Sintomas
A impressão e a verificação podem falhar quando esses dispositivos usam a autenticação de PIV (cartão inteligente).
Observação Os dispositivos afetados ao usar a autenticação piv (cartão inteligente) devem funcionar conforme o esperado ao usar o nome de usuário e a autenticação de senha.
Motivo
Em 13 de julho de 2021, Microsoft lançou alterações de endurecimento para CVE-2021-33764 Isso pode causar esse problema quando você instalar atualizações lançadas em 13 de julho de 2021 ou versões posteriores em um controlador de domínio (DC). Os dispositivos afetados são impressoras, scanners e dispositivos multifuncionais que não dão suporte a Diffie-Hellman (DH) para troca de chaves durante a autenticação PKINIT Kerberos ou não anunciam suporte para des-ede3-cbc ("triplo DES") durante a solicitação kerberos AS .
Por seção 3.2.1 da especificação RFC 4556, para que essa troca de chaves funcione, o cliente precisa dar suporte e notificar o centro de distribuição chave (KDC) de seu suporte para des-ede3-cbc ("TRIPLO DES"). Os clientes que iniciam o Kerberos PKINIT com troca de chaves no modo de criptografia, mas não dão suporte nem dizem ao KDC que dão suporte a des-ede3-cbc ("TRIPLO DES"), serão rejeitados.
Para que os dispositivos cliente da impressora e do scanner estejam em conformidade, eles devem:
-
Use Diffie-Hellman para troca de chaves durante a autenticação Kerberos PKINIT (preferencial).
-
Ou, dê suporte e notifique o KDC de seu suporte para des-ede3-cbc ("TRIPLO DES").
Próximas etapas
Se você encontrar esse problema com seus dispositivos de impressão ou verificação, verifique se você está usando o firmware e os drivers mais recentes disponíveis para seu dispositivo. Se o firmware e os drivers estiverem atualizados e você ainda encontrar esse problema, recomendamos que você entre em contato com o fabricante do dispositivo. Pergunte se uma alteração de configuração é necessária para colocar o dispositivo em conformidade com a alteração de endurecimento para CVE-2021-33764 ou se uma atualização compatível será disponibilizada.
Se atualmente não houver como colocar seus dispositivos em conformidade com a seção 3.2.1 da especificação RFC 4556 conforme necessário para o CVE-2021-33764, uma mitigação temporária agora está disponível enquanto você trabalha com seu fabricante de dispositivos de impressão ou verificação para colocar seu ambiente em conformidade na linha do tempo abaixo.
Importante Você deve ter seus dispositivos não compatíveis atualizados e compatíveis ou substituídos até 12 de julho de 2022, quando a mitigação temporária não será utilizável em atualizações de segurança.
Aviso Importante
Toda a mitigação temporária para esse cenário será removida em julho de 2022 e agosto de 2022, dependendo da versão do Windows que você está usando (confira tabela abaixo). Não haverá mais nenhuma opção de fallback em atualizações posteriores. Todos os dispositivos não compatíveis devem ser identificados usando os eventos de auditoria a partir de janeiro de 2022 e atualizados ou substituídos pela remoção de mitigação a partir do final de julho de 2022.
Após julho de 2022, os dispositivos que não estão em conformidade com a especificação RFC 4456 e o CVE-2021-33764 não poderão ser utilizáveis com um dispositivo Windows atualizado.
|
Data de Destino |
Hubs de |
Aplicável a |
|
13 de julho de 2021 |
Atualizações liberado com alterações de endurecimento para CVE-2021-33764. Todas as atualizações posteriores têm essa alteração de endurecimento por padrão. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
27 de julho de 2021 |
Atualizações lançado com mitigação temporária para resolver problemas de impressão e verificação em dispositivos não compatíveis. Atualizações lançado nesta data ou posterior deve ser instalado em você DC e a mitigação deve ser ativada por meio da chave do registro usando as etapas abaixo. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29 de julho de 2021 |
Atualizações lançado com mitigação temporária para resolver problemas de impressão e verificação em dispositivos não compatíveis. Atualizações versão nesta data ou posterior deve ser instalada em você DC e a mitigação deve ser ativada por meio da chave do registro usando as etapas abaixo. |
Windows Server 2016 |
|
25 de janeiro de 2022 |
Atualizações registrará eventos de auditoria em controladores de domínio do Active Directory que identificam impressoras compatíveis com RFC-4456 que falham na autenticação depois que os DCs instalam as atualizações de julho de 2022/agosto de 2022 ou posteriores. |
Windows Server 2022 Windows Server 2019 |
|
8 de fevereiro de 2022 |
Atualizações registrará eventos de auditoria em controladores de domínio do Active Directory que identificam impressoras compatíveis com RFC-4456 que falham na autenticação depois que os DCs instalam as atualizações de julho de 2022/agosto de 2022 ou posteriores. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21 de julho de 2022 |
Versão de atualização de visualização opcional para remover a mitigação temporária para exigir a impressão de reclamações e a verificação de dispositivos em seu ambiente. |
Windows Server 2019 |
|
9 de agosto de 2022 |
Importante Versão de atualização de segurança para remover a mitigação temporária para exigir a impressão de reclamações e a verificação de dispositivos em seu ambiente. Todas as atualizações lançadas neste dia ou posterior não poderão usar a mitigação temporária. Impressoras e scanners de autenticação smartcard devem estar em conformidade com a seção 3.2.1 da especificação RFC 4556 necessária para CVE-2021-33764 depois de instalar essas atualizações ou posteriormente em controladores de domínio do Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Para usar a mitigação temporária em seu ambiente, siga estas etapas em todos os controladores de domínio:
-
Nos controladores de domínio, defina o valor temporário do registro de mitigação listado abaixo como 1 (habilitar) usando o Editor do Registro ou as ferramentas de automação disponíveis em seu ambiente.
Observação Essa etapa 1 pode ser feita antes ou depois das etapas 2 e 3.
-
Instale uma atualização que permita a mitigação temporária disponível em atualizações lançadas em 27 de julho de 2021 ou posteriores (abaixo estão as primeiras atualizações para permitir a mitigação temporária):
-
Reinicie seu controlador de domínio.
Valor do registro para mitigação temporária:
Aviso A modificação incorreta do Registro usando o Editor do Registro ou outro método pode causar sérios problemas. Esses problemas podem exigir que você reinstale o sistema operacional. Microsoft não pode garantir que esses problemas possam ser resolvidos. Modifique o Registro a seu próprio risco.
|
Subchave do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Valor |
Allow3DesFallback |
|
Tipo de dados |
DWORD |
|
Dados |
1 – Habilitar a mitigação temporária. 0 – Habilitar o comportamento padrão, exigindo que seus dispositivos entrem em conformidade com a seção 3.2.1 da especificação RFC 4556. |
|
Reinicialização necessária? |
Não |
A chave do registro acima pode ser criada e o valor e o conjunto de dados usando o seguinte comando:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Eventos de Auditoria
A atualização do Windows de 25 de janeiro de 2022 e 8 de fevereiro de 2022 também adicionará novas IDs de evento para ajudar a identificar dispositivos afetados.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Erro |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Texto do Evento |
O cliente Kerberos não forneceu um tipo de criptografia compatível para uso com o protocolo PKINIT usando o modo de criptografia.
|
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Kdcsvc |
|
ID de Evento |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Texto do Evento |
Um cliente PKINIT Kerberos não conformado autenticado neste DC. A autenticação foi permitida porque KDCGlobalAllowDesFallBack foi definido. No futuro, essas conexões falharão na autenticação. Identifique o dispositivo e procure atualizar sua implementação kerberos
|
Status
A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicável a".
