微软的 PrintNightmare 补丁正在打破基于智能卡的企业打印

创造 PrintNightmare 一词的人一定是有先见之明的，因为该漏洞利用发现了微软打印堆栈的潘多拉盒子问题，而最新的问题是由微软修复该缺陷引起的。

微软已为其 2021 年 10 月的 Windows XNUMX 累积更新发布了一个新的已知问题，警告公司使用基于智能卡的身份验证进行打印可能会在修补其打印服务器后停止工作。

微软 写入:

在您环境中的域控制器 (DC) 上安装 13 年 2021 月 3.2.1 日发布的更新后，不符合 RFC 4556 规范第 XNUMX 节的打印机、扫描仪和多功能设备在使用智能卡 (PIV) 时可能无法打印） 验证。

该问题似乎会影响所有受支持的 Windows 和 Windows Server 版本。

微软解释 该问题会影响智能卡验证打印机、扫描仪和不支持 DH 或在 Kerberos AS 请求期间宣传对 des-ede3-cbc（“三重 DES”）的支持的多功能设备。 根据 RFC 3.2.1 规范的第 4556 节，要使此密钥交换工作，客户端必须支持并通知密钥分发中心 (KDC) 他们对 des-ede3-cbc（“三重 DES”）的支持。 在加密模式下使用密钥交换启动 Kerberos PKINIT 但既不支持也不告诉 KDC 他们支持 des-ede3-cbc（“三重 DES”）的客户端将被拒绝。

如果您的设备受到影响，Microsoft 建议首先检查您的供应商是否提供更新的固件，这可能会解决该问题。 Microsoft 也在研究一种变通方法，目前尚不可用，但建议公司请愿其供应商提供更新或提供变通方法。

Microsoft 指出，使用智能卡 (PIV) 身份验证时受影响的设备在使用用户名和密码身份验证时应按预期工作。

通过 MSFT