KB5005408 – potvrda identiteta pametnom karticom može da dovede do neuspešnih štampanja i skeniranja

Primenjuje se na
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Simptomi

Štampanje i skeniranje može biti neuspešno kada ovi uređaji koriste potvrdu identiteta pametnom karticom (PIV).

Napomena

Napomena Uređaji na koje utiče korišćenje potvrde identiteta pametnom karticom (PIV) trebalo bi da rade kao što se očekuje kada se koristi potvrda identiteta korisničkog imena i lozinke.

Uzrok

Microsoft je 13. jula 2021. objavio promene pojačavanja za CVE-2021-33764 To može da izazove ovaj problem kada instalirate ispravke objavljene 13. jula 2021. ili novije verzije na kontroleru domena (DC).  Ugroženi uređaji su štampači, skeneri i višefunkcionalni uređaji koji ne podržavaju Diffie-Hellman (DH) za razmenu ključeva tokom PKINIT Kerberos potvrde identiteta ili ne reklamiraju podršku za des-ede3-cbc ("trostruki DES") tokom Kerberos AS zahteva.

Prema odeljku 3.2.1 RFC 4556 specifikacije, da bi ova ključna razmena funkcionisala, klijent mora da podrži i obavesti ključni distributivni centar (KDC) o njihovoj podršci za des-ede3-cbc ("trostruki DES"). Klijenti koji pokrenu Kerberos PKINIT sa ključ-razmena u režimu šifrovanja, ali ni podržavaju niti kažu KDC da podržavaju des-ede3-cbc ("trostruki DES"), biće odbijeni.

Da bi klijentski uređaji štampača i skenera bili usaglašeni, oni moraju:

  • Koristite Diffie-Hellman za razmenu ključeva tokom PKINIT Kerberos potvrde identiteta (poželjno).
  • Ili, podržite i obavestite KDC o njihovoj podršci za des-ede3-cbc ("trostruki DES").

Sledeći koraci

Ako naiđete na ovaj problem sa uređajima za štampanje ili skeniranje, proverite da li koristite najnoviji firmver i upravljačke programe koji su dostupni za vaš uređaj. Ako su firmver i upravljački programi ažurirani, a i dalje nailazite na ovaj problem, preporučujemo da se obratite proizvođaču uređaja. Pitajte da li je potrebna promena konfiguracije da bi se uređaj usaglasio sa promenom ojačavanja za CVE-2021-33764 ili će usaglašena ispravka biti dostupna.

Ako trenutno ne postoji način da uređaje uskladite sa odeljkom 3.2.1 RFC 4556 specifikacije kao što je to obavezno za CVE-2021-33764, privremeno ublažavanje je sada dostupno dok radite sa proizvođačem uređaja za štampanje ili skeniranje kako biste okruženje uskladili sa vremenskom osom u okviru vremenske ose u nastavku.

Napomena

Važno Morate da ažurirate i usaglašete uređaje koji nisu usaglašeni ili da ih zamenite do 12. jula 2022, kada privremeno ublažavanje neće biti upotrebljivo u bezbednosnim ispravkama.

Važno obaveštenje

Sva privremena ublažavanja za ovaj scenario biće uklonjena u julu 2022. i avgustu 2022, u zavisnosti od verzije operativnog sistema Windows koju koristite (pogledajte tabelu ispod). U novijim ispravkama neće biti dodatne rezervne opcije. Svi neusaglašeni uređaji moraju da se identifikuju pomoću događaja nadzora počev od januara 2022 . i ažuriraju ili zamene uklanjanjem ublažavanja počev od kraja jula 2022.

Posle jula 2022, uređaji koji nisu usaglašeni sa RFC 4456 specifikacijom i CVE-2021-33764 neće biti upotrebljivi sa ažuriranim Windows uređajem.

Ciljani datum Događaj Odnosi se na
13. jul 2021. Novosti objavljene sa promenama pojačavanja za CVE-2021-33764. Za sve novije ispravke podrazumevano je uključena ova promena ojačavanja. Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
27. jul 2021. Novosti objavljene sa privremenim ublažavanjem problema za rešavanje problema sa štampanjem i skeniranjem na uređajima koji nisu usaglašeni. Novosti objavljene ovog datuma ili novije moraju biti instalirane kod dobavljača internet uređaja, a ublažavanje mora biti uključeno putem ključa registratora pomoću dolenavedenih koraka. Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
29. jul 2021. Novosti objavljene sa privremenim ublažavanjem problema za rešavanje problema sa štampanjem i skeniranjem na uređajima koji nisu usaglašeni. Novosti objavljene na ovaj datum ili novije moraju biti instalirane na vama DC, a ublažavanje mora biti uključeno putem ključa registratora pomoću dolenavedenih koraka. Windows Server 2016
25. januar 2022. Novosti će evidentirati događaje nadzora na Active Directory kontrolerima domena koji identifikuju štampače koji su RFC-4456 nekompatibilni štampači koji ne uspevaju potvrdu identiteta kada DC-ovi instaliraju ispravke iz jula 2022. ili avgust 2022. ili novije ispravke. Windows Server 2022
Windows Server 2019
8 februara, 2022 Novosti će evidentirati događaje nadzora na Active Directory kontrolerima domena koji identifikuju štampače koji su RFC-4456 nekompatibilni štampači koji ne uspevaju potvrdu identiteta kada DC-ovi instaliraju ispravke iz jula 2022. ili avgust 2022. ili novije ispravke. Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
21. jul 2022. Opcionalni pregled Izdanje ažuriranja za uklanjanje privremenog ublažavanja kako bi bili neophodni uređaji za štampanje i skeniranje žalbi u vašem okruženju. Windows Server 2019
9 avgusta, 2022 Važno Izdanje bezbednosne ispravke za uklanjanje privremenog ublažavanja kako bi se zahtevali uređaji za štampanje i skeniranje žalbi u vašem okruženju.
Sve ispravke objavljene tog dana ili kasnije neće moći da koriste privremeno ublažavanje.
Štampači i skeneri koji potvrđuju identitet pametnih kartica moraju biti usaglašeni sa odeljkom 3.2.1 RFC 4556 specifikacije potrebne za CVE-2021-33764 nakon instaliranja ovih ispravki ili novijih na Active Directory kontrolerima domena
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Da biste privremeno ublažavanje koristili u okruženju, pratite ove korake na svim kontrolerima domena:

  1. U kontrolerima domena podesite dolenavedenu vrednost registratora za privremeno ublažavanje rizika na 1 (omogući) pomoću uređivača registratora ili alatki za automatizaciju dostupnih u vašem okruženju.

    Napomena

    Napomena Ovaj 1. korak možete da izvršite pre ili posle koraka 2 i 3.

  2. Instalirajte ispravku koja omogućava privremeno ublažavanje dostupno u ispravkama objavljenim 27. jula 2021. ili novijim (ispod su prve ispravke koje omogućavaju privremeno ublažavanje):

  3. Ponovo pokrenite kontroler domena.

Vrednost registratora za privremeno ublažavanje:

Napomena

Upozorenje Ako neispravno izmenite registrator pomoću uređivača registratora ili na neki drugi način, može doći do ozbiljnih problema. Zbog ovih problema ćete možda morati ponovo da instalirate operativni sistem. Microsoft ne može da garantuje da se ovi problemi mogu rešiti. Registrator menjate na sopstveni rizik.

Potključ registratora HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Vrednost Allow3DesFallback
Tip podataka DWORD
Podaci 1 – Omogućavanje privremenog ublažavanja.
0 – Omogućavanje podrazumevanog ponašanja koje zahteva usaglašenost uređaja sa odeljkom 3.2.1 RFC 4556 specifikacije.
Potrebno je ponovno pokretanje? Ne

Gorenavedeni ključ registratora, kao i vrednost i skup podataka možete da kreirate pomoću sledeće komande:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Nadgledanje događaja

Ispravka za Windows od 25. januara 2022. i 8. februara 2022. će takođe dodati nove ID-ove događaja koji će pomoći u identifikaciji pogođenih uređaja.

Evidencija događaja Sistem
Tip događaja Greška
Izvor događaja OMILjENO
ID događaja 307
39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)
Tekst događaja Kerberos klijent nije obezbedio podržani tip šifrovanja za korišćenje sa PKINIT protokolom koji koristi režim šifrovanja.
  • Glavno ime klijenta: <Ime>\<domena Ime klijenta>
  • IP adresa klijenta: IPv4/IPv6
  • Klijent isporučuje NetBIOS Ime: %3
Evidencija događaja Sistem
Tip događaja Upozorenje
Izvor događaja OMILjENO
ID događaja 308
40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2)
Tekst događaja Neusaglašeni PKINIT Kerberos klijent potvrđen identitetom ovog kontrolera domena. Potvrda identiteta je dozvoljena jer je podešen KDCGlobalAllowDesFallBack. Ubuduće ove veze neće uspeti potvrdu identiteta. Identifikujte uređaj i nadogradite njegovu primenu protokola Kerberos
  • Glavno ime klijenta: <Ime>\<domena Ime klijenta>
  • IP adresa klijenta: IPv4/IPv6
  • Klijent isporučuje NetBIOS Ime: %3

Pretraga

Microsoft je potvrdio da je ovo problem u Microsoft proizvodima koji su navedeni u odeljku "Odnosi se na".