微软警告说,从本周的可选预览更新开始,一年前为解决不合规设备上的 Windows Server 打印问题而提供的临时缓解措施将被删除,这可能会中断打印。
正如 Redmond 去年解释的那样,在 Windows 域控制器 (DC) 上安装 2021 年 7 月的安全更新后,一个已知问题可能会导致多个 Windows Server 版本的打印和扫描失败。
已知问题影响不符合 CVE-2021-33764 强化更改和使用智能卡 (PIV) 身份验证的打印机、扫描仪和多功能设备。
“受影响的设备是智能卡身份验证打印机、扫描仪和多功能设备,它们不支持在 PKINIT Kerberos 身份验证期间进行密钥交换的 Diffie-Hellman (DH) 或不宣传对 des-ede3-cbc (‘triple DES’) 在 Kerberos AS 请求期间,”微软 解释说。
幸运的是,据微软称,所有受影响的智能卡身份验证设备都将按预期工作,并且如果使用用户名/密码身份验证,则不会受到影响。
在受影响的 Windows Server 版本中禁用临时缓解
周四,微软表示,本周 Windows Server 2019 系统上的可选预览更新现已禁用临时修复。此更改将导致在带有不兼容设备的 Windows 环境中打印和扫描失败。
“从 2022 年 7 月 21 日开始,这种临时缓解措施将无法在安全更新中使用。Windows 2022 年 7 月预览版更新将删除临时缓解措施,并且需要兼容的打印和扫描设备,”该公司 在 Windows 消息中心更新中表示。
到 2022 年 8 月 9 日发布的下个月补丁星期二安全更新之前,所有受影响的 Windows Server 版本(Windows Server 2019、2016、2012 和 2008)也将删除临时缓解措施。
“今天或之后发布的所有更新都将无法使用临时缓解措施,”微软 在更新的支持文档中解释道。
“在 Active Directory 域控制器上安装这些更新或更高版本后,智能卡身份验证打印机和扫描仪必须符合 CVE-2021-33764 所需的 RFC 4556 规范的第 3.2.1 节。”
若要查找在 Windows DC 上安装 2022 年 7 月或更高版本的更新后将无法通过身份验证的不合规设备,管理员应检查其 Active Directory DC 上的日志,以查找识别在部署 2022 年 2 月 Windows Server 更新后添加的 RFC-4456 不兼容打印机的审核事件。