Симптоми
Отпечатването и сканирането може да са неуспешни, когато тези устройства използват удостоверяване за смарт карта (PIV).
Забележка
Забележка Устройствата, които са засегнати от използването на удостоверяване за смарт карта (PIV), трябва да работят по очаквания начин, когато се използва удостоверяване на потребителско име и парола.
Причина
На 13 юли 2021 г. Microsoft пусна промени за подсилване за CVE-2021-33764 Това може да доведе до този проблем, когато инсталирате актуализации, издадени на 13 юли 2021 г., или по-нови версии на домейнов контролер (DC). Засегнатите устройства са принтери, скенери и многофункционални устройства за удостоверяване на смарт карти, които не поддържат нито едно от Diffie-Hellman (DH) за обмен на ключове по време на PKINIT Kerberos удостоверяване или не рекламират поддръжка за DES-EDE3-CBC ("triple DES") по време на заявката за Kerberos AS .
Съгласно раздел 3.2.1 от спецификацията RFC 4556, за да работи тази размена на ключове, клиентът трябва както да поддържа, така и да уведомява центъра за разпределение на ключове (KDC) за поддръжката си за DES-EDE3-CBC ("тройен DES"). Клиентите, които инициират Kerberos PKINIT с размяна на ключове в режим на шифроване, но нито поддържат, нито уведомяват KDC, че поддържат des-ede3-cbc ("triple DES"), ще бъдат отхвърлени.
За да бъдат съвместими клиентските устройства за принтер и скенер, те трябва да:
- Използвайте Diffie-Hellman за обмен на ключове по време на PKINIT Kerberos удостоверяване (предпочитано).
- Или и поддържат, и уведомяват KDC за поддръжката си за des-ede3-cbc ("triple DES").
Следващи стъпки
Ако срещнете този проблем с вашите устройства за печат или сканиране, уверете се, че използвате най-новия фърмуер и драйвери, налични за вашето устройство. Ако вашите фърмуер и драйвери са актуализирани и все още срещате този проблем, ви препоръчваме да се свържете с производителя на устройството. Попитайте дали е необходима промяна в конфигурацията, за да се приведе устройството в съответствие с промяната за подсилване за CVE-2021-33764 , или ще бъде налична съвместима актуализация.
Ако в момента няма начин да приведете вашите устройства в съответствие с раздел 3.2.1 от спецификацията RFC 4556 , както се изисква за CVE-2021-33764, сега е налично временно смекчаване, докато работите с производителя на печатащото или сканиращото устройство, за да приведете вашата среда в съответствие в рамките на сроковете по-долу.
Забележка
Важно Трябва вашите несъвместими устройства да бъдат актуализирани и заменени или заменени до 12 юли 2022 г., когато временното смекчаване няма да може да се използва в актуализации на защитата.
Важна бележка
Всички временни смекчавания за този сценарий ще бъдат премахнати през юли 2022 г. и август 2022 г. в зависимост от версията на Windows, която използвате (вижте таблицата по-долу). Няма да има друга резервна опция в следващите актуализации. Всички несъвместими устройства трябва да бъдат идентифицирани с помощта на събитията за одит, започващи от януари 2022 г., и актуализирани или заменени с премахване на смекчаващите последици, започващо в края на юли 2022 г.
След юли 2022 г. устройства, които не отговарят на спецификацията RFC 4456 и CVE-2021-33764, няма да могат да се използват с актуализирано устройство с Windows.
| Целева дата | Събитие | Важи за |
|---|---|---|
| Юли 13, 2021 г. | Актуализации, издадени с промени за подсилване за CVE-2021-33764. За всички по-нови актуализации тази промяна за подсилване е включена по подразбиране. | Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 27 юли 2021 г. | Актуализации, издадени с временно смекчаване на последствията за решаване на проблеми с отпечатването и сканирането на несъвместими устройства. Актуализации, издадени на тази дата или по-късно, трябва да бъдат инсталирани на вашия DC и смекчаването трябва да бъде включено чрез ключа от системния регистър, като се използват стъпките по-долу. | Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| Юли 29, 2021 г. | Актуализации, издадени с временно смекчаване на последствията за решаване на проблеми с отпечатването и сканирането на несъвместими устройства. Актуализации, които са издадени на тази дата или по-късно, трябва да бъдат инсталирани на вашия DC и смекчаването трябва да бъде включено чрез ключа от системния регистър, като се използват стъпките по-долу. | Windows Server 2016 |
| 25 януари 2022 г. | Актуализациите ще регистрират събития за проверка на домейновите контролери на Active Directory, които идентифицират принтери, които са несъвместими с RFC-4456 принтери, които не са преминали удостоверяване, след като DCs инсталират актуализациите от юли 2022 г./август 2022 г. или по-нови. | Windows Server 2022 Windows Server 2019 |
| 8 февруари 2022 г. | Актуализациите ще регистрират събития за проверка на домейновите контролери на Active Directory, които идентифицират принтери, които са несъвместими с RFC-4456 принтери, които не са преминали удостоверяване, след като DCs инсталират актуализациите от юли 2022 г./август 2022 г. или по-нови. | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 21 юли 2022 г. | Издание на опционална актуализация за предварителен преглед за премахване на временно смекчаване на изискването на устройства за печат и сканиране на жалби във вашата среда. | Windows Server 2019 |
| 9 август 2022 г. |
Важно Издание на актуализация на защитата за премахване на временно смекчаване на изискването на устройства за печат и сканиране на жалби във вашата среда. Всички актуализации, издадени на този ден или по-късно, няма да могат да използват временното смекчаване. Принтерите и скенерите, удостоверяващи смарт картата, трябва да отговарят на раздел 3.2.1 от спецификацията RFC 4556 , изисквана за CVE-2021-33764 , след инсталирането на тези актуализации или по-нови на домейнови контролери на Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
За да използвате временното смекчаване във вашата среда, изпълнете тези стъпки на всички домейнови контролери:
В домейновите контролери задайте стойността на системния регистър за временно смекчаване, изброена по-долу, на 1 (разрешено) с помощта на редактора на системния регистър или наличните инструменти за автоматизация, налични във вашата среда.
Забележка
Забележка Тази стъпка 1 може да се направи преди или след стъпки 2 и 3.
Инсталирайте актуализация, която позволява временно смекчаване, налично в актуализации, издадени на 27 юли 2021 г. или по-късно (по-долу са дадени първите актуализации за разрешаване на временното смекчаване):
Рестартирайте вашия домейнов контролер.
Стойност в системния регистър за временно смекчаване:
Забележка
Предупреждение Ако промените системния регистър неправилно, като използвате редактора на системния регистър или друг метод, е възможно да възникнат сериозни проблеми. Поради тези проблеми може да се наложи да преинсталирате операционната система. Microsoft не гарантира, че тези проблеми могат да бъдат отстранени. Променете системния регистър на собствена отговорност.
| Подключ на системния регистър | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Стойност | Allow3DesFallback |
| Тип данни | DWORD |
| Данни |
1 – Разрешаване на временно смекчаване. 0 – Разрешаване на поведение по подразбиране, изискващо вашите устройства да съответстват на раздел 3.2.1 от спецификацията RFC 4556. |
| Изисква се рестартиране? | Не |
Горният ключ от системния регистър може да бъде създаден и стойността и набора от данни с помощта на следната команда:
- reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Събития от проверка
Актуализацията на Windows от 25 януари 2022 г. и 8 февруари 2022 г. също така ще добави нови ИД на събития, за да ви помогне да идентифицирате засегнатите устройства.
| Регистър на събитията | Система |
|---|---|
| Тип събитие | Грешка |
| Източник на събитие | Kdcsvc |
| ИД на събитие | 307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Текст на събитие | Клиентът Kerberos не е предоставил поддържан тип шифроване за използване с протокола PKINIT, използващ режим на шифроване.
|
| Регистър на събитията | Система |
|---|---|
| Тип събитие | Предупреждение |
| Източник на събитие | Kdcsvc |
| ИД на събитие | 308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Текст на събитие | Несъответстващ клиент на PKINIT Kerberos, удостоверен в този домейнов контролер. Удостоверяването е разрешено, защото е зададен KDCGlobalAllowDesFallBack. В бъдеще тези връзки няма да бъдат удостоверени успешно. Идентифицирайте устройството и се опитайте да надстроите неговото внедряване на Kerberos
|
Състояние
Microsoft потвърждава, че това е проблем в продуктите на Microsoft, които са изброени в раздела "Важи за".