KB5005408—Akıllı kart kimlik doğrulaması yazdırma ve tarama hatalarına neden olabilir

Uygulandığı Öğe
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

Belirtiler

Bu cihazlar akıllı kart (PIV) kimlik doğrulaması kullanıyorsa yazdırma ve tarama başarısız olabilir.

Not

Notlar Akıllı kart (PIV) kimlik doğrulaması kullanılırken etkilenen cihazlar, kullanıcı adı ve parola kimlik doğrulaması kullanılırken beklendiği gibi çalışmalıdır.

Neden

13 Temmuz 2021'de Microsoft, CVE-2021-33764 için sağlamlaştırma değişiklikleri yayınladı Bu, 13 Temmuz 2021 veya sonraki sürümlerinde yayınlanan güncelleştirmeleri bir etki alanı denetleyicisine (DC) yüklediğinizde bu soruna neden olabilir.  Etkilenen cihazlar, PKINIT Kerberos kimlik doğrulaması sırasında anahtar değişimi için Diffie-Hellman (DH) desteklemeyen veya Kerberos AS isteği sırasında des-ede3-cbc ("üçlü DES") desteğini tanıtmayan akıllı kart kimlik doğrulama yazıcıları, tarayıcılar ve çok işlevli cihazlardır.

RFC 4556 spesifikasyonunun 3.2.1 bölümüne göre, bu anahtar değişiminin çalışması için müşterinin des-ede3-cbc ("üçlü DES") için desteklerini hem desteklemesi hem de anahtar dağıtım merkezine (KDC) bildirmesi gerekir. Şifreleme modunda anahtar değişimi ile Kerberos PKINIT'i başlatan ancak des-ede3-cbc'yi ("üçlü DES") desteklediklerini KDC'ye desteklemeyen veya KDC'ye söylemeyen istemciler reddedilir.

Yazıcı ve tarayıcı istemci cihazlarının uyumlu olması için şunlardan biri gerekir:

  • PKINIT Kerberos kimlik doğrulaması sırasında anahtar değişimi için Diffie-Hellman kullanın (tercih edilir).
  • Veya des-ede3-cbc'yi ("üçlü DES") hem destekleyin hem de KDC'ye desteklerini bildirin.

Sonraki adımlar

Yazdırma veya tarama cihazlarınızda bu sorunla karşılaşırsanız, cihazınız için mevcut en son üretici yazılımını ve sürücüleri kullandığınızı doğrulayın. Üretici yazılımınız ve sürücüleriniz güncelse ve bu sorunla karşılaşmaya devam ediyorsanız cihaz üreticisiyle iletişime geçmenizi öneririz. Cihazı CVE-2021-33764 için sağlamlaştırma değişikliğiyle uyumlu hale getirmek için bir yapılandırma değişikliğinin gerekli olup olmadığını veya uyumlu bir güncellemenin kullanıma sunulup sunulmayacağını sorun.

Şu anda cihazlarınızı CVE-2021-33764 için gerekli olduğu şekilde RFC 4556 spesifikasyonunun 3.2.1 bölümüne uyumlu hale getirmenin bir yolu yoksa, ortamınızı aşağıdaki zaman çizelgesi dahilinde uyumlu hale getirmek için yazdırma veya tarama cihazı üreticinizle çalışırken geçici bir azaltma mevcuttur.

Not

Önemli Geçici azaltmanın güvenlik güncelleştirmelerinde kullanılamayacağı 12 Temmuz 2022'ye kadar uyumlu olmayan cihazlarınızın güncelleştirilmesi ve uyumlu olması veya değiştirilmesi gerekir.

ÖNEMLİ BİLDİRİM

Bu senaryoya ilişkin tüm geçici risk azaltma, kullandığınız Windows sürümüne bağlı olarak Temmuz 2022 ve Ağustos 2022'de kaldırılacaktır (aşağıdaki tabloya bakın). Sonraki güncelleştirmelerde artık geri dönüş seçeneği sunulmayacaktır. Tüm uyumlu olmayan cihazlar, Ocak 2022'den itibaren denetim olayları kullanılarak tanımlanmalı ve Temmuz 2022'nin sonlarından itibaren risk azaltma kaldırma işlemiyle güncelleştirilmeli veya değiştirilmelidir.

Temmuz 2022'den sonra, RFC 4456 belirtimi ve CVE-2021-33764 ile uyumlu olmayan cihazlar güncelleştirilmiş bir Windows cihazıyla kullanılamayacaktır.

Hedef Tarih Etkinlik Şunun için geçerlidir:
13 Temmuz 2021 GüncelleştirmelerGüncelleştirmeler CVE-2021-33764 için sağlamlaştırma değişiklikleriyle yayımlandı. Bu sağlamlaştırma değişikliği, sonraki tüm güncelleştirmelerde varsayılan olarak açıktır. Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
27 Temmuz 2021 GüncelleştirmelerGüncelleştirmeler, uyumlu olmayan cihazlarda yazdırma ve tarama sorunlarını gidermek için geçici azaltma ile yayınlandı. Bu tarihte veya daha sonra yayımlanan Güncelleştirmeler, Güncelleştirmeler DC'nize yüklenmeli ve aşağıdaki adımlar kullanılarak risk azaltma kayıt defteri anahtarı aracılığıyla açılmalıdır. Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
29 Temmuz 2021 GüncelleştirmelerGüncelleştirmeler, uyumlu olmayan cihazlarda yazdırma ve tarama sorunlarını gidermek için geçici azaltma ile yayınlandı. Bu tarihteki veya sonraki Güncelleştirmeler sürümün DC'nize yüklenmesi ve risk azaltmanın aşağıdaki adımlar kullanılarak kayıt defteri anahtarı aracılığıyla açılması gerekir. Windows Server 2016
Ocak 25, 2022 GüncelleştirmelerGüncelleştirmeler, DC'ler Temmuz 2022/Ağustos 2022 veya sonraki güncelleştirmeleri yükledikten sonra kimlik doğrulamasında başarısız olan RFC-4456 uyumsuz yazıcılar olan yazıcıları tanımlayan Active Directory etki alanı denetleyicilerinde denetim olaylarını günlüğe kaydeder. Windows Server 2022
Windows Server 2019
8 Şubat 2022 GüncelleştirmelerGüncelleştirmeler, DC'ler Temmuz 2022/Ağustos 2022 veya sonraki güncelleştirmeleri yükledikten sonra kimlik doğrulamasında başarısız olan RFC-4456 uyumsuz yazıcılar olan yazıcıları tanımlayan Active Directory etki alanı denetleyicilerinde denetim olaylarını günlüğe kaydeder. Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
Temmuz 21, 2022 Ortamınızda şikayet yazdırma ve tarama cihazlarının bulunmasını gerektiren geçici azaltmaları ortadan kaldırmak için isteğe bağlı önizleme güncelleştirmesi sürümü. Windows Server 2019
Ağustos 9, 2022 Önemli Ortamınızda şikayet yazdırma ve tarama cihazlarının bulunmasını gerektiren geçici azaltmayı ortadan kaldıran güvenlik güncelleştirmesi sürümü.
Bu gün veya daha sonra yayımlanan tüm güncelleştirmeler geçici risk azaltma özelliğini kullanamayacaktır.
Akıllı kart kimlik doğrulaması yapan yazıcılar ve tarayıcılar, bu güncelleştirmeler veya daha sonraki sürümleri Active Directory etki alanı denetleyicilerine yüklendikten sonra CVE-2021-33764 için gereken RFC 4556 spesifikasyonunun 3.2.1 bölümü ile uyumlu olmalıdır
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Ortamınızda geçici risk azaltmayı kullanmak için tüm etki alanı denetleyicilerinde şu adımları izleyin:

  1. Etki alanı denetleyicilerinde, Kayıt Defteri Düzenleyicisi'ni veya ortamınızda sağlanan otomasyon araçlarını kullanarak aşağıda listelenen geçici risk azaltma kayıt defteri değerini 1 (etkin) olarak ayarlayın.

    Not

    Notlar Bu 1. adım, 2. ve 3. adımlardan önce veya sonra yapılabilir.

  2. 27 Temmuz 2021 veya sonraki sürümlerde yayımlanan güncelleştirmelerde bulunan geçici azaltmaya izin veren bir güncelleştirme yükleyin (geçici azaltmaya izin veren ilk güncelleştirmeler aşağıdadır):

  3. Etki alanı denetleyicinizi yeniden başlatın.

Geçici risk azaltma için kayıt defteri değeri:

Not

Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterinde yanlış değişiklikler yaparsanız, ciddi sorunlarla karşılaşabilirsiniz. Bu sorunlar nedeniyle işletim sistemini yeniden yüklemek zorunda kalabilirsiniz. Microsoft, bu sorunların çözülebileceğini garanti edemez. Kayıt defterini değiştirmenin riski size aittir.

Kayıt defteri alt anahtarı HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Değer Allow3DesFallback
Veri türü DWORD
Veri 1 – Geçici risk azaltmayı etkinleştirin.
0 – Cihazlarınızın RFC 4556 spesifikasyonunun 3.2.1 bölümüne uygun olmasını gerektiren varsayılan davranışı etkinleştirin.
Yeniden başlatma gerekli mi? Hayır

Yukarıdaki kayıt defteri anahtarı, aşağıdaki komut kullanılarak değer ve veri kümesi oluşturulabilir:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Denetim Olayları

25 Ocak 2022 ve 8 Şubat 2022 Windows güncelleştirmesi, etkilenen cihazların belirlenmesine yardımcı olmak için yeni olay kimlikleri de ekleyecektir.

Olay Günlüğü Sistem
Olay Türü Hata
Olay Kaynağı kdcsvc
Olay Kimliği 307
39 (Windows ServerWindows Server 2008 R2 SP1, Windows ServerWindows Server 2008 SP2)
Olay Metni Kerberos istemcisi, şifreleme modunu kullanan PKINIT protokolüyle kullanım için desteklenen bir şifreleme türü sağlamadı.
  • İstemci Asıl Adı: <Etki Alanı Adı İstemci Adı>\<>
  • İstemci IP Adresi: IPv4/IPv6
  • İstemci Tarafından Sağlanan NetBIOS Adı: %3
Olay Günlüğü Sistem
Olay Türü Uyarı
Olay Kaynağı kdcsvc
Olay Kimliği 308
40 (Windows ServerWindows Server 2008 R2 SP1, Windows ServerWindows Server 2008 SP2)
Olay Metni Uyumsuz bir PKINIT Kerberos istemcisinin kimliği bu DC'de doğrulanmış. KDCGlobalAllowDesFallBack ayarlandığı için kimlik doğrulamasına izin verildi. Gelecekte, bu bağlantılar kimlik doğrulamasında başarısız olacaktır. Cihazı tanımlayın ve Kerberos uygulamasını yükseltmeye bakın
  • İstemci Asıl Adı: <Etki Alanı Adı İstemci Adı>\<>
  • İstemci IP Adresi: IPv4/IPv6
  • İstemci Tarafından Sağlanan NetBIOS Adı: %3

Durum

Microsoft bunun, "Şunlar için geçerlidir" bölümünde listelenen Microsoft ürünlerinde sorun olduğunu onaylamıştır.