現象

これらのデバイスがスマート カード (PIV) 認証を使用すると、印刷とスキャンが失敗する可能性があります。 

注: スマート カード (PIV) 認証を使用するときに影響を受けるデバイスは、ユーザー名とパスワードの認証を使用するときに期待した通り動作する必要があります。 

原因

2021 年 7 月 13 日に、Microsoft は CVE-2021-33764の強化の変更をリリースしました。 2021 年 7 月 13 日以降にリリースされた更新プログラムをドメイン コントローラー (DC) にインストールすると、この問題が発生する可能性があります。  影響を受けるデバイスは、PKINIT Kerberos 認証中にキー交換用の Diffie-Hellman (DH) をサポートしない、または Kerberos AS 要求中に des-ede3-cbc ("triple DES") のサポートをアドバタイズしない、スマート カード認証プリンター、スキャナー、多機能デバイスです。 このキー交換を機能するには 、RFC 4556仕様のセクション 3.2.1 に基いて、クライアントは des-ede3-cbc ("triple DES") のサポートをキー配布センター (KDC) にサポートし、通知する必要があります。 暗号化モードでキー交換を使用して Kerberos PKINIT を開始するが、des-ede3-cbc ("triple DES") をサポートしている KDC をサポートも伝えもしないクライアントは拒否されます。 

プリンターとスキャナーのクライアント デバイスを準拠するには、次のいずれかを行う必要があります。

  • PKINIT Kerberos Diffie-Hellman (推奨) の間にキー交換に使用します。

  • des-ede3-cbc ("triple DES") のサポートと通知の両方。

次のステップ

印刷デバイスまたはスキャン デバイスでこの問題が発生した場合は、デバイスで利用可能な最新のファームウェアとドライバーを使用している必要があります。 ファームウェアとドライバーが最新で、この問題が引き続き発生する場合は、デバイスの製造元にお問い合わせください。 デバイスを CVE-2021-33764 のセキュリティ強化の変更に準拠するために構成の変更が必要か、または準拠している更新プログラムが利用可能になるか確認します。

CVE-2021-33764に必要な RFC 4556仕様のセクション 3.2.1 にデバイスを準拠する方法がない場合は、印刷またはスキャンデバイスの製造元と作業している間に一時的な軽減策を利用して、下のタイムライン内で環境をコンプライアンスに取り込む方法が提供されます。

重要: 一時的な軽減策がセキュリティ更新プログラムで使用できない場合は、準拠していないデバイスを 2022 年 2 月 8 日に更新し、準拠しているか、置き換える必要があります。

タイムライン 

目標日 

イベント 

適用対象 

2021 年 7 月 13 日 

CVE-2021-33764の強化された変更でリリースされた更新プログラム。 以降のすべての更新プログラムでは、この強化の変更が既定でオンになっています。 

WindowsServer
2019 Windows Server
2016 Windows Server 2012 R2
Windows Server 2012 Windows
Server 2008 R2 SP1
Windows Server 2008 SP2

2021 年 7 月 27 日 

準拠していないデバイスでの印刷とスキャンの問題に対処するために、一時的な軽減策でリリースされた更新プログラム。  この日付以降の更新プログラムのリリースは DC にインストールする必要があります。軽減策は、以下の手順を使用してレジストリ キーを使用して有効にしてください。 

WindowsServer 2019
Windows Server 2012 R2 Windows
Server 2012
Windows Server 2008 R2 SP1 Windows
Server 2008 SP2  

2021 年 7 月 29 日 

準拠していないデバイスでの印刷とスキャンの問題に対処するために、一時的な軽減策でリリースされた更新プログラム。  この日付以降の更新プログラムのリリースは DC にインストールする必要があります。軽減策は、以下の手順を使用してレジストリ キーを使用して有効にしてください。 

Windows Server 2016

Mid-January 2022 

環境内のデバイスの苦情の印刷とスキャンを必要とする一時的な軽減策を削除するオプションのプレビュー更新プログラム リリース。 

Windows Server 2019

2022 年 2 月 8 日 

重要 環境内のデバイスの苦情の印刷とスキャンを要求する一時的な軽減策を削除するセキュリティ更新プログラムのリリース。 この日以降にリリースされた更新プログラムはすべて、一時的な軽減策を使用することはできません。 Smartcard 認証プリンターとスキャナーは、これらの更新プログラムを Active Directory ドメイン コントローラーにインストールした後、CVE-2021-33764に必要なRFC 4556仕様のセクション 3.2.1 に準拠している必要があります。 

WindowsServer
2019 Windows Server
2016 Windows Server 2012 R2
Windows Server 2012 Windows
Server 2008 R2 SP1
Windows Server 2008 SP2

一時的な軽減策

環境で一時的な軽減策を使用するには、すべてのドメイン コントローラーで次の手順に従います。

  1. ドメイン コントローラーで、レジストリ エディターまたは環境で使用できる自動化ツールを使用して、以下に示す一時的な軽減策レジストリ値を 1 (有効) に設定します。

    注: この手順は、手順 2 と 3 の前または後に実行できます。 

  2. 2021 年 7 月 27 日以降にリリースされた更新プログラムで一時的な軽減策を利用できる更新プログラムをインストールします (以下は、一時的な軽減策を可能にする最初の更新プログラムです)。

  3. ドメイン コントローラーを再起動します。

一時的な軽減のためのレジストリ値

警告: レジストリ エディターを使用するか、別の方法でレジストリを正しく変更しないと、深刻な問題が発生する可能性があります。 これらの問題では、オペレーティング システムを再インストールする必要がある場合があります。 Microsoft では、これらの問題を解決できる保証はありません。 レジストリは、ご自身のリスクで変更してください。 

レジストリ サブキー

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 

 

Allow3DesFallback 

データ型 

DWORD 

データ 

1 – 一時的な軽減策を有効にする。 

0 – RFC 4556仕様 のセクション 3.2.1 に準拠する必要がある既定の動作を有効にします 

再起動が必要ですか? 

いいえ 

次のコマンドを使用して、上記のレジストリ キーと値とデータ セットを作成できます。  

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

詳細情報

Microsoft は、「適用対象」セクションに記載されている Microsoft 製品の問題を確認しました。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

翻訳品質にどの程度満足していますか?

どのような要因がお客様の操作性に影響しましたか?

その他にご意見はありますか?(省略可能)

フィードバックをお送りいただきありがとうございます!

×