Symptomer
Utskrift og skanning kan mislykkes når disse enhetene bruker smartkortgodkjenning (PIV).
Obs!
Vær oppmerksom på Enheter som påvirkes ved bruk av smartkortgodkjenning (PIV), skal fungere som forventet ved bruk av godkjenning med brukernavn og passord.
Årsak
13. juli 2021 lanserte Microsoft herdingsendringer for CVE-2021-33764 Dette kan forårsake dette problemet når du installerer oppdateringer utgitt 13. juli 2021 eller nyere versjoner på en domenekontroller (DC). De berørte enhetene er smartkortgodkjenningsskrivere, skannere og multifunksjonsenheter som ikke støtter verken Diffie-Hellman (DH) for nøkkelutveksling under PKINIT Kerberos-godkjenning eller ikke reklamerer for des-ede3-cbc («trippel DES») under Kerberos AS-forespørselen.
I henhold til avsnitt 3.2.1 i RFC 4556-spesifikasjonen, for at denne nøkkelutvekslingen skal fungere, må klienten både støtte og varsle nøkkeldistribusjonssenteret (KDC) om deres støtte for des-ede3-cbc («trippel DES»). Klienter som starter Kerberos PKINIT med nøkkelutveksling i krypteringsmodus, men som verken støtter eller forteller KDC at de støtter des-ede3-cbc («trippel DES»), blir avvist.
For at skriver- og skannerklientenheter skal være kompatible, må de enten:
- Bruk Diffie-Hellman til nøkkelutveksling under PKINIT Kerberos-godkjenning (foretrukket).
- Eller både støtte og varsle KDC om deres støtte for des-ede3-cbc («trippel DES»).
Neste trinn
Hvis du støter på dette problemet med utskrifts- eller skanneenhetene, må du kontrollere at du bruker den nyeste fastvaren og de nyeste driverne som er tilgjengelige for enheten. Hvis fastvaren og driverne er oppdatert, og du fortsatt støter på dette problemet, anbefaler vi at du kontakter produsenten av enheten. Spør om det kreves en konfigurasjonsendring for å bringe enheten i samsvar med herdingsendringen for CVE-2021-33764 , eller om en kompatibel oppdatering blir gjort tilgjengelig.
Hvis det for øyeblikket ikke er mulig å bringe enhetene dine i samsvar med avsnitt 3.2.1 i RFC 4556-spesifikasjonen som kreves for CVE-2021-33764, er en midlertidig reduksjon nå tilgjengelig mens du arbeider med produsenten av utskrifts- eller skanneenheten for å bringe miljøet i samsvar med kravene innen tidslinjen nedenfor.
Obs!
Viktig! Du må ha de ikke-kompatible enhetene oppdatert og kompatible eller erstattet innen 12. juli 2022, da den midlertidige begrensningen ikke kan brukes i sikkerhetsoppdateringer.
Viktig melding
All midlertidig reduksjon for dette scenariet fjernes i juli 2022 og august 2022, avhengig av hvilken versjon av Windows du bruker (se tabellen nedenfor). Det vil ikke være noe ytterligere tilbakefallsalternativ i senere oppdateringer. Alle ikke-kompatible enheter må identifiseres ved hjelp av overvåkingshendelser fra og med januar 2022 og oppdateres eller erstattes av reduksjonsfjerningen fra slutten av juli 2022.
Etter juli 2022 kan ikke enheter som ikke er i samsvar med RFC 4456-spesifikasjonen og CVE-2021-33764, brukes med en oppdatert Windows-enhet.
| Måldato | Hendelse | Gjelder |
|---|---|---|
| 13. juli 2021 | Oppdateringer utgitt med herdingsendringer for CVE-2021-33764. Alle senere oppdateringer har denne herdingsendringen aktivert som standard. | Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 27. juli 2021 | Oppdateringer utgitt med midlertidig begrensning for å løse utskrifts- og skanneproblemer på enheter som ikke samsvarer. Oppdateringer som utgis på denne datoen eller senere, må installeres på domenekontrollen, og reduksjonen må aktiveres via registernøkkelen ved hjelp av fremgangsmåten nedenfor. | Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 29. juli 2021 | Oppdateringer utgitt med midlertidig begrensning for å løse utskrifts- og skanneproblemer på enheter som ikke samsvarer. Oppdateringer som utgis på denne datoen eller senere, må installeres på domenekontrolleren, og reduksjonen må aktiveres via registernøkkelen ved hjelp av fremgangsmåten nedenfor. | Windows Server 2016 |
| 25. januar 2022 | Oppdateringer logger overvåkingshendelser på Active Directory-domenekontrollere som identifiserer skrivere som er RFC-4456-inkompatible skrivere som ikke består godkjenning når DC-er installerer oppdateringene for juli 2022/august 2022 eller nyere oppdateringer. | Windows Server 2022 Windows Server 2019 |
| 8. februar 2022 | Oppdateringer logger overvåkingshendelser på Active Directory-domenekontrollere som identifiserer skrivere som er RFC-4456-inkompatible skrivere som ikke består godkjenning når DC-er installerer oppdateringene for juli 2022/august 2022 eller nyere oppdateringer. | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| Juli 21, 2022 | Valgfri forhåndsvisningsoppdatering for å fjerne midlertidig begrensning for å kreve klageutskrifts- og skanneenheter i miljøet ditt. | Windows Server 2019 |
| 9. august 2022 kl. |
Viktig! Sikkerhetsoppdatering utgis for å fjerne midlertidig begrensning for å kreve klageutskrift og skanneenheter i miljøet ditt. Den midlertidige begrensningen kan ikke brukes på alle oppdateringer som utgis på denne dagen eller senere. Smartkortgodkjenningsskrivere og skannere må være i samsvar med avsnitt 3.2.1 i RFC 4556-spesifikasjonen som kreves for CVE-2021-33764 etter at du har installert disse oppdateringene eller senere på Active Directory-domenekontrollere |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Følg denne fremgangsmåten på alle domenekontrollere for å bruke den midlertidige begrensningen i miljøet ditt:
Angi registerverdien for midlertidig reduksjon, som er oppført nedenfor, til 1 (aktiver) ved hjelp av Registerredigering eller automatiseringsverktøyene som er tilgjengelige i miljøet ditt, på domenekontrollerne.
Obs!
Vær oppmerksom på Trinn 1 kan gjøres før eller etter trinn 2 og 3.
Installer en oppdatering som tillater den midlertidige begrensningen som er tilgjengelig i oppdateringer utgitt 27. juli 2021 eller nyere (nedenfor finner du de første oppdateringene som tillater den midlertidige begrensningen):
Start domenekontrolleren på nytt.
Registerverdi for midlertidig begrensning:
Obs!
Advarsel Det kan oppstå alvorlige problemer hvis du endrer registeret feil ved å bruke Registerredigering eller en annen metode. Disse problemene kan føre til at operativsystemet må installeres på nytt. Microsoft kan ikke garantere at disse problemene kan løses. Endre registeret på egen risiko.
| Undernøkkel for registeret | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Verdi | Allow3DesFallback |
| Datatype | DWORD |
| Data |
1 – Aktiver midlertidig begrensning. 0 – Aktiver standard virkemåte, som krever at enhetene samsvarer med avsnitt 3.2.1 i RFC 4556-spesifikasjonen. |
| Kreves omstart? | Nei |
Registernøkkelen ovenfor kan opprettes, og verdien og datasettet kan opprettes ved hjelp av følgende kommando:
- reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Overvåking av hendelser
Windows-oppdateringen 25. januar 2022 og 8. februar 2022 vil også legge til nye hendelses-ID-er for å identifisere berørte enheter.
| Hendelseslogg | System |
|---|---|
| Hendelsestype | Feil |
| Hendelseskilde | Kdcsvc |
| Hendelses-ID | 307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Hendelsestekst | Kerberos-klienten leverte ingen støttet krypteringstype for bruk med PKINIT-protokollen ved hjelp av krypteringsmodus.
|
| Hendelseslogg | System |
|---|---|
| Hendelsestype | Advarsel |
| Hendelseskilde | Kdcsvc |
| Hendelses-ID | 308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Hendelsestekst | En ikke-samsvarende PKINIT Kerberos-klient som er godkjent for denne domenekontrolleren. Godkjenningen ble tillatt fordi KDCGlobalAllowDesFallBack var angitt. Disse tilkoblingene vil mislykkes i godkjenningen i fremtiden. Identifiser enheten, og se etter å oppgradere Kerberos-implementeringen
|
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen «Gjelder for».