Признаки

Печать и сканирование могут не выполняться, если на этих устройствах используется проверка подлинности смарт-карты (PIV). 

Примечание: Устройства, которые затронуты при проверке подлинности смарт-карт (PIV), должны работать так, как ожидалось, при использовании проверки подлинности имени пользователя и пароля. 

Причина

13 июля 2021 г. корпорация Майкрософт выпустила жесткие изменения для CVE-2021–33764. Эта проблема может возникнуть при установке обновлений, выпущенных 13 июля 2021 г. или более поздней версии на контроллере домена (DC).  Затронутыми устройствами являются принтеры, сканеры и многофункциональные устройства, которые не поддерживают Diffie-Hellman (DH) для обмена ключами во время проверки подлинности PKINIT Kerberos или не объявляют поддержку des-ede3-cbc ("triple DES") во время запроса Kerberos AS. В соответствии с разделом 3.2.1 спецификации RFC 4556клиент должен поддерживать и уведомлять ключевой центр рассылки о поддержке des-ede3-cbc ("triple DES"). Клиенты, которые инициируют Kerberos PKINIT с обменом ключами в режиме шифрования, но не поддерживают и не сообщают, что они поддерживают des-ede3-cbc ("triple DES"), будут отклонены. 

Чтобы клиентские устройства принтеров и сканеров соответствовали требованиям, необходимо:

  • Используйте Diffie-Hellman для обмена ключами во время проверки подлинности PKINIT Kerberos (предпочитаемый вариант).

  • Обе стороны поддерживают и уведомляют KDC о поддержке des-ede3-cbc ("triple DES").

Дальнейшие действия

Если вы столкнулись с этой проблемой на устройствах печати или сканирования, убедитесь, что вы используете последнюю версию программного обеспечения и драйверов, доступных для вашего устройства. Если программное обеспечение и драйверы имеют последние обновления и проблема не у вас, рекомендуем обратиться к производителю устройства. Спросите, требуется ли изменение конфигурации, чтобы привести устройство в соответствие с ужесточивающимся изменением для CVE-2021-33764 или доступно обновление, которое соответствует требованиям.

Если в настоящее время не существует способа привести устройства в соответствие с разделом 3.2.1 спецификации RFC 4556, требуемой для CVE-2021–33764,во время работы с изготовителем принтера или сканирующего устройства доступно временное решение, которое позволяет привести вашу среду в соответствие с временной шкалой ниже.

Важно: Если временные средства снижения безопасности не будут использоваться в обновлениях для системы безопасности, их необходимо обновить и заменить до 8 февраля 2022 г.

Временная шкала 

Целевая дата 

Событие 

Применимо к: 

13 июля 2021 г. 

Обновления, выпущенные с изменением жесткости для CVE-2021–33764. Во всех последующих обновлениях это изменение закалено по умолчанию. 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
с SP1 Windows Server 2008 с sp2

27 июля 2021 г. 

Выпущены обновления с временным устранением проблем с печатью и сканированием на устройствах, которые не соответствуют требованиям.  Выпуск обновлений в эту дату или более поздний срок должен быть установлен на сайте DC, а для этого необходимо включить эту возможность с помощью реестра с помощью действий ниже. 

Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
с SP1 Windows Server 2008 с SP2  

29 июля 2021 г. 

Выпущены обновления с временным устранением проблем с печатью и сканированием на устройствах, которые не соответствуют требованиям.  Выпуск обновлений в эту дату или более поздний срок должен быть установлен на сайте DC, а для этого необходимо включить эту возможность с помощью реестра с помощью действий ниже. 

Windows Server 2016

Mid-January 2022 г. 

Необязательный предварительный выпуск обновления, чтобы удалить временное устранение последствий, требуя печати и сканирования устройств в вашей среде. 

Windows Server 2019

8 февраля 2022 г. 

Важно! Выпуск обновления для системы безопасности, чтобы удалить временное устранение, требуя печати и сканирования устройств для претензий в вашей среде. Все обновления, выпущенные в этот день или более поздней версии, не смогут использовать временное решение. Принтеры и сканеры, для проверки подлинности с помощью смарт-карт, должны быть совместимы с разделом 3.2.1 спецификации RFC 4556, необходимой для CVE-2021–33764 после установки этих обновлений или более поздней версии на контроллерах доменов Active Directory 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
с SP1 Windows Server 2008 с sp2

Временное снижения

Чтобы использовать временное снижения уровня в своей среде, выполните следующие действия на всех контроллерах домена:

  1. На контроллерах доменных имен установите значение 1 (включить) для временного реестра, приведенного ниже, с помощью редактора реестра или инструментов автоматизации, доступных в вашей среде.

    Примечание: Это можно сделать до или после шагов 2 и 3. 

  2. Установите обновление, которое позволяет временное снижения последствий, доступное в обновлениях, выпущенных 27 июля 2021 г. или более поздней версии (ниже приведены первые обновления, позволяющие временное снижения последствий).

  3. Перезапустите контроллер домена.

Значение реестра для временного снижения снижения

Предупреждение: Ошибки при изменении реестра с помощью редактора или другим способом могут привести к серьезным проблемам. Для решения этих проблем может потребоваться переустановить операционную систему. Корпорация Майкрософт не гарантирует, что эти проблемы можно решить. Измените реестр на свой риск. 

Подменю реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 

Значение 

Allow3DesFallback 

Тип данных 

DWORD 

Данные 

1. В этой области можно включить временное снижения последствий. 

0. Включить поведение по умолчанию, требующее соответствия устройств требованиям раздела 3.2.1 спецификации RFC 4556. 

Требуется перезапуск? 

Нет 

Созданный выше ключ реестра, а также значение и набор данных можно создать с помощью следующей команды:  

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Дополнительные сведения

Корпорация Майкрософт подтверждает, что это проблема в продуктах Майкрософт, перечисленных в разделе "Применяется к".

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?

Спасибо за ваш отзыв!

×