KB5005408—智慧卡認證可能導致列印與掃描失敗

套用到
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019

問題

當這些裝置使用智慧卡 (PIV) 認證時,列印和掃描可能會失敗。

注意

使用智慧卡 (PIV) 認證時受影響的裝置,使用使用者名稱與密碼驗證時應能正常運作。

原因

2021 年 7 月 13 日,Microsoft 發布了 CVE-2021-33764 的強化變更。當您在網域控制器 (DC) 安裝 2021 年 7 月 13 日或更新版本的更新時,可能會造成此問題。  受影響的裝置包括智慧卡認證印表機、掃描器及多功能裝置,這些裝置在 PKINIT Kerberos 認證期間不支援 Diffie-Hellman (DH) 進行金鑰交換,或在 Kerberos AS 請求時未宣稱支援 des-ede3-cbc (「triple DES」) 。

根據 RFC 4556 規範第 3.2.1 節,若要使用此金鑰交換,用戶端必須同時支援並通知 KDC () 的金鑰分發中心, (「三重 DES」) 。 若用戶端以加密模式進行金鑰交換,但既不支援也未告知 KDC 支援 DE-EDE3-cbc (「三重 DES」) ,將被拒絕。

為了讓印表機與掃描器用戶端裝置符合規範,它們必須以下其中一項:

  • 在 PKINIT Kerberos 認證 (首選) 時,使用 Diffie-Hellman 進行金鑰交換。
  • 或者,同時支持並通知KDC支持DES-EDE3-CBC (「三重DES」) 。

後續步驟

如果你的列印或掃描裝置遇到這個問題,請確認你使用的是裝置上最新的韌體和驅動程式。 如果您的韌體和驅動程式是最新的,但仍然遇到此問題,建議您聯繫裝置製造商。 詢問是否需要設定變更以使裝置符合 CVE-2021-33764 的強化變更,或是否會提供符合規範的更新。

若目前無法讓您的裝置符合 CVE-2021-33764RFC 4556 規範第 3.2.1 節的要求,目前可暫時採取緩解措施,讓您與列印或掃描設備製造商合作,在以下期限內調整環境。

注意

重要 您必須在 2022 年 7 月 12 日前更新並符合規範或更換不合規的裝置,屆時臨時緩解措施將無法用於安全更新。

重要通知

根據您使用的 Windows 版本,所有臨時緩解措施將於 2022 年 7 月和 8 月移除 (詳見下表) 。 後續更新中將不再有備用選項。 所有不合規設備必須自2022年1月起透過稽核事件識別,並於2022年7月底起透過緩解措施移除進行更新或更換。

2022 年 7 月之後,不符合 RFC 4456 規範及 CVE-2021-33764 的裝置將無法與更新版的 Windows 裝置使用。

目標日期 活動 適用於
2021 年 7 月 13 日 匯報釋出,包含針對 CVE-2021-33764 的強化變更。 所有後續更新預設都會開啟這個硬化變更。 Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
2021 年 7 月 27 日 匯報釋出,暫時緩解問題,解決不合規裝置的列印與掃描問題。 此日期或之後發布的匯報必須安裝在您的 DC 上,並透過登錄檔鍵啟用緩解措施,並依下列步驟啟動。 Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
2021 年 7 月 29 日 匯報釋出,暫時緩解問題,解決不合規裝置的列印與掃描問題。 匯報在此日期或之後發布的更新必須安裝在您的 DC 上,並透過登錄檔金鑰啟用緩解措施,步驟如下。 Windows Server 2016
2022年1月25日 匯報會在 Active Directory 網域控制站上記錄稽核事件,識別出在 2022 年 7 月/8 月更新後,該印表機在安裝 2022 年 7 月/8 月更新後無法驗證。 Windows Server 2022
Windows Server 2019
2022 年 2 月 8 日 匯報會在 Active Directory 網域控制站上記錄稽核事件,識別出在 2022 年 7 月/8 月更新後,該印表機在安裝 2022 年 7 月/8 月更新後無法驗證。 Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
2022年7月21日 可選的預覽更新版本,移除臨時緩解措施,要求在你的環境中安裝投訴列印與掃描設備。 Windows Server 2019
2022 年 8 月 9 日 重要 安全更新發布,移除臨時緩解措施,要求在你的環境中安裝投訴列印和掃描設備。
當天或之後發布的所有更新將無法使用臨時緩解措施
智慧卡認證印表機與掃描器必須符合 RFC 4556 規範 第 3.2.1 節,該規範適用於 CVE-2021-33764 ,安裝後續更新於 Active Directory 網域控制器上
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

要在您的環境中使用臨時緩解措施,請在所有網域控制器上遵循以下步驟:

  1. 在網域控制器上,請將下方列出的臨時緩解登錄檔值設為 1, (使用 登錄檔編輯器或你環境中可用的自動化工具啟用) 。

    注意

    這個步驟1可以在步驟2和3之前或之後進行。

  2. 安裝一個更新,允許於 2021 年 7 月 27 日或之後發布的更新中提供暫時緩解措施 (以下是允許臨時緩解的首批更新) :

  3. 重新啟動你的網域控制器。

臨時緩解的登記價值:

注意

警告 如果您使用「登錄編輯程式」或其他方法不正確地修改登錄,可能會發生嚴重問題。 這些問題可能會迫使您重新安裝作業系統。 Microsoft無法保證這些問題能被解決。 Modify the registry at your own risk.

登錄檔子鍵 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
允許3次撤退
資料型別 DWORD
資料 1 – 啟用臨時緩解措施。
0 – 啟用預設行為,要求您的裝置遵守 RFC 4556 規範第 3.2.1 節。
需要重新啟動?

上述登錄檔鍵可用以下指令建立,並取得值與資料集:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

稽核事件

2022 年 1 月 25 日與 2 月 8 日的 Windows 更新也將新增事件 ID,以協助識別受影響的裝置。

活動紀錄 系統
事件類型 錯誤
事件來源 Kdcsvc
事件識別碼 307
39 (Windows Server 2008 年 R2 SP1,Windows Server 2008年 SP2)
活動正文 Kerberos 用戶端未提供支援的加密類型,用於 PKINIT 協定的加密模式。
  • 客戶主體名稱: <網域名稱>\<客戶名稱>
  • 用戶端 IP 位址:IPv4/IPv6
  • 用戶端提供的 NetBIOS 名稱:%3
活動紀錄 系統
事件類型 警告
事件來源 Kdcsvc
事件識別碼 308
40 (Windows Server 2008 年 R2 SP1,Windows Server 2008年 SP2)
活動正文 一個不符合標準的 PKINIT Kerberos 用戶端,並認證給這個 DC。 認證被允許是因為 KDCGlobalAllowDesFallBack 被設定為 KDCGlobalAllowDesFallBack。 未來這些連線將無法通過驗證。 辨識該裝置並著手升級其 Kerberos 實作
  • 客戶主體名稱: <網域名稱>\<客戶名稱>
  • 用戶端 IP 位址:IPv4/IPv6
  • 用戶端提供的 NetBIOS 名稱:%3

狀態

Microsoft 已確認「套用至」部分所列的 Microsoft 產品確實有上述問題。