Sintomas
A impressão e a análise podem falhar quando estes dispositivos utilizam a autenticação de smart card (PIV).
Nota
Nota Os dispositivos afetados ao utilizar a autenticação de smart card (PIV) devem funcionar conforme esperado ao utilizar o nome de utilizador e a autenticação por palavra-passe.
Causa
A 13 de julho de 2021, a Microsoft lançou alterações de proteção para o CVE-2021-33764 Isto pode causar este problema quando instala atualizações lançadas a 13 de julho de 2021 ou versões posteriores num controlador de domínio (DC). Os dispositivos afetados são smart card que autenticam impressoras, scanners e dispositivos multifunções que não suportam Diffie-Hellman (DH) para troca de chaves durante a autenticação PKINIT Kerberos ou não publicitam suporte para des-ede3-cbc ("TRIPLE DES") durante o pedido Kerberos AS .
Por secção 3.2.1 da especificação RFC 4556, para que esta troca de chaves funcione, o cliente tem de suportar e notificar o centro de distribuição de chaves (KDC) do respetivo suporte para des-ede3-cbc ("triple DES"). Os clientes que iniciam o Kerberos PKINIT com troca de chaves no modo de encriptação, mas não suportam nem dizem ao KDC que suportam des-ede3-cbc ("TRIPLO DES"), serão rejeitados.
Para que os dispositivos cliente da impressora e do scanner estejam em conformidade, têm de:
- Utilize Diffie-Hellman para troca de chaves durante a autenticação PKINIT Kerberos (preferencial).
- Em alternativa, suporte e notifique o KDC do respetivo suporte para des-ede3-cbc ("triple DES").
Passos seguintes
Se encontrar este problema com os seus dispositivos de impressão ou análise, verifique se está a utilizar o firmware e os controladores mais recentes disponíveis para o seu dispositivo. Se o firmware e os controladores estiverem atualizados e o problema persistir, recomendamos que contacte o fabricante do dispositivo. Pergunte se é necessária uma alteração de configuração para que o dispositivo fique em conformidade com a alteração de proteção do CVE-2021-33764 ou se será disponibilizada uma atualização em conformidade.
Se atualmente não houver forma de os seus dispositivos cumprirem a secção 3.2.1 da especificação RFC 4556 , conforme necessário para o CVE-2021-33764, está agora disponível uma mitigação temporária enquanto trabalha com o fabricante do dispositivo de impressão ou análise para que o seu ambiente seja compatível com a linha cronológica abaixo.
Nota
Importante Tem de ter os seus dispositivos não conformes atualizados e conformes ou substituídos até 12 de julho de 2022, altura em que a mitigação temporária não será utilizável em atualizações de segurança.
Aviso Importante
Todas as mitigações temporárias para este cenário serão removidas em julho de 2022 e agosto de 2022, consoante a versão do Windows que estiver a utilizar (consulte a tabela abaixo). Não haverá mais nenhuma opção de contingência nas atualizações posteriores. Todos os dispositivos não conformes têm de ser identificados através dos eventos de auditoria a partir de janeiro de 2022 e atualizados ou substituídos pela remoção da mitigação a partir do final de julho de 2022.
Após julho de 2022, os dispositivos que não estejam em conformidade com a especificação RFC 4456 e cVE-2021-33764 não serão utilizáveis com um dispositivo Windows atualizado.
| Data Alvo | Evento | Aplica-se a |
|---|---|---|
| 13 de julho de 2021 | Atualizações lançadas com alterações de proteção para CVE-2021-33764. Todas as atualizações posteriores têm esta alteração de proteção ativada por predefinição. | Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 27 de julho de 2021 | Atualizações lançadas com mitigação temporária para resolver problemas de impressão e análise em dispositivos não conformes. Atualizações lançadas nesta data ou posterior têm de ser instaladas no DC e a mitigação tem de ser ativada através da chave de registo através dos passos abaixo. | Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 29 de julho de 2021 | Atualizações lançadas com mitigação temporária para resolver problemas de impressão e análise em dispositivos não conformes. Atualizações versão nesta data ou posterior tem de ser instalada no DC e a mitigação tem de ser ativada através da chave de registo através dos passos abaixo. | Windows Server 2016 |
| 25 de janeiro de 2022 | Atualizações registará eventos de auditoria em controladores de domínio do Active Directory que identificam impressoras incompatíveis RFC-4456 que falham na autenticação assim que os DCs instalarem as atualizações de julho de 2022/agosto de 2022 ou posteriores. | Windows Server 2022 Windows Server 2019 |
| Fevereiro de 8, 2022 | Atualizações registará eventos de auditoria em controladores de domínio do Active Directory que identificam impressoras incompatíveis RFC-4456 que falham na autenticação assim que os DCs instalarem as atualizações de julho de 2022/agosto de 2022 ou posteriores. | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
| 21 de julho de 2022 | Versão de atualização de pré-visualização opcional para remover a mitigação temporária para exigir a impressão de reclamações e a análise de dispositivos no seu ambiente. | Windows Server 2019 |
| 9 de agosto de 2022 |
Importante Versão de atualização de segurança para remover a mitigação temporária para exigir a impressão de reclamações e a análise de dispositivos no seu ambiente. Todas as atualizações lançadas neste dia ou posterior não poderão utilizar a mitigação temporária. As impressoras e scanners de autenticação de smartcards têm de estar em conformidade com a secção 3.2.1 da especificação RFC 4556 necessária para CVE-2021-33764 após a instalação destas atualizações ou posterior nos controladores de domínio do Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Para utilizar a mitigação temporária no seu ambiente, siga estes passos em todos os controladores de domínio:
Nos controladores de domínio, defina o valor do registo de mitigação temporário listado abaixo como 1 (ativar) com o Editor de Registo ou as ferramentas de automatização disponíveis no seu ambiente.
Nota
Nota Este passo 1 pode ser feito antes ou depois dos passos 2 e 3.
Instale uma atualização que permita a mitigação temporária disponível nas atualizações disponibilizadas a 27 de julho de 2021 ou posterior (abaixo encontram-se as primeiras atualizações a permitir a mitigação temporária):
Reinicie o controlador de domínio.
Valor de registo para mitigação temporária:
Nota
Aviso Podem ocorrer problemas graves se modificar o registo incorretamente com o Editor de Registo ou utilizando outro método. Estes problemas podem exigir que reinstale o sistema operativo. A Microsoft não pode garantir que estes problemas possam ser resolvidos. Modificar o registo por sua conta e risco.
| Subchave de registo | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Valor | Allow3DesFallback |
| Tipo de dados | DWORD |
| Dados |
1 – Ative a mitigação temporária. 0 – Ative o comportamento predefinido, exigindo que os seus dispositivos se compatibilizem com a secção 3.2.1 da especificação RFC 4556. |
| É necessário reiniciar? | Não |
A chave de registo acima pode ser criada e o valor e o conjunto de dados com o seguinte comando:
- reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Eventos de Auditoria
A atualização do Windows de 25 de janeiro de 2022 e 8 de fevereiro de 2022 também adicionará novos IDs de evento para ajudar a identificar os dispositivos afetados.
| Registo de Eventos | Sistema |
|---|---|
| Tipo de Evento | Erro |
| Origem do Evento | Kdcsvc |
| ID de Evento | 307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Texto do Evento | O cliente Kerberos não forneceu um tipo de encriptação suportado para utilização com o protocolo PKINIT através do modo de encriptação.
|
| Registo de Eventos | Sistema |
|---|---|
| Tipo de Evento | Aviso |
| Origem do Evento | Kdcsvc |
| ID de Evento | 308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
| Texto do Evento | Um cliente PKINIT Kerberos não conforme autenticado neste DC. A autenticação foi permitida porque KDCGlobalAllowDesFallBack foi definido. No futuro, estas ligações falharão a autenticação. Identifique o dispositivo e procure atualizar a implementação do Kerberos
|
Estado
A Microsoft confirmou que se trata de um problema nos produtos Microsoft listados na secção "Aplica-se a".