[English]Die am 13. Juli 2021 zum regulären Patchday freigegebenen Sicherheitsupdates für Windows 10 (siehe Patchday: Windows 10-Updates (13. Juli 2021)) können in bestimmten Szenarien Druckprobleme verursachen. Das Drucken und Scannen kann fehlschlagen, wenn diese Geräte eine Smartcard-Authentifizierung (PIV) verwenden. Microsoft hat diesen Fehler inzwischen bestätigt und einen eigenen Supportbeitrag dazu veröffentlicht.
Im Supportbeitrag für das kumulative Update KB5004237 für Windows 10 Version 2004/20H2/21H1 hat Microsoft im Abschnitt zu bekannten Fehlern inzwischen den folgenden Eintrag hinzugefügt:
Nach der Installation der am 13. Juli 2021 veröffentlichten Updates für DCs (DCs) in Ihrer Umgebung können Drucker, Scanner und Multifunktionsgeräte, die nicht mit Abschnitt 3.2.1 der RFC 4556-Spezifikation kompatibel sind, möglicherweise nicht gedruckt werden, wenn die Smartcard-Authentifizierung (PIV) verwendet wird.
Auch auf der Windows 10 Statusseite findet sich ein entsprechender Eintrag – wobei Microsoft folgende Plattformen als betroffen angibt:
- Client: Windows 10, version 21H1; Windows 10, version 20H2; Windows 10, version 2004; Windows 10, version 1909; Windows 10, version 1809; Windows 10 Enterprise LTSC 2019; Windows 10 Enterprise LTSC 2016; Windows 10, version 1607; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1
- Server: Windows Server, version 20H2; Windows Server, version 2004; Windows Server, version 1909; Windows Server, version 1809; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2
Microsoft hat dazu den Supportbeitrag KB5005408 (Smartcard-Authentifizierung kann Druck- und Scanfehler verursachen) mit weiteren Details veröffentlicht. Der Hintergrund für die Druck- und Scanprobleme, falls Geräte die Smartcard-Authentifizierung (PIV) verwenden ist, dass Microsoft die betreffenden Teile von Windows in Bezug auf die Schwachstelle CVE-2021-33764 gehärtet hat. Die Schwachstelle bezieht sich auf eine anfällige Komponente, die einen schwachen Verschlüsselungsalgorithmus oder eine schwache Chiffre verwendet. Der von der anfälligen Komponente über ein Netzwerk gesendete Datenverkehr könnte entschlüsselt werden und Informationen über die aktive Sitzung eines Benutzers oder Dienstes preisgeben.
Die Druck- und Scan-Probleme können bei der Installation der Juli 2021-Updates (oder späterer Updates) auf auf einem Domain Controller (DC) auftreten. Betroffenen sind Drucker, Scanner und Multifunktionsgeräte mit Smartcard-Authentifizierung, die DH nicht unterstützen oder während der Kerberos-AS-Anforderung die Unterstützung für des-ede3-cbc („triple DES“) ankündigen.
Gemäß Abschnitt 3.2.1 der RFC 4556 Spezifikation muss der Client die Unterstützung für des-ede3-cbc („triple DES“) sowohl unterstützen als auch dem Key Distribution Center (KDC) mitteilen, damit dieser Schlüsselaustausch funktioniert. Clients, die Kerberos PKINIT mit Schlüsselaustausch im Verschlüsselungsmodus initiieren, aber weder unterstützen noch dem KDC mitteilen, dass sie des-ede3-cbc („triple DES“) unterstützen, werden abgewiesen. Damit Drucker- und Scanner-Client-Geräte konform sind, müssen sie entweder:
- Diffie-Hellman für den Schlüsselaustausch während der PKINIT-Kerberos-Authentifizierung verwenden (bevorzugt).
- Beide unterstützen und melden dem KDC ihre Unterstützung für des-ede3-cbc („triple DES“).
Tritt das Problem bei Druck- oder Scangeräten auf, ist zu überprüfen, ob die neueste Firmware und die neuesten Treiber für das Gerät installiert sind. Gegebenenfalls beim Gerätehersteller nach Updates nachfragen.
Microsoft arbeitet an einer temporären Entschärfung und will in naher Zukunft ein Update bereitstellen. Diese temporäre Lösung sollte das Drucken und Scannen auf den betroffenen Geräten ermöglichen. Dies verschafft den Geräteherstellern Zeit, um konforme Firmware und Treiber für ihre Geräte zu veröffentlichen. Außerdem sollte es Zeit geben, um Einstellungen, Firmware und Treiber in Ihrer Umgebung zu aktualisieren und konform zu machen.
Ergänzung: Erste Fixes sind da Sonderupdates sollen Windows Druckprobleme beheben (27. Juli 2021)
So kennen wir Windows. Nichts ist ordentlich integriert oder vereinheitlicht, aber alles hängt voneinander ab. Das schlechteste aus beiden Welten.
Der Beitrag ist total hilfreich, bringt super tolle neue Erkenntnisse, die bentroffenen Admins weiterhelfen. Danke dafür, bitte mehr!
Corporal Hicks aus dem Film Aliens würde dazu sagen.: „Probleme ohne ende“. Ist schon Kurios das es immer wieder Drucker probleme unter Windows 10 gibt. Es ist mir ein Rätsel das Microsoft die Drucker probleme unter Windows 10 nicht in den Griff bekommt. Naja zum glück betrifft mich dieses Problem dieses mal nicht.