Tunnused
Printimine ja skannimine võib nurjuda, kui need seadmed kasutavad kiipkaardi (PIV) autentimist.
Märkus Seadmed, mida kiipkaardi (PIV) autentimine mõjutab, peaksid kasutajanime ja parooli autentimisel töötama ootuspäraselt.
Põhjus
13. juulil 2021 Microsoft CVE-2021-33764 karastusmuudatused välja andnud. See võib põhjustada selle probleemi, kui installite domeenikontrollerisse (DC) 13. juulil 2021 või uuemates versioonides välja antud värskendused. Mõjutatud seadmed on kiipkaardi autentimise printerid, skannerid ja multifunktsionaalsed seadmed, mis ei toeta PKINIT Kerberose autentimise ajal võtmevahetuse jaoks Diffie-Hellman (DH) ega paku Kerberos AS-i taotluse ajal des-ede3-cbc ("kolmekordne DES") tuge.
Selle võtmevahetuse toimimiseks peab klient RFC 4556 spetsifikatsiooni punkti 3.2.1 kohaselt toetama ja teavitama põhijaotuskeskust (KDC) oma des-ede3-cbc ("kolmekordne DES") toest. Kliendid, kes algatavad Kerberos PKINIT võtmevahetuse krüptimisrežiimis, kuid ei toeta ega ütle KDC-le, et nad toetavad des-ede3-cbc ("kolmekordne DES"), lükatakse tagasi.
Printeri ja skanneri klientseadmete nõuetelevastamiseks peavad need olema kas:
-
Kasutage PKINIT Kerberose autentimise ajal võtmevahetuseks Diffie-Hellman (eelistatud).
-
Samuti võite nii KDC-d toetada kui ka teavitada nende toest des-ede3-cbc ("kolmekordne DES").
Järgmised toimingud
Kui teil tekib printimis- või skannimisseadmetega see probleem, veenduge, et kasutaksite oma seadme jaoks uusimat püsivara ja draivereid. Kui teie püsivara ja draiverid on ajakohased ja teil esineb endiselt see probleem, soovitame pöörduda seadme tootja poole. Küsige, kas CVE-2021-33764 kõvastusmuudatusega vastavusse viimiseks on vaja teha konfiguratsioonimuudatus või tehakse kättesaadavaks ühilduv värskendus.
Kui praegu ei ole võimalik viia oma seadmed vastavusse RFC 4556 spetsifikatsiooni punktiga 3.2.1, nagu on nõutud CVE-2021-33764 puhul, on ajutine leevendus nüüd saadaval, kui töötate koos printimis- või skannimisseadme tootjaga, et viia oma keskkond vastavusse alltoodud ajaskaalal.
Tähtis Kui ajutist leevendust ei saa turbevärskendustes kasutada, peab teil olema ühildumatuid seadmeid värskendatud ja ühilduv või asendatud 12. juuliga 2022.
Oluline teade
Kõik selle stsenaariumi ajutised leevendused eemaldatakse juulis 2022 ja augustis 2022, olenevalt teie kasutatavast Windowsi versioonist (vt allolevat tabelit). Hilisemates värskendustes ei saa rohkem taandesuvandit kasutada. Kõik mittetäielikud seadmed tuleb identifitseerida 2022. aasta jaanuarist algavate auditisündmuste abil ja neid tuleb värskendada või asendada leevendusmeetmete eemaldamisega, mis algavad 2022. aasta juuli lõpus.
Pärast juulit 2022 ei saa RFC 4456 spetsifikatsioonile ja CVE-2021-33764 nõuetele mittevastavaid seadmeid värskendatud Windowsi seadmega kasutada.
|
Sihitav aeg |
Sündmus |
Kehtib: |
|
13. juuli 2021 |
Teabevärskendused välja antud CVE-2021-33764 karastusmuudatustega. Kõik hilisemad värskendused on selle karastusmuudatuse vaikimisi sisse lülitatud. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
27. juuli 2021 |
Teabevärskendused välja antud ajutise leevendusega, et lahendada mittetäielikes seadmetes printimis- ja skannimisprobleeme. Teabevärskendused, mis on välja antud sellel kuupäeval või hiljem, peab olema teie arvutisse installitud ja leevendus peab olema sisse lülitatud registrivõtme kaudu, kasutades alltoodud juhiseid. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29. juuli 2021 |
Teabevärskendused välja antud ajutise leevendusega, et lahendada mittetäielikes seadmetes printimis- ja skannimisprobleeme. Teabevärskendused selle kuupäeva või uuema versiooni väljaandmine peab olema teie arvutisse installitud ja leevendus peab olema sisse lülitatud registrivõtme kaudu, kasutades alltoodud juhiseid. |
Windows Server 2016 |
|
25. jaanuar 2022 |
Teabevärskendused logib auditisündmused Active Directory domeenikontrollerites, mis tuvastavad RFC-4456 ühildumatuid printereid, mis nurjuvad autentimisel, kui DC-d installivad 2022. aasta juulis või augustis 2022 või uuemates värskendustes. |
Windows Server 2022 Windows Server 2019 |
|
8. veebruar 2022 |
Teabevärskendused logib auditisündmused Active Directory domeenikontrollerites, mis tuvastavad RFC-4456 ühildumatuid printereid, mis nurjuvad autentimisel, kui DC-d installivad 2022. aasta juulis või augustis 2022 või uuemates värskendustes. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21. juuli 2022 |
Valikuline eelvaate värskenduse väljalase, et eemaldada ajutised leevendused, mis nõuavad teie keskkonnas kaebuste printimise ja skannimise seadmete kasutamist. |
Windows Server 2019 |
|
9. august 2022 |
Tähtis Turbevärskenduse väljalase, et eemaldada ajutised leevendused, mis nõuavad teie keskkonnas kaebuste printimise ja skannimise seadmete kasutamist. Kõik sellel päeval või hiljem välja antud värskendused ei saa ajutist leevendust kasutada. Kiipkaardiga autentivad printerid ja skannerid peavad vastama CVE-2021-33764 jaoks nõutava RFC 4556 spetsifikatsiooni punktile 3.2.1 pärast nende värskenduste installimist või hilisemat installimist Active Directory domeenikontrollerites |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Ajutise leevenduse kasutamiseks oma keskkonnas tehke kõigi domeenikontrollerite puhul järgmist.
-
Määrake domeenikontrollerites allpool loetletud ajutise leevendusregistri väärtuseks 1 (luba), kasutades registriredaktorit või teie keskkonnas saadaolevaid automatiseerimistööriistu.
Märkus Seda 1. juhist saab teha enne või pärast 2. ja 3. juhist.
-
Installige värskendus, mis võimaldab ajutist leevendust, mis on saadaval 27. juulil 2021 või uuemates välja antud värskendustes (allpool on esimesed värskendused ajutise leevenduse lubamiseks):
-
Taaskäivitage domeenikontroller.
Ajutise leevenduse registriväärtus:
Hoiatus! Kui muudate registrit registriredaktori või mõne muu meetodi abil valesti, võivad ilmneda tõsised probleemid. Nende probleemide tõttu peate võib-olla operatsioonisüsteemi uuesti installima. Microsoft ei saa tagada, et neid probleeme on võimalik lahendada. Registri muutmise eest vastutate teie ise.
|
Registri alamvõti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Väärtus |
Allow3DesFallback |
|
Andmetüüp |
DWORD |
|
Andmed |
1 – ajutise leevenduse lubamine. 0 – lubage vaikekäitumine, nõudes, et teie seadmed vastaksid RFC 4556 spetsifikatsiooni punktile 3.2.1. |
|
Kas taaskäivitamine on nõutav? |
Ei |
Ülaltoodud registrivõtme saab luua ning väärtuse ja andmekomplekti luua järgmise käsu abil:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Auditeerimissündmused
25. jaanuaril 2022 ja 8. veebruaril 2022 lisab Windowsi värskendus ka uusi sündmuse ID-sid, mis aitavad mõjutatud seadmeid tuvastada.
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Tõrge |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Sündmuse tekst |
Kerberose klient ei esitanud PKINIT-protokolliga kasutamiseks krüptimisrežiimis kasutamiseks toetatud krüptimistüüpi.
|
|
Sündmuste logi |
Süsteem |
|
Sündmuse tüüp |
Hoiatus! |
|
Sündmuse allikas |
Kdcsvc |
|
Sündmuse ID |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Sündmuse tekst |
Selle DC jaoks autenditud mittekonformeeriv PKINIT Kerberose klient. Autentimine on lubatud, kuna KDCGlobalAllowDesFallBack on seatud. Tulevikus nurjub nende ühenduste autentimine. Seadme tuvastamine ja kerberose juurutamise versiooniuuendus
|
Olek
Microsoft on kinnitanud, et see on probleem Microsoft toodetes, mis on loetletud jaotises "Kehtib järgmiste toodete kohta".
