Síntomas
Es posible que la impresión y el examen no se realicen correctamente cuando estos dispositivos usan autenticación de tarjeta inteligente (PIV).
Nota Los dispositivos que se ven afectados al usar la autenticación de tarjeta inteligente (PIV) deben funcionar según lo esperado al usar la autenticación con nombre de usuario y contraseña.
Causa
El 13 de julio de 2021, Microsoft publicó cambios de protección para CVE-2021-33764 Esto podría provocar este problema al instalar actualizaciones publicadas el 13 de julio de 2021 o versiones posteriores en un controlador de dominio (DC). Los dispositivos afectados son impresoras de autenticación de tarjeta inteligente, escáneres y dispositivos multifunción que no admiten Diffie-Hellman (DH) para el intercambio de claves durante la autenticación Kerberos PKINIT o no anuncian compatibilidad con des-ede3-cbc ("TRIPLE DES") durante la solicitud de Kerberos AS .
Según la sección 3.2.1 de la especificación RFC 4556, para que este intercambio de claves funcione, el cliente tiene que admitir y notificar al centro de distribución de claves (KDC) su compatibilidad con des-ede3-cbc ("TRIPLE DES"). Los clientes que inician Kerberos PKINIT con intercambio de claves en el modo de cifrado, pero no admiten ni indican al KDC que admiten des-ede3-cbc ("TRIPLE DES"), serán rechazados.
Para que los dispositivos cliente de impresora y escáner cumplan los requisitos, deben:
-
Use Diffie-Hellman para el intercambio de claves durante la autenticación Kerberos PKINIT (preferido).
-
O bien, apoye y notifique al KDC su apoyo para des-ede3-cbc ("triple DES").
Pasos siguientes
Si se produce este problema con los dispositivos de impresión o digitalización, comprueba que estás usando el firmware y los controladores más recientes disponibles para el dispositivo. Si el firmware y los controladores están actualizados y sigues teniendo este problema, te recomendamos que te pongan en contacto con el fabricante del dispositivo. Pregunte si se requiere un cambio de configuración para que el dispositivo cumpla con el cambio de protección para CVE-2021-33764 o si se publicará una actualización compatible.
Si actualmente no hay ninguna manera de cumplir los dispositivos con la sección 3.2.1 de la especificación RFC 4556 , según sea necesario para CVE-2021-33764, ahora está disponible una mitigación temporal mientras trabaja con el fabricante del dispositivo de impresión o de examen para cumplir con su entorno dentro de la línea de tiempo siguiente.
Importante Debes tener tus dispositivos no conformes actualizados y compatibles o reemplazados antes del 12 de julio de 2022, cuando la mitigación temporal no se pueda usar en las actualizaciones de seguridad.
Aviso importante
Todas las mitigaciones temporales para este escenario se quitarán en julio de 2022 y agosto de 2022, según la versión de Windows que esté usando (vea la tabla siguiente). No habrá ninguna opción de reserva adicional en las actualizaciones posteriores. Todos los dispositivos no conformes deben identificarse mediante los eventos de auditoría a partir de enero de 2022 y actualizarse o reemplazarse por la eliminación de mitigación a partir de finales de julio de 2022.
Después de julio de 2022, los dispositivos que no cumplan con la especificación RFC 4456 y CVE-2021-33764 no podrán ser usables con un dispositivo Windows actualizado.
|
Fecha de destino |
Evento |
Se aplica a |
|
13 de julio de 2021 |
Novedades publican con cambios de endurecimiento para CVE-2021-33764. Todas las actualizaciones posteriores tienen este cambio de protección activado de forma predeterminada. |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
27 de julio de 2021 |
Novedades distribuye con mitigación temporal para solucionar problemas de impresión y detección en dispositivos que no sean compatibles. Novedades publicado en esta fecha o posterior debe instalarse en el controlador de dominio y la mitigación debe activarse a través de la clave del Registro siguiendo los pasos que se indican a continuación. |
Windows Server 2019 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
29 de julio de 2021 |
Novedades distribuye con mitigación temporal para solucionar problemas de impresión y detección en dispositivos que no sean compatibles. Novedades lanzamiento en esta fecha o posterior debe instalarse en el controlador de dominio y la mitigación debe activarse a través de la clave del Registro siguiendo los pasos que se indican a continuación. |
Windows Server 2016 |
|
25 de enero de 2022 |
Novedades registrará eventos de auditoría en los controladores de dominio de Active Directory que identifican impresoras que son impresoras incompatibles RFC-4456 que fallan la autenticación una vez que los controladores de dominio instalen las actualizaciones de julio de 2022/agosto de 2022 o posteriores. |
Windows Server 2022 Windows Server 2019 |
|
8 de febrero de 2022 |
Novedades registrará eventos de auditoría en los controladores de dominio de Active Directory que identifican impresoras que son impresoras incompatibles RFC-4456 que fallan la autenticación una vez que los controladores de dominio instalen las actualizaciones de julio de 2022/agosto de 2022 o posteriores. |
Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
21 de julio de 2022 |
Versión de actualización de vista previa opcional para quitar la mitigación temporal para requerir la impresión de quejas y dispositivos de examen en su entorno. |
Windows Server 2019 |
|
9 de agosto de 2022 |
Importante Versión de actualización de seguridad para quitar la mitigación temporal para requerir dispositivos de impresión y detección de quejas en su entorno. Todas las actualizaciones publicadas en este día o posterior no podrán usar la mitigación temporal. Las impresoras y escáneres de autenticación de tarjeta inteligente deben cumplir con la sección 3.2.1 de la especificación RFC 4556 necesaria para CVE-2021-33764 después de instalar estas actualizaciones o posteriores en los controladores de dominio de Active Directory |
Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
Para usar la mitigación temporal en su entorno, siga estos pasos en todos los controladores de dominio:
-
En los controladores de dominio, establezca el valor temporal del Registro de mitigación enumerado a continuación en 1 (habilitar) mediante el Editor del Registro o las herramientas de automatización disponibles en su entorno.
Nota Este paso 1 puede realizarse antes o después de los pasos 2 y 3.
-
Instala una actualización que permita la mitigación temporal disponible en las actualizaciones publicadas el 27 de julio de 2021 o posteriores (a continuación se muestran las primeras actualizaciones para permitir la mitigación temporal):
-
Reinicie el controlador de dominio.
Valor del Registro para la mitigación temporal:
Advertencia Pueden producirse graves problemas si modifica incorrectamente el registro mediante el Editor del registro o con cualquier otro método. Es posible que estos problemas requieran que vuelvas a instalar el sistema operativo. Microsoft no puede garantizar que estos problemas se puedan resolver. Modifique el Registro bajo su propia responsabilidad.
|
Subclave del Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
Valor |
Allow3DesFallback |
|
Tipo de datos |
DWORD |
|
Datos |
1 : habilitar la mitigación temporal. 0 : habilite el comportamiento predeterminado, lo que requiere que los dispositivos cumplan con la sección 3.2.1 de la especificación RFC 4556. |
|
¿Es necesario reiniciar ? |
No |
Se puede crear la clave del Registro anterior y el valor y el conjunto de datos mediante el siguiente comando:
-
reg add HKLM\System\CurrentControlSet\Services\Kdc /v Allow3DesFallback /t REG_DWORD /d 1 /f
Eventos de auditoría
La actualización de Windows del 25 de enero de 2022 al 8 de febrero de 2022 también agregará nuevos identificadores de evento para ayudar a identificar los dispositivos afectados.
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Error |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
307 39 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Texto del evento |
El cliente Kerberos no suministró un tipo de cifrado compatible para su uso con el protocolo PKINIT mediante el modo de cifrado.
|
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Kdcsvc |
|
Id. del evento |
308 40 (Windows Server 2008 R2 SP1, Windows Server 2008 SP2) |
|
Texto del evento |
Un cliente kerberos PKINIT no conforme autenticado a este DC. La autenticación se permitió porque se estableció KDCGlobalAllowDesFallBack. En el futuro, estas conexiones producirán errores de autenticación. Identificar el dispositivo y buscar para actualizar su implementación de Kerberos
|
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a".
