Požymiai
Spausdinimas ir nuskaitymas gali nepavykti, kai šiuose įrenginiuose naudojamas intelektualiosios kortelės (PIV) autentifikavimas.
Pastaba Įrenginiai, kurie turi įtakos naudojant intelektualiosios kortelės (PIV) autentifikavimą, turėtų veikti taip, kaip tikėtasi, kai naudojamas vartotojo vardo ir slaptažodžio autentifikavimas.
Priežastis
2021 m. liepos 13 d. "Microsoft" išleido CVE-2021-33764 griežinimo pakeitimus. Tai gali sukelti šią problemą diegiant naujinimus, išleistus 2021 m. liepos 13 d. arba naujesnes versijas domeno valdiklyje (DC). Paveikti įrenginiai yra intelektualiųjų kortelių autentifikavimo spausdintuvai, skaitytuvai ir daugiafunkciai įrenginiai, kurie nepalaiko Diffie-Hellman (DH) klavišų mainams atliekant "PKINIT Kerberos" autentifikavimą arba "Kerberos AS " užklausos metu nereklamuoja des-ede3-cbc (trigubo DES) palaikymo.
Pagal RFC 4556 specifikacijos 3.2.1 skyrių, kad šis keitimasis raktu veiktų, klientas turi palaikyti ir pranešti rakto paskirstymo centrui (KDC) apie savo paramą des-ede3-cbc ("triple DES"). Klientai, kurie inicijuoja Kerberos PKINIT raktų mainus šifravimo režimu, bet nei palaiko, nei nurodo KDC, kad palaiko des-ede3-cbc ("triple DES"), bus atmesti.
Kad spausdintuvo ir skaitytuvo kliento įrenginiai atitiktų reikalavimus, jie turi:
-
Naudokite Diffie-Hellman raktų mainams PKINIT Kerberos autentifikavimo metu (pageidautina).
-
Arba abu palaiko ir praneša KDC apie jų paramą des-ede3-cbc ("triple DES").
Kiti veiksmai
Jei susidūrėte su šia spausdinimo arba nuskaitymo įrenginių problema, patikrinkite, ar naudojate naujausią jūsų įrenginiui skirtą programinę-aparatinę įrangą ir tvarkykles. Jei jūsų programinė-aparatinė įranga ir tvarkyklės yra atnaujintos ir vis tiek susiduriate su šia problema, rekomenduojame kreiptis į įrenginio gamintoją. Paklauskite, ar reikia pakeisti konfigūraciją, kad įrenginys atitiktų CVE-2021-33764 griežinimo keitimą, ar bus pasiekiamas suderinamas naujinimas.
Jei šiuo metu nėra būdo, kaip suderinti įrenginių atitiktį RFC 4556 specifikacijos 3.2.1 skyriuje, kaip reikalaujama CVE-2021-33764, kol dirbate su spausdinimo arba nuskaitymo įrenginio gamintoju, kad jūsų aplinka atitiktų reikalavimus per toliau nurodytą laiko planavimo juostą, dabar galimas laikinas rizikos mažinimas.
Svarbu Jūsų nekompiuteriniai įrenginiai turi būti atnaujinti ir suderinami arba pakeisti 2022 m. liepos 12 d., kai laikinas rizikos mažinimas nebus naudojamas saugos naujinimuose.
Svarbus pranešimas
Visas laikinas šio scenarijaus mažinimas bus pašalintas 2022 m. liepos mėn. ir 2022 m. rugpjūčio mėn., atsižvelgiant į naudojamą "Windows" versiją (žr. toliau pateiktą lentelę). Vėlesniuose naujinimuose daugiau atsarginių parinkčių nebus. Visi neatitinkantys įrenginiai turi būti identifikuojami naudojant audito įvykius nuo 2022 m. sausio mėn. ir atnaujinami arba pakeičiami mažinimu nuo 2022 m. liepos mėn. pabaigos.
Po 2022 m. liepos mėn. įrenginių, kurie neatitinka RFC 4456 specifikacijos ir CVE-2021-33764, nebus galima naudoti su atnaujintu "Windows" įrenginiu.
|
Tikslinė data |
Įvykis |
Taikoma |
|
2021 m. liepos 13 d. |
Naujinimai išleistas su CVE-2021-33764 sukietinimo pakeitimais. Visuose vėlesniuose naujinimuose šis sustigrinimas pagal numatytuosius parametrus yra įjungtas. |
„Windows Server 2019” „Windows Server 2016“ „Windows Server 2012 R2“ „Windows Server 2012“ „Windows Server 2008 R2“ SP1 Windows Server 2008 SP2 |
|
2021 m. liepos 27 d. |
Naujinimai išleistas su laikinu mažinimu, kad būtų sprendžiamos spausdinimo ir nuskaitymo problemos nelydimo įrenginiuose. Naujinimai, išleistą šią dieną arba vėliau, turi būti įdiegta jūsų DC, o mažinimas turi būti įjungtas naudojant registro raktą atliekant toliau nurodytus veiksmus. |
„Windows Server 2019” „Windows Server 2012 R2“ „Windows Server 2012“ „Windows Server 2008 R2“ SP1 Windows Server 2008 SP2 |
|
2021 m. liepos 29 d. |
Naujinimai išleistas su laikinu mažinimu, kad būtų sprendžiamos spausdinimo ir nuskaitymo problemos nelydimo įrenginiuose. Naujinimai leidimą šią datą arba vėliau turi būti įdiegtas jūsų DC ir rizikos mažinimas turi būti įjungtas naudojant registro raktą atliekant toliau nurodytus veiksmus. |
„Windows Server 2016“ |
|
2022 m. sausio 25 d. |
Naujinimai registruos audito įvykius "Active Directory" domeno valdikliuose, kurie identifikuoja spausdintuvus, kurie yra RFC-4456 nesuderinami spausdintuvai, kurie nepavyksta autentifikuoti, kai DC įdiegia 2022 m. liepos/2022 m. rugpjūčio mėn. arba naujesnius naujinimus. |
Windows Server 2022 „Windows Server 2019” |
|
2022 m. vasario 8 d. |
Naujinimai registruos audito įvykius "Active Directory" domeno valdikliuose, kurie identifikuoja spausdintuvus, kurie yra RFC-4456 nesuderinami spausdintuvai, kurie nepavyksta autentifikuoti, kai DC įdiegia 2022 m. liepos/2022 m. rugpjūčio mėn. arba naujesnius naujinimus. |
„Windows Server 2016“ „Windows Server 2012 R2“ „Windows Server 2012“ „Windows Server 2008 R2“ SP1 Windows Server 2008 SP2 |
|
2022 m. liepos 21 d. |
Pasirinktinis peržiūros naujinimo leidimas, skirtas pašalinti laikiną rizikos mažinimą, kad jūsų aplinkoje būtų reikalaujama spausdinti ir nuskaityti nusiskundimus. |
„Windows Server 2019” |
|
2022 m. rugpjūčio 9 d. |
Svarbu Saugos naujinimo leidimas, skirtas pašalinti laikiną rizikos mažinimą, kad būtų reikalaujama skundų spausdinimo ir nuskaitymo įrenginių jūsų aplinkoje. Visi naujinimai, išleisti šią dieną arba vėliau, negalės naudoti laikino rizikos mažinimo. Intelektualiosios kortelės autentifikavimo spausdintuvai ir skaitytuvai turi atitikti RFC 4556 specifikacijos , būtinos CVE-2021-33764, 3.2.1 skyrių, įdiegus šiuos naujinimus arba naujesnę versiją "Active Directory" domenų valdikliuose |
„Windows Server 2019” „Windows Server 2016“ „Windows Server 2012 R2“ „Windows Server 2012“ „Windows Server 2008 R2“ SP1 Windows Server 2008 SP2 |
Norėdami naudoti laikiną rizikos mažinimą savo aplinkoje, atlikite šiuos veiksmus visuose domeno valdikliuose:
-
Domeno valdikliuose nustatykite toliau nurodytą laikiną rizikos mažinimo registro reikšmę į 1 (įgalinti) naudodami registro rengyklę arba jūsų aplinkoje pasiekiamus automatizavimo įrankius.
Pastaba Šį 1 veiksmą galima atlikti prieš arba po 2 ir 3 veiksmų.
-
Įdiekite naujinimą, leidžiantį laikiną mažinimą, pasiekiamą naujinimuose, išleistuose 2021 m. liepos 27 d. arba naujesnėse versijose (toliau pateikiami pirmieji naujinimai, leidžiantys laikinai sumažinti riziką):
-
Iš naujo paleiskite domeno valdiklį.
Laikino rizikos mažinimo registro reikšmė:
Įspėjimas Gali kilti rimtų problemų, jei netinkamai pakeisite registrą naudodami registro rengyklę arba kitą būdą. Dėl šių problemų gali tekti iš naujo įdiegti operacinę sistemą. "Microsoft" negarantuoja, kad galima išspręsti šias problemas. Keiskite registrą savo rizika.
|
Registro dalinis raktas |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Reikšmė |
Allow3DesFallback |
|
Duomenų tipas |
DWORD |
|
Duomenys |
1 – Įgalinti laikiną rizikos mažinimą. 0 – įgalinkite numatytąjį veikimą, reikalaudami, kad jūsų įrenginiai atitiktų RFC 4556 specifikacijos 3.2.1 skyrių. |
|
Reikia paleisti iš naujo? |
Ne |
Anksčiau nurodytą registro raktą galima sukurti ir reikšmę bei duomenų rinkinį naudojant šią komandą:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Audito įvykiai
2022 m. sausio 25 d. ir 2022 m. vasario 8 d. "Windows" naujinimas taip pat įtrauks naujų įvykių ID, kad būtų lengviau identifikuoti paveiktus įrenginius.
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Klaida |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Įvykio tekstas |
Kerberos klientas nepateikė palaikomo šifravimo tipo, skirto naudoti su PKINIT protokolu naudojant šifravimo režimą.
|
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Kdcsvc |
|
Įvykio ID |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Įvykio tekstas |
Neformuojantis "PKINIT Kerberos" klientas autentifikuotas šioje DC. Autentifikavimas buvo leidžiamas, nes buvo nustatytas KDCGlobalAllowDesFallBack. Ateityje šie ryšiai nepavyks autentifikuoti. Identifikuokite įrenginį ir žiūrėkite, kaip atnaujinti jo "Kerberos" diegimą
|
Būsena
"Microsoft" patvirtino, kad tai "Microsoft" produktų, išvardytų skyriuje "Taikoma", problema.
