Σύνοψη
Οι ενημερώσεις ασφαλείας που κυκλοφόρησαν στις και μετά τις 6 Ιουλίου 2021 περιέχουν προστασία για ευπάθεια εκτέλεσης απομακρυσμένου κώδικα στην υπηρεσία Windows Print Spooler (spoolsv.exe) γνωστή ως "PrintNightmare", που τεκμηριώνεται στο CVE-2021-34527. Μετά την εγκατάσταση των ενημερώσεων του Ιουλίου 2021 και των νεότερων εκδόσεων, οι μη διαχειριστές, συμπεριλαμβανομένων των ομάδων διαχειριστών με ανάθεση, όπως οι τελεστές εκτυπωτή, δεν μπορούν να εγκαταστήσουν προγράμματα οδήγησης εκτυπωτών με υπογραφή ή χωρίς υπογραφή σε ένα διακομιστή εκτύπωσης. Από προεπιλογή, μόνο οι διαχειριστές μπορούν να εγκαταστήσουν σε ένα διακομιστή εκτύπωσης τόσο τα υπογεγραμμένα όσο και τα μη υπογεγραμμένα προγράμματα οδήγησης εκτυπωτών.
Σημείωση Πριν από την εγκατάσταση της εφαρμογής "Εκτός ζώνης" του Ιουλίου 2021 και νεότερες Windows ενημερώσεις που περιέχουν προστασία για το CVE-2021-34527, η ομάδα ασφαλείας των τελεστών εκτυπωτή θα μπορούσε να εγκαταστήσει τόσο υπογεγραμμένα όσο και μη υπογεγραμμένα προγράμματα οδήγησης εκτυπωτών σε ένα διακομιστή εκτυπωτή. Ξεκινώντας με την ενημέρωση "Εκτός ζώνης" του Ιουλίου 2021, θα απαιτούνται διαπιστευτήρια διαχειριστή για την εγκατάσταση προγραμμάτων οδήγησης εκτυπωτών με υπογραφή και χωρίς υπογραφή σε ένα διακομιστή εκτυπωτή. Προαιρετικά, για να παρακάμψετε όλες τις ρυθμίσεις πολιτικής της ομάδας περιορισμών σημείων και εκτύπωσης και να βεβαιωθείτε ότι μόνο οι διαχειριστές μπορούν να εγκαταστήσουν προγράμματα οδήγησης εκτυπωτών σε ένα διακομιστή εκτύπωσης, ρυθμίστε τις παραμέτρους της τιμής μητρώου RestrictDriverInstallationToAdminiwithors σε 1.
Συνιστάται να εγκαθιστάτε αμέσως τις πιο πρόσφατες ενημερώσεις Windows που κυκλοφόρησαν στις 6 Ιουλίου 2021 ή μετά σε όλα τα υποστηριζόμενα λειτουργικά συστήματα προγράμματος-πελάτη και διακομιστή Windows, ξεκινώντας με συσκευές που φιλοξενούν αυτή τη στιγμή την υπηρεσία ουράς εκτύπωσης. Στη συνέχεια, ορίστε τις επιλογές "Κατά την εγκατάσταση προγραμμάτων οδήγησης για νέα σύνδεση" και "Κατά την ενημέρωση προγραμμάτων οδήγησης για μια υπάρχουσα σύνδεση" στη ρύθμιση πολιτικής ομάδας Περιορισμοί σημείων και εκτύπωσης σε "Εμφάνιση προειδοποιητικών μηνυμάτων και μηνυμάτων ανύψωσης".
Επίλυση
-
Εγκαταστήστε τις ενημερώσεις "Εκτός ζώνης" ή νεότερες εκδόσεις του Ιουλίου 2021.
-
Ελέγξτε εάν είναι αληθείς οι ακόλουθες συνθήκες:
-
Ρυθμίσεις μητρώου: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoEwordationOnInstall = 0 (DWORD) ή δεν έχει οριστεί (προεπιλεγμένη ρύθμιση)
-
UpdatePromptSettings = 0 (DWORD) ή δεν έχει οριστεί (προεπιλεγμένη ρύθμιση)
-
-
Πολιτική ομάδας: Δεν έχετε ρυθμίσει τις παραμέτρους της πολιτικής ομάδας Περιορισμοί σημείων και εκτύπωσης.
Εάν και οι δύο συνθήκες είναι αληθείς, τότε δεν είστε ευάλωτοι στο CVE-2021-34527 και δεν απαιτείται περαιτέρω ενέργεια. Εάν οποιαδήποτε συνθήκη δεν είναι αληθής, είστε ευάλωτοι. Ακολουθήστε τα παρακάτω βήματα για να αλλάξετε την πολιτική ομάδας Περιορισμοί σημείων και εκτύπωσης σε ασφαλή ρύθμιση παραμέτρων.
-
Ανοίξτε το εργαλείο επεξεργασίας πολιτικής ομάδας και μεταβείτε στην επιλογή Ρύθμιση παραμέτρων υπολογιστή > Πρότυπα διαχείρισης > εκτυπωτές.
-
Ρυθμίστε τις παραμέτρους της πολιτικής ομάδας περιορισμών σημείων και εκτύπωσης ως εξής:
-
Ορίστε τη ρύθμιση πολιτικής ομάδας Περιορισμοί σημείων και εκτύπωσης σε "Ενεργοποιημένο".
-
"Κατά την εγκατάσταση προγραμμάτων οδήγησης για μια νέα σύνδεση": "Εμφάνιση προειδοποίησης και μηνύματος ανύψωσης".
-
"Κατά την ενημέρωση προγραμμάτων οδήγησης για μια υπάρχουσα σύνδεση": "Εμφάνιση προειδοποίησης και ειδοποίησης ανύψωσης".
-
Σημαντικό Συνιστάται ιδιαίτερα να εφαρμόσετε αυτή την πολιτική σε όλους τους υπολογιστές που φιλοξενούν την υπηρεσία ουράς εκτύπωσης.
Απαιτήσεις επανεκκίνησης: Αυτή η αλλαγή πολιτικής δεν απαιτεί επανεκκίνηση της συσκευής ή της υπηρεσίας ουράς εκτύπωσης μετά την εφαρμογή αυτών των ρυθμίσεων.
3. Χρησιμοποιήστε τα ακόλουθα κλειδιά μητρώου για να επιβεβαιώσετε ότι η πολιτική ομάδας εφαρμόστηκε σωστά:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoEwordationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Προειδοποίηση Ορίζοντας μη μηδενικές τιμές, οι συσκευές στις οποίες έχετε εγκαταστήσει την ενημέρωση CVE-2021-34527 είναι ευάλωτες.
Σημείωση Η ρύθμιση αυτών των ρυθμίσεων δεν απενεργοποιεί τη δυνατότητα "Σημείο" και "Εκτύπωση".
4. [Συνιστάται] Παράκαμψη περιορισμών σημείων και εκτύπωσης, έτσι ώστε μόνο οι διαχειριστές να μπορούν να εγκαταστήσουν προγράμματα οδήγησης εκτύπωσης σε διακομιστές εκτυπωτών. Αυτό γίνεται με χρήση του κλειδιού μητρώου RestrictDriverInstallationToAdminiwithors. Οι ενημερώσεις που κυκλοφόρησαν στις 6 Ιουλίου 2021 ή νεότερη έκδοση έχουν προεπιλογή 0 (απενεργοποιημένες) μέχρι να κυκλοφορήσουν οι ενημερώσεις στις 10 Αυγούστου 2021. Οι ενημερώσεις που κυκλοφόρησαν στις 10 Αυγούστου 2021 ή νεότερη έκδοση έχουν προεπιλογή 1 (ενεργοποιημένη). Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης του RestrictDriverInstallationToAdmini προσδιοριστικών και άλλων σχετικών προτάσεων για εκτύπωση, ανατρέξτε στο άρθρο KB5005652— Διαχείριση συμπεριφοράς προεπιλεγμένου προγράμματος οδήγησης "Σημείο" και "Εκτύπωση" (CVE-2021-34481)
Περισσότερες πληροφορίες
Οι επιδιορθώσεις για το CVE-2021-34527 επηρεάζουν το προεπιλεγμένο σενάριο εγκατάστασης προγράμματος οδήγησης "Σημείο" και "Εκτύπωση" για μια συσκευή-πελάτη που συνδέεται και εγκαθιστά ένα πρόγραμμα οδήγησης εκτύπωσης για έναν κοινόχρηστο εκτυπωτή δικτύου;
Όχι, οι επιδιορθώσεις για το CVE-2021-34527 δεν επηρεάζουν απευθείας το προεπιλεγμένο σενάριο εγκατάστασης προγραμμάτων οδήγησης σημείων και εκτύπωσης για μια συσκευή-πελάτη που συνδέεται και εγκαθιστά ένα πρόγραμμα οδήγησης εκτύπωσης για έναν κοινόχρηστο εκτυπωτή δικτύου. Σε αυτή την περίπτωση, μια συσκευή-πελάτης συνδέεται με ένα διακομιστή εκτύπωσης, κάνει λήψη και εγκαθιστά τα προγράμματα οδήγησης από αυτόν τον αξιόπιστο διακομιστή. Αυτό το σενάριο διαφέρει από το ευάλωτο σενάριο όπου ένας εισβολέας προσπαθεί να εγκαταστήσει ένα πρόγραμμα οδήγησης κακόβουλου προγράμματος οδήγησης στον ίδιο το διακομιστή εκτύπωσης, είτε τοπικά είτε από απόσταση.