Microsoft の PrintNightmare パッチにより、スマートカード ベースのエンタープライズ印刷が破壊される

PrintNightmareという用語を作り出した人は誰でも、先見の明があったに違いありません。このエクスプロイトは、Microsoftの印刷スタックに関するPandoraの問題の箱を発見し、最新のものはMicrosoftの欠陥の修正によって引き起こされたものです。

マイクロソフトは、2021年10月のWindows XNUMX累積的な更新プログラムに関する新しい既知の問題を投稿しました。スマートカードベースの認証を使用した印刷は、プリントサーバーにパッチを適用した後に機能しなくなる可能性があることを企業に警告しています。

Microsoft 書き込み:

13年2021月3.2.1日にリリースされた更新プログラムをご使用の環境のドメインコントローラー（DC）にインストールした後、RFC 4556仕様のセクションXNUMXに準拠していないプリンター、スキャナー、および多機能デバイスは、スマートカード（PIV）を使用すると印刷に失敗する場合があります。 ）認証。

この問題は、サポートされているすべてのバージョンのWindowsおよびWindowsServerに影響しているようです。

マイクロソフトは説明する この問題は、Kerberos AS要求中にDHをサポートしない、またはdes-ede3-cbc（「トリプルDES」）のサポートをアドバタイズするスマートカード認証プリンター、スキャナー、および多機能デバイスに影響します。 RFC 3.2.1仕様のセクション4556に従って、この鍵交換が機能するためには、クライアントは、des-ede3-cbc（「トリプルDES」）のサポートをサポートし、鍵配布センター（KDC）に通知する必要があります。 暗号化モードの鍵交換でKerberosPKINITを開始するが、des-ede3-cbc（「トリプルDES」）をサポートすることもKDCに通知することもないクライアントは拒否されます。

デバイスが影響を受ける場合、マイクロソフトはまず、問題を修正する可能性のある最新のファームウェアがベンダーから入手可能かどうかを確認することをお勧めします。 マイクロソフトは回避策にも取り組んでいますが、これはまだ利用できませんが、企業がベンダーにアップデートの提供または回避策の提供を要請することをお勧めします。

Microsoftは、スマートカード（PIV）認証を使用するときに影響を受けるデバイスは、ユーザー名とパスワードの認証を使用するときに期待どおりに機能するはずであると述べています。

、 MSFTで