Simptomi
Štampanje i skeniranje može biti neuspešno kada ovi uređaji koriste potvrdu identiteta pametnom karticom (PIV).
Napomena
Napomena Uređaji na koje utiče korišćenje potvrde identiteta pametnom karticom (PIV) trebalo bi da rade kao što se očekuje kada se koristi potvrda identiteta korisničkog imena i lozinke.
Uzrok
Microsoft je 13. jula 2021. objavio promene pojačavanja za CVE-2021-33764 To može da izazove ovaj problem kada instalirate ispravke objavljene 13. jula 2021. ili novije verzije na kontroleru domena (DC). Ugroženi uređaji su štampači, skeneri i višefunkcionalni uređaji koji ne podržavaju Diffie-Hellman (DH) za razmenu ključeva tokom PKINIT Kerberos potvrde identiteta ili ne reklamiraju podršku za des-ede3-cbc ("trostruki DES") tokom Kerberos AS zahteva.
Prema odeljku 3.2.1 RFC 4556 specifikacije, da bi ova ključna razmena funkcionisala, klijent mora da podrži i obavesti ključni distributivni centar (KDC) o njihovoj podršci za des-ede3-cbc ("trostruki DES"). Klijenti koji pokrenu Kerberos PKINIT sa ključ-razmena u režimu šifrovanja, ali ni podržavaju niti kažu KDC da podržavaju des-ede3-cbc ("trostruki DES"), biće odbijeni.
Da bi klijentski uređaji štampača i skenera bili usaglašeni, oni moraju:
- Koristite Diffie-Hellman za razmenu ključeva tokom PKINIT Kerberos potvrde identiteta (poželjno).
- Ili, podržite i obavestite KDC o njihovoj podršci za des-ede3-cbc ("trostruki DES").
Sledeći koraci
Ako naiđete na ovaj problem sa uređajima za štampanje ili skeniranje, proverite da li koristite najnoviji firmver i upravljačke programe koji su dostupni za vaš uređaj. Ako su firmver i upravljački programi ažurirani, a i dalje nailazite na ovaj problem, preporučujemo da se obratite proizvođaču uređaja. Pitajte da li je potrebna promena konfiguracije da bi se uređaj usaglasio sa promenom ojačavanja za CVE-2021-33764 ili će usaglašena ispravka biti dostupna.
Ako trenutno ne postoji način da uređaje uskladite sa odeljkom 3.2.1 RFC 4556 specifikacije kao što je to obavezno za CVE-2021-33764, privremeno ublažavanje je sada dostupno dok radite sa proizvođačem uređaja za štampanje ili skeniranje kako biste okruženje uskladili sa vremenskom osom u okviru vremenske ose u nastavku.
Napomena
Važno Morate da ažurirate i usaglašete uređaje koji nisu usaglašeni ili da ih zamenite do 12. jula 2022, kada privremeno ublažavanje neće biti upotrebljivo u bezbednosnim ispravkama.
Važno obaveštenje
Sva privremena ublažavanja za ovaj scenario biće uklonjena u julu 2022. i avgustu 2022, u zavisnosti od verzije operativnog sistema Windows koju koristite (pogledajte tabelu ispod). U novijim ispravkama neće biti dodatne rezervne opcije. Svi neusaglašeni uređaji moraju da se identifikuju pomoću događaja nadzora počev od januara 2022 . i ažuriraju ili zamene uklanjanjem ublažavanja počev od kraja jula 2022.
Posle jula 2022, uređaji koji nisu usaglašeni sa RFC 4456 specifikacijom i CVE-2021-33764 neće biti upotrebljivi sa ažuriranim Windows uređajem.
| Ciljani datum | Događaj | Odnosi se na |
|---|---|---|
| 13. jul 2021. | Novosti objavljene sa promenama pojačavanja za CVE-2021-33764. Za sve novije ispravke podrazumevano je uključena ova promena ojačavanja. | Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 27. jul 2021. | Novosti objavljene sa privremenim ublažavanjem problema za rešavanje problema sa štampanjem i skeniranjem na uređajima koji nisu usaglašeni. Novosti objavljene ovog datuma ili novije moraju biti instalirane kod dobavljača internet uređaja, a ublažavanje mora biti uključeno putem ključa registratora pomoću dolenavedenih koraka. | Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 29. jul 2021. | Novosti objavljene sa privremenim ublažavanjem problema za rešavanje problema sa štampanjem i skeniranjem na uređajima koji nisu usaglašeni. Novosti objavljene na ovaj datum ili novije moraju biti instalirane na vama DC, a ublažavanje mora biti uključeno putem ključa registratora pomoću dolenavedenih koraka. | Windows Server 2016 |
| 25. januar 2022. | Novosti će evidentirati događaje nadzora na Active Directory kontrolerima domena koji identifikuju štampače koji su RFC-4456 nekompatibilni štampači koji ne uspevaju potvrdu identiteta kada DC-ovi instaliraju ispravke iz jula 2022. ili avgust 2022. ili novije ispravke. | Windows Server 2022 Windows Server 2019 |
| 8 februara, 2022 | Novosti će evidentirati događaje nadzora na Active Directory kontrolerima domena koji identifikuju štampače koji su RFC-4456 nekompatibilni štampači koji ne uspevaju potvrdu identiteta kada DC-ovi instaliraju ispravke iz jula 2022. ili avgust 2022. ili novije ispravke. | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 21. jul 2022. | Opcionalni pregled Izdanje ažuriranja za uklanjanje privremenog ublažavanja kako bi bili neophodni uređaji za štampanje i skeniranje žalbi u vašem okruženju. | Windows Server 2019 |
| 9 avgusta, 2022 |
Važno Izdanje bezbednosne ispravke za uklanjanje privremenog ublažavanja kako bi se zahtevali uređaji za štampanje i skeniranje žalbi u vašem okruženju. Sve ispravke objavljene tog dana ili kasnije neće moći da koriste privremeno ublažavanje. Štampači i skeneri koji potvrđuju identitet pametnih kartica moraju biti usaglašeni sa odeljkom 3.2.1 RFC 4556 specifikacije potrebne za CVE-2021-33764 nakon instaliranja ovih ispravki ili novijih na Active Directory kontrolerima domena |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Da biste privremeno ublažavanje koristili u okruženju, pratite ove korake na svim kontrolerima domena:
U kontrolerima domena podesite dolenavedenu vrednost registratora za privremeno ublažavanje rizika na 1 (omogući) pomoću uređivača registratora ili alatki za automatizaciju dostupnih u vašem okruženju.
Napomena
Napomena Ovaj 1. korak možete da izvršite pre ili posle koraka 2 i 3.
Instalirajte ispravku koja omogućava privremeno ublažavanje dostupno u ispravkama objavljenim 27. jula 2021. ili novijim (ispod su prve ispravke koje omogućavaju privremeno ublažavanje):
Ponovo pokrenite kontroler domena.
Vrednost registratora za privremeno ublažavanje:
Napomena
Upozorenje Ako neispravno izmenite registrator pomoću uređivača registratora ili na neki drugi način, može doći do ozbiljnih problema. Zbog ovih problema ćete možda morati ponovo da instalirate operativni sistem. Microsoft ne može da garantuje da se ovi problemi mogu rešiti. Registrator menjate na sopstveni rizik.
| Potključ registratora | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Vrednost | Allow3DesFallback |
| Tip podataka | DWORD |
| Podaci |
1 – Omogućavanje privremenog ublažavanja. 0 – Omogućavanje podrazumevanog ponašanja koje zahteva usaglašenost uređaja sa odeljkom 3.2.1 RFC 4556 specifikacije. |
| Potrebno je ponovno pokretanje? | Ne |
Gorenavedeni ključ registratora, kao i vrednost i skup podataka možete da kreirate pomoću sledeće komande:
- reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Nadgledanje događaja
Ispravka za Windows od 25. januara 2022. i 8. februara 2022. će takođe dodati nove ID-ove događaja koji će pomoći u identifikaciji pogođenih uređaja.
| Evidencija događaja | Sistem |
|---|---|
| Tip događaja | Greška |
| Izvor događaja | OMILjENO |
| ID događaja | 307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Tekst događaja | Kerberos klijent nije obezbedio podržani tip šifrovanja za korišćenje sa PKINIT protokolom koji koristi režim šifrovanja.
|
| Evidencija događaja | Sistem |
|---|---|
| Tip događaja | Upozorenje |
| Izvor događaja | OMILjENO |
| ID događaja | 308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Tekst događaja | Neusaglašeni PKINIT Kerberos klijent potvrđen identitetom ovog kontrolera domena. Potvrda identiteta je dozvoljena jer je podešen KDCGlobalAllowDesFallBack. Ubuduće ove veze neće uspeti potvrdu identiteta. Identifikujte uređaj i nadogradite njegovu primenu protokola Kerberos
|
Pretraga
Microsoft je potvrdio da je ovo problem u Microsoft proizvodima koji su navedeni u odeljku "Odnosi se na".