Ознаки
Під час використання автентифікації смарт-картки (PIV) на цих пристроях може виникнути помилка під час друку та сканування.
Нотатка Пристрої, на які впливає автентифікація за допомогою смарт-картки (PIV), мають працювати належним чином під час використання автентифікації за іменем користувача та паролем.
Причина
13 липня 2021 р. корпорація Майкрософт випустила зміни щодо апаратного забезпечення CVE-2021-33764 Це може спричинити цю проблему під час інсталяції оновлень, випущених 13 липня 2021 р. або пізніших версій на контролері домену. Відповідні пристрої – це автентифікація принтерів, сканерів і багатофункціональних пристроїв смарт-карток, які не підтримують Diffie-Hellman (DH) для обміну ключами під час автентифікації PKINIT Kerberos або не рекламують підтримку des-ede3-cbc ("triple DES") під час запиту Kerberos AS .
Відповідно до розділу 3.2.1 специфікації RFC 4556, щоб цей ключ обміну працював, клієнт повинен як підтримувати, так і повідомляти ключовий центр розсилки (KDC) про свою підтримку des-ede3-cbc ("triple DES"). Клієнти, які ініціюють Kerberos PKINIT з обміном ключами в режимі шифрування, але не підтримують і не повідомляють KDC, що вони підтримують des-ede3-cbc ("triple DES"), не будуть відхилені.
Щоб сумісні клієнтські пристрої принтера та сканера були сумісні з:
-
Використовуйте Diffie-Hellman для обміну ключами під час автентифікації PKINIT Kerberos (бажано).
-
Або, як підтримка, так і сповіщення KDC про свою підтримку des-ede3-cbc ("triple DES").
Наступні кроки
Якщо у вас виникла ця проблема з пристроями для друку або сканування, переконайтеся, що ви використовуєте останню версію мікропрограми та драйверів, доступних для вашого пристрою. Якщо мікропрограма та драйвери оновлено й ця проблема не зникають, радимо звернутися до виробника пристрою. Запитайте, чи потрібно змінювати конфігурацію, щоб привести пристрій у відповідність до зміни заготовки для CVE-2021-33764 або якщо буде доступне сумісне оновлення.
Якщо зараз немає способу довести пристрої до відповідності специфікації RFC 4556 розділу 3.2.1 RFC 4556 відповідно до вимог CVE-2021-33764, тимчасове послаблення ризиків тепер доступне під час роботи з виробником пристрою для друку або сканування, щоб привести середовище до відповідності в межах часової шкали нижче.
Увага! Якщо тимчасове послаблення ризиків не можна буде використовувати в оновленнях системи безпеки, необхідно оновити та замінити несумісні пристрої, які не відповідають вимогам, або замінити їх до 12 липня 2022 р.
Важливе повідомлення
Усі тимчасові заходи зниження ризику для цього сценарію буде видалено в липні 2022 року та серпні 2022 року залежно від версії Windows, яка використовується (див. таблицю нижче). У пізніших оновленнях більше не буде варіанта повернення. Усі несумісні пристрої потрібно визначити за допомогою подій аудиту, починаючи з січня 2022 року, і оновити або замінити на видалення засобу усунення наслідків, починаючи з кінця липня 2022 року.
Після липня 2022 року пристрої, які не відповідають специфікації RFC 4456 і CVE-2021-33764, не будуть використовуватися з оновленим пристроєм Windows.
|
Дата завершення |
Дія |
Застосовується до |
|
Липень 13, 2021 р. |
Оновлення, випущені зі змінами щодо загартування CVE-2021-33764. Усі пізніші оновлення за замовчуванням змінюють це загартування. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 з пакетом оновлень 1 (SP1) Windows Server 2008 SP2 |
|
27 липня 2021 р. |
Оновлення, випущені з тимчасовим послабленням ризиків для вирішення проблем із друком і скануванням на несумісних пристроях. Оновлення, випущені в цю дату або пізніше, потрібно інсталювати на контролері домену, і засіб усунення неполадок потрібно ввімкнути за допомогою розділу реєстру, виконавши наведені нижче кроки. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 з пакетом оновлень 1 (SP1) Windows Server 2008 SP2 |
|
29 липня 2021 р. |
Оновлення, випущені з тимчасовим послабленням ризиків для вирішення проблем із друком і скануванням на несумісних пристроях. Оновлення випуску в цю дату або пізніше потрібно інсталювати на контролері домену, і зниження ризиків потрібно ввімкнути за допомогою розділу реєстру, виконавши наведені нижче дії. |
Windows Server 2016 |
|
25 січня 2022 р. |
Оновлення реєструє події аудиту на контролерах домену Active Directory, які визначають принтери, несумісні принтери RFC-4456, які завершують перевірку автентичності після інсталяції оновлень за липень 2022 р./серпень 2022 р. або пізнішої версії. |
Windows Server 2022 Windows Server 2019 |
|
8 лютого 2022 р. |
Оновлення реєструє події аудиту на контролерах домену Active Directory, які визначають принтери, несумісні принтери RFC-4456, які завершують перевірку автентичності після інсталяції оновлень за липень 2022 р./серпень 2022 р. або пізнішої версії. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 з пакетом оновлень 1 (SP1) Windows Server 2008 SP2 |
|
21 липня 2022 р. |
Необов'язковий підготовчий випуск оновлення, щоб видалити тимчасове послаблення ризиків, щоб вимагати друк скарг і сканування пристроїв у вашому середовищі. |
Windows Server 2019 |
|
9 серпня 2022 р. |
Увага! Випуск оновлення системи безпеки для видалення тимчасового послаблення ризиків для обов'язкового друку та сканування скарг у вашому середовищі. Усі оновлення, випущені в цей день або пізніше, не зможуть використати тимчасове послаблення ризиків. Принтери й сканери, що автентифікують смарт-картки, мають відповідати розділу 3.2.1 специфікації RFC 4556 , необхідній для CVE-2021-33764 після інсталяції цих оновлень або пізнішої версії на контролерах домену Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 з пакетом оновлень 1 (SP1) Windows Server 2008 SP2 |
Щоб використовувати тимчасове зниження ризику в середовищі, виконайте такі дії на всіх контролерах домену:
-
На контролерах домену встановіть значення 1 (увімкнути) за допомогою редактора реєстру або засобів автоматизації, доступних у вашому середовищі, установіть значення 1 у списку нижче.
Нотатка Цей крок 1 можна виконати до або після кроків 2 та 3.
-
Інсталюйте оновлення, яке дозволяє тимчасове послаблення ризиків, доступне в оновленнях, випущених 27 липня 2021 р. або пізнішої версії (нижче наведено перші оновлення, які дозволяють тимчасове послаблення ризиків):
-
Перезавантажте контролер домену.
Значення реєстру для тимчасового послаблення ризиків:
Попередження Якщо неправильно змінити реєстр за допомогою редактора реєстру або іншим способом, можуть виникнути серйозні проблеми. Для цих проблем може знадобитися повторно інсталювати операційну систему. корпорація Майкрософт не можете гарантувати, що ці проблеми можна вирішити. Змініть реєстр на власний ризик.
|
Підрозділ реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Значення |
Дозволити 3попадання |
|
Тип даних |
DWORD |
|
Дані |
1 . Увімкніть тимчасове послаблення ризиків. 0 . Увімкніть стандартну поведінку, що вимагає від ваших пристроїв відповідності вимогам до розділу 3.2.1 специфікації RFC 4556. |
|
Потрібне перезавантаження? |
Ні |
Наведений вище розділ реєстру можна створити, а значення та набір даних – за допомогою такої команди:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Події аудиту
Оновлення Windows 25 січня 2022 р. та 8 лютого 2022 р. також додасть нові ідентифікатори подій, які допомагають ідентифікувати відповідні пристрої.
|
Журнал подій |
Система |
|
Тип події |
Помилка |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Текст події |
Клієнт Kerberos не надав підтримуваний тип шифрування для використання з протоколом PKINIT у режимі шифрування.
|
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Kdcsvc |
|
Ідентифікатор події |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Текст події |
Неконформуюваний клієнт PKINIT Kerberos, автентифікований для цього контролера домену. Автентифікацію дозволено, оскільки було встановлено KDCGlobalAllowDesFallBack. У майбутньому ці підключення завершать перевірку автентичності. Визначте пристрій і оновіть його реалізацію Kerberos
|
Стан
корпорація Майкрософт підтвердив, що це проблема в продуктах корпорація Майкрософт, перелічених у розділі "Стосується".
