Síntomas

La impresión y el análisis pueden fallar cuando estos dispositivos usan autenticación de tarjeta inteligente (PIV). 

Nota: Los dispositivos que se ven afectados al usar la autenticación de tarjeta inteligente (PIV) deben funcionar según lo esperado al usar la autenticación de nombre de usuario y contraseña. 

Causa

El 13 de julio de 2021, Microsoft publicó cambios de duración para CVE-2021-33764. Esto puede causar este problema al instalar actualizaciones publicadas el 13 de julio de 2021 o posterior en un controlador de dominio (DC).  Los dispositivos afectados son impresoras, escáneres y dispositivos multifunción que no admiten Diffie-Hellman (DH) para el intercambio de claves durante la autenticación KERBEROS DEINIT o que no anuncian compatibilidad con des-ede3-cbc ("triple DES") durante la solicitud KERBEROS AS. Por sección 3.2.1 de rfc 4556especificación , para que este intercambio de claves funcione, el cliente tiene que admitir y notificar al centro de distribución de claves (KDC) de su soporte para des-ede3-cbc ("triple DES"). Los clientes que inicien KERBEROS PKINIT con el intercambio de claves en modo de cifrado, pero que no admiten ni dicen a KDC que admiten des-ede3-cbc ("triple DES"), se rechazarán. 

Para que los dispositivos cliente de impresora y escáner sean compatibles, deben:

  • Use Diffie-Hellman para el intercambio de claves durante la autenticación Kerberos de PKINIT (preferida).

  • Tanto el soporte técnico como la notificación al KDC de su compatibilidad con des-ede3-cbc ("triple DES").

Siguientes pasos

Si encuentra este problema con los dispositivos de impresión o de digitalización, compruebe que está usando el firmware y los controladores más recientes disponibles para el dispositivo. Si el firmware y los controladores están actualizados y sigues teniendo este problema, te recomendamos que te pondrás en contacto con el fabricante del dispositivo. Pregunte si es necesario un cambio de configuración para que el dispositivo cumpla con el cambio de duración de CVE-2021-33764 o si una actualización compatible estará disponible.

Si actualmente no hay ninguna forma de que sus dispositivos cumplan con la sección 3.2.1 de rfc 4556 especificación según sea necesario para CVE-2021-33764,ahora hay disponible una mitigación temporal mientras trabaja con el fabricante de dispositivos de impresión o digitalización para que su entorno cumpla con la escala de tiempo siguiente.

Importante: Debe tener los dispositivos no conformes actualizados y conformes o reemplazados por el 8 de febrero de 2022, cuando la mitigación temporal no podrá usarse en las actualizaciones de seguridad.

Línea de tiempo 

Fecha de destino 

Evento 

Se aplica a 

13 de julio de 2021 

Actualizaciones publicadas con cambios de duración para CVE-2021-33764. Todas las actualizaciones posteriores tienen este cambio de ajuste de forma predeterminada. 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

27 de julio de 2021 

Actualizaciones publicadas con mitigación temporal para solucionar problemas de impresión y detección en dispositivos no compatibles.  La versión de actualizaciones en esta fecha o posterior debe instalarse en su DC y la mitigación debe estar activada mediante la clave del Registro con los pasos siguientes. 

Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2  

29 de julio de 2021 

Actualizaciones publicadas con mitigación temporal para solucionar problemas de impresión y detección en dispositivos no compatibles.  La versión de actualizaciones en esta fecha o posterior debe instalarse en su DC y la mitigación debe estar activada mediante la clave del Registro con los pasos siguientes. 

Windows Server 2016

Mid-January 2022 

Versión de actualización de vista previa opcional para quitar la mitigación temporal para requerir la impresión de quejas y la digitalización de dispositivos en su entorno. 

Windows Server 2019

8 de febrero de 2022 

Importante Versión de actualización de seguridad para quitar la mitigación temporal para requerir la impresión de quejas y la digitalización de dispositivos en su entorno. Todas las actualizaciones publicadas este día o posterior no podrán usar la mitigación temporal. Las impresoras y escáneres de autenticación de tarjeta inteligente deben cumplir con la sección 3.2.1 de la especificación RFC 4556 requerida para CVE-2021-33764 después de instalar estas actualizaciones o posteriormente en controladores de dominio de Active Directory 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Mitigación temporal

Para usar la mitigación temporal en su entorno, siga estos pasos en todos los controladores de dominio:

  1. En los controladores de dominio, establezca el valor de registro de mitigación temporal que se muestra a continuación en 1 (habilitar) mediante el Editor del Registro o las herramientas de automatización disponibles en su entorno.

    Nota: Este paso se puede realizar antes o después de los pasos 2 y 3. 

  2. Instale una actualización que permita la mitigación temporal disponible en las actualizaciones publicadas el 27 de julio de 2021 o posterior (a continuación se muestran las primeras actualizaciones para permitir la mitigación temporal):

  3. Reinicie el controlador de dominio.

Valor del Registro para mitigación temporal

Advertencia: Es posible que se produzcan problemas graves si modifica incorrectamente el Registro mediante el Editor del Registro o mediante otro método. Estos problemas pueden requerir que vuelva a instalar el sistema operativo. Microsoft no puede garantizar que estos problemas se puedan resolver. Modifique el Registro bajo su propia responsabilidad. 

Subclave del Registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 

Valor 

Allow3DesFallback 

Tipo de datos 

DWORD 

Datos 

1: Habilitar la mitigación temporal. 

0: habilite el comportamiento predeterminado, lo que requiere que sus dispositivos cumplan con la sección 3.2.1 de rfc 4556 especificación. 

¿Se requiere reiniciar? 

No 

Se puede crear la clave del Registro anterior y el valor y el conjunto de datos mediante el siguiente comando:  

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Obtener más información

Microsoft ha confirmado que este es un problema en los productos de Microsoft que se muestran en la sección "Se aplica a".

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cómo de satisfecho está con la calidad de la traducción?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×