Oireet
Tulostaminen ja skannaaminen voi epäonnistua, kun nämä laitteet käyttävät ÄLYKORTTI (PIV) -todennusta.
Huomautus Laitteiden, joihin älykortin (PIV) todennus vaikuttaa, pitäisi toimia odotetulla tavalla käyttäjänimeä ja salasanatodennusta käytettäessä.
Syy
13. heinäkuuta 2021 Microsoft julkaissut CVE-2021-33764 :n kovennusmuutoksia Tämä saattaa aiheuttaa tämän ongelman, kun asennat 13. heinäkuuta 2021 tai uudempia versioita toimialueen ohjauskoneeseen (DC). Kyseiset laitteet ovat älykortti, joka todentaa tulostimet, skannerit ja monitoimilaitteet, jotka eivät tue Diffie-Hellman (DH) avainten vaihtoon PKINIT Kerberos -todennuksen aikana tai jotka eivät ilmoita tukea des-ede3-cbc :lle ("triple DES") Kerberos AS -pyynnön aikana.
RFC 4556 -määrityksen osion 3.2.1 mukaan asiakkaan on sekä tuettava avainjakelukeskusta että ilmoitettava siitä tuestaan des-ede3-cbc:lle ("triple DES"). Asiakkaat, jotka käynnistävät Kerberos PKINIT:n salaustilassa avaimenvaihdolla, mutta eivät tue eivätkä kerro KDC:lle tukevansa des-ede3-cbc:tä ("triple DES"), hylätään.
Jotta tulostimen ja skannerin asiakaslaitteet olisivat yhteensopivia, niiden on joko
-
Käytä Diffie-Hellman avainten vaihtoon PKINIT Kerberos -todennuksen aikana (ensisijainen).
-
Voit myös sekä tukea että ilmoittaa KDC:lle tuestaan des-ede3-cbc:lle ("triple DES").
Seuraavat vaiheet
Jos kohtaat tämän ongelman tulostus- tai skannauslaitteissa, varmista, että käytät uusinta laiteohjelmistoa ja ohjaimia, jotka ovat käytettävissä laitteessasi. Jos laiteohjelmistosi ja ohjaimesi ovat ajan tasalla ja ongelma jatkuu, suosittelemme, että otat yhteyttä laitteen valmistajaan. Kysy, tarvitaanko määritysmuutos, jotta laite voidaan saattaa CVE-2021-33764 :n kovennusmuutoksen mukaiseksi, vai onko yhteensopiva päivitys saatavilla.
Jos laitteesi eivät tällä hetkellä ole CVE-2021-33764:n edellyttämän RFC 4556 -määrityksen kohdan 3.2.1 mukaisia, tilapäinen lievennys on nyt käytettävissä, kun työskentelet tulostus- tai skannauslaitteen valmistajan kanssa ympäristösi vaatimustenmukaisuuden varmistamiseksi alla olevassa aikajanassa.
Tärkeää Sinun on päivitettävä ja korvattava ei-yhteensopivat laitteesi 12. heinäkuuta 2022 mennessä, jolloin väliaikaista lievennystä ei voi käyttää tietoturvapäivityksissä.
Tärkeä ilmoitus
Kaikki tämän skenaarion väliaikaiset lievennystoiminnot poistetaan heinäkuussa 2022 ja elokuussa 2022 käyttämäsi Windows-version mukaan (katso alla oleva taulukko). Myöhemmissa päivityksissä ei ole enää varavaihtoehtoa. Kaikki ei-kilpailulliset laitteet on tunnistettava tammikuusta 2022 alkaen alkavien valvontatapahtumien avulla ja ne on päivitettävä tai korvattava lievennyksen poistolla heinäkuun lopusta 2022 alkaen.
Heinäkuun 2022 jälkeen laitteita, jotka eivät ole RFC 4456 -määrityksen ja CVE-2021-33764:n mukaisia, ei voi käyttää päivitetyssä Windows-laitteessa.
|
Tavoitepäivämäärä |
Tapahtuma |
Koskee seuraavia: |
|
13.7.2021 |
Päivitykset julkaistu CVE-2021-33764-tiivistysmuutoksilla. Kaikissa myöhemmissa päivityksissä tämä kovettumismuutos on oletusarvoisesti käytössä. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
27. heinäkuuta 2021 |
Päivitykset julkaistu tilapäisellä lievennyksellä tulostus- ja skannausongelmien ratkaisemiseksi ei-vastaamattoissa laitteissa. Päivitykset, jotka on julkaistu tänä päivänä tai sitä uudempana päivänä, on asennettava dc:hen ja lievennys on otettava käyttöön rekisteriavaimen kautta alla olevien ohjeiden mukaisesti. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29. heinäkuuta 2021 |
Päivitykset julkaistu tilapäisellä lievennyksellä tulostus- ja skannausongelmien ratkaisemiseksi ei-vastaamattoissa laitteissa. Päivitykset julkaisun on oltava asennettuna dc:hen ja lievennys on otettava käyttöön rekisteriavaimen kautta alla olevien ohjeiden mukaisesti. |
Windows Server 2016 |
|
25. tammikuuta 2022 |
Päivitykset kirjaa active directory -toimialueen ohjauskoneiden valvontatapahtumat, jotka tunnistavat tulostimet, jotka ovat RFC-4456-yhteensopimattomia tulostimia, jotka epäonnistuvat todennuksessa, kun tietokoneet asentavat heinäkuun 2022/elokuun 2022 tai uudemmat päivitykset. |
Windows Server 2022 Windows Server 2019 |
|
8. helmikuuta 2022 |
Päivitykset kirjaa active directory -toimialueen ohjauskoneiden valvontatapahtumat, jotka tunnistavat tulostimet, jotka ovat RFC-4456-yhteensopimattomia tulostimia, jotka epäonnistuvat todennuksessa, kun tietokoneet asentavat heinäkuun 2022/elokuun 2022 tai uudemmat päivitykset. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21. heinäkuuta 2022 |
Valinnainen esikatselupäivitysversio, joka poistaa tilapäisen lievennyksen ja vaatii valitusten tulostus- ja skannauslaitteita ympäristössäsi. |
Windows Server 2019 |
|
9. elokuuta 2022 |
Tärkeää Suojauspäivityksen julkaisu, jonka avulla voidaan poistaa tilapäinen lievennys, joka edellyttää valitusten tulostus- ja skannauslaitteita ympäristössäsi. Kaikki tänä päivänä tai myöhemmin julkaistut päivitykset eivät voi käyttää väliaikaista lievennystä. Smartcard-todentavien tulostimien ja skannereiden on oltava yhteensopivia CVE-2021-33764:n vaatiman RFC 4556 -määrityksen kohdan 3.2.1 kanssa, kun nämä päivitykset on asennettu tai uudempi Active Directory -toimialueen ohjauskoneisiin |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Jos haluat käyttää tilapäistä lievennystä ympäristössäsi, noudata seuraavia ohjeita kaikissa toimialueen ohjauskoneissa:
-
Määritä toimialueen ohjauskoneissa alla olevan tilapäisen lievennyksen rekisteriarvoksi 1 (ota käyttöön) rekisterieditorin tai ympäristössä käytettävissä olevien automaatiotyökalujen avulla.
Huomautus Tämä vaihe 1 voidaan tehdä ennen vaiheita 2 ja 3 tai sen jälkeen.
-
Asenna päivitys, joka sallii tilapäisen lieventämisen 27. heinäkuuta 2021 tai uudemmissa päivityksissä (alla on ensimmäiset päivitykset, jotka mahdollistavat tilapäisen lieventämisen):
-
Käynnistä toimialueen ohjauskone uudelleen.
Tilapäisen lieventämisen rekisteriarvo:
Varoitus Rekisterin virheellinen muokkaaminen Rekisterieditorin tai muun menetelmän avulla voi aiheuttaa vakavia ongelmia. Nämä ongelmat saattavat edellyttää käyttöjärjestelmän uudelleenasentamista. Microsoft ei voi taata, että nämä ongelmat voidaan ratkaista. Muokkaa rekisteriä omalla vastuullasi.
|
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Arvo |
Allow3DesFallback |
|
Tietotyyppi |
DWORD |
|
Tiedot |
1 – Ota käyttöön väliaikainen lievennys. 0 – Ota käyttöön oletustoiminta, joka edellyttää, että laitteesi ovat RFC 4556 -määrityksen kohdan 3.2.1 mukaisia. |
|
Tarvitaanko uudelleenkäynnistystä? |
Ei |
Yllä oleva rekisteriavain voidaan luoda ja arvo ja tietojoukko käyttää seuraavaa komentoa:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Tapahtumien valvonta
Windowsin 25. tammikuuta 2022 ja 8. helmikuuta 2022 julkaistu päivitys lisää myös uusia tapahtumatunnuksia, jotka auttavat tunnistamaan kyseiset laitteet.
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Virhe |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Tapahtuman teksti |
Kerberos-asiakasohjelma ei ole kirjoittanut tuettua salaustyyppiä käytettäväksi PKINIT-protokollan kanssa salaustilassa.
|
|
Tapahtumaloki |
Järjestelmä |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumalähde |
Kdcsvc |
|
Tapahtumatunnus |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Tapahtuman teksti |
Epäyhtenäinen PKINIT Kerberos -asiakas todennettu tähän DC:hen. Todennus on sallittu, koska KDCGlobalAllowDesFallBack on määritetty. Jatkossa nämä yhteydet epäonnistuvat todennuksessa. Laitteen tunnistaminen ja Kerberos-toteutuksen päivittäminen
|
Tila
Microsoft on vahvistanut, että tämä ongelma ilmenee Microsoft tuotteissa, jotka on lueteltu Koskee seuraavia-osiossa.
