You have multiple accounts
Choose the account you want to sign in with.

Tunnused

Printimine ja skannimine võib nurjuda, kui need seadmed kasutavad kiipkaardi (PIV) autentimist.

Märkus Seadmed, mida kiipkaardi (PIV) autentimine mõjutab, peaksid kasutajanime ja parooli autentimisel töötama ootuspäraselt.

Põhjus

13. juulil 2021 andis Microsoft välja CVE-2021-33764 karastusmuudatused. See võib põhjustada selle probleemi, kui installite domeenikontrollerisse (DC) 13. juulil 2021 või uuemates versioonides välja antud värskendused.  Mõjutatud seadmed on kiipkaardi autentimise printerid, skannerid ja multifunktsionaalsed seadmed, mis ei toeta PKINIT Kerberose autentimise ajal võtmevahetuse jaoks Diffie-Hellman (DH) ega paku Kerberos AS-i taotluse ajal des-ede3-cbc ("kolmekordne DES") tuge.

Selle võtmevahetuse toimimiseks peab klient RFC 4556 spetsifikatsiooni punkti 3.2.1 kohaselt toetama ja teavitama põhijaotuskeskust (KDC) oma des-ede3-cbc ("kolmekordne DES") toest. Kliendid, kes algatavad Kerberos PKINIT võtmevahetuse krüptimisrežiimis, kuid ei toeta ega ütle KDC-le, et nad toetavad des-ede3-cbc ("kolmekordne DES"), lükatakse tagasi.

Printeri ja skanneri klientseadmete nõuetelevastamiseks peavad need olema kas:

  • Kasutage PKINIT Kerberose autentimise ajal võtmevahetuseks Diffie-Hellman (eelistatud).

  • Samuti võite nii KDC-d toetada kui ka teavitada nende toest des-ede3-cbc ("kolmekordne DES").

Järgmised toimingud

Kui teil tekib printimis- või skannimisseadmetega see probleem, veenduge, et kasutaksite oma seadme jaoks uusimat püsivara ja draivereid. Kui teie püsivara ja draiverid on ajakohased ja teil esineb endiselt see probleem, soovitame pöörduda seadme tootja poole. Küsige, kas CVE-2021-33764 kõvastusmuudatusega vastavusse viimiseks on vaja teha konfiguratsioonimuudatus või tehakse kättesaadavaks ühilduv värskendus.

Kui praegu ei ole võimalik viia oma seadmed vastavusse RFC 4556 spetsifikatsiooni punktiga 3.2.1, nagu on nõutud CVE-2021-33764 puhul, on ajutine leevendus nüüd saadaval, kui töötate koos printimis- või skannimisseadme tootjaga, et viia oma keskkond vastavusse alltoodud ajaskaalal.

Tähtis Kui ajutist leevendust ei saa turbevärskendustes kasutada, peab teil olema ühildumatuid seadmeid värskendatud ja ühilduv või asendatud 12. juuliga 2022.

Oluline teade

Kõik selle stsenaariumi ajutised leevendused eemaldatakse juulis 2022 ja augustis 2022, olenevalt teie kasutatavast Windowsi versioonist (vt allolevat tabelit). Hilisemates värskendustes ei saa rohkem taandesuvandit kasutada. Kõik mittetäielikud seadmed tuleb identifitseerida 2022. aasta jaanuarist algavate auditisündmuste abil ja neid tuleb värskendada või asendada leevendusmeetmete eemaldamisega, mis algavad 2022. aasta juuli lõpus. 

Pärast juulit 2022 ei saa RFC 4456 spetsifikatsioonile ja CVE-2021-33764 nõuetele mittevastavaid seadmeid värskendatud Windowsi seadmega kasutada.

Sihitav aeg

Sündmus

Kehtib:

13. juuli 2021

Teabevärskendused välja antud CVE-2021-33764 karastusmuudatustega. Kõik hilisemad värskendused on selle karastusmuudatuse vaikimisi sisse lülitatud.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

27. juuli 2021

Teabevärskendused välja antud ajutise leevendusega, et lahendada mittetäielikes seadmetes printimis- ja skannimisprobleeme. Teabevärskendused, mis on välja antud sellel kuupäeval või hiljem, peab olema teie arvutisse installitud ja leevendus peab olema sisse lülitatud registrivõtme kaudu, kasutades alltoodud juhiseid.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

29. juuli 2021

Teabevärskendused välja antud ajutise leevendusega, et lahendada mittetäielikes seadmetes printimis- ja skannimisprobleeme. Teabevärskendused selle kuupäeva või uuema versiooni väljaandmine peab olema teie arvutisse installitud ja leevendus peab olema sisse lülitatud registrivõtme kaudu, kasutades alltoodud juhiseid.

Windows Server 2016

25. jaanuar 2022

Teabevärskendused logib auditisündmused Active Directory domeenikontrollerites, mis tuvastavad RFC-4456 ühildumatuid printereid, mis nurjuvad autentimisel, kui DC-d installivad 2022. aasta juulis või augustis 2022 või uuemates värskendustes.

Windows Server 2022

Windows Server 2019

8. veebruar 2022

Teabevärskendused logib auditisündmused Active Directory domeenikontrollerites, mis tuvastavad RFC-4456 ühildumatuid printereid, mis nurjuvad autentimisel, kui DC-d installivad 2022. aasta juulis või augustis 2022 või uuemates värskendustes.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

21. juuli 2022

Valikuline eelvaate värskenduse väljalase, et eemaldada ajutised leevendused, mis nõuavad teie keskkonnas kaebuste printimise ja skannimise seadmete kasutamist.

Windows Server 2019

9. august 2022

Tähtis Turbevärskenduse väljalase, et eemaldada ajutised leevendused, mis nõuavad teie keskkonnas kaebuste printimise ja skannimise seadmete kasutamist.

Kõik sellel päeval või hiljem välja antud värskendused ei saa ajutist leevendust kasutada.

Kiipkaardiga autentivad printerid ja skannerid peavad vastama CVE-2021-33764 jaoks nõutava RFC 4556 spetsifikatsiooni punktile 3.2.1 pärast nende värskenduste installimist või hilisemat installimist Active Directory domeenikontrollerites

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

Ajutise leevenduse kasutamiseks oma keskkonnas tehke kõigi domeenikontrollerite puhul järgmist.

  1. Määrake domeenikontrollerites allpool loetletud ajutise leevendusregistri väärtuseks 1 (luba), kasutades registriredaktorit või teie keskkonnas saadaolevaid automatiseerimistööriistu.

    Märkus Seda 1. juhist saab teha enne või pärast 2. ja 3. juhist.

  2. Installige värskendus, mis võimaldab ajutist leevendust, mis on saadaval 27. juulil 2021 või uuemates välja antud värskendustes (allpool on esimesed värskendused ajutise leevenduse lubamiseks):

  3. Taaskäivitage domeenikontroller.

Ajutise leevenduse registriväärtus:

Hoiatus Kui muudate registrit registriredaktori või mõne muu meetodi abil valesti, võivad ilmneda tõsised probleemid. Nende probleemide tõttu peate võib-olla operatsioonisüsteemi uuesti installima. Microsoft ei taga, et neid probleeme saab lahendada. Muutke registrit omal vastutusel.

Registri alamvõti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Väärtus

Allow3DesFallback

Andmetüüp

DWORD

Andmed

1 – ajutise leevenduse lubamine.

0 – lubage vaikekäitumine, nõudes, et teie seadmed vastaksid RFC 4556 spetsifikatsiooni punktile 3.2.1.

Kas taaskäivitamine on nõutav?

Ei

Ülaltoodud registrivõtme saab luua ning väärtuse ja andmekomplekti luua järgmise käsu abil:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Auditeerimissündmused

25. jaanuaril 2022 ja 8. veebruaril 2022 lisab Windowsi värskendus ka uusi sündmuse ID-sid, mis aitavad mõjutatud seadmeid tuvastada.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Kdcsvc

Sündmuse ID

307

39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Sündmuse tekst

Kerberose klient ei esitanud PKINIT-protokolliga kasutamiseks krüptimisrežiimis kasutamiseks toetatud krüptimistüüpi.

  • Kliendi turvasubjekti nimi: <domeeninimi> kliendinime<>

  • Kliendi IP-aadress: IPv4/IPv6

  • Kliendi esitatud NetBIOS-i nimi: %3

Sündmuste logi

Süsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

Kdcsvc

Sündmuse ID

308

40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)

Sündmuse tekst

Selle DC jaoks autenditud mittekonformeeriv PKINIT Kerberose klient. Autentimine on lubatud, kuna KDCGlobalAllowDesFallBack on seatud. Tulevikus nurjub nende ühenduste autentimine. Seadme tuvastamine ja kerberose juurutamise versiooniuuendus

  • Kliendi turvasubjekti nimi: <domeeninimi> kliendinime<>

  • Kliendi IP-aadress: IPv4/IPv6

  • Kliendi esitatud NetBIOS-i nimi: %3

Olek

Microsoft on kinnitanud, et see on probleem jaotises "Kehtib järgmiste jaoks" loetletud Microsofti toodetes.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?

Täname tagasiside eest!

×