Pazīmes
Drukāšana un skenēšana var neizdoties, ja šīs ierīces izmanto viedkartes (PIV) autentifikāciju.
Piezīme Izmantojot lietotājvārdu un paroles autentifikāciju, ir jādarbojas ierīcēm, kuras tiek ietekmētas, izmantojot viedkartes (PIV) autentifikāciju.
Iemesls
2021. gada 13. jūlijā Microsoft izlaida stingingas izmaiņas CVE-2021-33764 Tas var izraisīt šo problēmu, kad instalējat 2021. gada 13. jūlija vai jaunākas versijas atjauninājumus domēna kontrollerī (DC). Ietekmētās ierīces ir viedkartes autentificēšanas printeri, skeneri un vairākfunkciju ierīces, kas neatbalsta vai nu Diffie-Hellman (ARĀD), lai apmainītos ar atslēgu apmaiņu PKINIT Kerberos autentifikācijas laikā, vai reklamē atbalstu des-ede3-cbc ("triple DES") Kerberos AS pieprasījuma laikā.
Saskaņā ar RFC 4556 specifikācijas 3.2.1. sadaļu, lai šī atslēgu apmaiņa darbotos, klientam ir gan atbalsts, gan jāinformē atslēgu izplatīšanas centrs (KDC) par viņu atbalstu des-ede3-cbc ("triple DES"). Klienti, kuri iniciē Kerberos PKINIT ar atslēgu apmaiņu šifrēšanas režīmā, bet ne atbalsta KDC, ka tie atbalsta des-ede3-cbc ("triple DES"), tiks noraidīti.
Lai nodrošinātu atbilstību printera un skenera klienta ierīcēm, tām ir jābūt:
-
PKINIT Kerberos Diffie-Hellman atslēgas apmaiņas laikā (ieteicams).
-
Vai arī atbalsta dienestu un informējiet KDC par viņu atbalstu des-ede3-cbc ("triple DES").
Nākamās darbības
Ja jums šī problēma rodas ar drukāšanas vai skenēšanas ierīcēm, pārliecinieties, vai izmantojat jaunāko aparātprogrammatūru un ierīces draiverus. Ja jūsu aparātprogrammatūra un draiveri ir atjaunināti un joprojām rodas šī problēma, iesakām sazināties ar ierīces ražotāju. Pavaicājiet, vai ir jāveic konfigurācijas izmaiņas, lai ierīce atbilstu CVE-2021-33764 rūdīšanas izmaiņām vai arī ir pieejams atbilstošs atjauninājums.
Ja pašlaik nav iespējams nodrošināt jūsu ierīču atbilstību RFC 4556 specifikācijas 3.2.1. sadaļai, kas nepieciešama CVE-2021-33764, tad, strādājot ar drukāšanas vai skenēšanas ierīces ražotāju, ir pieejama pagaidu risku mazināšana, lai jūsu vide ievērotu atbilstību tālāk redzamajā laika grafikā.
Svarīgi Jūsu nesalīdzināmajām ierīcēm jābūt atjauninātām un atbilstošām vai aizstātām ar 2022. gada 12. jūliju, ja pagaidu riskus nevarēs izmantot drošības atjauninājumos.
Svarīgs paziņojums
2022. gada jūlijā un 2022. gada augustā atkarībā no izmantotās Windows versijas tiks noņemts viss pagaidu riskus šajā scenārijā (skatiet tālāk tabulu). Vēlākos atjauninājumos vairs nebūs pieejama atkāpšanās opcija. Visas bezsalīdzināšanas ierīces ir jāidentificē, izmantojot audita notikumus, sākot no 2022 . gada janvāra, un jāatjaunina vai jāaizstāj ar risku mazināšanas noņemšanu, sākot no 2022. gada jūlija beigām.
Pēc 2022. gada jūlija ierīces, kas neatbilst RFC 4456 specifikācijai un CVE-2021-33764, nevarēs izmantot ar atjauninātu Windows ierīci.
|
Mērķa datums |
Notikums |
Attiecas uz |
|
2021. gada 13. jūlijs |
Atjauninājumi izlaistas ar stingrajām izmaiņām attiecībā uz CVE-2021-33764. Visiem vēlākajiem atjauninājumiem šī stingrā mainīšana pēc noklusējuma ir ieslēgta. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 1. servisa pakotne Windows Server 2008 SP2 |
|
2021. gada 27. jūlijs |
Atjauninājumi izlaists ar pagaidu risku, lai novērstu drukāšanas un skenēšanas problēmas nesalīdzināmās ierīcēs. Atjauninājumi, kas izlaista šajā datumā vai jaunākā versijā, ir jāinstalē jums DC un, izmantojot reģistra atslēgu, ir jāieslēdz risku mazināšana, veicot tālāk norādītās darbības. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 1. servisa pakotne Windows Server 2008 SP2 |
|
2021. gada 29. jūlijs |
Atjauninājumi izlaists ar pagaidu risku, lai novērstu drukāšanas un skenēšanas problēmas nesalīdzināmās ierīcēs. Atjauninājumi datorā jābūt instalētam šajā datumā vai jaunākā versijā, un, izmantojot reģistra atslēgu, ir jāieslēdz risku mazināšana, veicot tālāk norādītās darbības. |
Windows Server 2016 |
|
2022. gada 25. janvāris |
Atjauninājumi reģistrēs audita notikumus Active Directory domēna kontrolleros, kas identificē printerus, kuri ir RFC-4456 nesaderīgi printeri, kas neizdoties autentifikācija, kad DCs instalēs 2022.gada jūlija/2022. gada augusta vai jaunāku atjauninājumu. |
Windows Server 2022 Windows Server 2019 |
|
2022. gada 8. februāris |
Atjauninājumi reģistrēs audita notikumus Active Directory domēna kontrolleros, kas identificē printerus, kuri ir RFC-4456 nesaderīgi printeri, kas neizdoties autentifikācija, kad DCs instalēs 2022.gada jūlija/2022. gada augusta vai jaunāku atjauninājumu. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 1. servisa pakotne Windows Server 2008 SP2 |
|
2022. gada 21. jūlijs |
Neobligāts priekšskatījuma atjaunināšanas laidiens, lai noņemtu pagaidu riskus un būtu nepieciešamas sūdzību drukāšanas un skenēšanas ierīces jūsu vidē. |
Windows Server 2019 |
|
2022. gada 9. augusts |
Svarīgi Drošības atjauninājumu laidiens, lai noņemtu pagaidu riskus, kas varētu prasīt sūdzību drukāšanu un skenēšanu jūsu vidē. Visi šajā dienā vai jaunākā versijā izlaistie atjauninājumi nevarēs izmantot pagaidu riskus. Viedkartes autentificēšanas printeriem un skeneriem ir jābūt saderīgiem ar RFC 4556 specifikācijas 3.2.1. sadaļu, kas nepieciešama CVE-2021-33764 pēc šo atjauninājumu instalēšanas vai jaunākas versijas Active Directory domēna kontrolleros |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 1. servisa pakotne Windows Server 2008 SP2 |
Lai izmantotu pagaidu risku jūsu vidē, izpildiet šīs darbības visiem domēnu kontrolleriem:
-
Domēna kontrolleros iestatiet tālāk norādīto pagaidu risku mazināšanas reģistra vērtību uz 1 (iespējot), izmantojot reģistra redaktoru vai vidē pieejamos automatizācijas rīkus.
Piezīme Šo 1. darbību var veikt pirms vai pēc 2. un 3. darbības.
-
Instalējiet atjauninājumu, kas sniedz iespēju izmantot pagaidu riskus atjauninājumos, kas izlaisti 2021. gada 27. jūlijā vai jaunākā versijā (tālāk ir pirmie atjauninājumi, kas nodrošina pagaidu risku).
-
Restartējiet domēna kontrolleri.
Reģistra vērtība pagaidu risku mazināšanai:
Brīdinājums Var notikt nopietnas problēmas, ja ar reģistra redaktoru vai citas metodes palīdzību veiksit nepareizu reģistra modifikāciju. Šo problēmu novēršanai, iespējams, ir atkārtoti jāinstalē operētājsistēma. Microsoft nevar garantēt, ka šīs problēmas varēs novērst. Veicot reģistra izmaiņas, jūs uzņematies visu risku.
|
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Vērtība |
Allow3DesFallback |
|
Datu tips |
DWORD |
|
Dati |
1. Iespējojiet pagaidu riskus. 0 . Iespējojiet noklusējuma darbību, kas pieprasa ierīču atbilstību RFC 4556 specifikācijas 3.2.1. sadaļai. |
|
Vai nepieciešama restartēšana? |
Nē |
Iepriekš minēto reģistra atslēgu var izveidot un vērtību un datu kopu, izmantojot šādu komandu:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Notikumu auditēšana
2022. gada 25. janvāris un 2022. gada 8. februāris Windows atjauninājums pievienos arī jaunus notikuma ID, lai palīdzētu identificēt ietekmētās ierīces.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Kļūda |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Notikuma teksts |
Kerberos klients nenodrošināja atbalstītu šifrēšanas tipu izmantošanai ar PKINIT protokolu, izmantojot šifrēšanas režīmu.
|
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Notikuma teksts |
Nonconforming PKINIT Kerberos klients, kas autentificēts šajā DC. Autentifikācija tika atļauta, jo tika iestatīta KDCGlobalAllowDesFallBack. Turpmāk šie savienojumi neizdosies autentifikācija. Identificējiet ierīci un skatiet, kā jaunināt Kerberos ieviešanu
|
Statuss
Microsoft ir apstiprinājis, ka šī ir problēma Microsoft produktu sarakstā sadaļā Attiecas uz.
