Symptome
Das Drucken und Scannen kann fehlschlagen, wenn diese Geräte die Smartcard-Authentifizierung (PIV) verwenden.
Hinweis Geräte, die bei der Verwendung der Smartcard-Authentifizierung (PIV) betroffen sind, sollten bei Verwendung der Authentifizierung mit Benutzername und Kennwort wie erwartet funktionieren.
Ursache
Am 13. Juli 2021 Microsoft Härtungsänderungen für CVE-2021-33764 veröffentlicht. Dies kann dieses Problem verursachen, wenn Sie Updates installieren, die am 13. Juli 2021 oder höher auf einem Domänencontroller (DC) veröffentlicht wurden. Bei den betroffenen Geräten handelt es sich um Smartcards zur Authentifizierung von Druckern, Scannern und Multifunktionsgeräten, die keine Diffie-Hellman (DH) für den Schlüsselaustausch während der PKINIT-Kerberos-Authentifizierung unterstützen oder während der Kerberos AS-Anforderung keine Unterstützung für des-ede3-cbc ("triple DES") ankündigen.
Gemäß Abschnitt 3.2.1 der RFC 4556-Spezifikation muss der Client das Schlüsselverteilungszentrum (Key Distribution Center, KDC) sowohl unterstützen als auch über seine Unterstützung für des-ede3-cbc ("triple DES") informieren. Clients, die Kerberos PKINIT mit Schlüsselaustausch im Verschlüsselungsmodus initiieren, aber weder unterstützen noch dem KDC mitteilen, dass sie des-ede3-cbc ("triple DES") unterstützen, werden abgelehnt.
Damit Drucker- und Scannerclientgeräte kompatibel sind, müssen sie entweder:
-
Verwenden Sie Diffie-Hellman für den Schlüsselaustausch während der PKINIT-Kerberos-Authentifizierung (bevorzugt).
-
Oder unterstützen und benachrichtigen den KDC über seine Unterstützung für des-ede3-cbc ("Triple DES").
Nächste Schritte
Wenn dieses Problem mit Ihren Druck- oder Scangeräten auftritt, überprüfen Sie, ob Sie die neueste Firmware und treiber verwenden, die für Ihr Gerät verfügbar sind. Wenn Ihre Firmware und Treiber auf dem neuesten Stand sind und dieses Problem weiterhin auftritt, empfehlen wir Ihnen, sich an den Gerätehersteller zu wenden. Fragen Sie, ob eine Konfigurationsänderung erforderlich ist, um das Gerät mit der Härtungsänderung für CVE-2021-33764 in Einklang zu bringen, oder ob ein konformes Update verfügbar gemacht wird.
Wenn es derzeit keine Möglichkeit gibt, Ihre Geräte mit Abschnitt 3.2.1 der RFC 4556-Spezifikation wie für CVE-2021-33764 erforderlich zu erreichen, ist jetzt eine vorübergehende Entschärfung verfügbar, während Sie mit dem Hersteller Ihres Druck- oder Scangeräts zusammenarbeiten, um Ihre Umgebung innerhalb der folgenden Zeitachse in Übereinstimmung zu bringen.
Wichtig Ihre nicht konformen Geräte müssen bis zum 12. Juli 2022 aktualisiert und konform oder ersetzt werden, wenn die vorübergehende Entschärfung in Sicherheitsupdates nicht verwendet werden kann.
Wichtiger Hinweis
Alle temporären Abhilfemaßnahmen für dieses Szenario werden je nach verwendeter Windows-Version im Juli 2022 und August 2022 entfernt (siehe Tabelle unten). Es wird keine weitere Fallbackoption in späteren Updates geben. Alle nicht konformen Geräte müssen mithilfe der Überwachungsereignisse ab Januar 2022 identifiziert und durch die Entfernung der Risikominderung ab Ende Juli 2022 aktualisiert oder ersetzt werden.
Nach Juli 2022 können Geräte, die nicht mit der RFC 4456-Spezifikation und CVE-2021-33764 konform sind, nicht mit einem aktualisierten Windows-Gerät verwendet werden.
|
Zieltermin |
Ereignis |
Gilt für |
|
13. Juli 2021 |
Aktualisierungen mit Härtungsänderungen für CVE-2021-33764 veröffentlicht. Bei allen späteren Updates ist diese Härtungsänderung standardmäßig aktiviert. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
27. Juli 2021 |
Aktualisierungen mit vorübergehender Entschärfung veröffentlicht, um Druck- und Scanprobleme auf nicht konformen Geräten zu beheben. Aktualisierungen, die an diesem Datum oder später veröffentlicht werden, müssen auf Dem Domänencontroller installiert sein, und die Entschärfung muss über den Registrierungsschlüssel mithilfe der folgenden Schritte aktiviert werden. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29. Juli 2021 |
Aktualisierungen mit vorübergehender Entschärfung veröffentlicht, um Druck- und Scanprobleme auf nicht konformen Geräten zu beheben. Aktualisierungen Version an diesem Oder höher muss auf Dem Domänencontroller installiert sein, und die Entschärfung muss über den Registrierungsschlüssel mithilfe der folgenden Schritte aktiviert werden. |
Windows Server 2016 |
|
25. Januar 2022 |
Aktualisierungen protokollieren Überwachungsereignisse auf Active Directory-Domänencontrollern, die Drucker identifizieren, bei denen es sich um in RFC-4456 kompatible Drucker handelt, bei denen die Authentifizierung fehlschlägt, sobald DCs die Updates vom Juli 2022/August 2022 oder höher installieren. |
Windows Server 2022 Windows Server 2019 |
|
8. Februar 2022 |
Aktualisierungen protokollieren Überwachungsereignisse auf Active Directory-Domänencontrollern, die Drucker identifizieren, bei denen es sich um in RFC-4456 kompatible Drucker handelt, bei denen die Authentifizierung fehlschlägt, sobald DCs die Updates vom Juli 2022/August 2022 oder höher installieren. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21. Juli 2022 |
Optionales Vorschauupdaterelease, um die vorübergehende Entschärfung zu entfernen, damit Geräte zum Drucken und Scannen von Beschwerden in Ihrer Umgebung erforderlich sind. |
Windows Server 2019 |
|
Dienstag, 9. August 2022 |
Wichtig Release des Sicherheitsupdates, um die vorübergehende Entschärfung zu entfernen, damit Geräte zum Drucken und Scannen von Beschwerden in Ihrer Umgebung erforderlich sind. Alle Updates, die an diesem oder späteren Tag veröffentlicht werden, können die temporäre Entschärfung nicht verwenden. Smartcard-authentifizierende Drucker und Scanner müssen mit Abschnitt 3.2.1 der RFC 4556-Spezifikation konform sein, die für CVE-2021-33764 nach der Installation dieser Updates oder höher auf Active Directory-Domänencontrollern erforderlich ist. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Führen Sie die folgenden Schritte auf allen Domänencontrollern aus, um die temporäre Entschärfung in Ihrer Umgebung zu verwenden:
-
Legen Sie auf den Domänencontrollern den unten aufgeführten Registrierungswert für die temporäre Entschärfung auf 1 (aktivieren) fest, indem Sie den Registrierungs-Editor oder die in Ihrer Umgebung verfügbaren Automatisierungstools verwenden.
Hinweis Dieser Schritt 1 kann vor oder nach den Schritten 2 und 3 ausgeführt werden.
-
Installieren Sie ein Update, das die temporäre Entschärfung ermöglicht, die in Updates verfügbar ist, die am 27. Juli 2021 oder höher veröffentlicht wurden (im Folgenden finden Sie die ersten Updates, die die temporäre Entschärfung ermöglichen):
-
Starten Sie den Domänencontroller neu.
Registrierungswert für die temporäre Entschärfung:
Warnung Durch die unsachgemäße Änderung der Registrierung mit dem Registrierungs-Editor oder einer anderen Methode können schwerwiegende Probleme verursacht werden. Diese Probleme erfordern möglicherweise, dass Sie das Betriebssystem neu installieren. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.
|
Registrierungsunterschlüssel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Wert |
Allow3DesFallback |
|
Datentyp |
DWORD |
|
Daten |
1 – Aktivieren Sie die vorübergehende Entschärfung. 0 – Aktivieren Sie das Standardverhalten, sodass Ihre Geräte mit Abschnitt 3.2.1 der RFC 4556-Spezifikation konform sind. |
|
Neustart erforderlich? |
Nein |
Der oben genannte Registrierungsschlüssel und der Wert und das Dataset können mit dem folgenden Befehl erstellt werden:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Überwachungs-Ereignisse
Das Windows-Update vom 25. Januar 2022 und 8. Februar 2022 fügt auch neue Ereignis-IDs hinzu, um betroffene Geräte zu identifizieren.
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Fehler |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Ereignistext |
Der Kerberos-Client hat keinen unterstützten Verschlüsselungstyp für die Verwendung mit dem PKINIT-Protokoll im Verschlüsselungsmodus bereitgestellt.
|
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Kdcsvc |
|
Ereigniskennung |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Ereignistext |
Ein nicht konformer PKINIT-Kerberos-Client, der bei diesem Domänencontroller authentifiziert ist. Die Authentifizierung wurde zugelassen, weil KDCGlobalAllowDesFallBack festgelegt wurde. In Zukunft tritt bei diesen Verbindungen ein Authentifizierungsfehler auf. Identifizieren des Geräts und Durchführen eines Upgrades der Kerberos-Implementierung
|
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den Microsoft-Produkten handelt, die dem Abschnitt unter „Gilt für“ aufgeführt sind.
