KB5005408 – provjera autentičnosti pametne kartice može uzrokovati pogreške prilikom ispisa i skeniranja

Primjenjuje se na
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Simptomi

Ispis i skeniranje možda neće uspjeti kada ti uređaji koriste provjeru autentičnosti pametnom karticom (PIV).

Napomena

Napomena Uređaji na koje utječe provjera autentičnosti pametnom karticom (PIV) trebali bi raditi na očekivan način prilikom korištenja provjere autentičnosti korisničkog imena i lozinke.

Uzrok

Microsoft je 13. srpnja 2021. objavio promjene povećanja otpornosti za CVE-2021-33764 To može uzrokovati taj problem kada instalirate ažuriranja objavljena 13. srpnja 2021. ili novije verzije na domenski kontroler (DC).  Zahvaćeni uređaji su pisači za provjeru autentičnosti pametnih kartica, skeneri i višenamjenski uređaji koji ne podržavaju ni Diffie-Hellman (DH) za razmjenu ključeva tijekom provjere autentičnosti PKINIT Kerberos ili ne oglašavaju podršku za des-ede3-cbc ("trostruki DES") tijekom zahtjeva Kerberos AS .

Prema odjeljku 3.2.1 specifikacije RFC 4556, da bi ova razmjena ključeva funkcionirala, klijent mora i podržati i obavijestiti centar za distribuciju ključeva (KDC) o podršci za des-ede3-cbc ("trostruki DES"). Klijenti koji pokreću Kerberos PKINIT razmjenom ključeva u načinu šifriranja, ali ne podržavaju niti kažu KDC-u da podržavaju des-ede3-cbc ("trostruki DES"), bit će odbijeni.

Da bi klijentski uređaji pisača i skenera bili usklađeni, moraju:

  • Koristite Diffie-Hellman za razmjenu ključeva tijekom provjere autentičnosti PKINIT Kerberos (poželjno).
  • Ili i podržite i obavijestite KDC o njegovoj podršci za des-ede3-cbc ("trostruki DES").

Sljedeći koraci

Ako naiđete na taj problem na uređajima za ispis ili skeniranje, provjerite koristite li najnoviju opremu i upravljačke programe dostupne za vaš uređaj. Ako su vaša programska oprema i upravljački programi ažurni, a i dalje nailazite na taj problem, preporučujemo da se obratite proizvođaču uređaja. Pitajte je li potrebna promjena konfiguracije kako bi se uređaj uskladio s promjenom povećanja za CVE-2021-33764 ili će biti dostupno kompatibilno ažuriranje.

Ako trenutačno ne postoji način da se vaši uređaji usklade s odjeljkom 3.2.1 specifikacije RFC 4556 kao što je potrebno za CVE-2021-33764, sada je dostupno privremeno ublažavanje dok radite s proizvođačem uređaja za ispis ili skeniranje kako biste svoje okruženje uskladili s vremenskim okvirom u nastavku.

Napomena

Važno Uređaje koji nisu u skladu s propisima morate ažurirati i uskladiti ili zamijeniti do 12. srpnja 2022., kada privremeno ublažavanje neće biti moguće upotrijebiti u sigurnosnim ažuriranjima.

Važna napomena

Sva privremena ublažavanja za taj scenarij uklonit će se u srpnju 2022. i kolovozu 2022., ovisno o verziji sustava Windows koju koristite (pogledajte tablicu u nastavku). U kasnijim ažuriranjima više neće biti mogućnosti rezerve. Svi nesukladni uređaji moraju se identificirati pomoću događaja revizije počevši od siječnja 2022 . i ažurirati ili zamijeniti uklanjanjem ublažavanja počevši od kraja srpnja 2022.

Nakon srpnja 2022. uređaji koji nisu usklađeni sa specifikacijom RFC 4456 i CVE-2021-33764 neće se moći koristiti s ažuriranim uređajem sa sustavom Windows.

Ciljani datum Događaj Odnosi se na
13. srpnja 2021. Ažuriranja su objavljena s promjenama povećanja otpornosti za CVE-2021-33764. U svim kasnijim ažuriranjima ta je promjena povećanja otpornosti uključena po zadanom. Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
Srpanj 27, 2021 Ažuriranja su izdana s privremenim ublažavanjem radi rješavanja problema s ispisom i skeniranjem na uređajima koji nisu usklađeni s propisima. Ažuriranja objavljena na ovaj datum ili kasnije moraju se instalirati na vaš DC, a ublažavanje se mora uključiti putem ključa registra uz pomoć koraka u nastavku. Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
Srpanj 29, 2021 Ažuriranja su izdana s privremenim ublažavanjem radi rješavanja problema s ispisom i skeniranjem na uređajima koji nisu usklađeni s propisima. Ažuriranja koja se izdaju na ovaj datum ili kasnije moraju se instalirati na vaš DC, a ublažavanje se mora uključiti putem ključa registra uz pomoć koraka u nastavku. Windows Server 2016
Siječanj 25, 2022 Ažuriranja će evidentirati događaje nadzora na kontrolorima domene Active Directory koji identificiraju pisače koji nisu kompatibilni s RFC-4456 i koji ne uspiju s provjerom autentičnosti nakon što DC-ovi instaliraju ažuriranja za srpanj 2022./kolovoz 2022. ili novija ažuriranja. Windows Server 2022
Windows Server 2019
Veljače 8, 2022 Ažuriranja će evidentirati događaje nadzora na kontrolorima domene Active Directory koji identificiraju pisače koji nisu kompatibilni s RFC-4456 i koji ne uspiju s provjerom autentičnosti nakon što DC-ovi instaliraju ažuriranja za srpanj 2022./kolovoz 2022. ili novija ažuriranja. Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
Srpanj 21, 2022 Izdanje neobaveznog pretpregleda ažuriranja za uklanjanje privremenog ublažavanja kako bi se u vašem okruženju zahtijevalo ispisivanje i skeniranje pritužbi. Windows Server 2019
Kolovoz 9, 2022 Važno Izdanje sigurnosnog ažuriranja za uklanjanje privremenog ublažavanja zbog kojeg su potrebni uređaji za ispis i skeniranje pritužbi u vašem okruženju.
Nijedna ažuriranja objavljena na ovaj dan ili kasnije neće moći koristiti privremeno ublažavanje.
Pisači i skeneri za provjeru autentičnosti pametne kartice moraju biti kompatibilni s odjeljkom 3.2.1 specifikacije RFC 4556 potrebne za CVE-2021-33764 nakon instalacije ovih ažuriranja ili kasnije na kontrolorima domene Active Directory
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Da biste privremeno ublažavanje koristili u svom okruženju, slijedite ove korake na svim domenskim kontrolerima:

  1. Na domenskim kontrolerima postavite vrijednost registra za privremeno ublažavanje rizika na 1 (omogući) pomoću uređivača registra ili alata za automatizaciju dostupnih u vašem okruženju.

    Napomena

    Napomena Prvi korak možete napraviti prije ili nakon drugog i trećeg koraka.

  2. Instalirajte ažuriranje koje omogućuje privremeno ublažavanje dostupno u ažuriranjima objavljenima 27. srpnja 2021. ili novijima (u nastavku su prva ažuriranja koja omogućuju privremeno ublažavanje):

  3. Ponovno pokrenite kontroler domene.

Vrijednost registra za privremeno ublažavanje:

Napomena

Upozorenje Ako pomoću uređivača registra ili na neki drugi način nepravilno izmijenite registar, može doći do ozbiljnih problema. Zbog tih bi se problema moglo dogoditi da morate ponovno instalirati operacijski sustav. Microsoft ne može jamčiti da se ti problemi mogu riješiti. Izmijenite registar na vlastitu odgovornost.

Potključ registra HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Vrijednost Allow3DesFallback
Vrsta podataka DWORD
Podaci 1 – Omogućite privremeno ublažavanje.
0 – Omogućite zadano ponašanje, što zahtijeva da vaši uređaji budu usklađeni s odjeljkom 3.2.1 specifikacije RFC 4556.
Je li potrebno ponovno pokretanje? Ne

Gore navedeni ključ registra te vrijednost i skup podataka mogu se stvoriti pomoću sljedeće naredbe:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Događaji nadzora

Ažuriranja sustava Windows od 25. siječnja 2022. i 8. veljače 2022. dodat će i nove ID-ove događaja radi prepoznavanja zahvaćenih uređaja.

Zapisnik događaja Sustav
Vrsta događaja Pogreška
Izvor događaja Kdcsvc
ID događaja 307
39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)
Tekst događaja Klijent Kerberos nije ponudio podržanu vrstu šifriranja za upotrebu s PKINIT protokolom koji koristi način šifriranja.
  • Glavno ime klijenta: <naziv>\<domene naziv> klijenta
  • IP adresa klijenta: IPv4/IPv6
  • Klijentski NetBIOS naziv: %3
Zapisnik događaja Sustav
Vrsta događaja Upozorenje
Izvor događaja Kdcsvc
ID događaja 308
40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)
Tekst događaja Neusklađeni klijent PKINIT Kerberos čija je autentičnost provjerena na ovom DC-u. Provjera autentičnosti bila je dopuštena jer je postavljen KDCGlobalAllowDesFallback. U budućnosti provjera autentičnosti tih veza neće uspjeti. Identificirajte uređaj i pogledajte upute za nadogradnju njegove implementacije Kerberos
  • Glavno ime klijenta: <naziv>\<domene naziv> klijenta
  • IP adresa klijenta: IPv4/IPv6
  • Klijentski NetBIOS naziv: %3

Status

Microsoft je potvrdio da je to problem u Microsoftovim proizvodima koji su navedeni u odjeljku "Odnosi se na".