KB5005408 – Az intelligens kártyás hitelesítés nyomtatási és szkennelési hibákat okozhat

Hatókör
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Tünetek

A nyomtatás és a szkennelés sikertelen lehet, ha ezek az eszközök intelligens kártyás (PIV) hitelesítést használnak.

Megjegyzés

Megjegyzés Az intelligens kártyás (PIV) hitelesítés használatakor érintett eszközöknek a felhasználónév és a jelszó hitelesítése során a várt módon kell működniük.

A jelenség oka

2021. július 13-án a Microsoft kiadott korlátozási módosításokat adott ki a CVE-2021-33764-hez . Ez okozhatja ezt a problémát, ha a 2021. július 13-i vagy újabb verziójú frissítéseket telepít egy tartományvezérlőre (DC).  Az érintett eszközök olyan intelligens kártyát hitelesítő nyomtatók, szkennerek és többfunkciós eszközök, amelyek nem támogatják a Diffie-Hellman (DH) használatát a kulcscseréhez a PKINIT Kerberos-hitelesítés során, vagy nem hirdetik a des-ede3-cbc ("tripla DES") támogatását a Kerberos AS-kérelem során.

Az RFC 4556 specifikáció 3.2.1. szakasza szerint ahhoz, hogy ez a kulcscsere működjön, az ügyfélnek támogatnia kell a kulcsszolgáltató központot (KDC) a des-ede3-cbc ("tripla DES") támogatásáról, és értesítenie is kell a kulcsforgalmazót (KDC). Azok az ügyfelek, akik titkosítási módban kulcscserével indították el a Kerberos PKINIT-et, de nem támogatják a des-ede3-cbc-t ("tripla DES"), és nem is tájékoztatják a kulcsszolgáltatói központot, a rendszer elutasítja.

Ahhoz, hogy a nyomtatók és szkennerek ügyféleszközei megfeleljenek a követelményeknek, az alábbiak egyikét kell tenniük:

  • A Diffie-Hellman használata kulcscseréhez PKINIT Kerberos-hitelesítés során (előnyben részesített).
  • Vagy mindkettő támogatja a fontos szolgáltatót, és értesíti is a KDC-t a des-ede3-cbc ("tripla DES") támogatásáról.

További lépések

Ha a nyomtató- vagy beolvasóeszközökkel kapcsolatban tapasztalja ezt a problémát, ellenőrizze, hogy az eszközhöz elérhető legújabb belső vezérlőprogramot és illesztőprogramokat használja-e. Ha a belső vezérlőprogram és az illesztőprogramok naprakészek, és továbbra is jelentkezik ez a probléma, javasoljuk, hogy lépjen kapcsolatba az eszköz gyártójával. Kérdezze meg, hogy szükséges-e konfigurációmódosítás ahhoz, hogy az eszköz megfeleljen a CVE-2021-33764 korlátozási változásának, vagy hogy elérhetővé válik-e egy megfelelő frissítés.

Ha jelenleg nincs mód arra, hogy az eszközei megfeleljenek az RFC 4556 specifikáció 3.2.1. szakaszának, ahogy azt a CVE-2021-33764 követelményei megkövetelik, akkor ideiglenes kockázatcsökkentés áll rendelkezésre, amíg a nyomtató- vagy beolvasási eszköz gyártójával együtt dolgozik, hogy a környezet megfeleljen az alábbi idővonalon belül.

Megjegyzés

Fontos A nem kompatibilis eszközöket 2022. július 12-ig kell frissítenie és le kell cserélnie, amikor az ideiglenes kockázatcsökkentés nem lesz használható a biztonsági frissítésekben.

Fontos figyelmeztetés

A forgatókönyv minden ideiglenes kockázatcsökkentését eltávolítjuk 2022 júliusában és 2022 augusztusában, a használt Windows-verziótól függően (lásd az alábbi táblázatot). A későbbi frissítésekben nem lesz további tartalék lehetőség. Az összes nem megfelelő eszközt azonosítani kell a 2022 januárjától kezdődő naplózási eseményekkel, és 2022 júliusától kezdődően a kockázatcsökkentő eltávolítással kell frissíteni vagy helyettesíteni.

2022 júliusa után az RFC 4456 specifikációnak és a CVE-2021-33764-nek nem megfelelő eszközök nem lesznek használhatók frissített windowsos eszközökkel.

Céldátum Esemény Érvényesség
2021. július 13. Frissítések a CVE-2021-33764 korlátozási módosításaival kiadva. Minden későbbi frissítésnél alapértelmezés szerint be van kapcsolva ez a korlátozás. Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
2021. július 27. Frissítések, amelyek ideiglenes kockázatcsökkentéssel javítják a nem megfelelő eszközök nyomtatási és szkennelési problémáit. Az ezen a napon vagy később kiadott Frissítéseket telepíteni kell a tartományvezérlőre, és a kockázatcsökkentést a beállításkulcson keresztül kell bekapcsolni az alábbi lépések végrehajtásával. Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
2021. július 29. Frissítések, amelyek ideiglenes kockázatcsökkentéssel javítják a nem megfelelő eszközök nyomtatási és szkennelési problémáit. Az ezen a napon vagy később kiadott Frissítéseket telepíteni kell a tartományvezérlőre, és a kockázatcsökkentést a beállításkulcson keresztül kell bekapcsolni az alábbi lépések végrehajtásával. Windows Server 2016
Január 25, 2022 A Frissítések naplózzák az Active Directory tartományvezérlők naplózási eseményeit, amelyek azonosítják az RFC-4456 szabvány szerint nem kompatibilis nyomtatókat, és amelyek sikertelen a hitelesítés, miután a tartományvezérlők telepítik a 2022. júliusi/2022. augusztusi vagy újabb frissítéseket. Windows Server 2022
Windows Server 2019
2022. február 8. A Frissítések naplózzák az Active Directory tartományvezérlők naplózási eseményeit, amelyek azonosítják az RFC-4456 szabvány szerint nem kompatibilis nyomtatókat, és amelyek sikertelen a hitelesítés, miután a tartományvezérlők telepítik a 2022. júliusi/2022. augusztusi vagy újabb frissítéseket. Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
Július 21, 2022 Opcionális előzetes frissítési kiadás, amely eltávolítja az ideiglenes kockázatcsökkentést, hogy panasznyomtató és -szkennelő eszközöket igényeljen a környezetben. Windows Server 2019
Augusztus 9, 2022 Fontos Biztonsági frissítés, amely eltávolítja az ideiglenes kockázatcsökkentést, hogy panasznyomtató és -beolvasó eszközöket követeljen meg a környezetben.
Az ezen a napon vagy később kiadott frissítések nem fogják tudni használni az ideiglenes kockázatcsökkentést.
Az intelligens kártyával hitelesítő nyomtatóknak és szkennereknek meg kell felelniük a CVE-2021-33764-hez szükséges RFC 4556 specifikáció 3.2.1. szakaszának, miután telepítette ezeket a frissítéseket az Active Directory tartományvezérlőkre, vagy később
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Ha ideiglenes kockázatcsökkentést szeretne alkalmazni a környezetében, kövesse az alábbi lépéseket az összes tartományvezérlőn:

  1. A tartományvezérlőkön állítsa az ideiglenes kockázatcsökkentés beállításazonosítóját 1-re (engedélyezés) a Beállításszerkesztővel vagy a környezetében elérhető automatizálási eszközökkel.

    Megjegyzés

    Megjegyzés Ez az 1. lépés a 2. és a 3. lépés előtt vagy után is elvégezhető.

  2. Telepítsen egy olyan frissítést, amely lehetővé teszi a 2021. július 27-én vagy később kiadott frissítésekben elérhető ideiglenes kockázatcsökkentést (alább láthatók az ideiglenes kockázatcsökkentést engedélyező első frissítések):

  3. Indítsa újra a tartományvezérlőt.

Az ideiglenes kockázatcsökkentés beállításazonosítója:

Megjegyzés

Figyelmeztetés Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ilyen problémák esetén még az operációs rendszer újratelepítésére is szükség lehet. A Microsoft nem garantálja a szóban forgó problémák megoldhatóságát. A beállításjegyzéket saját felelősségére módosíthatja.

Beállításjegyzékbeli alkulcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Érték Allow3DesFallback
Adattípus DWORD
Adatok 1 – Ideiglenes kockázatcsökkentés engedélyezése.
0 – Az alapértelmezett működés engedélyezése, amely megköveteli, hogy az eszközök megfeleljenek az RFC 4556 specifikáció 3.2.1. szakaszának.
Újra kell indítani? Nem

A fenti beállításkulcs, valamint az érték és az adatkészlet az alábbi paranccsal hozható létre:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Naplózási események

A 2022. január 25-i és 2022. február 8-i Windows-frissítés új eseményazonosítókat is hozzáad az érintett eszközök azonosításához.

Eseménynapló Rendszer
Esemény típusa Hiba
Eseményforrás Kdcsvc
Eseményazonosító 307
39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)
Esemény szövege A Kerberos-ügyfél nem adott meg támogatott titkosítási típust a titkosítási módot használó PKINIT protokollhoz.
  • Egyszerű ügyfélnév: <tartománynév>\<Ügyfél neve>
  • Ügyfél IP-címe: IPv4/IPv6
  • Ügyfél által biztosított NetBIOS-név: %3
Eseménynapló Rendszer
Esemény típusa Figyelmeztetés
Eseményforrás Kdcsvc
Eseményazonosító 308
40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)
Esemény szövege Egy nem megfelelő PKINIT Kerberos-ügyfél hitelesítve ezzel a tartományvezérlővel. A hitelesítést a KDCGlobalAllowDesFallBack beállítása miatt engedélyeztük. A jövőben ezek a kapcsolatok hitelesítési hibát okozhatnak. Azonosítsa az eszközt, és próbálja meg frissíteni a Kerberos-implementációját
  • Egyszerű ügyfélnév: <tartománynév>\<Ügyfél neve>
  • Ügyfél IP-címe: IPv4/IPv6
  • Ügyfél által biztosított NetBIOS-név: %3

Állapot

A Microsoft megerősítette, hogy ez a probléma "A következőkre vonatkozik" szakaszban felsorolt Microsoft-termékekre vonatkozik.