Tünetek
A nyomtatás és a szkennelés sikertelen lehet, ha ezek az eszközök intelligens kártyás (PIV) hitelesítést használnak.
Megjegyzés
Megjegyzés Az intelligens kártyás (PIV) hitelesítés használatakor érintett eszközöknek a felhasználónév és a jelszó hitelesítése során a várt módon kell működniük.
A jelenség oka
2021. július 13-án a Microsoft kiadott korlátozási módosításokat adott ki a CVE-2021-33764-hez . Ez okozhatja ezt a problémát, ha a 2021. július 13-i vagy újabb verziójú frissítéseket telepít egy tartományvezérlőre (DC). Az érintett eszközök olyan intelligens kártyát hitelesítő nyomtatók, szkennerek és többfunkciós eszközök, amelyek nem támogatják a Diffie-Hellman (DH) használatát a kulcscseréhez a PKINIT Kerberos-hitelesítés során, vagy nem hirdetik a des-ede3-cbc ("tripla DES") támogatását a Kerberos AS-kérelem során.
Az RFC 4556 specifikáció 3.2.1. szakasza szerint ahhoz, hogy ez a kulcscsere működjön, az ügyfélnek támogatnia kell a kulcsszolgáltató központot (KDC) a des-ede3-cbc ("tripla DES") támogatásáról, és értesítenie is kell a kulcsforgalmazót (KDC). Azok az ügyfelek, akik titkosítási módban kulcscserével indították el a Kerberos PKINIT-et, de nem támogatják a des-ede3-cbc-t ("tripla DES"), és nem is tájékoztatják a kulcsszolgáltatói központot, a rendszer elutasítja.
Ahhoz, hogy a nyomtatók és szkennerek ügyféleszközei megfeleljenek a követelményeknek, az alábbiak egyikét kell tenniük:
- A Diffie-Hellman használata kulcscseréhez PKINIT Kerberos-hitelesítés során (előnyben részesített).
- Vagy mindkettő támogatja a fontos szolgáltatót, és értesíti is a KDC-t a des-ede3-cbc ("tripla DES") támogatásáról.
További lépések
Ha a nyomtató- vagy beolvasóeszközökkel kapcsolatban tapasztalja ezt a problémát, ellenőrizze, hogy az eszközhöz elérhető legújabb belső vezérlőprogramot és illesztőprogramokat használja-e. Ha a belső vezérlőprogram és az illesztőprogramok naprakészek, és továbbra is jelentkezik ez a probléma, javasoljuk, hogy lépjen kapcsolatba az eszköz gyártójával. Kérdezze meg, hogy szükséges-e konfigurációmódosítás ahhoz, hogy az eszköz megfeleljen a CVE-2021-33764 korlátozási változásának, vagy hogy elérhetővé válik-e egy megfelelő frissítés.
Ha jelenleg nincs mód arra, hogy az eszközei megfeleljenek az RFC 4556 specifikáció 3.2.1. szakaszának, ahogy azt a CVE-2021-33764 követelményei megkövetelik, akkor ideiglenes kockázatcsökkentés áll rendelkezésre, amíg a nyomtató- vagy beolvasási eszköz gyártójával együtt dolgozik, hogy a környezet megfeleljen az alábbi idővonalon belül.
Megjegyzés
Fontos A nem kompatibilis eszközöket 2022. július 12-ig kell frissítenie és le kell cserélnie, amikor az ideiglenes kockázatcsökkentés nem lesz használható a biztonsági frissítésekben.
Fontos figyelmeztetés
A forgatókönyv minden ideiglenes kockázatcsökkentését eltávolítjuk 2022 júliusában és 2022 augusztusában, a használt Windows-verziótól függően (lásd az alábbi táblázatot). A későbbi frissítésekben nem lesz további tartalék lehetőség. Az összes nem megfelelő eszközt azonosítani kell a 2022 januárjától kezdődő naplózási eseményekkel, és 2022 júliusától kezdődően a kockázatcsökkentő eltávolítással kell frissíteni vagy helyettesíteni.
2022 júliusa után az RFC 4456 specifikációnak és a CVE-2021-33764-nek nem megfelelő eszközök nem lesznek használhatók frissített windowsos eszközökkel.
| Céldátum | Esemény | Érvényesség |
|---|---|---|
| 2021. július 13. | Frissítések a CVE-2021-33764 korlátozási módosításaival kiadva. Minden későbbi frissítésnél alapértelmezés szerint be van kapcsolva ez a korlátozás. | Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 2021. július 27. | Frissítések, amelyek ideiglenes kockázatcsökkentéssel javítják a nem megfelelő eszközök nyomtatási és szkennelési problémáit. Az ezen a napon vagy később kiadott Frissítéseket telepíteni kell a tartományvezérlőre, és a kockázatcsökkentést a beállításkulcson keresztül kell bekapcsolni az alábbi lépések végrehajtásával. | Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 2021. július 29. | Frissítések, amelyek ideiglenes kockázatcsökkentéssel javítják a nem megfelelő eszközök nyomtatási és szkennelési problémáit. Az ezen a napon vagy később kiadott Frissítéseket telepíteni kell a tartományvezérlőre, és a kockázatcsökkentést a beállításkulcson keresztül kell bekapcsolni az alábbi lépések végrehajtásával. | Windows Server 2016 |
| Január 25, 2022 | A Frissítések naplózzák az Active Directory tartományvezérlők naplózási eseményeit, amelyek azonosítják az RFC-4456 szabvány szerint nem kompatibilis nyomtatókat, és amelyek sikertelen a hitelesítés, miután a tartományvezérlők telepítik a 2022. júliusi/2022. augusztusi vagy újabb frissítéseket. | Windows Server 2022 Windows Server 2019 |
| 2022. február 8. | A Frissítések naplózzák az Active Directory tartományvezérlők naplózási eseményeit, amelyek azonosítják az RFC-4456 szabvány szerint nem kompatibilis nyomtatókat, és amelyek sikertelen a hitelesítés, miután a tartományvezérlők telepítik a 2022. júliusi/2022. augusztusi vagy újabb frissítéseket. | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| Július 21, 2022 | Opcionális előzetes frissítési kiadás, amely eltávolítja az ideiglenes kockázatcsökkentést, hogy panasznyomtató és -szkennelő eszközöket igényeljen a környezetben. | Windows Server 2019 |
| Augusztus 9, 2022 |
Fontos Biztonsági frissítés, amely eltávolítja az ideiglenes kockázatcsökkentést, hogy panasznyomtató és -beolvasó eszközöket követeljen meg a környezetben. Az ezen a napon vagy később kiadott frissítések nem fogják tudni használni az ideiglenes kockázatcsökkentést. Az intelligens kártyával hitelesítő nyomtatóknak és szkennereknek meg kell felelniük a CVE-2021-33764-hez szükséges RFC 4556 specifikáció 3.2.1. szakaszának, miután telepítette ezeket a frissítéseket az Active Directory tartományvezérlőkre, vagy később |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Ha ideiglenes kockázatcsökkentést szeretne alkalmazni a környezetében, kövesse az alábbi lépéseket az összes tartományvezérlőn:
A tartományvezérlőkön állítsa az ideiglenes kockázatcsökkentés beállításazonosítóját 1-re (engedélyezés) a Beállításszerkesztővel vagy a környezetében elérhető automatizálási eszközökkel.
Megjegyzés
Megjegyzés Ez az 1. lépés a 2. és a 3. lépés előtt vagy után is elvégezhető.
Telepítsen egy olyan frissítést, amely lehetővé teszi a 2021. július 27-én vagy később kiadott frissítésekben elérhető ideiglenes kockázatcsökkentést (alább láthatók az ideiglenes kockázatcsökkentést engedélyező első frissítések):
Indítsa újra a tartományvezérlőt.
Az ideiglenes kockázatcsökkentés beállításazonosítója:
Megjegyzés
Figyelmeztetés Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ilyen problémák esetén még az operációs rendszer újratelepítésére is szükség lehet. A Microsoft nem garantálja a szóban forgó problémák megoldhatóságát. A beállításjegyzéket saját felelősségére módosíthatja.
| Beállításjegyzékbeli alkulcs | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Érték | Allow3DesFallback |
| Adattípus | DWORD |
| Adatok |
1 – Ideiglenes kockázatcsökkentés engedélyezése. 0 – Az alapértelmezett működés engedélyezése, amely megköveteli, hogy az eszközök megfeleljenek az RFC 4556 specifikáció 3.2.1. szakaszának. |
| Újra kell indítani? | Nem |
A fenti beállításkulcs, valamint az érték és az adatkészlet az alábbi paranccsal hozható létre:
- reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Naplózási események
A 2022. január 25-i és 2022. február 8-i Windows-frissítés új eseményazonosítókat is hozzáad az érintett eszközök azonosításához.
| Eseménynapló | Rendszer |
|---|---|
| Esemény típusa | Hiba |
| Eseményforrás | Kdcsvc |
| Eseményazonosító | 307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Esemény szövege | A Kerberos-ügyfél nem adott meg támogatott titkosítási típust a titkosítási módot használó PKINIT protokollhoz.
|
| Eseménynapló | Rendszer |
|---|---|
| Esemény típusa | Figyelmeztetés |
| Eseményforrás | Kdcsvc |
| Eseményazonosító | 308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Esemény szövege | Egy nem megfelelő PKINIT Kerberos-ügyfél hitelesítve ezzel a tartományvezérlővel. A hitelesítést a KDCGlobalAllowDesFallBack beállítása miatt engedélyeztük. A jövőben ezek a kapcsolatok hitelesítési hibát okozhatnak. Azonosítsa az eszközt, és próbálja meg frissíteni a Kerberos-implementációját
|
Állapot
A Microsoft megerősítette, hogy ez a probléma "A következőkre vonatkozik" szakaszban felsorolt Microsoft-termékekre vonatkozik.