
汇报发布了 CVE-2021-33764 的强化更改。 默认情况下,所有以后的更新都会启用此强化更改。 |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2021 年 7 月 27 日 |
汇报发布了临时缓解措施,以解决不合规设备上的打印和扫描问题。 在此日期或更高版本发布的汇报必须在 DC 上安装,并且必须按照以下步骤通过注册表项启用缓解措施。 |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2021 年 7 月 29 日 |
汇报发布了临时缓解措施,以解决不合规设备上的打印和扫描问题。 此日期或更高版本汇报版本必须安装在 DC 上,并且必须使用以下步骤通过注册表项启用缓解措施。 |
Windows Server 2016 |
2022 年 1 月 25 日 |
汇报将在 Active Directory 域控制器上记录审核事件,这些域控制器标识在 DC 安装 2022 年 7 月/2022 年 8 月或更高版本更新后身份验证失败的 RFC-4456 不兼容打印机。 |
Windows Server 2022 Windows Server 2019 |
2022 年 2 月 8 日 |
汇报将在 Active Directory 域控制器上记录审核事件,这些域控制器标识在 DC 安装 2022 年 7 月/2022 年 8 月或更高版本更新后身份验证失败的 RFC-4456 不兼容打印机。 |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
2022 年 7 月 21 日 |
可选的预览版更新版本,用于删除临时缓解措施,要求在环境中打印和扫描设备投诉。 |
Windows Server 2019 |
2022 年 8 月 9 日 |
重要说明 安全更新版本,用于删除临时缓解措施,要求在环境中打印和扫描设备。 当天或之后发布的所有更新都将无法使用临时缓解措施。 在 Active Directory 域控制器上安装这些更新或更高版本后,智能卡身份验证打印机和扫描仪必须符合 CVE-2021-33764 所需的 RFC 4556 规范的第 3.2.1 部分 |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
若要在环境中使用临时缓解措施,请在所有域控制器上执行以下步骤:
-
在域控制器上,将下面列出的临时缓解注册表值设置为 1, (使用注册表编辑器或环境中提供的自动化工具启用) 。
备注 此步骤 1 可以在步骤 2 和步骤 3 之前或之后完成。
-
安装允许在 2021 年 7 月 27 日或更高版本发布的更新中提供的临时缓解的更新 (下面的第一个更新允许临时缓解) :
-
重启域控制器。
临时缓解的注册表值:
警告 使用注册表编辑器或其他方法修改注册表不当可能会出现严重问题。 这些问题可能需要重新安装操作系统。 Microsoft不能保证这些问题可以解决。 修改注册表的风险由您自行承担。
注册表子项 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
值 |
Allow3DesFallback |
数据类型 |
DWORD |
数据 |
1 - 启用临时缓解。 0 - 启用默认行为,要求设备符合 RFC 4556 规范 3.2.1 部分。 |
是否需要重启? |
否 |
可以使用以下命令创建上述注册表项以及值和数据集:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
审核事件
2022 年 1 月 25 日和 2022 年 2 月 8 日 Windows 更新还将添加新的事件 ID,以帮助识别受影响的设备。
事件日志 |
系统警报 |
事件类型 |
错误 |
事件源 |
Kdcsvc |
事件 ID |
307 39 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2) |
事件文本 |
Kerberos 客户端未提供支持的加密类型,以用于使用加密模式的 PKINIT 协议。
|
事件日志 |
系统警报 |
事件类型 |
警告 |
事件源 |
Kdcsvc |
事件 ID |
308 40 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2) |
事件文本 |
向此 DC 进行身份验证的不符合 PKINIT Kerberos 客户端。 允许身份验证,因为设置了 KDCGlobalAllowDesFallBack。 将来,这些连接身份验证将失败。 识别设备并查看升级其 Kerberos 实现
|
状态
Microsoft 已经确认在“适用范围”部分中列出的 Microsoft 产品中存在此问题。