症状

当这些设备使用智能卡 (PIV) 身份验证时,打印和扫描可能会失败。

注意 使用智能卡 (PIV) 身份验证时受影响的设备在使用用户名和密码身份验证时应按预期工作。

原因

2021 年 7 月 13 日,Microsoft 发布了 CVE-2021-33764 的强化更改,这可能会在 2021 年 7 月 13 日或更高版本的域控制器上安装更新时导致此问题, (DC) 。  受影响的设备是智能卡,用于对打印机、扫描程序和多功能设备进行身份验证,这些设备在 PKINIT Kerberos 身份验证期间不支持密钥交换Diffie-Hellman (DH) ,或者在 Kerberos AS 请求期间不宣传对 des-ede3-cbc (“三重 DES”) 的支持。

根据 RFC 4556 规范的 3.2.1 部分,为了使此密钥交换正常工作,客户端必须同时支持并通知密钥分发中心 (KDC) 支持 des-ede3-cbc (“triple DES”) 。 在加密模式下使用密钥交换启动 Kerberos PKINIT 但既不支持也不告诉 KDC 他们支持 des-ede3-cbc (“三重 DES”) 的客户将被拒绝。

若要使打印机和扫描程序客户端设备符合要求,必须执行以下操作:

  • 在 PKINIT Kerberos 身份验证期间使用Diffie-Hellman进行密钥交换 (首选) 。

  • 或者,支持并通知 KDC 支持 des-ede3-cbc (“三重 DES”) 。

后续步骤

如果在打印或扫描设备时遇到此问题,请验证你是否正在使用适用于设备的最新固件和驱动程序。 如果你的固件和驱动程序是最新的,但仍遇到此问题,我们建议你联系设备制造商。 询问是否需要进行配置更改才能使设备符合 CVE-2021-33764 的强化更改,或者是否提供符合要求的更新。

如果当前无法使设备符合 CVE-2021-33764 所需的 RFC 4556 规范的第 3.2.1 节,则在你与打印或扫描设备制造商合作以使环境在以下时间线内符合性时,现在可以使用临时缓解措施。

重要事项 必须在 2022 年 7 月 12 日更新和符合或替换不符合的设备,因为临时缓解措施在安全更新中不可用。

重要通知

此方案的所有临时缓解措施将在 2022 年 7 月和 2022 年 8 月删除,具体取决于使用的 Windows 版本 (请参阅下表) 。 后续更新中将没有进一步的回退选项。 必须使用 2022 年 1 月开始的审核事件 识别所有不符合的设备,并 从 2022 年 7 月下旬开始更新或替换缓解删除。 

2022 年 7 月之后,不符合 RFC 4456 规范和 CVE-2021-33764 的设备将无法用于更新的 Windows 设备。

目标日期

事件

适用于

2021 年 7 月 13 日

更新通过 CVE-2021-33764 的强化更改发布。 默认情况下,所有后续更新都会启用此强化更改。

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2021 年 7 月 27 日

更新发布了临时缓解措施,用于解决不符合设备上的打印和扫描问题。 在此日期或更高版本上发布的更新必须安装在 DC 上,并且必须使用以下步骤通过注册表项启用缓解措施。

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2021 年 7 月 29 日

更新发布了临时缓解措施,用于解决不符合设备上的打印和扫描问题。 此日期或更高版本的更新版本必须安装在 DC 上,并且必须使用以下步骤通过注册表项启用缓解措施。

Windows Server 2016

2022 年 1 月 25 日

更新将在 Active Directory 域控制器上记录审核事件,这些控制器标识在 2022 年 7 月/2022 年 8 月更新或更高版本更新后失败身份验证的 RFC-4456 不兼容打印机的打印机。

Windows Server 2022

Windows Server 2019

2022 年 2 月 8 日

更新将在 Active Directory 域控制器上记录审核事件,这些控制器标识在 2022 年 7 月/2022 年 8 月更新或更高版本更新后失败身份验证的 RFC-4456 不兼容打印机的打印机。

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

2022 年 7 月 21 日

可选的预览更新版本,用于删除临时缓解措施,以要求在环境中打印和扫描设备。

Windows Server 2019

2022 年 8 月 9 日

重要事项 安全更新发布,以删除临时缓解措施,以要求在环境中打印和扫描设备。

当天或更高版本发布的所有更新将无法使用临时缓解措施

在 Active Directory 域控制器上安装这些更新或更高版本后,智能卡身份验证打印机和扫描程序必须符合 CVE-2021-33764 所需的 RFC 4556 规范的第 3.2.1 部分

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

若要在环境中使用临时缓解措施,请在所有域控制器上执行以下步骤:

  1. 在域控制器上,将下面列出的临时缓解注册表值设置为 1 (使用注册表编辑器或环境中可用的自动化工具启用) 。

    注意 此步骤 1 可以在步骤 2 和 3 之前或之后完成。

  2. 安装允许在 2021 年 7 月 27 日或更高版本的更新中提供临时缓解的更新 (下面是允许临时缓解) 的第一个更新:

  3. 重启域控制器。

临时缓解的注册表值:

警告 如果使用注册表编辑器或使用其他方法错误地修改注册表,可能会出现严重问题。 这些问题可能需要重新安装操作系统。 Microsoft 无法保证可以解决这些问题。 修改注册表的风险由你自己承担。

注册表子项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Allow3DesFallback

数据类型

DWORD

数据

1 – 启用临时缓解。

0 – 启用默认行为,要求设备符合 RFC 4556 规范第 3.2.1 节。

需要重启?

可以使用以下命令创建上述注册表项以及值和数据集:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

审核事件

2022 年 1 月 25 日和 2022 年 2 月 8 日 Windows 更新还将添加新的事件 ID,以帮助识别受影响的设备。

事件日志

系统

事件类型

错误

事件源

Kdcsvc

事件 ID

307

39 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2)

事件文本

Kerberos 客户端未提供受支持的加密类型,用于使用加密模式的 PKINIT 协议。

  • 客户端主体名称: <域名>\<客户端名称>

  • 客户端 IP 地址:IPv4/IPv6

  • 客户端提供的 NetBIOS 名称: %3

事件日志

系统

事件类型

警告

事件源

Kdcsvc

事件 ID

308

40 (Windows Server 2008 R2 SP1、Windows Server 2008 SP2)

事件文本

对此 DC 进行身份验证的不合规 PKINIT Kerberos 客户端。 由于设置了 KDCGlobalAllowDesFallBack,因此允许进行身份验证。 将来,这些连接将无法进行身份验证。 标识设备并查找升级其 Kerberos 实现

  • 客户端主体名称: <域名>\<客户端名称>

  • 客户端 IP 地址:IPv4/IPv6

  • 客户端提供的 NetBIOS 名称: %3

状态

Microsoft 已确认这是“适用于”部分中列出的 Microsoft 产品中的问题。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对语言质量的满意程度如何?
哪些因素影响了你的体验?

谢谢您的反馈!

×