現象

これらのデバイスがスマート カード (PIV) 認証を使用している場合、印刷とスキャンが失敗する可能性があります。

 スマート カード (PIV) 認証を使用するときに影響を受けるデバイスは、ユーザー名とパスワード認証を使用する場合に想定どおりに動作する必要があります。

原因

2021 年 7 月 13 日、Microsoft は CVE-2021-33764 のセキュリティ強化の変更をリリースしました。これは、2021 年 7 月 13 日以降にリリースされた更新プログラムをドメイン コントローラー (DC) にインストールすると、この問題が発生する可能性があります。  影響を受けるデバイスは、PKINIT Kerberos 認証時にキー交換のDiffie-Hellman (DH) をサポートしていない、または Kerberos AS 要求中に des-ede3-cbc ("triple DES") のサポートをアドバタイズしないスマート カード認証プリンター、スキャナー、多機能デバイスです。

RFC 4556 仕様のセクション 3.2.1 では、このキー交換を機能させるには、クライアントが des-ede3-cbc ("triple DES") のサポートをサポートし、キー配布センター (KDC) に通知する必要があります。 暗号化モードでキー交換を使用して Kerberos PKINIT を開始するが、des-ede3-cbc ("triple DES") をサポートしていることを KDC にサポートも伝えもしないクライアントは拒否されます。

プリンターとスキャナーのクライアント デバイスを準拠させるには、次のいずれかを行う必要があります。

  • PKINIT Kerberos 認証中にキー交換にDiffie-Hellmanを使用します (推奨)。

  • または、両方とも、des-ede3-cbc ("triple DES") のサポートを KDC にサポートし、通知します。

次のステップ

印刷デバイスまたはスキャン デバイスでこの問題が発生した場合は、デバイスで使用可能な最新のファームウェアとドライバーを使用していることを確認します。 ファームウェアとドライバーが最新の状態で、引き続きこの問題が発生する場合は、デバイスの製造元にお問い合わせください。 CVE-2021-33764 のセキュリティ強化の変更にデバイスを準拠させるために構成変更が必要かどうか、または準拠している更新プログラムが利用可能になるかどうかを確認します。

現在、CVE-2021-33764 に必要な RFC 4556 仕様のセクション 3.2.1 に準拠する方法がない場合は、印刷またはスキャンデバイスの製造元と連携して環境を下のタイムライン内でコンプライアンスに取り入れながら、一時的な軽減策を利用できるようになりました。

重要 2022 年 7 月 12 日までに、一時的な軽減策がセキュリティ更新プログラムで使用できない場合は、非準拠デバイスを更新して準拠または置き換える必要があります。

重要なお知らせ

このシナリオのすべての一時的な軽減策は、使用している Windows のバージョンに応じて、2022 年 7 月と 2022 年 8 月に削除されます (次の表を参照)。 後の更新では、それ以上のフォールバック オプションはありません。 準拠していないすべてのデバイスは、2022 年 1 月以降の監査イベントを使用して識別し、2022 年 7 月後半から軽減策の削除に更新または置き換える必要があります。 

2022 年 7 月以降、RFC 4456 仕様および CVE-2021-33764 に準拠していないデバイスは、更新された Windows デバイスでは使用できなくなります。

ターゲットの日付

イベント

適用対象

2021 年 7 月 13 日

更新 CVE-2021-33764 のセキュリティ強化の変更でリリースされました。 以降のすべての更新では、既定でこのセキュリティ強化の変更が適用されます。

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2021 年 7 月 27 日

更新、非準拠デバイスでの印刷とスキャンの問題に対処するための一時的な軽減策でリリースされました。 この日付以降にリリースされた更新は DC にインストールする必要があり、次の手順を使用してレジストリ キーを使用して軽減策を有効にする必要があります。

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2021 年 7 月 29 日

更新、非準拠デバイスでの印刷とスキャンの問題に対処するための一時的な軽減策でリリースされました。 この日付以降のリリース更新 DC にインストールする必要があり、次の手順に従ってレジストリ キーを使用して軽減策を有効にする必要があります。

Windows Server 2016

2022 年 1 月 25 日

更新は、DC が 2022 年 7 月 2022/8 月以降の更新プログラムをインストールすると、認証に失敗する RFC-4456 互換性のないプリンターであるプリンターを識別する Active Directory ドメイン コントローラーの監査イベントを記録します。

Windows Server 2022

Windows Server 2019

2022 年 2 月 8 日

更新は、DC が 2022 年 7 月 2022/8 月以降の更新プログラムをインストールすると、認証に失敗する RFC-4456 互換性のないプリンターであるプリンターを識別する Active Directory ドメイン コントローラーの監査イベントを記録します。

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2022 年 7 月 21 日

環境内のデバイスの苦情の印刷とスキャンを必要とする一時的な軽減策を取り除く、オプションのプレビュー更新プログラム リリース。

Windows Server 2019

2022 年 8 月 9 日

重要 環境内のデバイスの苦情の印刷とスキャンを必要とする一時的な軽減策を削除するためのセキュリティ更新プログラム リリース。

この日以降にリリースされたすべての更新プログラムは、一時的な軽減策を使用できません

Smartcard 認証プリンターとスキャナーは、Active Directory ドメイン コントローラーにこれらの更新プログラムまたはそれ以降をインストールした後、CVE-2021-33764 に必要な RFC 4556 仕様のセクション 3.2.1 に準拠している必要があります

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

環境で一時的な軽減策を使用するには、すべてのドメイン コントローラーで次の手順に従います。

  1. ドメイン コントローラーで、レジストリ エディターまたは環境で使用可能な自動化ツールを使用して、以下に示す一時的な軽減策レジストリ値を 1 (有効) に設定します。

    この手順 1 は、手順 2 と手順 3 の前または後に実行できます。

  2. 2021 年 7 月 27 日以降にリリースされた更新プログラムで使用可能な一時的な軽減策を可能にする更新プログラムをインストールします (一時的な軽減策を許可する最初の更新プログラムを以下に示します)。

  3. ドメイン コントローラーを再起動します。

一時的な軽減策のレジストリ値:

警告 レジストリ エディターを使用するか、別の方法を使用してレジストリを正しく変更しないと、重大な問題が発生する可能性があります。 これらの問題により、オペレーティング システムの再インストールが必要になる場合があります。 Microsoft では、これらの問題を解決できるとは保証できません。 レジストリの変更は各自の責任で行ってください。

レジストリ サブキー

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Allow3DesFallback

データ型

DWORD

データ

1 – 一時的な軽減策を有効にします。

0 – 既定の動作を有効にし、RFC 4556 仕様のセクション 3.2.1 に準拠するようにデバイスを要求します。

再起動が必要ですか?

いいえ

上記のレジストリ キーを作成し、次のコマンドを使用して値とデータセットを作成できます。

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

イベントの監査

2022 年 1 月 25 日と 2022 年 2 月 8 日の Windows 更新プログラムでは、影響を受けるデバイスの識別に役立つ新しいイベント ID も追加されます。

イベント ログ

システム

イベントの種類

エラー

イベント ソース

Kdcsvc

イベント ID

307

39 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2)

イベント テキスト

Kerberos クライアントは、暗号化モードを使用して PKINIT プロトコルで使用するためにサポートされている暗号化の種類を指定しませんでした。

  • クライアント プリンシパル名: <ドメイン名>\<クライアント名>

  • クライアント IP アドレス: IPv4/IPv6

  • クライアント指定の NetBIOS 名: %3

イベント ログ

システム

イベントの種類

警告

イベント ソース

Kdcsvc

イベント ID

308

40 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2)

イベント テキスト

この DC に対して認証された不適合の PKINIT Kerberos クライアント。 KDCGlobalAllowDesFallBack が設定されたため、認証が許可されました。 今後、これらの接続は認証に失敗します。 デバイスを特定し、Kerberos の実装をアップグレードする

  • クライアント プリンシパル名: <ドメイン名>\<クライアント名>

  • クライアント IP アドレス: IPv4/IPv6

  • クライアント指定の NetBIOS 名: %3

状態

Microsoft は、これが「適用対象」セクションに記載されている Microsoft 製品の問題であることを確認しました。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?

ご意見をいただきありがとうございます。

×