Ознаки захворювання
Друк і сканування можуть завершитися помилкою, якщо на цих пристроях використовується автентифікація за допомогою смарт-картки (PIV).
Примітка.
Примітка Пристрої, на які впливає автентифікація за допомогою смарт-картки (PIV), мають працювати належним чином під час використання автентифікації за іменем користувача та паролем.
Причина
13 липня 2021 р. корпорація Майкрософт опублікувала зміни щодо посилення безпеки для CVE-2021-33764 Це може спричиняти цю проблему під час інсталяції оновлень, випущених 13 липня 2021 року або пізніших версій, на контролері домену. Це стосується таких пристроїв: принтери для автентифікації смарт-карток, сканери та багатофункціональні пристрої, які не підтримують Diffie-Hellman (DH) для обміну ключами під час автентифікації PKINIT Kerberos або не афішують підтримку des-ede3-cbc ("потрійний DES") під час запиту Kerberos AS .
Відповідно до розділу 3.2.1 специфікації RFC 4556, для того, щоб цей обмін ключами працював, клієнт повинен підтримувати та повідомляти центр розподілу ключів (KDC) про свою підтримку des-ede3-cbc ("triple DES"). Клієнти, які ініціюють Kerberos PKINIT із обміном ключами в режимі шифрування, але не підтримують і не повідомляють KDC, що вони підтримують des-ede3-cbc ("потрійний DES"), буде відхилено.
Щоб клієнтські пристрої принтерів і сканерів відповідали вимогам, вони повинні:
- Використовуйте Diffie-Hellman для обміну ключами під час автентифікації PKINIT Kerberos (рекомендовано).
- Або обидва підтримують і повідомляють KDC про свою підтримку des-ede3-cbc («потрійний DES»).
Наступні кроки
Якщо ви зіткнулися з цією проблемою на пристроях друку або сканування, переконайтеся, що використовується найновіша мікропрограма та драйвери, доступні для вашого пристрою. Якщо мікропрограма та драйвери оновлено, проте ця проблема все одно виникає, рекомендуємо звернутися до виробника пристрою. Уточніть, чи потрібно змінювати конфігурацію, щоб привести пристрій у відповідність зі зміною посилення безпеки для CVE-2021-33764 , чи буде доступне відповідне оновлення.
Якщо наразі немає способу привести пристрої у відповідність до розділу 3.2.1 специфікації RFC 4556 , як вимагається для CVE-2021-33764, тепер можна тимчасово зменшити ризики, поки ви співпрацюєте з виробником пристрою друку або сканування, щоб привести середовище у відповідність у вказані нижче терміни.
Примітка.
Важливо Ви повинні оновити та замінити або замінити пристрої, які не відповідають вимогам, до 12 липня 2022 року, коли тимчасове зниження ризику не можна буде використовувати в оновленнях системи безпеки.
Важливе зауваження
Усі тимчасові засоби зведення до мінімуму ризиків для цього сценарію буде вилучено в липні 2022 року та серпні 2022 року залежно від версії Windows, яку ви використовуєте (див. таблицю нижче). У пізніших оновленнях більше не буде резервного варіанту. Усі пристрої, що відповідають вимогам, мають бути ідентифіковані за допомогою подій перевірки, починаючи з січня 2022 року , і оновлені або замінені засобом усунення ризику, починаючи з кінця липня 2022 року.
Після липня 2022 року пристрої, які не відповідають специфікації RFC 4456 і CVE-2021-33764, не зможуть використовуватися з оновленим пристроєм Windows.
| Дата завершення | Подія | Стосується |
|---|---|---|
| Липень 13, 2021 р. | Оновлення випущено зі змінами посилення для CVE-2021-33764. У всіх пізніших оновленнях цю зміну посилення безпеки ввімкнуто за замовчуванням. | Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 з пакетом оновлень 1 (SP1) Windows Server 2008 із пакетом оновлень 2 (SP2) |
| 27 липня 2021 р. | Оновлення випущено з тимчасовим мінімальним ризиком для вирішення проблем із друком і скануванням на несумісних пристроях. Оновлення, випущені в цю дату або пізніше, необхідно інсталювати на вашому контролері домену, а засіб захисту слід увімкнути за допомогою розділу реєстру, як описано нижче. | Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 з пакетом оновлень 1 (SP1) Windows Server 2008 із пакетом оновлень 2 (SP2) |
| 29 липня 2021 р. | Оновлення випущено з тимчасовим мінімальним ризиком для вирішення проблем із друком і скануванням на несумісних пристроях. UpdatesTоновлення оновлення цієї дати або пізнішої дати має бути інстальовано на вашому контролері домену, а засіб послаблення ризиків має бути ввімкнено через розділ реєстру, як описано нижче. | Windows Server 2016 |
| 25 Січня, 2022 | Оновлення реєструватиме події аудиту на контролерах домену служби Active Directory, які визначатимуть принтери, несумісні з RFC-4456, які не пройшли автентифікацію після інсталяції оновлень за липень 2022/серпень 2022 р. або пізнішої версії. | Windows Server 2022 Windows Server 2019 |
| 8 Лютого, 2022 | Оновлення реєструватиме події аудиту на контролерах домену служби Active Directory, які визначатимуть принтери, несумісні з RFC-4456, які не пройшли автентифікацію після інсталяції оновлень за липень 2022/серпень 2022 р. або пізнішої версії. | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 з пакетом оновлень 1 (SP1) Windows Server 2008 із пакетом оновлень 2 (SP2) |
| 21 липня 2022 р. | Необов'язковий випуск оновлення для оцінювання, щоб скасувати тимчасове послаблення ризиків і потребу в пристроях друку та сканування скарг у вашому середовищі. | Windows Server 2019 |
| 9 Серпня, 2022 |
Важливо Випуск оновлень системи безпеки, щоб видалити тимчасове послаблення ризиків, пов'язаних із необхідністю друку та сканування скарг у вашому середовищі. Усі оновлення, випущені в цей день або пізніше, не зможуть скористатися тимчасовим зведенням ризику. Принтери та сканери, які автентифікують смарт-картки, мають відповідати розділу 3.2.1 специфікації RFC 4556 , яка вимагається для CVE-2021-33764 після інсталяції цих оновлень або пізніших версій на контролерах домену Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 з пакетом оновлень 1 (SP1) Windows Server 2008 із пакетом оновлень 2 (SP2) |
Щоб використовувати тимчасове зведення до мінімуму у своєму середовищі, виконайте наведені нижче дії на всіх контролерах доменів.
На контролерах домену встановіть значення реєстру тимчасового засобу зменшення ризиків на 1 (увімкнути) за допомогою редактора реєстру або засобів автоматизації, доступних у вашому середовищі.
Примітка.
Примітка Цей крок 1 можна виконати до або після кроків 2 та 3.
Інсталюйте оновлення, яке дозволяє тимчасове послаблення ризику, доступне в оновленнях, випущених 27 липня 2021 року або пізніше (нижче наведено перші оновлення, які дозволяють тимчасове пом'якшення):
Перезавантажте контролер домену.
Значення реєстру для тимчасового зведення до мінімуму:
Примітка.
Попередження У разі внесення неправильних змін до реєстру за допомогою редактора реєстру або іншим способом можуть виникнути серйозні проблеми. Через них може знадобитися повторно інсталювати операційну систему. Корпорація Майкрософт не гарантує вирішення цих проблем. Змініть реєстр на власний ризик.
| Підрозділ реєстру | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Value (Значення) | Allow3DesFallback |
| Тип даних | DWORD |
| Дані. |
1 – Увімкніть тимчасове пом'якшення. 0 – Увімкнути поведінку за замовчуванням, що вимагає від ваших пристроїв відповідність до розділу 3.2.1 специфікації RFC 4556. |
| Потрібно перезавантажити? | Ні |
Наведений вище розділ реєстру, значення й набір даних можна створити за допомогою наведеної нижче команди.
- reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Події аудиту
Оновлення Windows за 25 січня 2022 р. та 8 лютого 2022 р. також додасть нові ідентифікатори подій, щоб допомогти ідентифікувати уражені пристрої.
| Журнал подій | Система |
|---|---|
| Тип події | Помилка |
| Джерело події | Kdcsvc |
| Ідентифікатор події | 307 39 (Windows ServerWindows Server 2008 R2 SP1, Windows ServerWindows Server 2008 SP2) |
| Текст події | Клієнт Kerberos не надав підтримуваний тип шифрування для використання з протоколом PKINIT у режимі шифрування.
|
| Журнал подій | Система |
|---|---|
| Тип події | Попередження |
| Джерело події | Kdcsvc |
| Ідентифікатор події | 308 40 (Windows ServerWindows Server 2008 R2 SP1, Windows ServerWindows Server 2008 SP2) |
| Текст події | Автентифікацію в цьому контролері домену автентифіковано невідповідному клієнті PKINIT Kerberos. Розпізнавання було дозволено, оскільки було встановлено значення KDCGlobalAllowDesFallBack. У майбутньому ці підключення не пройдуть автентифікацію. Визначте пристрій і спробуйте оновити його реалізацію Kerberos
|
Стан
Корпорація Майкрософт підтвердила, що це проблема з продуктами Microsoft, перелічених у розділі "Застосовується до".