微软的 PrintNightmare 补丁正在打破基于智能卡的企业打印

微软写道：

在您环境中的域控制器 (DC) 上安装 2021 年 7 月 13 日发布的更新后，不符合 RFC 4556 规范第 3.2.1 节的打印机、扫描仪和多功能设备在使用智能卡 (PIV) 时可能无法打印） 验证。

该问题似乎会影响所有受支持的 Windows 和 Windows Server 版本。

Microsoft 解释说，该问题会影响智能卡验证打印机、扫描仪和不支持 DH 的多功能设备，或者在 Kerberos AS 请求期间宣传对 des-ede3-cbc（“三重 DES”）的支持。根据 RFC 4556 规范的第 3.2.1 节，要使此密钥交换工作，客户端必须支持并通知密钥分发中心 (KDC) 他们对 des-ede3-cbc（“三重 DES”）的支持。在加密模式下使用密钥交换启动 Kerberos PKINIT 但既不支持也不告诉 KDC 他们支持 des-ede3-cbc（“三重 DES”）的客户端将被拒绝。

如果您的设备受到影响，Microsoft 建议首先检查您的供应商是否提供更新的固件，这可能会解决该问题。Microsoft 也在研究一种变通方法，目前尚不可用，但建议公司请愿其供应商提供更新或提供变通方法。

Microsoft 指出，使用智能卡 (PIV) 身份验证时受影响的设备在使用用户名和密码身份验证时应按预期工作。