問題
當這些裝置使用智慧卡 (PIV) 認證時,列印和掃描可能會失敗。
注意
註 使用智慧卡 (PIV) 認證時受影響的裝置,使用使用者名稱與密碼驗證時應能正常運作。
原因
2021 年 7 月 13 日,Microsoft 發布了 CVE-2021-33764 的強化變更。當您在網域控制器 (DC) 安裝 2021 年 7 月 13 日或更新版本的更新時,可能會造成此問題。 受影響的裝置包括智慧卡認證印表機、掃描器及多功能裝置,這些裝置在 PKINIT Kerberos 認證期間不支援 Diffie-Hellman (DH) 進行金鑰交換,或在 Kerberos AS 請求時未宣稱支援 des-ede3-cbc (「triple DES」) 。
根據 RFC 4556 規範第 3.2.1 節,若要使用此金鑰交換,用戶端必須同時支援並通知 KDC () 的金鑰分發中心, (「三重 DES」) 。 若用戶端以加密模式進行金鑰交換,但既不支援也未告知 KDC 支援 DE-EDE3-cbc (「三重 DES」) ,將被拒絕。
為了讓印表機與掃描器用戶端裝置符合規範,它們必須以下其中一項:
- 在 PKINIT Kerberos 認證 (首選) 時,使用 Diffie-Hellman 進行金鑰交換。
- 或者,同時支持並通知KDC支持DES-EDE3-CBC (「三重DES」) 。
後續步驟
如果你的列印或掃描裝置遇到這個問題,請確認你使用的是裝置上最新的韌體和驅動程式。 如果您的韌體和驅動程式是最新的,但仍然遇到此問題,建議您聯繫裝置製造商。 詢問是否需要設定變更以使裝置符合 CVE-2021-33764 的強化變更,或是否會提供符合規範的更新。
若目前無法讓您的裝置符合 CVE-2021-33764RFC 4556 規範第 3.2.1 節的要求,目前可暫時採取緩解措施,讓您與列印或掃描設備製造商合作,在以下期限內調整環境。
注意
重要 您必須在 2022 年 7 月 12 日前更新並符合規範或更換不合規的裝置,屆時臨時緩解措施將無法用於安全更新。
重要通知
根據您使用的 Windows 版本,所有臨時緩解措施將於 2022 年 7 月和 8 月移除 (詳見下表) 。 後續更新中將不再有備用選項。 所有不合規設備必須自2022年1月起透過稽核事件識別,並於2022年7月底起透過緩解措施移除進行更新或更換。
2022 年 7 月之後,不符合 RFC 4456 規範及 CVE-2021-33764 的裝置將無法與更新版的 Windows 裝置使用。
| 目標日期 | 活動 | 適用於 |
|---|---|---|
| 2021 年 7 月 13 日 | 匯報釋出,包含針對 CVE-2021-33764 的強化變更。 所有後續更新預設都會開啟這個硬化變更。 | Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 2021 年 7 月 27 日 | 匯報釋出,暫時緩解問題,解決不合規裝置的列印與掃描問題。 此日期或之後發布的匯報必須安裝在您的 DC 上,並透過登錄檔鍵啟用緩解措施,並依下列步驟啟動。 | Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 2021 年 7 月 29 日 | 匯報釋出,暫時緩解問題,解決不合規裝置的列印與掃描問題。 匯報在此日期或之後發布的更新必須安裝在您的 DC 上,並透過登錄檔金鑰啟用緩解措施,步驟如下。 | Windows Server 2016 |
| 2022年1月25日 | 匯報會在 Active Directory 網域控制站上記錄稽核事件,識別出在 2022 年 7 月/8 月更新後,該印表機在安裝 2022 年 7 月/8 月更新後無法驗證。 | Windows Server 2022 Windows Server 2019 |
| 2022 年 2 月 8 日 | 匯報會在 Active Directory 網域控制站上記錄稽核事件,識別出在 2022 年 7 月/8 月更新後,該印表機在安裝 2022 年 7 月/8 月更新後無法驗證。 | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 2022年7月21日 | 可選的預覽更新版本,移除臨時緩解措施,要求在你的環境中安裝投訴列印與掃描設備。 | Windows Server 2019 |
| 2022 年 8 月 9 日 |
重要 安全更新發布,移除臨時緩解措施,要求在你的環境中安裝投訴列印和掃描設備。 當天或之後發布的所有更新將無法使用臨時緩解措施。 智慧卡認證印表機與掃描器必須符合 RFC 4556 規範 第 3.2.1 節,該規範適用於 CVE-2021-33764 ,安裝後續更新於 Active Directory 網域控制器上 |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
要在您的環境中使用臨時緩解措施,請在所有網域控制器上遵循以下步驟:
在網域控制器上,請將下方列出的臨時緩解登錄檔值設為 1, (使用 登錄檔編輯器或你環境中可用的自動化工具啟用) 。
注意
註 這個步驟1可以在步驟2和3之前或之後進行。
安裝一個更新,允許於 2021 年 7 月 27 日或之後發布的更新中提供暫時緩解措施 (以下是允許臨時緩解的首批更新) :
重新啟動你的網域控制器。
臨時緩解的登記價值:
注意
警告 如果您使用「登錄編輯程式」或其他方法不正確地修改登錄,可能會發生嚴重問題。 這些問題可能會迫使您重新安裝作業系統。 Microsoft無法保證這些問題能被解決。 Modify the registry at your own risk.
| 登錄檔子鍵 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| 值 | 允許3次撤退 |
| 資料型別 | DWORD |
| 資料 |
1 – 啟用臨時緩解措施。 0 – 啟用預設行為,要求您的裝置遵守 RFC 4556 規範第 3.2.1 節。 |
| 需要重新啟動? | 否 |
上述登錄檔鍵可用以下指令建立,並取得值與資料集:
- reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
稽核事件
2022 年 1 月 25 日與 2 月 8 日的 Windows 更新也將新增事件 ID,以協助識別受影響的裝置。
| 活動紀錄 | 系統 |
|---|---|
| 事件類型 | 錯誤 |
| 事件來源 | Kdcsvc |
| 事件識別碼 | 307 39 (Windows Server 2008 年 R2 SP1,Windows Server 2008年 SP2) |
| 活動正文 | Kerberos 用戶端未提供支援的加密類型,用於 PKINIT 協定的加密模式。
|
| 活動紀錄 | 系統 |
|---|---|
| 事件類型 | 警告 |
| 事件來源 | Kdcsvc |
| 事件識別碼 | 308 40 (Windows Server 2008 年 R2 SP1,Windows Server 2008年 SP2) |
| 活動正文 | 一個不符合標準的 PKINIT Kerberos 用戶端,並認證給這個 DC。 認證被允許是因為 KDCGlobalAllowDesFallBack 被設定為 KDCGlobalAllowDesFallBack。 未來這些連線將無法通過驗證。 辨識該裝置並著手升級其 Kerberos 實作
|
狀態
Microsoft 已確認「套用至」部分所列的 Microsoft 產品確實有上述問題。