微軟的 PrintNightmare 補丁正在打破基於智慧卡的企業列印

創造 PrintNightmare 一詞的人一定是有先見之明的，因為該漏洞利用發現了微軟打印堆棧的潘多拉盒子問題，而最新的問題是由微軟修復該缺陷引起的。

微軟已為其 2021 年 10 月的 Windows XNUMX 累積更新發布了一個新的已知問題，警告公司使用基於智能卡的身份驗證進行打印可能會在修補其打印服務器後停止工作。

Microsoft微軟 寫入:

在您環境中的域控制器 (DC) 上安裝 13 年 2021 月 3.2.1 日發布的更新後，不符合 RFC 4556 規範第 XNUMX 節的打印機、掃描儀和多功能設備在使用智能卡 (PIV) 時可能無法打印） 驗證。

該問題似乎會影響所有受支持的 Windows 和 Windows Server 版本。

微軟解釋 該問題會影響智能卡驗證打印機、掃描儀和不支持 DH 或在 Kerberos AS 請求期間宣傳對 des-ede3-cbc（“三重 DES”）的支持的多功能設備。 根據 RFC 3.2.1 規範的第 4556 節，要使此密鑰交換工作，客戶端必須支持並通知密鑰分發中心 (KDC) 他們對 des-ede3-cbc（“三重 DES”）的支持。 在加密模式下使用密鑰交換啟動 Kerberos PKINIT 但既不支持也不告訴 KDC 他們支持 des-ede3-cbc（“三重 DES”）的客戶端將被拒絕。

如果您的設備受到影響，Microsoft 建議首先檢查您的供應商是否提供更新的固件，這可能會解決該問題。 Microsoft 也在研究一種變通方法，目前尚不可用，但建議公司請願其供應商提供更新或提供變通方法。

Microsoft 指出，使用智能卡 (PIV) 身份驗證時受影響的設備在使用用戶名和密碼身份驗證時應按預期工作。

通過 MSFT