Semptomlar
Bu cihazlar akıllı kart (PIV) kimlik doğrulaması kullandığında yazdırma ve tarama başarısız olabilir.
Not Akıllı kart (PIV) kimlik doğrulaması kullanılırken etkilenen cihazlar, kullanıcı adı ve parola kimlik doğrulaması kullanılırken beklendiği gibi çalışmalıdır.
Nedeni
13 Temmuz 2021'de Microsoft CVE-2021-33764 için sağlamlaştırma değişiklikleri yayımladı. Bu, 13 Temmuz 2021 veya sonraki sürümleri bir etki alanı denetleyicisine (DC) yüklediğinizde bu soruna neden olabilir. Etkilenen cihazlar, PKINIT Kerberos kimlik doğrulaması sırasında anahtar değişimi için Diffie-Hellman (DH) desteklemeyen veya Kerberos AS isteği sırasında des-ede3-cbc ("üçlü DES") desteğini tanıtmamış akıllı kart kimlik doğrulama yazıcıları, tarayıcılar ve çok işlevli cihazlardır.
RFC 4556 belirtiminin bölüm 3.2.1'ine göre, bu anahtar değişiminin çalışması için istemcinin anahtar dağıtım merkezini (KDC) des-ede3-cbc ("üçlü DES") için desteklediğini hem desteklemesi hem de bildirmesi gerekir. Şifreleme modunda anahtar değişimiyle Kerberos PKINIT başlatan ancak KDC'ye des-ede3-cbc'yi ("üçlü DES") desteklediklerini veya söylemediklerini söyleyen istemciler reddedilir.
Yazıcı ve tarayıcı istemci cihazlarının uyumlu olması için aşağıdakilerden biri gerekir:
-
PKINIT Kerberos kimlik doğrulaması sırasında anahtar değişimi için Diffie-Hellman kullanın (tercih edilir).
-
Veya hem destek hem de KDC'ye des-ede3-cbc desteğini ("üçlü DES") bildirin.
Sonraki adımlar
Yazdırma veya tarama cihazlarınızda bu sorunla karşılaşırsanız, cihazınız için kullanılabilen en son üretici yazılımını ve sürücüleri kullandığınızı doğrulayın. Üretici yazılımınız ve sürücüleriniz güncelse ve hala bu sorunla karşılaşıyorsanız cihaz üreticisine başvurmanızı öneririz. Cihazı CVE-2021-33764 için sağlamlaştırma değişikliğine uygun hale getirmek için bir yapılandırma değişikliği gerekip gerekmediğini veya uyumlu bir güncelleştirme yapılıp yapılmayacağını sorun.
Şu anda CVE-2021-33764 için gerektiği gibi RFC 4556 belirtiminin 3.2.1 bölümüyle uyumlu hale getirmenin bir yolu yoksa, ortamınızı aşağıdaki zaman çizelgesinde uyumlu hale getirmek için yazdırma veya tarama cihaz üreticinizle çalışırken geçici bir azaltma sağlanır.
Önemli Güvenlik güncelleştirmelerinde geçici risk azaltmanın kullanılamayacağı 12 Temmuz 2022'ye kadar uyumsuz cihazlarınızın güncelleştirilmiş ve uyumlu veya değiştirilmiş olması gerekir.
Önemli Bildirim
Bu senaryoya yönelik tüm geçici azaltmalar, kullandığınız Windows sürümüne bağlı olarak Temmuz 2022 ve Ağustos 2022'de kaldırılacaktır (aşağıdaki tabloya bakın). Sonraki güncelleştirmelerde başka geri dönüş seçeneği olmayacaktır. Uyumlu olmayan tüm cihazların Ocak 2022'den itibaren denetim olayları kullanılarak tanımlanması ve Temmuz 2022'nin sonlarında başlayan azaltma kaldırma işlemiyle güncelleştirilmesi veya değiştirilmesi gerekir.
Temmuz 2022'nin ardından, RFC 4456 belirtimi ve CVE-2021-33764 ile uyumlu olmayan cihazlar güncelleştirilmiş bir Windows cihazıyla kullanılamaz.
|
Hedef Tarih |
Olay |
Şunun için geçerlidir: |
|
13 Temmuz 2021 |
Güncelleştirmeler CVE-2021-33764 için sağlamlaştırma değişiklikleriyle yayımlandı. Sonraki tüm güncelleştirmelerde bu sağlamlaştırma değişikliği varsayılan olarak açıktır. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
27 Temmuz 2021, Temmuz 2021, Temmuz 2021, Temmuz 2021, Temmuz |
Güncelleştirmeler uyumlu olmayan cihazlarda yazdırma ve tarama sorunlarını gidermek için geçici risk azaltma ile yayımlandı. Bu tarihte veya daha sonraki bir tarihte yayınlanan Güncelleştirmeler DC'nize yüklenmelidir ve azaltma aşağıdaki adımlar kullanılarak kayıt defteri anahtarı aracılığıyla açılmalıdır. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29 Temmuz 2021, Temmuz 2021, Temmuz 2021, Temmuz 2021, Saat |
Güncelleştirmeler uyumlu olmayan cihazlarda yazdırma ve tarama sorunlarını gidermek için geçici risk azaltma ile yayımlandı. Bu tarihte veya daha sonraki bir tarihte Güncelleştirmeler sürümü DC'nize yüklenmelidir ve azaltma aşağıdaki adımlar kullanılarak kayıt defteri anahtarı aracılığıyla açılmalıdır. |
Windows Server 2016 |
|
25 Ocak 2022, Saat 2022, İstanbul |
Güncelleştirmeler, DC'ler Temmuz 2022/Ağustos 2022 veya sonraki güncelleştirmeleri yükledikten sonra kimlik doğrulaması başarısız olan RFC-4456 uyumsuz yazıcılar olan yazıcıları tanımlayan Active Directory etki alanı denetleyicilerinde denetim olaylarını günlüğe kaydeder. |
Windows Server 2022 Windows Server 2019 |
|
8 Şubat 2022, İstanbul |
Güncelleştirmeler, DC'ler Temmuz 2022/Ağustos 2022 veya sonraki güncelleştirmeleri yükledikten sonra kimlik doğrulaması başarısız olan RFC-4456 uyumsuz yazıcılar olan yazıcıları tanımlayan Active Directory etki alanı denetleyicilerinde denetim olaylarını günlüğe kaydeder. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21 Temmuz 2022, Temmuz 2022, Temmuz 2022, Temmuz 2022, Temmuz |
Ortamınızda şikayet yazdırma ve tarama cihazları gerektirmek için geçici azaltmayı kaldırmak için isteğe bağlı önizleme güncelleştirme sürümü. |
Windows Server 2019 |
|
9 Ağustos 2022, Ağustos 2022, Ağustos 2022, Ağustos 2022 |
Önemli Ortamınızda şikayet yazdırma ve tarama cihazları gerektirmek için geçici risk azaltmayı kaldırmak için güvenlik güncelleştirmesi sürümü. Bu gün veya sonraki sürümlerde yayımlanan tüm güncelleştirmeler geçici azaltmayı kullanamaz. Akıllı kart kimlik doğrulamalı yazıcılar ve tarayıcılar, bu güncelleştirmeleri veya sonraki sürümleri Active Directory etki alanı denetleyicilerine yükledikten sonra CVE-2021-33764 için gereken RFC 4556 belirtiminin 3.2.1 bölümüyle uyumlu olmalıdır |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Ortamınızda geçici azaltmayı kullanmak için tüm etki alanı denetleyicilerinde şu adımları izleyin:
-
Etki alanı denetleyicilerinde, Kayıt Defteri Düzenleyicisi'ni veya ortamınızdaki otomasyon araçlarını kullanarak aşağıda listelenen geçici azaltma kayıt defteri değerini 1 (etkinleştir) olarak ayarlayın.
Not Bu 1. adım, 2. ve 3. adımdan önce veya sonra yapılabilir.
-
27 Temmuz 2021 veya sonraki sürümlerde yayımlanan güncelleştirmelerde geçici azaltmaya izin veren bir güncelleştirme yükleyin (geçici azaltmaya izin veren ilk güncelleştirmeler aşağıdadır):
-
Etki alanı denetleyicinizi yeniden başlatın.
Geçici azaltma için kayıt defteri değeri:
Uyarı Kayıt Defteri Düzenleyicisi’ni veya başka bir yöntemi kullanarak kayıt defterini hatalı şekilde değiştirirseniz ciddi sorunlarla karşılaşabilirsiniz. Bu sorunlar işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft bu sorunların çözülebileceğini garanti edemez. Kayıt defterini değiştirmenin riski size aittir.
|
Kayıt defteri alt anahtarı |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Değer |
Allow3DesFallback |
|
Veri türü |
DWORD |
|
Veri |
1 – Geçici azaltmayı etkinleştirin. 0 – Cihazlarınızın RFC 4556 belirtiminin 3.2.1 bölümüyle uyumlu olmasını zorunlu kılarak varsayılan davranışı etkinleştirin. |
|
Yeniden başlatma gerekiyor mu? |
Hayır |
Yukarıdaki kayıt defteri anahtarı ve değer ile veri kümesi aşağıdaki komut kullanılarak oluşturulabilir:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Olayları Denetleme
25 Ocak 2022 ve 8 Şubat 2022 Windows güncelleştirmesi, etkilenen cihazların tanımlanmasına yardımcı olmak için yeni olay kimlikleri de ekleyecektir.
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Hata |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Olay Metni |
Kerberos istemcisi, şifreleme modunu kullanarak PKINIT protokolüyle kullanılmak üzere desteklenen bir şifreleme türü sağlamadı.
|
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Kdcsvc |
|
Olay Kimliği |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Olay Metni |
Bu DC'de kimliği doğrulanmış, tutarsız bir PKINIT Kerberos istemcisi. KDCGlobalAllowDesFallBack ayarlandığından kimlik doğrulamasına izin verildi. Gelecekte bu bağlantılar kimlik doğrulamasında başarısız olur. Cihazı tanımlama ve Kerberos uygulamasını yükseltmeyi arama
|
Durum
Microsoft, bunun "Şunlara uygulanır" bölümünde listelenen Microsoft ürünlerde bir sorun olduğunu doğruladı.
