Tünetek

Sikertelen lehet a nyomtatás és a beolvasás, ha ezek az eszközök intelligens kártya (PIV) hitelesítést használnak. 

Megjegyzés: Az intelligens kártyás (PIV) hitelesítés során érintett eszközöknek a felhasználónév és a jelszó-hitelesítés használata esetén a várt módon kell működnie. 

A jelenség oka

2021. július 13-án a Microsoft megjelent a CVE-2021-33764-esverziójához. Ez a probléma akkor okozhatja ezt a problémát, ha 2021. július 13-án vagy egy újabb tartományvezérlőn telepíti a frissítéseket.  Az érintett eszközök olyan intelligens kártyákat hitelesítő nyomtatók, szkennerek és többfunkciós eszközök, amelyek nem támogatják a Diffie-Hellman (DH) használatát a PKINIT Kerberos-hitelesítés során történő kulcscseréhez, vagy nem hirdetik a des-ede3-cbc ("triple DES") támogatását a Kerberos AS kérése során. Az RFC 4556specifikáció 3.2.1-es szakasza szerint ahhoz, hogy ez a kulcscsere működjön, az ügyfélnek mindkét esetben támogatást kell támogatnia és értesítenie kell a kulcs terjesztési központot (KDC), ha támogatják a des-ede3-cbc ("triple DES") támogatásait. Azok az ügyfelek, akik titkosítási módban kulcscserével indítják a Kerberos PKINIT eszközt, de sem támogatják, sem a KDC-nek, hogy támogatják a des-ede3-cbc ("triple DES") formátumot. 

Ahhoz, hogy a nyomtató- és szkenner-eszközök kompatibilisek legyen, a következő eszközöknek kell megfelelni:

  • A Diffie-Hellman PKINIT Kerberos-hitelesítés során használjon kulcscserét (preferált).

  • Támogatást és értesítést is küld a KDC-nek a des-ede3-cbc ("triple DES") támogatásairól.

További lépések

Ha a nyomtató- vagy beolvasóeszközökkel kapcsolatban találkozik ezzel a hibával, ellenőrizze, hogy az eszközhöz elérhető legújabb belső vezérlőprogramot és illesztőprogramokat használja-e. Ha a belső vezérlőprogram és az illesztőprogramok naprakészek, és továbbra is problémát tapasztalt, javasoljuk, hogy lépjen kapcsolatba az eszköz gyártójával. Kérdezze meg, hogy szükség van-e konfigurációs módosításra ahhoz, hogy az eszköz megfeleljenek a CVE-2021-33764-es verzióknak megfelelő merevlemez-módosításnak, vagy elérhető lesz-e megfelelő frissítés.

Ha jelenleg nincs mód arra, hogy eszközeit a CVE-2021-33764 szabvány 3.2.1-es szakaszának megfelelően vigye át a CVE-2021-33764szabványnak megfelelően, a nyomtató- vagy beolvasóeszköz gyártójával való munka során az alábbi ütemtervnek megfelelően biztosítjuk a környezet megfelelőségét.

Fontos: 2022. február 8-ig frissítenie, kompatibilisnek vagy lecserélnie kell a nem kompatibilis eszközöket, ha az ideiglenes megoldások nem használhatók fel a biztonsági frissítésekben.

Idővonal 

Céldátum 

Esemény 

Érintett termékek 

2021. július 13. 

A CVE-2021-33764-esfrissítésekkel együtt kiadott frissítések. A későbbi frissítésekben alapértelmezés szerint be van kapcsolva ez az hardening változás. 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012 Windows
Server 2008 R2
SP1 Windows Server 2008 SP2

2021. július 27. 

A nem kompatibilis eszközökön történő nyomtatással és vizsgálatsal kapcsolatos problémák átmeneti megoldással megjelent frissítések.  Az ezen a napon vagy később kiadású frissítéseket telepíteni kell a tartományvezérlőre, és a megoldáshoz a beállításkulcsot kell használni az alábbi lépésekkel. 

Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2  

2021. július 29. 

A nem kompatibilis eszközökön történő nyomtatással és vizsgálatsal kapcsolatos problémák átmeneti megoldással megjelent frissítések.  Az ezen a napon vagy később kiadású frissítéseket telepíteni kell a tartományvezérlőre, és a megoldáshoz a beállításkulcsot kell használni az alábbi lépésekkel. 

Windows Server 2016

Mid-January 2022 

Opcionális előzetes frissítés kiadásával eltávolíthatja az ideiglenes megoldásokat, hogy panasznyomtatást és -beolvasást igénylő eszközökre legyen szükség a környezetében. 

Windows Server 2019

2022. február 8. 

Fontos Biztonsági frissítés kiadásával eltávolíthatja az ideiglenes megoldásokat, hogy panasznyomtatást és -beolvasást igénylő eszközökre legyen szükség a környezetében. Az ezen a napon vagy később kiadott frissítések nem fogják tudni használni az ideiglenes megoldásokat. A smartcard-hitelesítő nyomtatóknak és szkennereknek meg kell felelnie a CVE-2021-33764 szabványnak a CVE-2021-33764 szabvány 3.2.1-es vagy újabb, Active Directory-tartományvezérlőkre való telepítése után szükséges RFC 4556 szabványnak. 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012 Windows
Server 2008 R2
SP1 Windows Server 2008 SP2

Ideiglenes megoldás

Az ideiglenes kezelési megoldás a környezetében való alkalmazáshoz kövesse az alábbi lépéseket az összes tartományvezérlőn:

  1. A tartományvezérlőknél állítsa az alábbi ideiglenes kezelési beállításjegyzékbeli értéket 1-re (engedélyezés) a Beállításszerkesztővel vagy a környezetében elérhető automatizálási eszközökkel.

    Megjegyzés: Ez a lépés a 2. és a 3. lépés előtt vagy után is el lehet végezve. 

  2. Telepítsen egy frissítést, amely lehetővé teszi a 2021. július 27-én vagy újabb verzióban kiadott frissítésekben elérhető átmeneti megoldási lehetőségeket (az alábbiakban az ideiglenes megoldást engedélyező első frissítéseket érhetők el):

  3. Indítsa újra a tartományvezérlőt.

Beállításjegyzékbeli érték ideiglenes megoldáshoz

Figyelmeztetés: Ha helytelenül módosítja a beállításjegyzéket a Beállításszerkesztővel vagy más módszerrel, az komoly problémákhoz vezethet. Ilyen problémák esetén előfordulhat, hogy újra kell telepítenie az operációs rendszert. A Microsoft nem garantálja e problémák megoldható voltát. Módosítsa a beállításjegyzéket saját kockázatra. 

Beállításjegyzék alkulcsa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 

Érték 

Allow3DesFallback 

Adattípus 

DWORD 

Adat 

1 – Ideiglenes megoldás engedélyezése. 

0 – Az alapértelmezett működés engedélyezése, amely megköveteli az eszközöknek a 4556-os RFC 4556 szabvány 3.2.1-esszakaszának valómegfelelését. 

Újra kell indítani? 

Nem 

A fenti beállításkulcsot az alábbi paranccsal lehet létrehozni, illetve az értéket és az adatkészletet használni:  

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

További információ

A Microsoft megerősítette, hogy ez a probléma az "Érintett" szakaszban felsorolt Microsoft-termékekben található.

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Mennyire elégedett a fordítás minőségével?
Mi befolyásolta a felhasználói élményét?

Köszönjük visszajelzését!

×