KB5005408 – preverjanje pristnosti s pametno kartico lahko povzroči napake pri tiskanju in optično branje

Velja za
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Simptomi

Tiskanje in optično branje morda ne uspe, če te naprave uporabljajo preverjanje pristnosti s pametno kartico (PIV).

Opomba

Opomba Naprave, na katere vpliva preverjanje pristnosti s pametno kartico (PIV), morajo pri uporabi preverjanja pristnosti z uporabniškim imenom in geslom delovati po pričakovanjih.

Vzrok

Microsoft je 13. julija 2021 izdal spremembe utrjevanja za CVE-2021-33764 To lahko povzroči to težavo, ko namestite posodobitve, izdane 13. julija 2021 ali novejše različice, na krmilnik domene (DC).  Prizadete naprave so tiskalniki za preverjanje pristnosti pametnih kartic, optični bralniki in večnamenske naprave, ki ne podpirajo niti Diffie-Hellman (DH) za izmenjavo ključev med preverjanjem pristnosti PKINIT Kerberos ali ne oglašujejo podpore za des-ede3-cbc ("trojni DES") med zahtevo Kerberos AS .

V skladu z oddelkom 3.2.1 specifikacije RFC 4556 mora odjemalec za delovanje te izmenjave ključev podpreti in obvestiti center za distribucijo ključev (KDC) o njihovi podpori za des-ede3-cbc ("trojni DES"). Stranke, ki sprožijo Kerberos PKINIT z izmenjavo ključev v načinu šifriranja, vendar ne podpirajo ali ne povedo KDC, da podpirajo des-ede3-cbc ("trojni DES"), bodo zavrnjene.

Da bi bile odjemalske naprave tiskalnika in optičnega bralnika skladne, morajo:

  • Uporabite Diffie-Hellman za izmenjavo ključev med preverjanjem pristnosti PKINIT Kerberos (prednostno).
  • Ali pa oba podpirata in obveščata KDC o njihovi podpori za des-ede3-cbc ("trojni DES").

Naslednji koraki

Če naletite na to težavo z napravami za tiskanje ali optično branje, preverite, ali uporabljate najnovejšo strojno programsko opremo in gonilnike, ki so na voljo za vašo napravo. Če so vdelana programska oprema in gonilniki posodobljeni in še vedno naletite na to težavo, priporočamo, da se obrnete na proizvajalca naprave. Vprašajte, ali je potrebna sprememba konfiguracije, da se naprava uskladi s spremembo utrjevanja za CVE-2021-33764 , ali pa bo na voljo skladna posodobitev.

Če trenutno ni mogoče uskladiti naprav z razdelkom 3.2.1 specifikacije RFC 4556 , kot je zahtevano za CVE-2021-33764, je zdaj na voljo začasna ublažitev, medtem ko sodelujete s proizvajalcem naprave za tiskanje ali optično branje, da zagotovite skladnost okolja v spodnji časovnici.

Opomba

Pomembno Neskladne naprave morate posodobiti in uskladiti ali zamenjati do 12. julija 2022, ko začasne ublažitve ne bo mogoče uporabiti v varnostnih posodobitvah.

Pomembno obvestilo

Vsa začasna ublažitev za ta scenarij bodo odstranjena julija 2022 in avgusta 2022, odvisno od različice sistema Windows, ki jo uporabljate (glejte spodnjo tabelo). V poznejših posodobitvah ne bo več nadomestne možnosti. Vse neskladne naprave je treba identificirati z revizijskimi dogodki, ki se začnejo januarja 2022 , in posodobiti ali nadomestiti z odstranitvijo za ublažitev, ki se začne konec julija 2022.

Po juliju 2022 naprav, ki niso skladne s specifikacijo RFC 4456 in CVE-2021-33764, ne bo mogoče uporabljati s posodobljeno napravo s sistemom Windows.

Ciljni datum Dogodek Velja za
13. julij 2021 Posodobitve, izdane s spremembami utrjevanja za CVE-2021-33764. Vse poznejše posodobitve imajo privzeto vklopljeno spremembo utrjevanja. Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
Julij 27, 2021 Posodobitve so bile izdane z začasno ublažitvijo za odpravljanje težav s tiskanjem in optičnim branjem v napravah, ki niso skladne s predpisi. Posodobitve, izdane na ta datum ali pozneje, morajo biti nameščene v vašem DC-ju, ublažitev pa je treba vklopiti z registrskim ključem po spodnjih korakih. Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
Julij 29, 2021 Posodobitve so bile izdane z začasno ublažitvijo za odpravljanje težav s tiskanjem in optičnim branjem v napravah, ki niso skladne s predpisi. Posodobitve, izdane na ta datum ali pozneje, morajo biti nameščene v DC in ublažitev je treba vklopiti z registrskim ključem s spodnjimi koraki. Windows Server 2016
25 januarja, 2022 Posodobitve bodo zabeležile nadzorne dogodke na krmilnikih domene Active Directory, ki prepoznajo tiskalnike, ki niso združljivi s standardom RFC-4456 in ne uspejo preveriti pristnosti, ko DC-ji namestijo posodobitve julij 2022/avgust 2022 ali novejše. Windows Server 2022
Windows Server 2019
8 februarja, 2022 Posodobitve bodo zabeležile nadzorne dogodke na krmilnikih domene Active Directory, ki prepoznajo tiskalnike, ki niso združljivi s standardom RFC-4456 in ne uspejo preveriti pristnosti, ko DC-ji namestijo posodobitve julij 2022/avgust 2022 ali novejše. Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
Julij 21, 2022 Izbirna izdaja predogledne posodobitve za odstranitev začasne ublažitve zahtev za tiskanje in optično branje pritožb v vašem okolju. Windows Server 2019
Avgust 9, 2022 Pomembno Izdaja varnostne posodobitve za odstranitev začasne ublažitve zahtev za tiskanje in optično branje pritožb v vašem okolju.
Vse posodobitve, izdane na ta dan ali pozneje, ne bodo mogle uporabiti začasne ublažitve.
Tiskalniki in optični bralniki za preverjanje pristnosti pametnih kartic morajo biti skladni z razdelkom 3.2.1 specifikacije RFC 4556 , ki je potrebna za CVE-2021-33764 po namestitvi teh posodobitev ali novejše v krmilnike domene Active Directory
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Če želite uporabiti začasno ublažitev v svojem okolju, sledite tem korakom na vseh krmilnikih domene:

  1. Na krmilnikih domene nastavite spodaj navedeno začasno vrednost registra za ublažitev na 1 (omogoči) z urejevalnikom registra ali orodji za avtomatizacijo, ki so na voljo v vašem okolju.

    Opomba

    Opomba Ta korak 1 lahko izvedete pred ali po korakih 2 in 3.

  2. Namestite posodobitev, ki omogoča začasno ublažitev, ki je na voljo v posodobitvah, izdanih 27. julija 2021 ali novejših različicah (spodaj so prve posodobitve, ki omogočajo začasno ublažitev):

  3. Znova zaženite krmilnik domene.

Vrednost registra za začasno ublažitev:

Opomba

Opozorilo Do resnih težav lahko pride, če nepravilno spremenite register z urejevalnikom registra ali na drug način. Zaradi teh težav boste morali morda znova namestiti operacijski sistem. Microsoft ne more zagotoviti, da bo te težave mogoče odpraviti. Register spremenite na lastno odgovornost.

Registrski podključ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Value (Vrednost) Allow3DesFallback
Podatkovni tip DWORD
Podatki 1 – Omogočite začasno ublažitev.
0 – Omogočite privzeto vedenje, ki zahteva, da so vaše naprave skladne z razdelkom 3.2.1 specifikacije RFC 4556.
Potrebujete ponovni zagon? Ne

Zgornji registrski ključ ter vrednost in nabor podatkov lahko ustvarite s tem ukazom:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Revizija dogodkov

Posodobitev sistema Windows z dne 25. januarja 2022 in 8. februarja 2022 bo dodala tudi nove ID-je dogodkov, ki bodo lažje prepoznali prizadete naprave.

Dnevnik dogodkov Sistem
Vrsta dogodka Napaka
Vir dogodka Kdcsvc
ID dogodka 307
39 (Windows Server 2008 R2 s servisnim paketom SP1, Windows Server 2008 s servisnim paketom SP2)
Besedilo dogodka Odjemalec Kerberos ni zagotovil podprte vrste šifriranja za uporabo s protokolom PKINIT v načinu šifriranja.
  • Glavno ime odjemalca: <ime domene>\<Ime> odjemalca
  • Naslov IP odjemalca: IPv4/IPv6
  • Ime NetBIOS, ki ga je zagotovil odjemalec
Dnevnik dogodkov Sistem
Vrsta dogodka Opozorilo
Vir dogodka Kdcsvc
ID dogodka 308
40 (Windows Server 2008 R2 s servisnim paketom SP1, Windows Server 2008 s servisnim paketom SP2)
Besedilo dogodka Neskladen odjemalec PKINIT Kerberos, preverjen za ta DC. Preverjanje pristnosti je bilo dovoljeno, ker je bil nastavljen KDCGlobalAllowDesFallBack V prihodnosti te povezave ne bodo uspele preveriti pristnosti. Prepoznajte napravo in nadgradite njeno implementacijo Kerberos
  • Glavno ime odjemalca: <ime domene>\<Ime> odjemalca
  • Naslov IP odjemalca: IPv4/IPv6
  • Ime NetBIOS, ki ga je zagotovil odjemalec

Stanje

Microsoft je potrdil, da gre za težavo v Microsoftovih izdelkih, ki so navedeni v razdelku »Velja za«.