Simptomi
Tiskanje in optično branje morda ne uspe, če te naprave uporabljajo preverjanje pristnosti s pametno kartico (PIV).
Opomba
Opomba Naprave, na katere vpliva preverjanje pristnosti s pametno kartico (PIV), morajo pri uporabi preverjanja pristnosti z uporabniškim imenom in geslom delovati po pričakovanjih.
Vzrok
Microsoft je 13. julija 2021 izdal spremembe utrjevanja za CVE-2021-33764 To lahko povzroči to težavo, ko namestite posodobitve, izdane 13. julija 2021 ali novejše različice, na krmilnik domene (DC). Prizadete naprave so tiskalniki za preverjanje pristnosti pametnih kartic, optični bralniki in večnamenske naprave, ki ne podpirajo niti Diffie-Hellman (DH) za izmenjavo ključev med preverjanjem pristnosti PKINIT Kerberos ali ne oglašujejo podpore za des-ede3-cbc ("trojni DES") med zahtevo Kerberos AS .
V skladu z oddelkom 3.2.1 specifikacije RFC 4556 mora odjemalec za delovanje te izmenjave ključev podpreti in obvestiti center za distribucijo ključev (KDC) o njihovi podpori za des-ede3-cbc ("trojni DES"). Stranke, ki sprožijo Kerberos PKINIT z izmenjavo ključev v načinu šifriranja, vendar ne podpirajo ali ne povedo KDC, da podpirajo des-ede3-cbc ("trojni DES"), bodo zavrnjene.
Da bi bile odjemalske naprave tiskalnika in optičnega bralnika skladne, morajo:
- Uporabite Diffie-Hellman za izmenjavo ključev med preverjanjem pristnosti PKINIT Kerberos (prednostno).
- Ali pa oba podpirata in obveščata KDC o njihovi podpori za des-ede3-cbc ("trojni DES").
Naslednji koraki
Če naletite na to težavo z napravami za tiskanje ali optično branje, preverite, ali uporabljate najnovejšo strojno programsko opremo in gonilnike, ki so na voljo za vašo napravo. Če so vdelana programska oprema in gonilniki posodobljeni in še vedno naletite na to težavo, priporočamo, da se obrnete na proizvajalca naprave. Vprašajte, ali je potrebna sprememba konfiguracije, da se naprava uskladi s spremembo utrjevanja za CVE-2021-33764 , ali pa bo na voljo skladna posodobitev.
Če trenutno ni mogoče uskladiti naprav z razdelkom 3.2.1 specifikacije RFC 4556 , kot je zahtevano za CVE-2021-33764, je zdaj na voljo začasna ublažitev, medtem ko sodelujete s proizvajalcem naprave za tiskanje ali optično branje, da zagotovite skladnost okolja v spodnji časovnici.
Opomba
Pomembno Neskladne naprave morate posodobiti in uskladiti ali zamenjati do 12. julija 2022, ko začasne ublažitve ne bo mogoče uporabiti v varnostnih posodobitvah.
Pomembno obvestilo
Vsa začasna ublažitev za ta scenarij bodo odstranjena julija 2022 in avgusta 2022, odvisno od različice sistema Windows, ki jo uporabljate (glejte spodnjo tabelo). V poznejših posodobitvah ne bo več nadomestne možnosti. Vse neskladne naprave je treba identificirati z revizijskimi dogodki, ki se začnejo januarja 2022 , in posodobiti ali nadomestiti z odstranitvijo za ublažitev, ki se začne konec julija 2022.
Po juliju 2022 naprav, ki niso skladne s specifikacijo RFC 4456 in CVE-2021-33764, ne bo mogoče uporabljati s posodobljeno napravo s sistemom Windows.
| Ciljni datum | Dogodek | Velja za |
|---|---|---|
| 13. julij 2021 | Posodobitve, izdane s spremembami utrjevanja za CVE-2021-33764. Vse poznejše posodobitve imajo privzeto vklopljeno spremembo utrjevanja. | Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| Julij 27, 2021 | Posodobitve so bile izdane z začasno ublažitvijo za odpravljanje težav s tiskanjem in optičnim branjem v napravah, ki niso skladne s predpisi. Posodobitve, izdane na ta datum ali pozneje, morajo biti nameščene v vašem DC-ju, ublažitev pa je treba vklopiti z registrskim ključem po spodnjih korakih. | Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| Julij 29, 2021 | Posodobitve so bile izdane z začasno ublažitvijo za odpravljanje težav s tiskanjem in optičnim branjem v napravah, ki niso skladne s predpisi. Posodobitve, izdane na ta datum ali pozneje, morajo biti nameščene v DC in ublažitev je treba vklopiti z registrskim ključem s spodnjimi koraki. | Windows Server 2016 |
| 25 januarja, 2022 | Posodobitve bodo zabeležile nadzorne dogodke na krmilnikih domene Active Directory, ki prepoznajo tiskalnike, ki niso združljivi s standardom RFC-4456 in ne uspejo preveriti pristnosti, ko DC-ji namestijo posodobitve julij 2022/avgust 2022 ali novejše. | Windows Server 2022 Windows Server 2019 |
| 8 februarja, 2022 | Posodobitve bodo zabeležile nadzorne dogodke na krmilnikih domene Active Directory, ki prepoznajo tiskalnike, ki niso združljivi s standardom RFC-4456 in ne uspejo preveriti pristnosti, ko DC-ji namestijo posodobitve julij 2022/avgust 2022 ali novejše. | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| Julij 21, 2022 | Izbirna izdaja predogledne posodobitve za odstranitev začasne ublažitve zahtev za tiskanje in optično branje pritožb v vašem okolju. | Windows Server 2019 |
| Avgust 9, 2022 |
Pomembno Izdaja varnostne posodobitve za odstranitev začasne ublažitve zahtev za tiskanje in optično branje pritožb v vašem okolju. Vse posodobitve, izdane na ta dan ali pozneje, ne bodo mogle uporabiti začasne ublažitve. Tiskalniki in optični bralniki za preverjanje pristnosti pametnih kartic morajo biti skladni z razdelkom 3.2.1 specifikacije RFC 4556 , ki je potrebna za CVE-2021-33764 po namestitvi teh posodobitev ali novejše v krmilnike domene Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Če želite uporabiti začasno ublažitev v svojem okolju, sledite tem korakom na vseh krmilnikih domene:
Na krmilnikih domene nastavite spodaj navedeno začasno vrednost registra za ublažitev na 1 (omogoči) z urejevalnikom registra ali orodji za avtomatizacijo, ki so na voljo v vašem okolju.
Opomba
Opomba Ta korak 1 lahko izvedete pred ali po korakih 2 in 3.
Namestite posodobitev, ki omogoča začasno ublažitev, ki je na voljo v posodobitvah, izdanih 27. julija 2021 ali novejših različicah (spodaj so prve posodobitve, ki omogočajo začasno ublažitev):
Znova zaženite krmilnik domene.
Vrednost registra za začasno ublažitev:
Opomba
Opozorilo Do resnih težav lahko pride, če nepravilno spremenite register z urejevalnikom registra ali na drug način. Zaradi teh težav boste morali morda znova namestiti operacijski sistem. Microsoft ne more zagotoviti, da bo te težave mogoče odpraviti. Register spremenite na lastno odgovornost.
| Registrski podključ | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Value (Vrednost) | Allow3DesFallback |
| Podatkovni tip | DWORD |
| Podatki |
1 – Omogočite začasno ublažitev. 0 – Omogočite privzeto vedenje, ki zahteva, da so vaše naprave skladne z razdelkom 3.2.1 specifikacije RFC 4556. |
| Potrebujete ponovni zagon? | Ne |
Zgornji registrski ključ ter vrednost in nabor podatkov lahko ustvarite s tem ukazom:
- reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Revizija dogodkov
Posodobitev sistema Windows z dne 25. januarja 2022 in 8. februarja 2022 bo dodala tudi nove ID-je dogodkov, ki bodo lažje prepoznali prizadete naprave.
| Dnevnik dogodkov | Sistem |
|---|---|
| Vrsta dogodka | Napaka |
| Vir dogodka | Kdcsvc |
| ID dogodka | 307 39 (Windows Server 2008 R2 s servisnim paketom SP1, Windows Server 2008 s servisnim paketom SP2) |
| Besedilo dogodka | Odjemalec Kerberos ni zagotovil podprte vrste šifriranja za uporabo s protokolom PKINIT v načinu šifriranja.
|
| Dnevnik dogodkov | Sistem |
|---|---|
| Vrsta dogodka | Opozorilo |
| Vir dogodka | Kdcsvc |
| ID dogodka | 308 40 (Windows Server 2008 R2 s servisnim paketom SP1, Windows Server 2008 s servisnim paketom SP2) |
| Besedilo dogodka | Neskladen odjemalec PKINIT Kerberos, preverjen za ta DC. Preverjanje pristnosti je bilo dovoljeno, ker je bil nastavljen KDCGlobalAllowDesFallBack V prihodnosti te povezave ne bodo uspele preveriti pristnosti. Prepoznajte napravo in nadgradite njeno implementacijo Kerberos
|
Stanje
Microsoft je potrdil, da gre za težavo v Microsoftovih izdelkih, ki so navedeni v razdelku »Velja za«.