Simptomi

Štampanje i skeniranje možda neće uspeti kada ovi uređaji koriste potvrdu identiteta pametne kartice (PIV). 

Napomena: Uređaji na koje se utiče kada koristite potvrdu identiteta pametne kartice (PIV) treba da rade kao što je očekivano kada koristite korisničko ime i potvrdu identiteta lozinke. 

Uzrok

13. jula 2021. Microsoft je objavio naporne promene za CVE-2021-33764. To može da izazove ovaj problem kada instalirate ispravke objavljene 13. jula 2021. ili novije na kontroleru domena (DC).  Uređaji na koje ovo utiče su štampači, skeneri i višefunkcionalni uređaji koji ne podržavaju Diffie-Hellman (DH) za razmenu tastera tokom PKINIT Kerberos potvrde identiteta ili ne oglašavaju podršku za des-ede3-cbc ("triple DES") tokom kerberos AS zahteva. Po odeljku 3.2.1 specifikacije RFC 4556,kako bi ova ključna razmena funkcionišela, klijent mora da podrži i obavesti ključni centar za distribuciju (KDC) o podršci za des-ede3-cbc ("triple DES"). Klijenti koji pokrenu Kerberos PKINIT pomoću razmene tastera u režimu šifrovanja, ali ne i podržavaju IDC da podržava des-ede3-cbc ("triple DES") biće odbijeni. 

Da bi klijentski uređaji štampača i skenera bili usavršni, moraju da imaju ili:

  • Koristite Diffie-Hellman za razmenu tastera tokom PKINIT Kerberos potvrde identiteta (poželjno).

  • Podržite i obavestite KDC o njihovoj podršci za des-ede3-cbc ("triple DES").

Sledeći koraci

Ako naiđete na ovaj problem sa uređajima za štampanje ili skeniranje, proverite da li koristite najnoviji firmver i upravljačke programe dostupne za vaš uređaj. Ako su firmver i upravljački programi ažecdni, a i dalje nailazite na ovaj problem, preporučujemo da se obratite proizvođaču uređaja. Pitajte da li je neophodna promena konfiguracije da bi se uređaj usaglašio sa otežnom promenom CVE-2021-33764 ili će biti dostupna usaglašena ispravka.

Ako trenutno ne postoji način da usaglasite uređaje sa odeljkom 3.2.1 RFC 4556 specifikacije kao što je neophodno za CVE-2021-33764,privremena migracija je sada dostupna dok radite sa štampanjem ili skeniranjem proizvođača uređaja kako biste uvezli okruženje u usaglašenost u okviru vremenske ose ispod.

Važno: Morate da ažurirate i usavršite uređaje koji nisu usameni ili da ih zamenite 8. februara 2022, kada privremena migracija neće biti dostupna u bezbednosnim ispravkama.

Vremenska linija 

Ciljni datum 

Događaj 

Odnosi se na 

13. jul 2021. 

Ispravke objavljene sa težim promenama za CVE-2021-33764. Sve kasnije ispravke podrazumevano su uključene ove zatežene promene. 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

27. jul 2021. 

Ispravke objavljene uz privremenu migraciju radi adrese problema sa štampanjem i skeniranjem na uređajima koji nisu usavršni.  Ispravke koje su objavljene ovog datuma ili novije verzije moraju biti instalirane na e-pošti i migracija mora da se uključi putem ključa registratora pomoću koraka u nastavku. 

Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2  

29. jul 2021. 

Ispravke objavljene uz privremenu migraciju radi adrese problema sa štampanjem i skeniranjem na uređajima koji nisu usavršni.  Ispravke koje su objavljene ovog datuma ili novije verzije moraju biti instalirane na e-pošti i migracija mora da se uključi putem ključa registratora pomoću koraka u nastavku. 

Windows Server 2016

Mid-January 2022 

Opcionalno izdanje ažuriranja pregleda da bi se uklonila privremena migracija kako bi se zahtevalo štampanje žalbi i skeniranje uređaja u okruženju. 

Windows Server 2019

8. februar 2022. 

Važno Izdanje bezbednosnih ispravki da bi se uklonila privremena migracija kako bi se zahtevalo štampanje žalbi i skeniranje uređaja u okruženju. Sve ispravke objavljene ovog dana ili kasnije neće moći da koriste privremeno migraciju. Štampači i skeneri za potvrdu identiteta pametne kartice moraju biti usaglašeni sa odeljkom 3.2.1 specifikacije RFC 4556 koja je potrebna za CVE-2021-33764 nakon instaliranja ovih ispravki ili novijih verzija na Active Directory kontrolerima domena 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Privremena mitigacija

Da biste koristili privremenu migraciju u okruženju, pratite ove korake na svim kontroleru domena:

  1. Na kontrolerima domena postavite vrednost registratora privremenog mitigation navedenu ispod na 1 (omogućite) pomoću uređivača registratora ili alatki za automatizaciju dostupne u okruženju.

    Napomena: Ovaj korak možete da obavite pre ili posle koraka 2 i 3. 

  2. Instalirajte ispravku koja omogućava privremeno mišenje dostupno u ispravkama objavljenim 27. jula 2021. ili novijim (ispod su prve ispravke koje dozvoljavaju privremenu migraciju):

  3. Ponovo pokrenite upravljač domena.

Vrednost registratora za privremenu migraciju

Upozorenje: Ako neispravno izmenite registrator pomoću uređivača registratora ili na neki drugi način, može doći do ozbiljnih problema. Zbog ovih problema ćete možda zahtevati da ponovo instalirate operativni sistem. Microsoft ne može da garantuje da se ovi problemi mogu rešiti. Registrator menjate na sopstveni rizik. 

Potključ registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 

Vrednost 

Allow3DesFallback 

Tip podataka 

DWORD 

Podaci 

1 – Omogućavanje privremene migracije. 

0 – Omogućavanje podrazumevanog ponašanja i usaglašenost uređaja sa odeljkom 3.2.1 specifikacije RFC 4556. 

Ponovno pokretanje je neophodno? 

ne 

Gorenavedni ključ registratora može se kreirati, a vrednost i skup podataka pomoću sledeće komande:  

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Više informacija

Microsoft je potvrdio da je ovo problem u Microsoft proizvodima koji su navedeni u odeljku "Odnosi se na".

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom prevoda?

Šta je uticalo na vaše iskustvo?

Imate li dodatne povratne informacije? (Opcionalno)

Hvala vam na povratnim informacijama!

×