Συμπτώματα
Η εκτύπωση και η σάρωση ενδέχεται να αποτύχουν όταν αυτές οι συσκευές χρησιμοποιούν έλεγχο ταυτότητας έξυπνης κάρτας (PIV).
Σημείωση Οι συσκευές που επηρεάζονται κατά τη χρήση ελέγχου ταυτότητας έξυπνης κάρτας (PIV) θα πρέπει να λειτουργούν όπως αναμένεται κατά τη χρήση του ονόματος χρήστη και του ελέγχου ταυτότητας με κωδικό πρόσβασης.
Αιτία
Στις 13 Ιουλίου 2021, Microsoft κυκλοφορήσει αλλαγές σκλήρυνσης για CVE-2021-33764 Αυτό μπορεί να προκαλέσει αυτό το πρόβλημα κατά την εγκατάσταση ενημερώσεων που κυκλοφόρησαν στις 13 Ιουλίου 2021 ή νεότερες εκδόσεις σε έναν ελεγκτή τομέα (DC). Οι επηρεαζόμενες συσκευές είναι εκτυπωτές, σαρωτές και συσκευές πολλαπλών λειτουργιών που δεν υποστηρίζουν είτε Diffie-Hellman (DH) για ανταλλαγή κλειδιών κατά τον έλεγχο ταυτότητας PKINIT Kerberos είτε δεν κοινοποιούν υποστήριξη για des-ede3-cbc ("triple DES") κατά τη διάρκεια του αιτήματος Kerberos AS .
Ανά ενότητα 3.2.1 της προδιαγραφής RFC 4556, για να λειτουργήσει αυτή η ανταλλαγή κλειδιών, ο πελάτης πρέπει να υποστηρίζει και να ειδοποιεί το βασικό κέντρο διανομής (KDC) για την υποστήριξή του για des-ede3-cbc ("triple DES"). Οι υπολογιστές-πελάτες που ξεκινούν το PKINIT Kerberos με ανταλλαγή κλειδιών σε λειτουργία κρυπτογράφησης, αλλά ούτε υποστηρίζουν ούτε ενημερώνουν το KDC ότι υποστηρίζουν des-ede3-cbc ("triple DES"), θα απορριφθούν.
Για να είναι συμβατές οι συσκευές-πελάτες εκτυπωτών και σαρωτών, πρέπει είτε:
-
Χρησιμοποιήστε Diffie-Hellman για ανταλλαγή κλειδιών κατά τη διάρκεια του ελέγχου ταυτότητας PKINIT Kerberos (προτιμώμενος).
-
Εναλλακτικά, υποστηρίζεται και ειδοποιείται η KDC για την υποστήριξή τους για des-ede3-cbc ("triple DES").
Επόμενα βήματα
Αν αντιμετωπίσετε αυτό το πρόβλημα με τις συσκευές εκτύπωσης ή σάρωσης, βεβαιωθείτε ότι χρησιμοποιείτε το πιο πρόσφατο υλικολογισμικό και τα προγράμματα οδήγησης που είναι διαθέσιμα για τη συσκευή σας. Αν το υλικολογισμικό και τα προγράμματα οδήγησης είναι ενημερωμένα και εξακολουθείτε να αντιμετωπίζετε αυτό το πρόβλημα, σας συνιστούμε να επικοινωνήσετε με τον κατασκευαστή της συσκευής. Ρωτήστε εάν απαιτείται αλλαγή ρύθμισης παραμέτρων για τη συμμόρφωση της συσκευής με την αλλαγή θωριοποίησης για το CVE-2021-33764 ή αν θα γίνει διαθέσιμη μια συμβατή ενημέρωση.
Εάν προς το παρόν δεν υπάρχει τρόπος συμμόρφωσης των συσκευών σας με την ενότητα 3.2.1 της προδιαγραφής RFC 4556 , όπως απαιτείται για το CVE-2021-33764, τώρα είναι διαθέσιμος ένας προσωρινός μετριασμός ενώ εργάζεστε με τον κατασκευαστή της συσκευής εκτύπωσης ή σάρωσης για να συμμορφώσετε το περιβάλλον σας εντός της παρακάτω λωρίδας χρόνου.
Σημαντικό Πρέπει να έχετε τις μη συμβατές συσκευές σας ενημερωμένες και συμβατές ή να έχουν αντικατασταθεί από τις 12 Ιουλίου 2022, όταν ο προσωρινός μετριασμός δεν θα μπορεί να χρησιμοποιηθεί στις ενημερώσεις ασφαλείας.
Σημαντική ειδοποίηση
Όλοι οι προσωρινοί μετριασμούς για αυτό το σενάριο θα καταργηθούν τον Ιούλιο του 2022 και τον Αύγουστο του 2022, ανάλογα με την έκδοση των Windows που χρησιμοποιείτε (ανατρέξτε στον παρακάτω πίνακα). Δεν θα υπάρχει άλλη εναλλακτική επιλογή σε μεταγενέστερες ενημερώσεις. Όλες οι συσκευές που δεν είναι συμβατές πρέπει να προσδιορίζονται με χρήση των συμβάντων ελέγχου από τον Ιανουάριο του 2022 και να ενημερώνονται ή να αντικαθίστανται από την κατάργηση μετριασμού από τα τέλη Ιουλίου του 2022.
Μετά τον Ιούλιο του 2022, οι συσκευές που δεν είναι συμβατές με την προδιαγραφή RFC 4456 και το CVE-2021-33764 δεν θα μπορούν να χρησιμοποιηθούν με ενημερωμένη συσκευή Windows.
|
Ημερομηνία-στόχος |
Συμβάν |
Ισχύει για |
|
13 Ιουλίου 2021 |
Ενημερώσεις που απελευθερώνονται με αλλαγές σκλήρυνσης για CVE-2021-33764. Όλες οι μεταγενέστερες ενημερώσεις έχουν ενεργοποιημένη αυτήν την αλλαγή θωρισμού από προεπιλογή. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
27 Ιουλίου 2021 |
Ενημερώσεις που κυκλοφορεί με προσωρινό μετριασμό για την αντιμετώπιση προβλημάτων εκτύπωσης και σάρωσης σε μη συμβατές συσκευές. Ενημερώσεις που θα κυκλοφορήσει σε αυτήν την ημερομηνία ή μεταγενέστερη πρέπει να εγκατασταθεί στον ελεγκτή τομέα και ο μετριασμός πρέπει να ενεργοποιηθεί μέσω του κλειδιού μητρώου ακολουθώντας τα παρακάτω βήματα. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29 Ιουλίου 2021 |
Ενημερώσεις που κυκλοφορεί με προσωρινό μετριασμό για την αντιμετώπιση προβλημάτων εκτύπωσης και σάρωσης σε μη συμβατές συσκευές. Ενημερώσεις έκδοση αυτή την ημερομηνία ή μεταγενέστερη πρέπει να εγκατασταθεί στον ελεγκτή τομέα και ο μετριασμός πρέπει να ενεργοποιηθεί μέσω του κλειδιού μητρώου ακολουθώντας τα παρακάτω βήματα. |
Windows Server 2016 |
|
25 Ιανουαρίου 2022 |
Ενημερώσεις θα καταγράφει συμβάντα ελέγχου σε ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory που προσδιορίζουν εκτυπωτές που είναι μη συμβατοί εκτυπωτές RFC-4456 και αποτυγχάνουν στον έλεγχο ταυτότητας όταν οι ελεγκτές τομέα εγκαταστήσουν τις ενημερώσεις Ιουλίου 2022/Αυγούστου 2022 ή μεταγενέστερες. |
Windows Server 2022 Windows Server 2019 |
|
8 Φεβρουαρίου 2022 |
Ενημερώσεις θα καταγράφει συμβάντα ελέγχου σε ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory που προσδιορίζουν εκτυπωτές που είναι μη συμβατοί εκτυπωτές RFC-4456 και αποτυγχάνουν στον έλεγχο ταυτότητας όταν οι ελεγκτές τομέα εγκαταστήσουν τις ενημερώσεις Ιουλίου 2022/Αυγούστου 2022 ή μεταγενέστερες. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21 Ιουλίου 2022 |
Προαιρετική έκδοση ενημέρωσης προεπισκόπησης για την κατάργηση των προσωρινών μετριασμών, ώστε να απαιτείται εκτύπωση παραπόνων και σάρωση συσκευών στο περιβάλλον σας. |
Windows Server 2019 |
|
9 Αυγούστου 2022 |
Σημαντικό Έκδοση ενημέρωσης ασφαλείας για την κατάργηση των προσωρινών μετριασμών, ώστε να απαιτείται εκτύπωση παραπόνων και σάρωση συσκευών στο περιβάλλον σας. Όλες οι ενημερώσεις που θα κυκλοφορήσουν αυτήν την ημέρα ή αργότερα δεν θα είναι σε θέση να χρησιμοποιήσουν τον προσωρινό μετριασμό. Οι εκτυπωτές και οι σαρωτές ελέγχου ταυτότητας έξυπνης κάρτας πρέπει να είναι συμβατοί με την ενότητα 3.2.1 της προδιαγραφής RFC 4556 που απαιτείται για το CVE-2021-33764 μετά την εγκατάσταση αυτών των ενημερώσεων ή νεότερες εκδόσεις σε ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Για να χρησιμοποιήσετε τον προσωρινό μετριασμό στο περιβάλλον σας, ακολουθήστε τα παρακάτω βήματα σε όλους τους ελεγκτές τομέα:
-
Στους ελεγκτές τομέα, ορίστε την προσωρινή τιμή μητρώου μετριασμού που παρατίθεται παρακάτω σε 1 (ενεργοποίηση) χρησιμοποιώντας τον Επεξεργαστή Μητρώου ή τα εργαλεία αυτοματισμού που είναι διαθέσιμα στο περιβάλλον σας.
Σημείωση Αυτό το βήμα 1 μπορεί να γίνει πριν ή μετά τα βήματα 2 και 3.
-
Εγκαταστήστε μια ενημέρωση που επιτρέπει τον προσωρινό μετριασμό που είναι διαθέσιμος στις ενημερώσεις που κυκλοφόρησαν στις 27 Ιουλίου 2021 ή σε νεότερες εκδόσεις (ακολουθούν οι πρώτες ενημερώσεις που επιτρέπουν τον προσωρινό μετριασμό):
-
Επανεκκινήστε τον ελεγκτή τομέα σας.
Τιμή μητρώου για προσωρινή λύση:
Προειδοποίηση Εάν τροποποιήσετε εσφαλμένα το μητρώο χρησιμοποιώντας τον Επεξεργαστή Μητρώου ή κάποια άλλη μέθοδο, ενδέχεται να προκύψουν σοβαρά προβλήματα. Αυτά τα προβλήματα ενδέχεται να απαιτήσουν την επανεγκατάσταση του λειτουργικού συστήματος. Microsoft δεν μπορεί να εγγυηθεί ότι αυτά τα προβλήματα μπορούν να επιλυθούν. Τροποποιήστε το μητρώο με δική σας ευθύνη.
|
Δευτερεύον κλειδί μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Τιμή |
Allow3DesFallback |
|
Τύπος δεδομένων |
DWORD |
|
Δεδομένα |
1 – Ενεργοποίηση προσωρινής λύσης. 0 – Ενεργοποιήστε την προεπιλεγμένη συμπεριφορά, απαιτώντας τη συμμόρφωση των συσκευών σας με την ενότητα 3.2.1 της προδιαγραφής RFC 4556. |
|
Απαιτείται επανεκκίνηση; |
Όχι |
Μπορείτε να δημιουργήσετε το παραπάνω κλειδί μητρώου και την τιμή και το σύνολο δεδομένων χρησιμοποιώντας την ακόλουθη εντολή:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Συμβάντα ελέγχου
Η ενημέρωση των Windows στις 25 Ιανουαρίου 2022 και στις 8 Φεβρουαρίου 2022 θα προσθέσει επίσης νέα αναγνωριστικά συμβάντων για τον εντοπισμό των συσκευών που επηρεάζονται.
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Σφάλμα |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Κείμενο συμβάντος |
Ο υπολογιστής-πελάτης Kerberos δεν παρείχε υποστηριζόμενο τύπο κρυπτογράφησης για χρήση με το πρωτόκολλο PKINIT με χρήση της λειτουργίας κρυπτογράφησης.
|
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Kdcsvc |
|
Αναγνωριστικό συμβάντος |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Κείμενο συμβάντος |
Ένας μη μορφοποιημένος υπολογιστής-πελάτης PKINIT Kerberos με έλεγχο ταυτότητας σε αυτόν τον ελεγκτή τομέα. Ο έλεγχος ταυτότητας επιτράπηκε επειδή έχει οριστεί το KDCGlobalAllowDesFallBack. Στο μέλλον, αυτές οι συνδέσεις θα αποτυγχάνουν στον έλεγχο ταυτότητας. Προσδιορίστε τη συσκευή και αναζητήστε την αναβάθμιση της υλοποίησης Kerberos
|
Κατάσταση
Microsoft έχει επιβεβαιώσει ότι πρόκειται για πρόβλημα στα προϊόντα Microsoft που παρατίθενται στην ενότητα "Ισχύει για".
