تخطي إلى المحتوى الرئيسي
الدعم
تسجيل الدخول
تسجيل الدخول باستخدام حساب Microsoft
تسجيل الدخول أو إنشاء حساب.
مرحباً،
تحديد استخدام حساب مختلف!
لديك حسابات متعددة
اختر الحساب الذي تريد تسجيل الدخول باستخدامه.

الأعراض

قد تفشل الطباعة والمسح الضوئي عندما تستخدم هذه الأجهزة مصادقة البطاقة الذكية (PIV). 

‏ملاحظة يجب أن تعمل الأجهزة المتأثرة عند استخدام مصادقة البطاقة الذكية (PIV) كما هو متوقع عند استخدام مصادقة اسم المستخدم وكلمة المرور.

السبب

في 13 يوليو 2021، Microsoft إصدار تغييرات تقوية ل CVE-2021-33764 قد يتسبب هذا في حدوث هذه المشكلة عند تثبيت التحديثات التي تم إصدارها في 13 يوليو 2021 أو الإصدارات الأحدث على وحدة تحكم المجال (DC).  الأجهزة المتأثرة هي مصادقة البطاقة الذكية للطابعات والماسحات الضوئية والأجهزة متعددة الوظائف التي لا تدعم إما Diffie-Hellman (DH) لتبادل المفاتيح أثناء مصادقة PKINIT Kerberos أو لا تعلن عن دعم des-ede3-cbc ("DES الثلاثي") أثناء طلب Kerberos AS .

لكل قسم 3.2.1 من مواصفات RFC 4556، لكي يعمل هذا التبادل الرئيسي، يجب على العميل دعم مركز توزيع المفاتيح (KDC) وإخطاره بدعمه ل des-ede3-cbc ("DES الثلاثي"). سيتم رفض العملاء الذين يبدأون Kerberos PKINIT مع تبادل المفاتيح في وضع التشفير ولكن لا يدعمون ولا يخبرون KDC بأنهم يدعمون des-ede3-cbc ("DES الثلاثي")، .

لكي تكون أجهزة عميل الطابعة والماسح الضوئي متوافقة، يجب عليهم إما:

  • استخدم Diffie-Hellman لتبادل المفاتيح أثناء مصادقة PKINIT Kerberos (المفضلة).

  • أو، يدعم كل من KDC ويخطره بدعمه ل des-ede3-cbc ("TRIPLE DES").

الخطوات التالية

إذا واجهت هذه المشكلة في أجهزة الطباعة أو المسح الضوئي، فتحقق من أنك تستخدم أحدث البرامج الثابتة وبرامج التشغيل المتوفرة لجهازك. إذا كانت البرامج الثابتة وبرامج التشغيل محدثة ولا تزال تواجه هذه المشكلة، نوصي بالاتصال بالشركة المصنعة للجهاز. اسأل عما إذا كان تغيير التكوين مطلوبا لجعل الجهاز متوافقا مع تغيير التصلب ل CVE-2021-33764 أو ما إذا كان سيتم توفير تحديث متوافق.

إذا لم تكن هناك طريقة حاليا لجعل أجهزتك متوافقة مع القسم 3.2.1 من مواصفات RFC 4556 كما هو مطلوب ل CVE-2021-33764، يتوفر الآن تخفيف مؤقت أثناء العمل مع الشركة المصنعة للطباعة أو المسح الضوئي للجهاز لجعل بيئتك متوافقة ضمن المخطط الزمني أدناه.

هام يجب أن يتم تحديث أجهزتك غير المتوافقة ومتوافقة أو استبدالها بحلول 12 يوليو 2022، عندما لا يكون التخفيف المؤقت قابلا للاستخدام في تحديثات الأمان.

إشعار مهم

ستتم إزالة جميع عوامل التخفيف المؤقتة لهذا السيناريو في يوليو 2022 وأغسطس 2022، اعتمادا على إصدار Windows الذي تستخدمه (راجع الجدول أدناه). لن يكون هناك خيار احتياطي آخر في التحديثات اللاحقة. يجب تحديد جميع الأجهزة غير المتوافقة باستخدام أحداث التدقيق بدءا من يناير 2022 وتحديثها أو استبدالها بإزالة التخفيف بدءا من أواخر يوليو 2022. 

بعد يوليو 2022، لن تكون الأجهزة غير المتوافقة مع مواصفات RFC 4456 وCVE-2021-33764 قابلة للاستخدام مع جهاز Windows محدث.

تاريخ الهدف

الحدث

منطبقة على

13 يوليو 2021

تم إصدار التحديثات مع التغييرات المتصلبة ل CVE-2021-33764. تحتوي جميع التحديثات اللاحقة على هذا التغيير المتصلب بشكل افتراضي.

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

27 يوليو 2021

التحديثات تم إصداره مع التخفيف المؤقت لمعالجة مشكلات الطباعة والمسح الضوئي على الأجهزة غير المتوافقة. يجب تثبيت التحديثات التي تم إصدارها في هذا التاريخ أو إصدار أحدث على DC ويجب تشغيل التخفيف من المخاطر من خلال مفتاح التسجيل باستخدام الخطوات أدناه.

Windows Server 2019

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

29 يوليو 2021

التحديثات تم إصداره مع التخفيف المؤقت لمعالجة مشكلات الطباعة والمسح الضوئي على الأجهزة غير المتوافقة. يجب تثبيت التحديثات الإصدار في هذا التاريخ أو إصدار أحدث على DC ويجب تشغيل التخفيف من المخاطر من خلال مفتاح التسجيل باستخدام الخطوات أدناه.

Windows Server 2016

25 يناير 2022

سيقوم التحديثات بتسجيل أحداث التدقيق على وحدات تحكم مجال Active Directory التي تحدد الطابعات التي هي طابعات RFC-4456 غير متوافقة تفشل في المصادقة بمجرد تثبيت DCs لشهر يوليو 2022/أغسطس 2022 أو التحديثات الأحدث.

Windows Server 2022

Windows Server 2019

8 فبراير 2022

سيقوم التحديثات بتسجيل أحداث التدقيق على وحدات تحكم مجال Active Directory التي تحدد الطابعات التي هي طابعات RFC-4456 غير متوافقة تفشل في المصادقة بمجرد تثبيت DCs لشهر يوليو 2022/أغسطس 2022 أو التحديثات الأحدث.

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

21 يوليو 2022

إصدار تحديث المعاينة الاختياري لإزالة التخفيف المؤقت لطلب طباعة الشكاوى ومسح الأجهزة ضوئيا في بيئتك.

Windows Server 2019

9 أغسطس 2022

هام إصدار تحديث الأمان لإزالة التخفيف المؤقت لطلب طباعة الشكاوى ومسح الأجهزة ضوئيا في بيئتك.

لن تتمكن جميع التحديثات التي تم إصدارها في هذا اليوم أو لاحقا من استخدام التخفيف المؤقت.

يجب أن تكون الطابعات والماسحات الضوئية لمصادقة البطاقة الذكية متوافقة مع القسم 3.2.1 من مواصفات RFC 4556 المطلوبة ل CVE-2021-33764 بعد تثبيت هذه التحديثات أو إصدار أحدث على وحدات تحكم مجال Active Directory

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1

Windows Server 2008 SP2

لاستخدام التخفيف المؤقت في بيئتك، اتبع الخطوات التالية على جميع وحدات التحكم بالمجال:

  1. في وحدات التحكم بالمجال، قم بتعيين قيمة سجل التخفيف المؤقت المدرجة أدناه إلى 1 (تمكين) باستخدام محرر السجل أو أدوات الأتمتة المتوفرة في بيئتك.

    ‏ملاحظة يمكن القيام بهذه الخطوة 1 قبل الخطوتي 2 و3 أو بعدهما.

  2. تثبيت تحديث يسمح بتخفيف المخاطر المؤقت المتوفر في التحديثات التي تم إصدارها في 27 يوليو 2021 أو أحدث (فيما يلي التحديثات الأولى للسماح بالتخفيف المؤقت):

  3. أعد تشغيل وحدة التحكم بالمجال.

قيمة التسجيل للتخفيف المؤقت:

Warning قد تحدث مشاكل خطيرة إذا قمت بتعديل السجل بشكل غير صحيح باستخدام "محرر السجل" أو باستخدام أسلوب آخر. قد تتطلب منك هذه المشاكل إعادة تثبيت نظام التشغيل. Microsoft لا يمكن أن تضمن إمكانية حل هذه المشاكل. قم بتعديل السجل على مسؤوليتك الخاصة.

مفتاح التسجيل الفرعي

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

‏‏القيمة

Allow3DesFallback

نوع البيانات

DWORD

بيانات

1 - تمكين التخفيف المؤقت.

0 - تمكين السلوك الافتراضي، مما يتطلب امتثال أجهزتك للقسم 3.2.1 من مواصفات RFC 4556.

هل إعادة التشغيل مطلوبة؟

لا

يمكن إنشاء مفتاح التسجيل أعلاه والقيمة ومجموعة البيانات باستخدام الأمر التالي:

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

أحداث التدقيق

سيضيف تحديث Windows في 25 يناير 2022 و8 فبراير 2022 معرفات أحداث جديدة للمساعدة في تحديد الأجهزة المتأثرة.

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

Kdcsvc

معرف الحدث

307

39 (Windows Server 2008 R2 SP1، Windows Server 2008 SP2)

نص الحدث

لم يوفر عميل Kerberos نوع تشفير مدعوم للاستخدام مع بروتوكول PKINIT باستخدام وضع التشفير.

  • اسم العميل الأساسي: اسم مجال<>\<اسم العميل>

  • عنوان IP للعميل: IPv4/IPv6

  • اسم NetBIOS الذي يوفره العميل: ٪3

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

Kdcsvc

معرف الحدث

308

40 (Windows Server 2008 R2 SP1، Windows Server 2008 SP2)

نص الحدث

عميل PKINIT Kerberos غير مكون تمت مصادقته على DC هذا. تم السماح بالمصادقة لأنه تم تعيين KDCGlobalAllowDesFallBack. في المستقبل، ستفشل هذه الاتصالات في المصادقة. تحديد الجهاز والبحث عن ترقية تطبيق Kerberos الخاص به

  • اسم العميل الأساسي: اسم مجال<>\<اسم العميل>

  • عنوان IP للعميل: IPv4/IPv6

  • اسم NetBIOS الذي يوفره العميل: ٪3

الحالة

أكد Microsoft أن هذه مشكلة في منتجات Microsoft المدرجة في قسم "ينطبق على".

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

اكتشاف المجتمع

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.

طرح أسئلة في Microsoft Community

مجتمع Microsoft التقني

مشتركو Windows Insider

المشاركون في برنامج Microsoft 365 Insider

هل كانت المعلومات مفيدة؟

ما مدى رضاك عن جودة اللغة؟
ما الذي أثّر في تجربتك؟
بالضغط على "إرسال"، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. سيتمكن مسؤول تكنولوجيا المعلومات لديك من جمع هذه البيانات. بيان الخصوصية.

نشكرك على ملاحظاتك!

×