Resumen

Las actualizaciones de seguridad publicadas el 6 de julio de 2021 y 2021 contienen protección para una vulnerabilidad de ejecución remota de código en el servicio de cola de impresión de Windows (spoolsv.exe) conocido como   "PrintNightmare", documentado en CVE-2021-34527. Después de instalar las actualizaciones de julio de 2021 y posteriores, los no administradores, incluidos los grupos de administradores delegados como los operadores de impresora, no pueden instalar controladores de impresora firmados y sin firmar en un servidor de impresión. De forma predeterminada, solo los administradores pueden instalar controladores de impresora firmados y sin firmar en un servidor de impresión. 

Nota Antes de instalar las actualizaciones fuera de banda y Windows de julio de 2021 que contienen protección para CVE-2021-34527, el grupo de seguridad de los operadores de impresora podría instalar controladores de impresora firmados y sin firmar en un servidor de impresora. A partir de la actualización fuera de banda de julio de 2021, se necesitan credenciales de administrador para instalar controladores de impresora firmados y sin firmar en un servidor de impresora. Opcionalmente, para invalidar toda la configuración de directiva de grupo Restricciones de impresión y puntos y asegurarse de que solo los administradores pueden instalar controladores de impresora en un servidor de impresión, configure el valor del Registro RestrictDriverInstallationToAdministrators en 1.

Le recomendamos que instale inmediatamente las últimas actualizaciones de Windows publicadas el 6 de julio de 202 Windows 1 o después del 6 de julio de 2021 en todos los sistemas operativos de cliente y servidor compatibles, empezando por los dispositivos que hospedan actualmente el servicio de cola de impresión. A continuación, establezca "Al instalar controladores para una nueva conexión" y "Al actualizar controladores para una conexión existente" en la configuración de directiva de grupo Restricciones de punto e impresión en "Mostrar aviso y aviso de elevación".

Solución

  1. Instale las actualizaciones fuera de banda o posteriores de julio de 2021.

  2. Compruebe si las condiciones siguientes son verdaderas:

  • Registro Configuración: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) o no definido (configuración predeterminada)

    • UpdatePromptSettings = 0 (DWORD) o no definido (configuración predeterminada)

  • Directiva de grupo: no ha configurado la directiva de grupo Restricciones de impresión y puntos.

Si ambas condiciones son verdaderas, no es vulnerable a CVE-2021-34527 y no se necesita ninguna acción adicional. Si alguna de las condiciones no es verdadera, es vulnerable. Siga los pasos siguientes para cambiar la directiva de grupo Restricciones de impresión y puntos a una configuración segura.

  1. Abra la herramienta editor de directivas de grupo y vaya a Configuración del equipo > plantillas administrativas > impresoras. 

  2. Configure la configuración de directiva de grupo Restricciones de impresión y puntos de la siguiente manera:

    1. Establezca la configuración de directiva de grupo Restricciones de impresión y punto en "Habilitado".

    2. "Al instalar controladores para una nueva conexión": "Mostrar aviso y aviso de elevación".

    3. "Al actualizar controladores para una conexión existente": "Mostrar aviso y aviso de elevación".

texto alternativo

Importante Le recomendamos encarecidamente que aplique esta directiva a todos los equipos que hospedan el servicio de cola de impresión.

Requisitos de reinicio: Este cambio de directiva no requiere reiniciar el dispositivo o el servicio de cola de impresión después de aplicar esta configuración. 

3. Use las siguientes claves del Registro para confirmar que la directiva de grupo se aplicó correctamente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

Advertencia Al establecer estos valores en valores distintos de cero, los dispositivos en los que ha instalado la actualización de CVE-2021-34527 son vulnerables.

Nota La configuración de esta configuración no deshabilita la característica Punto e impresión.

4. [Opcional] Invalidar restricciones de punto e impresión para que solo los administradores puedan instalar controladores de impresión en servidores de impresora 

Tiene la opción de invalidar todas las opciones de directiva de grupo Restricciones de punto e impresión y asegurarse de que solo los administradores pueden instalar controladores de impresora en un servidor de impresión configurando el valor del Registro RestrictDriverInstallationToAdministrators en 1.

Para restringir la instalación de nuevos controladores de impresora, establezca manualmente el valor del Registro RestrictDriverInstallationToAdministrators de la siguiente manera:

Nota No hay ninguna configuración de directiva de grupo para esta restricción.

Ubicación del Registro

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

NotaLa configuración del Registro RestrictDriverInstallationToAdministrators se encuentra en la ubicación del Registro de PointAndPrint, pero es específica para las protecciones de CVE-2021-34527, pero no está relacionada con el comportamiento de impresión y punto.

DWord name

RestrictDriverInstallationToAdministrators

Datos de valor

Establecer el valor en 0 o dejar el valor sin definir permite a los no administradores instalar controladores firmados y sin firmar en un servidor de impresión, pero no reemplaza la configuración de directiva de grupo de puntos e    impresión. Este es el valor predeterminado. Por lo tanto, la configuración de directiva de grupo Restricciones de impresión y puntos puede invalidar esta opción para permitir que los no administradores puedan instalar controladores de impresión firmados y sin firmar en un servidor de impresión.

Si establece este valor en 1 o en cualquier valor distinto de cero, se invalidarán todas las opciones de directiva del grupo Restricciones de impresión y puntos y se asegurará de que solo los administradores puedan instalar controladores de impresora en un servidor    de impresión.  

Nota: Si este valor se establece en 0, el valor del Registro está deshabilitado (predeterminado o no presente).

Requisitos de reinicio

No es necesario reiniciar al crear o modificar este valor del Registro.

Para automatizar la adición del valor del Registro RestrictDriverInstallationToAdministrators, siga estos pasos:

  1. Abra una ventana del símbolo del sistema (cmd.exe) con permisos elevados.

  2. Escriba el comando siguiente y, después, presione Entrar:

    reg agregar "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Obtener más información

¿Afectan las correcciones de CVE-2021-34527 al escenario predeterminado de instalación de controladores de punto e impresión para un dispositivo cliente que se conecta e instala un controlador de impresión para una impresora de red compartida?

No, las correcciones de CVE-2021-34527 no afectan directamente al escenario predeterminado de instalación de controladores de punto e impresión para un dispositivo cliente que se conecta e instala un controlador de impresión para una impresora de red compartida. En este caso, un dispositivo cliente se conecta a un servidor de impresión y descarga e instala los controladores de ese servidor de confianza. Este escenario es diferente del escenario vulnerable en el que un atacante intenta instalar un controlador malintencionado en el propio servidor de impresión, ya sea de forma local o remota.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cómo de satisfecho está con la calidad de la traducción?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×