症状

当这些设备使用智能卡和 PIV 身份验证时,打印 (扫描) 失败。 

注意: 使用智能卡和 PIV (身份验证) 在使用用户名和密码身份验证时,受影响的设备应能正常工作。 

原因

2021 年 7 月 13 日,Microsoft 发布了 CVE-2021-33764 的强化更改。 在域控制器和 DC 上安装 2021 年 7 月 13 日发布的更新或更高版本时, () 。  受影响的设备是智能卡,对在 PKINIT Kerberos 身份验证期间不支持用于密钥交换的 Diffie-Hellman (DH) 或不支持在 Kerberos AS 请求期间对 des-ede3-cbc ("三重 DES") 的支持的打印机、扫描仪和多功能设备进行身份验证。 根据 RFC 4556规范的第 3.2.1 节,若要使此密钥交换正常工作,客户端必须同时支持密钥分发中心 (KDC) 并通知其支持 des-ede3-cbc ("三重 DES") 。 在加密模式下通过密钥交换启动 Kerberos PKINIT,但不支持也不告诉 KDC 支持 des-ede3-cbc ("三重 DES") 的客户端将被拒绝。 

若要使打印机和扫描仪客户端设备符合要求,这些设备必须:

  • 使用Diffie-Hellman在 PKINIT Kerberos 身份验证期间进行密钥交换 (首选) 。

  • 支持 KDC 并通知其支持 des-ede3-cbc ("三重 DES") 。

后续步骤

如果打印或扫描设备遇到此问题,请验证是否使用的是适用于设备的最新固件和驱动程序。 如果固件和驱动程序是最新的,但仍遇到此问题,建议联系设备制造商。 询问是否要求进行配置更改,使设备符合 CVE-2021-33764 的强化更改,或者是否提供合规的更新。

如果当前无法根据CVE-2021-33764的要求使设备符合RFC 4556规范的第 3.2.1 节,现可在与打印或扫描设备制造商合作,使环境符合以下时间线的要求时,暂时缓解措施。

重要: 必须在 2022 年 2 月 8 日更新并合规或替换不符合的设备,临时缓解措施在安全更新中将不可使用。

时间线 

目标日期 

事件 

适用于 

2021 年 7 月 13 日 

CVE-2021-33764的强化更改一起发布的更新。 默认情况下,所有以后的更新都启用此强化更改。 

WindowsServer
2019 Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

2021 年 7 月 27 日 

通过临时缓解措施发布的更新,以解决不合规设备上打印和扫描问题。  此日期或更高版本的更新版本必须安装在 DC 上,并且必须使用以下步骤通过注册表项启用缓解措施。 

WindowsServer
2019 Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
SP1 Windows Server 2008 SP2  

2021 年 7 月 29 日 

通过临时缓解措施发布的更新,以解决不合规设备上打印和扫描问题。  此日期或更高版本的更新版本必须安装在 DC 上,并且必须使用以下步骤通过注册表项启用缓解措施。 

Windows Server 2016

Mid-January 2022 

可选的预览版更新版本,用于消除临时缓解措施,要求在环境中打印和扫描投诉设备。 

Windows Server 2019

2022 年 2 月 8 日 

重要事项 安全更新发布,删除临时缓解措施,要求在环境中打印和扫描投诉设备。 当天或以后发布的所有更新将不能使用临时缓解措施。 智能卡验证打印机和扫描仪必须符合在 Active Directory 域控制器上安装这些更新或更高版本后CVE-2021-33764所需的RFC 4556规范的第 3.2.1 节 

WindowsServer
2019 Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

临时缓解措施

若要在环境中使用临时缓解措施,请在所有域控制器上执行以下步骤:

  1. 在域控制器上,将下面列出的临时缓解注册表值设置为 1 (使用) 编辑器或环境中可用的自动化工具启用该注册表。

    注意: 此步骤可以在步骤 2 和 3 之前或之后完成。 

  2. 安装一个更新,该更新允许在 2021 年 7 月 27 日或更高版本发布的更新中提供 (是允许临时缓解措施的首个) :

  3. 重启域控制器。

临时缓解的注册表值

警告: 如果使用注册表编辑器或其他方法不正确地修改注册表,则可能会出现严重问题。 这些问题可能需要重新安装操作系统。 Microsoft 无法保证可以解决这些问题。 修改注册表需要自担风险。 

注册表子项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 

 

Allow3DesFallback 

数据类型 

DWORD 

数据 

1 - 启用临时缓解。 

0 - 启用默认行为,要求设备符合RFC 4556 规范的第 3.2.1 节 

需要重启? 

否 

可以使用以下命令创建上述注册表项以及值和数据集:  

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

详细信息

Microsoft 已确认这是"适用于"部分中列出的 Microsoft 产品中的问题。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对翻译质量的满意程度如何?
哪些因素影响了你的体验?

谢谢您的反馈意见!

×