Simptomi
Ispis i skeniranje možda neće uspjeti kada ti uređaji koriste provjeru autentičnosti pametnom karticom (PIV).
Napomena
Napomena Uređaji na koje utječe provjera autentičnosti pametnom karticom (PIV) trebali bi raditi na očekivan način prilikom korištenja provjere autentičnosti korisničkog imena i lozinke.
Uzrok
Microsoft je 13. srpnja 2021. objavio promjene povećanja otpornosti za CVE-2021-33764 To može uzrokovati taj problem kada instalirate ažuriranja objavljena 13. srpnja 2021. ili novije verzije na domenski kontroler (DC). Zahvaćeni uređaji su pisači za provjeru autentičnosti pametnih kartica, skeneri i višenamjenski uređaji koji ne podržavaju ni Diffie-Hellman (DH) za razmjenu ključeva tijekom provjere autentičnosti PKINIT Kerberos ili ne oglašavaju podršku za des-ede3-cbc ("trostruki DES") tijekom zahtjeva Kerberos AS .
Prema odjeljku 3.2.1 specifikacije RFC 4556, da bi ova razmjena ključeva funkcionirala, klijent mora i podržati i obavijestiti centar za distribuciju ključeva (KDC) o podršci za des-ede3-cbc ("trostruki DES"). Klijenti koji pokreću Kerberos PKINIT razmjenom ključeva u načinu šifriranja, ali ne podržavaju niti kažu KDC-u da podržavaju des-ede3-cbc ("trostruki DES"), bit će odbijeni.
Da bi klijentski uređaji pisača i skenera bili usklađeni, moraju:
- Koristite Diffie-Hellman za razmjenu ključeva tijekom provjere autentičnosti PKINIT Kerberos (poželjno).
- Ili i podržite i obavijestite KDC o njegovoj podršci za des-ede3-cbc ("trostruki DES").
Sljedeći koraci
Ako naiđete na taj problem na uređajima za ispis ili skeniranje, provjerite koristite li najnoviju opremu i upravljačke programe dostupne za vaš uređaj. Ako su vaša programska oprema i upravljački programi ažurni, a i dalje nailazite na taj problem, preporučujemo da se obratite proizvođaču uređaja. Pitajte je li potrebna promjena konfiguracije kako bi se uređaj uskladio s promjenom povećanja za CVE-2021-33764 ili će biti dostupno kompatibilno ažuriranje.
Ako trenutačno ne postoji način da se vaši uređaji usklade s odjeljkom 3.2.1 specifikacije RFC 4556 kao što je potrebno za CVE-2021-33764, sada je dostupno privremeno ublažavanje dok radite s proizvođačem uređaja za ispis ili skeniranje kako biste svoje okruženje uskladili s vremenskim okvirom u nastavku.
Napomena
Važno Uređaje koji nisu u skladu s propisima morate ažurirati i uskladiti ili zamijeniti do 12. srpnja 2022., kada privremeno ublažavanje neće biti moguće upotrijebiti u sigurnosnim ažuriranjima.
Važna napomena
Sva privremena ublažavanja za taj scenarij uklonit će se u srpnju 2022. i kolovozu 2022., ovisno o verziji sustava Windows koju koristite (pogledajte tablicu u nastavku). U kasnijim ažuriranjima više neće biti mogućnosti rezerve. Svi nesukladni uređaji moraju se identificirati pomoću događaja revizije počevši od siječnja 2022 . i ažurirati ili zamijeniti uklanjanjem ublažavanja počevši od kraja srpnja 2022.
Nakon srpnja 2022. uređaji koji nisu usklađeni sa specifikacijom RFC 4456 i CVE-2021-33764 neće se moći koristiti s ažuriranim uređajem sa sustavom Windows.
| Ciljani datum | Događaj | Odnosi se na |
|---|---|---|
| 13. srpnja 2021. | Ažuriranja su objavljena s promjenama povećanja otpornosti za CVE-2021-33764. U svim kasnijim ažuriranjima ta je promjena povećanja otpornosti uključena po zadanom. | Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| Srpanj 27, 2021 | Ažuriranja su izdana s privremenim ublažavanjem radi rješavanja problema s ispisom i skeniranjem na uređajima koji nisu usklađeni s propisima. Ažuriranja objavljena na ovaj datum ili kasnije moraju se instalirati na vaš DC, a ublažavanje se mora uključiti putem ključa registra uz pomoć koraka u nastavku. | Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| Srpanj 29, 2021 | Ažuriranja su izdana s privremenim ublažavanjem radi rješavanja problema s ispisom i skeniranjem na uređajima koji nisu usklađeni s propisima. Ažuriranja koja se izdaju na ovaj datum ili kasnije moraju se instalirati na vaš DC, a ublažavanje se mora uključiti putem ključa registra uz pomoć koraka u nastavku. | Windows Server 2016 |
| Siječanj 25, 2022 | Ažuriranja će evidentirati događaje nadzora na kontrolorima domene Active Directory koji identificiraju pisače koji nisu kompatibilni s RFC-4456 i koji ne uspiju s provjerom autentičnosti nakon što DC-ovi instaliraju ažuriranja za srpanj 2022./kolovoz 2022. ili novija ažuriranja. | Windows Server 2022 Windows Server 2019 |
| Veljače 8, 2022 | Ažuriranja će evidentirati događaje nadzora na kontrolorima domene Active Directory koji identificiraju pisače koji nisu kompatibilni s RFC-4456 i koji ne uspiju s provjerom autentičnosti nakon što DC-ovi instaliraju ažuriranja za srpanj 2022./kolovoz 2022. ili novija ažuriranja. | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| Srpanj 21, 2022 | Izdanje neobaveznog pretpregleda ažuriranja za uklanjanje privremenog ublažavanja kako bi se u vašem okruženju zahtijevalo ispisivanje i skeniranje pritužbi. | Windows Server 2019 |
| Kolovoz 9, 2022 |
Važno Izdanje sigurnosnog ažuriranja za uklanjanje privremenog ublažavanja zbog kojeg su potrebni uređaji za ispis i skeniranje pritužbi u vašem okruženju. Nijedna ažuriranja objavljena na ovaj dan ili kasnije neće moći koristiti privremeno ublažavanje. Pisači i skeneri za provjeru autentičnosti pametne kartice moraju biti kompatibilni s odjeljkom 3.2.1 specifikacije RFC 4556 potrebne za CVE-2021-33764 nakon instalacije ovih ažuriranja ili kasnije na kontrolorima domene Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Da biste privremeno ublažavanje koristili u svom okruženju, slijedite ove korake na svim domenskim kontrolerima:
Na domenskim kontrolerima postavite vrijednost registra za privremeno ublažavanje rizika na 1 (omogući) pomoću uređivača registra ili alata za automatizaciju dostupnih u vašem okruženju.
Napomena
Napomena Prvi korak možete napraviti prije ili nakon drugog i trećeg koraka.
Instalirajte ažuriranje koje omogućuje privremeno ublažavanje dostupno u ažuriranjima objavljenima 27. srpnja 2021. ili novijima (u nastavku su prva ažuriranja koja omogućuju privremeno ublažavanje):
Ponovno pokrenite kontroler domene.
Vrijednost registra za privremeno ublažavanje:
Napomena
Upozorenje Ako pomoću uređivača registra ili na neki drugi način nepravilno izmijenite registar, može doći do ozbiljnih problema. Zbog tih bi se problema moglo dogoditi da morate ponovno instalirati operacijski sustav. Microsoft ne može jamčiti da se ti problemi mogu riješiti. Izmijenite registar na vlastitu odgovornost.
| Potključ registra | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Vrijednost | Allow3DesFallback |
| Vrsta podataka | DWORD |
| Podaci |
1 – Omogućite privremeno ublažavanje. 0 – Omogućite zadano ponašanje, što zahtijeva da vaši uređaji budu usklađeni s odjeljkom 3.2.1 specifikacije RFC 4556. |
| Je li potrebno ponovno pokretanje? | Ne |
Gore navedeni ključ registra te vrijednost i skup podataka mogu se stvoriti pomoću sljedeće naredbe:
- reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Događaji nadzora
Ažuriranja sustava Windows od 25. siječnja 2022. i 8. veljače 2022. dodat će i nove ID-ove događaja radi prepoznavanja zahvaćenih uređaja.
| Zapisnik događaja | Sustav |
|---|---|
| Vrsta događaja | Pogreška |
| Izvor događaja | Kdcsvc |
| ID događaja | 307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Tekst događaja | Klijent Kerberos nije ponudio podržanu vrstu šifriranja za upotrebu s PKINIT protokolom koji koristi način šifriranja.
|
| Zapisnik događaja | Sustav |
|---|---|
| Vrsta događaja | Upozorenje |
| Izvor događaja | Kdcsvc |
| ID događaja | 308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Tekst događaja | Neusklađeni klijent PKINIT Kerberos čija je autentičnost provjerena na ovom DC-u. Provjera autentičnosti bila je dopuštena jer je postavljen KDCGlobalAllowDesFallback. U budućnosti provjera autentičnosti tih veza neće uspjeti. Identificirajte uređaj i pogledajte upute za nadogradnju njegove implementacije Kerberos
|
Status
Microsoft je potvrdio da je to problem u Microsoftovim proizvodima koji su navedeni u odjeljku "Odnosi se na".