Kokkuvõte
Printeri kaugprotseduurikutse (RPC) sidumine käsitleb Winspooli kaugliidese autentimist. Värskendus Windows kõrvaldab selle haavatavuse, suurendades RPC autentimistaset ning kehtestades uue poliitika- ja registrivõtme, et võimaldada klientidel keelata või lubada serveripoolsel jõustamisrežiimil autentimistaseme suurendamiseks.
Haavatavuse kohta leiate lisateavet teemast CVE-2021-1678 | Windows Prindispuuleri tüssamishaavatavus.
|
Toimingu võtmiseks Keskkonna kaitsmiseks ja katkestuste vältimiseks peate tegema järgmist.
|
Värskenduste ajastus
Need Windows värskendused avaldati kahes etapis.
-
12. jaanuaril 2021 välja antud Windows või pärast seda.
-
Jõustamisetapp Windows tulevikus välja antud värskenduste jaoks.
12. jaanuar 2021: algne juurutusetapp
Algjuurutusetapp algab Windows. jaanuaril 2021 välja antud Windows, andes serveriklientidele võimaluse lubada seda turvalisuse taset ise vastavalt oma keskkonna valmisolekule.
Selles versioonis:
-
Aadressid CVE-2021-1678 (juurutamisrežiimis on vaikimisi väljas).
-
Lisab registriväärtuse RpcAuthnLevelPrivacyEnabled toe, et lubada printeri IRemoteWinspooli kaitse autoriseerimistaseme suurendamist.
Leevendamine hõlmab kõigisse klient- ja serveritaseme Windows värskenduste installimist.
14. september 2021: jõustamisetapp
Versiooni üleminekud jõustamisetapile 14. septembril 2021. Jõustamisfaas jõustab CVE-2021-1678 aadressi muudatused, suurendades autoriseerimistaset ilma registriväärtust määramata.
Installijuhised
Enne selle värskenduse installimist
Enne selle värskenduse rakendamist peavad teil olema installitud järgmised nõutavad värskendused. Kui kasutate Windows värskendust, pakutakse neid nõutavaid värskendusi vastavalt vajadusele automaatselt.
-
Teil peab olema installitud SHA-2 värskendus(KB4474419),mis on dateeeritud 23. septembril 2019 või uuem SHA-2 värskendus, ja seejärel taaskäivitage seade enne selle värskenduse rakendamist. Lisateavet SHA-2 värskenduste kohta leiate teemast 2019 SHA-2 koodi allkirjastamise tugiteenuste nõue Windows WSUS-i jaoks.
-
Windows Server 2008 R2 SP1 jaoks peab teil olema installitud 12. märtsi 2019 hoolduspinu värskendus (SSU)(KB4490628). Pärast värskenduse KB4490628 installimist soovitame installida uusima SSU värskenduse. Lisateavet uusima SSU värskenduse kohta leiate teemast ADV990001 | Uusimad teeninduspinu värskendused.
-
Windows Server 2008 SP2 jaoks peab teil olema installitud teenusepinu värskendus (SSU)(KB4493730),mis on dateeeritud 9. aprillil 2019. Pärast värskenduse KB4493730 installimist soovitame installida uusima SSU värskenduse. Lisateavet uusimate SSU värskenduste kohta leiate teemast ADV990001 | Uusimad teeninduspinu värskendused.
-
Kliendid peavad ostma laiendatud turbevärskenduse (ESU) Windows Server 2008 SP2 või Windows Server 2008 R2 SP1 asutusesisese versiooni jaoks, kui pikendatud tugi lõppes 14. jaanuaril 2020. Kliendid, kes on ostnud ESU, peavad turbevärskenduste saamise jätkamiseks järgima kb4522133 toiminguid. Lisateavet ESU ja selle kohta, milliseid väljaandeid toetatakse, leiate teemast KB4497181.
NB!Pärast nende nõutavate värskenduste installimist peate seadme taaskäivitama.
Värskenduse installimine
Turbehaavatavuse lahendamiseks installige Windows ja lubage jõustamisrežiim. Selleks tehke järgmist.
-
Juurutage 12. jaanuaril 2021 värskendus kõigile klient- ja serveriseadmetele.
-
Pärast kõigi klient- ja serveriseadmete värskendamist saab täieliku kaitse lubada, määrates registriväärtuseks 1.
1. juhis: installige Windows värskendus
Installige 12. jaanuar 2021 Windows või uuem värskendus Windows klient- ja serveriseadmetesse.
|
Windows Serveri toode |
KB # |
Värskenduse tüüp |
|
Windows Server, versioon 20H2 (Serveri põhiinstall) |
Turbevärskendus |
|
|
Windows Server, versioon 2004 (Serveri põhiinstall) |
Turbevärskendus |
|
|
Windows Server, versioon 1909 (Serveri põhiinstall) |
Turbevärskendus |
|
|
Windows Server, versioon 1903 (Serveri põhiinstall) |
Turbevärskendus |
|
|
Windows Server 2019 (Serveri põhiinstall) |
Turbevärskendus |
|
|
Windows Server 2019 |
Turbevärskendus |
|
|
Windows Server 2016 (Serveri põhiinstall) |
Turbevärskendus |
|
|
Windows Server 2016 |
Turbevärskendus |
|
|
Windows Server 2012 R2 (Serveri põhiinstall) |
Igakuine värskenduskomplekt |
|
|
Ainult turve |
||
|
Windows Server 2012 R2 |
Igakuine värskenduskomplekt |
|
|
Ainult turve |
||
|
Windows Server 2012 (Serveri põhiinstall) |
Igakuine värskenduskomplekt |
|
|
Ainult turve |
||
|
Windows Server 2012 |
Igakuine värskenduskomplekt |
|
|
Ainult turve |
||
|
Windows Server 2008 R2 hoolduspakett Service Pack 1 |
Igakuine värskenduskomplekt |
|
|
Ainult turve |
||
|
Windows Server 2008 hoolduspakett 2 |
Igakuine värskenduskomplekt |
|
|
Ainult turve |
2. juhis: jõustamisrežiimi lubamine
NB! Selles jaotises, meetodis või ülesandes on toodud juhised registri muutmiseks. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Seetõttu järgige tingimata hoolikalt juhiseid. Lisakaitse tagamiseks varundage register enne selle muudatust. Siis saate probleemide ilmnemisel registri taastada. Lisateavet registri varundamise ja taastamise kohta leiate teemast Registri varundamine ja taastamine Windows.
Pärast kõigi klient- ja serveriseadmete värskendamist saate täieliku kaitse lubada, juurutades jõustamisrežiimi. Selleks toimige järgmiselt.
-
Paremklõpsake nuppu Start, klõpsake käsku Käivita, tippige väljale Käivita tekst cmdja vajutage siis klahvikombinatsiooni Ctrl+Shift+Enter.
-
Tippige käsuviibale Administraator käsk regedit ja vajutage sisestusklahvi (Enter).
-
Otsige üles järgmine registri alamvõti.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Paremklõpsake käsku Prindi, valige Uusja seejärel klõpsake käsku DWORD-VÄÄRTUS (32-bitine) Väärtus.
-
Tippige RpcAuthnLevelPrivacyEnabled ja vajutage sisestusklahvi (Enter).
-
Paremklõpsake valikut RpcAuthnLevelPrivacyEnabled ja seejärel klõpsake käsku Muuda.
-
Tippige väljale Value data (Väärtuseandmed) väärtus 1 ja seejärel klõpsake nuppu Ok.
Märkus. See värskendus tutvustab registriväärtuse RpcAuthnLevelPrivacyEnabled tuge printeri IRemoteWinspooli autoriseerimistaseme suurendamiseks.
|
Registri alamvõti |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Väärtus |
RpcAuthnLevelPrivacyEnabled |
|
Andmetüüp |
REG_DWORD |
|
Andmed |
1:lubab jõustamisrežiimi. Enne serveripoolse jõustamise režiimi lubamist veenduge, et kõik klientseadmed on installinud Windows värskenduse, mis anti välja 12. jaanuaril 2021 või uuemas Windows värskenduses. See parandus suurendab printeri IRemoteWinspool RPC liidese autoriseerimistaset ja lisab serveripoolsele väljale uue autoriseerimistaseme jõustamiseks uue autoriseerimistaseme jõustamiseks uue poliitika ja registriväärtuse. Kui klientseadmel pole 12. jaanuari 2021 turbevärskendust või uuemat Windows värskendust rakendatud, katkeb printimiskogemus, kui klient loob serveriga ühenduse IRemoteWinspooli liidese kaudu. 0:Pole soovitatav. Keelab printeri IRemoteWinspoolisuurendamiseks autentimistaseme ja teie seadmed pole kaitstud. |
|
Vaikesäte |
Vaikekäitumine pärast värskenduste installimist, kui registrivõti pole määratud:
|
|
Kas taaskäivitamine on nõutav? |
Jah, vaja on seadme taaskäivitamist või spuuleriteenuse taaskäivitamist. |
