Dấu hiệu

Việc in và quét có thể không thành công khi những thiết bị này sử dụng xác thực thẻ thông minh (PIV). 

Lưu ý: Thiết bị bị ảnh hưởng khi sử dụng xác thực thẻ thông minh (PIV) sẽ hoạt động như dự kiến khi sử dụng xác thực tên người dùng và mật khẩu. 

Nguyên nhân

Vào 13/07/2021, Microsoft đã phát hành các thay đổi cứng cho CVE-2021-33764. Điều này có thể gây ra sự cố này khi bạn cài đặt các bản cập nhật được phát hành ngày 13 tháng 7 năm 2021 trở lên trên một bộ điều khiển miền (DC).  Các thiết bị bị ảnh hưởng là máy in, máy quét và thiết bị đa năng thẻ thông minh không hỗ trợ Diffie-Hellman (DH) để trao đổi khóa trong quá trình xác thực PKINIT Kerberos hoặc không quảng cáo hỗ trợ đối với des-ede3-cbc ("TRIPLE DES") trong yêu cầu KERBEROS AS. Theo mục 3.2.1 của RFC 4556 spec,để việc trao đổi khóa này có hiệu lực, máy khách phải hỗ trợ và thông báo cho trung tâm phân phối khóa (KDC) về việc hỗ trợ đối với des-ede3-cbc ("TRIPLE DES"). Khách hàng khởi tạo PKINIT Kerberos với trao đổi khóa trong chế độ mã hóa nhưng không hỗ trợ hay thông báo cho KDC rằng họ hỗ trợ des-ede3-cbc ("triple DES"), sẽ bị từ chối. 

Để các thiết bị máy in và máy quét tuân thủ, các thiết bị này phải:

  • Dùng Diffie-Hellman để trao đổi khóa trong quá trình xác thực PKINIT Kerberos (ưu tiên).

  • Cả hỗ trợ và thông báo cho KDC về việc hỗ trợ của họ đối với des-ede3-cbc ("TRIPLE DES").

Các bước tiếp theo

Nếu bạn gặp phải sự cố này với các thiết bị in hoặc quét, hãy xác minh rằng bạn đang sử dụng firmware và trình điều khiển mới nhất sẵn dùng cho thiết bị của mình. If your firmware and drivers are up-to-date and you still encounter this issue, we recommend that you contact the device manufacturer. Hỏi xem có bắt buộc phải thay đổi cấu hình để đưa thiết bị tuân thủ hay không với sự thay đổi cứng cho CVE-2021-33764 hoặc liệu có sẵn bản cập nhật tuân thủ không.

Nếu hiện không có cách nào để thiết bị của bạn tuân thủ theo mục 3.2.1 của rfc 4556 theo yêu cầu đối với CVE-2021-33764thì hiện đã có tính năng giảm thiểu tạm thời trong khi bạn làm việc với nhà sản xuất thiết bị in hoặc quét để đưa môi trường của bạn vào tuân thủ trong đường thời gian bên dưới.

Quan trọng: Bạn phải cập nhật và thay thế thiết bị không tuân thủ hoặc bị thay thế trước ngày 8 tháng 2 năm 2022, khi việc giảm nhẹ tạm thời sẽ không thể sử dụng được trong các bản cập nhật bảo mật.

Dòng thời gian 

Ngày Nhắm mục tiêu 

Sự kiện 

Áp dụng cho 

13/7/2021 

Các bản cập nhật được phát hành với sự cố định thay đổi cho CVE-2021-33764. Tất cả các bản cập nhật sau đó đều có thay đổi cứng này theo mặc định. 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

27/07/2021 

Các bản cập nhật được phát hành với tính năng giảm thiểu tạm thời để giải quyết các sự cố in và quét trên các thiết bị không tuân thủ.  Các bản cập nhật phát hành vào ngày hoặc sau đó phải được cài đặt trên bạn DC và việc giảm thiểu phải được bật thông qua khóa đăng ký theo các bước dưới đây. 

Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2  

29/07/2021 

Các bản cập nhật được phát hành với tính năng giảm thiểu tạm thời để giải quyết các sự cố in và quét trên các thiết bị không tuân thủ.  Các bản cập nhật phát hành vào ngày hoặc sau đó phải được cài đặt trên bạn DC và việc giảm thiểu phải được bật thông qua khóa đăng ký theo các bước dưới đây. 

Windows Server 2016

Mid-January 2022 

Bản phát hành bản cập nhật xem trước tùy chọn để loại bỏ việc giảm thiểu tạm thời để yêu cầu in khiếu nại và quét các thiết bị trong môi trường của bạn. 

Windows Server 2019

08/02/2022 

Quan trọng Phát hành bản cập nhật bảo mật để loại bỏ việc giảm thiểu tạm thời để yêu cầu in và quét các thiết bị khiếu nại trong môi trường của bạn. Tất cả các cập nhật được phát hành vào ngày này hoặc sau đó sẽ không thể sử dụng tính năng giảm nhẹ tạm thời. Máy in và máy quét xác thực thẻ thông minh phải tuân thủ với mục 3.2.1 của đặc tả RFC 4556 bắt buộc đối với CVE-2021-33764 sau khi cài đặt các bản cập nhật này trở lên trên bộ điều khiển miền Active Directory 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Giảm nhẹ tạm thời

Để sử dụng lệnh giảm nhẹ tạm thời trong môi trường của bạn, hãy làm theo các bước sau trên tất cả các bộ kiểm soát miền của bạn:

  1. Trên Bộ điều khiển Miền, đặt giá trị sổ đăng ký giảm nhẹ tạm thời được liệt kê bên dưới thành 1 (bật) bằng cách sử dụng Trình soạn thảo Sổ đăng ký hoặc các công cụ tự động hóa sẵn dùng trong môi trường của bạn.

    Lưu ý: Bước này có thể được thực hiện trước hoặc sau bước 2 và 3. 

  2. Cài đặt bản cập nhật cho phép giảm thiểu tạm thời sẵn dùng trong các bản cập nhật phát hành ngày 27 tháng 7 năm 2021 trở lên (dưới đây là các bản cập nhật đầu tiên cho phép giảm nhẹ tạm thời):

  3. Khởi động lại bộ điều khiển tên miền của bạn.

Giá trị sổ đăng ký cho giảm nhẹ tạm thời

Cảnh báo: Các vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng cách bằng cách dùng Trình soạn thảo Sổ đăng ký hoặc bằng phương pháp khác. Những sự cố này có thể yêu cầu bạn phải cài đặt lại hệ điều hành. Microsoft không thể bảo đảm có thể giải quyết những vấn đề này. Bạn phải tự gặp rủi ro khi sửa đổi sổ đăng ký. 

Khóa đăng ký phụ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 

Giá trị 

Allow3DesFallback 

Kiểu dữ liệu 

DWORD 

Dữ liệu 

1 – Bật tính năng giảm nhẹ tạm thời. 

0 – Bật hành vi mặc định, yêu cầu thiết bị của bạn tuân thủ theo mục 3.2.1 của thông số RFC 4556. 

Bắt buộc phải khởi động lại? 

Không 

Bạn có thể tạo khóa sổ đăng ký phía trên, cũng như giá trị và tập dữ liệu bằng cách sử dụng lệnh sau đây:  

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Thông tin thêm

Microsoft đã xác nhận rằng đây là sự cố trong các sản phẩm Microsoft được liệt kê trong mục "Áp dụng cho".

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×