Sintomas

A impressão e a verificação podem falhar quando esses dispositivos usam autenticação de cartão inteligente (PIV). 

Observação: Os dispositivos afetados ao usar a autenticação de cartão inteligente (PIV) devem funcionar conforme o esperado ao usar autenticação de nome de usuário e senha. 

Causa

Em 13 de julho de 2021, a Microsoft lançou alterações de fortalecimento para o CVE-2021-33764. Isso pode causar esse problema ao instalar atualizações lançadas em 13 de julho de 2021 ou posteriores em um controlador de domínio (DC).  Os dispositivos afetados são impressoras de autenticação de cartão inteligente, scanners e dispositivos multifuncionais que não suportam o Diffie-Hellman (DH) para troca de chaves durante a autenticação Kerberos PKINIT ou não anunciam suporte para des-ede3-cbc ("DES triplo") durante a solicitação Kerberos AS. Por seção 3.2.1 da especificação RFC 4556, para que esse exchange de chaves funcione, o cliente precisa dar suporte e notificar o KDC (centro de distribuição de chaves) de seu suporte para des-ede3-cbc ("DES triplo"). Os clientes que iniciam Kerberos PKINIT com troca de chaves no modo de criptografia, mas não suportam nem dizem ao KDC que eles suportam o des-ede3-cbc ("DES triplo"), serão rejeitados. 

Para que os dispositivos cliente de impressora e scanner sejam compatíveis, eles devem:

  • Use Diffie-Hellman para troca de chaves durante a autenticação Kerberos PKINIT (preferencial).

  • Suporte e notifique o KDC sobre o suporte para des-ede3-cbc ("DES triplo").

Próximas etapas

Se você encontrar esse problema com seus dispositivos de impressão ou verificação, verifique se você está usando o firmware e os drivers mais recentes disponíveis para seu dispositivo. Se o firmware e os drivers estão atualizados e você ainda encontra esse problema, recomendamos entrar em contato com o fabricante do dispositivo. Pergunte se uma alteração de configuração é necessária para colocar o dispositivo em conformidade com a alteração de segurança do CVE-2021-33764 ou se uma atualização em conformidade estará disponível.

Se não houver nenhuma maneira de colocar seus dispositivos em conformidade com a seção 3.2.1 da especificação RFC 4556, conforme necessário para o CVE-2021-33764,uma mitigação temporária agora estará disponível enquanto você trabalha com o fabricante do dispositivo de impressão ou verificação para trazer seu ambiente para a conformidade na linha do tempo abaixo.

Importante: Você deve ter seus dispositivos não compatíveis atualizados e compatíveis ou substituídos até 8 de fevereiro de 2022, quando a mitigação temporária não poderá ser usada em atualizações de segurança.

Linha do Tempo 

Data de destino 

Evento 

Aplica-se a 

13 de julho de 2021 

Atualizações lançadas com alterações de segurança para CVE-2021-33764. Todas as atualizações posteriores têm essa alteração de segurança por padrão. 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

27 de julho de 2021 

Atualizações lançadas com mitigação temporária para resolver problemas de impressão e verificação em dispositivos não compatíveis.  As atualizações de lançamento nesta data ou posterior devem ser instaladas em você DC e a mitigação deve ser ativas por meio da chave do Registro usando as etapas abaixo. 

Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2  

29 de julho de 2021 

Atualizações lançadas com mitigação temporária para resolver problemas de impressão e verificação em dispositivos não compatíveis.  As atualizações de lançamento nesta data ou posterior devem ser instaladas em você DC e a mitigação deve ser ativas por meio da chave do Registro usando as etapas abaixo. 

Windows Server 2016

Mid-January 2022 

Versão de atualização de visualização opcional para remover a mitigação temporária para exigir dispositivos de impressão e verificação de reclamações em seu ambiente. 

Windows Server 2019

8 de fevereiro de 2022 

Importante Versão de atualização de segurança para remover a mitigação temporária para exigir dispositivos de impressão e verificação de reclamações em seu ambiente. Todas as atualizações lançadas neste dia ou posterior não poderão usar a mitigação temporária. Impressoras e scanners de autenticação de cartão inteligente devem estar em conformidade com a seção 3.2.1 da especificação RFC 4556 necessária para o CVE-2021-33764 após a instalação dessas atualizações ou posterior nos controladores de domínio do Active Directory 

Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

Mitigação Temporária

Para usar a mitigação temporária em seu ambiente, siga estas etapas em todos os controladores de domínio:

  1. Em seus Controladores de Domínio, de definir o valor do Registro de mitigação temporária listado abaixo como 1 (habilitar) usando o Editor do Registro ou as ferramentas de automação disponíveis em seu ambiente.

    Observação: Esta etapa pode ser feita antes ou após as etapas 2 e 3. 

  2. Instale uma atualização que permita a mitigação temporária disponível em atualizações lançadas em 27 de julho de 2021 ou posteriores (abaixo estão as primeiras atualizações para permitir a mitigação temporária):

  3. Reinicie o controlador de domínio.

Valor do Registro para mitigação temporária

Aviso: Poderão ocorrer problemas graves se você modificar o Registro incorretamente usando o Editor do Registro ou usando outro método. Esses problemas podem exigir que você reinstale o sistema operacional. A Microsoft não pode garantir que esses problemas possam ser resolvidos. Modifique o Registro por sua conta e risco. 

Sub-chave do Registro

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc 

Valor 

Allow3DesFallback 

Tipo de dados 

DWORD 

Dados 

1 – Habilitar a mitigação temporária. 

0 – Habilitar o comportamento padrão, exigindo que seus dispositivos em conformidade com a seção 3.2.1 da especificação RFC 4556. 

Reiniciar necessário? 

Não 

A chave do Registro acima pode ser criada e o valor e os dados definidos usando o seguinte comando:  

  • reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f

Mais informações

A Microsoft confirmou que esse é um problema nos produtos Microsoft listados na seção "Aplica-se a".

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade da tradução?
O que afetou sua experiência?

Obrigado por seus comentários!

×