Sintomas
A impressão e a análise podem falhar quando estes dispositivos utilizam a autenticação de smart card (PIV).
Nota Os dispositivos afetados ao utilizar a autenticação de smart card (PIV) devem funcionar conforme esperado ao utilizar o nome de utilizador e a autenticação por palavra-passe.
Causa
A 13 de julho de 2021, o Microsoft lançou alterações de proteção para CVE-2021-33764 Isto pode causar este problema quando instala atualizações lançadas a 13 de julho de 2021 ou versões posteriores num controlador de domínio (DC). Os dispositivos afetados são smart card que autenticam impressoras, scanners e dispositivos multifunções que não suportam Diffie-Hellman (DH) para troca de chaves durante a autenticação PKINIT Kerberos ou não publicitam suporte para des-ede3-cbc ("TRIPLE DES") durante o pedido Kerberos AS .
Por secção 3.2.1 da especificação RFC 4556, para que esta troca de chaves funcione, o cliente tem de suportar e notificar o centro de distribuição de chaves (KDC) do respetivo suporte para des-ede3-cbc ("triple DES"). Os clientes que iniciam o Kerberos PKINIT com troca de chaves no modo de encriptação, mas não suportam nem dizem ao KDC que suportam des-ede3-cbc ("TRIPLO DES"), serão rejeitados.
Para que os dispositivos cliente da impressora e do scanner estejam em conformidade, têm de:
-
Utilize Diffie-Hellman para troca de chaves durante a autenticação PKINIT Kerberos (preferencial).
-
Em alternativa, suporte e notifique o KDC do respetivo suporte para des-ede3-cbc ("triple DES").
Próximos passos
Se encontrar este problema com os seus dispositivos de impressão ou análise, verifique se está a utilizar o firmware e os controladores mais recentes disponíveis para o seu dispositivo. Se o firmware e os controladores estiverem atualizados e o problema persistir, recomendamos que contacte o fabricante do dispositivo. Pergunte se é necessária uma alteração de configuração para que o dispositivo fique em conformidade com a alteração de proteção do CVE-2021-33764 ou se será disponibilizada uma atualização em conformidade.
Se atualmente não houver forma de os seus dispositivos cumprirem a secção 3.2.1 da especificação RFC 4556 , conforme necessário para o CVE-2021-33764, está agora disponível uma mitigação temporária enquanto trabalha com o fabricante do dispositivo de impressão ou análise para que o seu ambiente seja compatível com a linha cronológica abaixo.
Importante Tem de ter os seus dispositivos não conformes atualizados e conformes ou substituídos até 12 de julho de 2022, altura em que a mitigação temporária não será utilizável em atualizações de segurança.
Aviso Importante
Todas as mitigações temporárias para este cenário serão removidas em julho de 2022 e agosto de 2022, consoante a versão do Windows que estiver a utilizar (consulte a tabela abaixo). Não haverá mais nenhuma opção de contingência nas atualizações posteriores. Todos os dispositivos não conformes têm de ser identificados através dos eventos de auditoria a partir de janeiro de 2022 e atualizados ou substituídos pela remoção da mitigação a partir do final de julho de 2022.
Após julho de 2022, os dispositivos que não estejam em conformidade com a especificação RFC 4456 e CVE-2021-33764 não serão utilizáveis com um dispositivo Windows atualizado.
|
Data Alvo |
Evento |
Aplica-se a |
|
13 de julho de 2021 |
Atualizações lançadas com alterações de proteção para CVE-2021-33764. Todas as atualizações posteriores têm esta alteração de proteção ativada por predefinição. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
27 de julho de 2021 |
Atualizações lançadas com mitigação temporária para resolver problemas de impressão e análise em dispositivos não conformes. Atualizações lançadas nesta data ou posterior têm de ser instaladas no DC e a mitigação tem de ser ativada através da chave de registo através dos passos abaixo. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29 de julho de 2021 |
Atualizações lançadas com mitigação temporária para resolver problemas de impressão e análise em dispositivos não conformes. Atualizações versão nesta data ou posterior tem de ser instalada no DC e a mitigação tem de ser ativada através da chave de registo através dos passos abaixo. |
Windows Server 2016 |
|
25 de janeiro de 2022 |
Atualizações registará eventos de auditoria em controladores de domínio do Active Directory que identificam impressoras incompatíveis RFC-4456 que falham na autenticação assim que os DCs instalarem as atualizações de julho de 2022/agosto de 2022 ou posteriores. |
Windows Server 2022 Windows Server 2019 |
|
8 de fevereiro de 2022 |
Atualizações registará eventos de auditoria em controladores de domínio do Active Directory que identificam impressoras incompatíveis RFC-4456 que falham na autenticação assim que os DCs instalarem as atualizações de julho de 2022/agosto de 2022 ou posteriores. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21 de julho de 2022 |
Versão de atualização de pré-visualização opcional para remover a mitigação temporária para exigir a impressão de reclamações e a análise de dispositivos no seu ambiente. |
Windows Server 2019 |
|
9 de agosto de 2022 |
Importante Versão de atualização de segurança para remover a mitigação temporária para exigir a impressão de reclamações e a análise de dispositivos no seu ambiente. Todas as atualizações lançadas neste dia ou posterior não poderão utilizar a mitigação temporária. As impressoras e scanners de autenticação de smartcards têm de estar em conformidade com a secção 3.2.1 da especificação RFC 4556 necessária para CVE-2021-33764 após a instalação destas atualizações ou posterior nos controladores de domínio do Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Para utilizar a mitigação temporária no seu ambiente, siga estes passos em todos os controladores de domínio:
-
Nos controladores de domínio, defina o valor do registo de mitigação temporário listado abaixo como 1 (ativar) com o Editor de Registo ou as ferramentas de automatização disponíveis no seu ambiente.
Nota Este passo 1 pode ser feito antes ou depois dos passos 2 e 3.
-
Instale uma atualização que permita a mitigação temporária disponível nas atualizações disponibilizadas a 27 de julho de 2021 ou posterior (abaixo encontram-se as primeiras atualizações a permitir a mitigação temporária):
-
Reinicie o controlador de domínio.
Valor de registo para mitigação temporária:
Aviso Podem ocorrer problemas graves se modificar o registo incorretamente através do Editor de Registo ou de outro método. Estes problemas podem exigir que reinstale o sistema operativo. Microsoft não pode garantir que estes problemas possam ser resolvidos. Modificar o registo por sua conta e risco.
|
Subchave de registo |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Valor |
Allow3DesFallback |
|
Tipo de dados |
DWORD |
|
Dados |
1 – Ative a mitigação temporária. 0 – Ative o comportamento predefinido, exigindo que os seus dispositivos se compatibilizem com a secção 3.2.1 da especificação RFC 4556. |
|
É necessário reiniciar? |
Não |
A chave de registo acima pode ser criada e o valor e o conjunto de dados com o seguinte comando:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Eventos de Auditoria
A atualização do Windows de 25 de janeiro de 2022 e 8 de fevereiro de 2022 também adicionará novos IDs de evento para ajudar a identificar os dispositivos afetados.
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Erro |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Texto do Evento |
O cliente Kerberos não forneceu um tipo de encriptação suportado para utilização com o protocolo PKINIT através do modo de encriptação.
|
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do Evento |
Kdcsvc |
|
ID de Evento |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Texto do Evento |
Um cliente PKINIT Kerberos não conforme autenticado neste DC. A autenticação foi permitida porque KDCGlobalAllowDesFallBack foi definido. No futuro, estas ligações falharão a autenticação. Identifique o dispositivo e procure atualizar a implementação do Kerberos
|
Estado
Microsoft confirmou que se trata de um problema na Microsoft produtos listados na secção "Aplica-se a".
