Kokkuvõte

Printeri kaugprotseduurikutse (RPC) sidumine käsitleb Winspooli kaugliidese autentimist. Värskendus Windows kõrvaldab selle haavatavuse, suurendades RPC autentimistaset ning kehtestades uue poliitika- ja registrivõtme, et võimaldada klientidel keelata või lubada serveripoolsel jõustamisrežiimil autentimistaseme suurendamiseks.   

Haavatavuse kohta leiate lisateavet teemast CVE-2021-1678 | Windows Prindispuuleri tüssamishaavatavus.

Toimingu võtmiseks

Keskkonna kaitsmiseks ja katkestuste vältimiseks peate tegema järgmist.

  1. Värskendage kõiki klient- ja serveriseadmeid, installides värskenduse 12. jaanuaril 2021 Windows või uuema Windows värskenduse. Võtke arvesse, et Windows installimine ei leevenda täielikult turbehaavatavust ja võib mõjutada teie praegust prindihäälestust. Peate tegema 2. juhise.

  2. Lubage prindiserveris jõustamisrežiim. Jõustamisrežiim lubatakse kõigis Windows seadmetes mõnel tulevasel kuupäeval.

Värskenduste ajastus

Need Windows värskendused avaldati kahes etapis.

  • 12. jaanuaril 2021 välja antud Windows või pärast seda.

  • Jõustamisetapp Windows tulevikus välja antud värskenduste jaoks.

12. jaanuar 2021: algne juurutusetapp

Algjuurutusetapp algab Windows. jaanuaril 2021 välja antud Windows, andes serveriklientidele võimaluse lubada seda turvalisuse taset ise vastavalt oma keskkonna valmisolekule.

Selles versioonis:

  • Aadressid CVE-2021-1678 (juurutamisrežiimis on vaikimisi väljas).

  • Lisab registriväärtuse RpcAuthnLevelPrivacyEnabled toe, et lubada printeri IRemoteWinspooli kaitse autoriseerimistaseme suurendamist.

Leevendamine hõlmab kõigisse klient- ja serveritaseme Windows värskenduste installimist.

14. september 2021: jõustamisetapp

Versiooni üleminekud jõustamisetapile 14. septembril 2021. Jõustamisfaas jõustab CVE-2021-1678 aadressi muudatused, suurendades autoriseerimistaset ilma registriväärtust määramata.

Installijuhised

Enne selle värskenduse installimist

Enne selle värskenduse rakendamist peavad teil olema installitud järgmised nõutavad värskendused. Kui kasutate Windows värskendust, pakutakse neid nõutavaid värskendusi vastavalt vajadusele automaatselt.

  • Teil peab olema installitud SHA-2 värskendus(KB4474419),mis on dateeeritud 23. septembril 2019 või uuem SHA-2 värskendus, ja seejärel taaskäivitage seade enne selle värskenduse rakendamist. Lisateavet SHA-2 värskenduste kohta leiate teemast 2019 SHA-2 koodi allkirjastamise tugiteenuste nõue Windows WSUS-i jaoks.

  • Windows Server 2008 R2 SP1 jaoks peab teil olema installitud 12. märtsi 2019 hoolduspinu värskendus (SSU)(KB4490628). Pärast värskenduse KB4490628 installimist soovitame installida uusima SSU värskenduse. Lisateavet uusima SSU värskenduse kohta leiate teemast ADV990001 | Uusimad teeninduspinu värskendused.

  • Windows Server 2008 SP2 jaoks peab teil olema installitud teenusepinu värskendus (SSU)(KB4493730),mis on dateeeritud 9. aprillil 2019. Pärast värskenduse KB4493730 installimist soovitame installida uusima SSU värskenduse. Lisateavet uusimate SSU värskenduste kohta leiate teemast ADV990001 | Uusimad teeninduspinu värskendused.

  • Kliendid peavad ostma laiendatud turbevärskenduse (ESU) Windows Server 2008 SP2 või Windows Server 2008 R2 SP1 asutusesisese versiooni jaoks, kui pikendatud tugi lõppes 14. jaanuaril 2020. Kliendid, kes on ostnud ESU, peavad turbevärskenduste saamise jätkamiseks järgima kb4522133 toiminguid. Lisateavet ESU ja selle kohta, milliseid väljaandeid toetatakse, leiate teemast KB4497181.

NB!Pärast nende nõutavate värskenduste installimist peate seadme taaskäivitama.

Värskenduse installimine

Turbehaavatavuse lahendamiseks installige Windows ja lubage jõustamisrežiim. Selleks tehke järgmist.

  1. Juurutage 12. jaanuaril 2021 värskendus kõigile klient- ja serveriseadmetele.

  2. Pärast kõigi klient- ja serveriseadmete värskendamist saab täieliku kaitse lubada, määrates registriväärtuseks 1.


1. juhis: installige Windows värskendus

Installige 12. jaanuar 2021 Windows või uuem värskendus Windows klient- ja serveriseadmetesse.

Windows Serveri toode

KB #

Värskenduse tüüp

Windows Server, versioon 20H2 (Serveri põhiinstall)

4598242

Turbevärskendus

Windows Server, versioon 2004 (Serveri põhiinstall)

4598242

Turbevärskendus

Windows Server, versioon 1909 (Serveri põhiinstall)

4598229

Turbevärskendus

Windows Server, versioon 1903 (Serveri põhiinstall)

4598229

Turbevärskendus

Windows Server 2019 (Serveri põhiinstall)

4598230

Turbevärskendus

Windows Server 2019

4598230

Turbevärskendus

Windows Server 2016 (Serveri põhiinstall)

4598243

Turbevärskendus

Windows Server 2016

4598243

Turbevärskendus

Windows Server 2012 R2 (Serveri põhiinstall)

4598285

Igakuine värskenduskomplekt

4598275

Ainult turve

Windows Server 2012 R2

4598285

Igakuine värskenduskomplekt

4598275

Ainult turve

Windows Server 2012 (Serveri põhiinstall)

4598278

Igakuine värskenduskomplekt

4598297

Ainult turve

Windows Server 2012

4598278

Igakuine värskenduskomplekt

4598297

Ainult turve

Windows Server 2008 R2 hoolduspakett Service Pack 1

4598279

Igakuine värskenduskomplekt

4598289

Ainult turve

Windows Server 2008 hoolduspakett 2

4598288

Igakuine värskenduskomplekt

4598287

Ainult turve

2. juhis: jõustamisrežiimi lubamine

NB! Selles jaotises, meetodis või ülesandes on toodud juhised registri muutmiseks. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Seetõttu järgige tingimata hoolikalt juhiseid. Lisakaitse tagamiseks varundage register enne selle muudatust. Siis saate probleemide ilmnemisel registri taastada. Lisateavet registri varundamise ja taastamise kohta leiate teemast Registri varundamine ja taastamine Windows.

Pärast kõigi klient- ja serveriseadmete värskendamist saate täieliku kaitse lubada, juurutades jõustamisrežiimi. Selleks toimige järgmiselt.

  1. Paremklõpsake nuppu Start, klõpsake käsku Käivita, tippige väljale Käivita tekst cmdja vajutage siis klahvikombinatsiooni Ctrl+Shift+Enter.

  2. Tippige käsuviibale Administraator käsk regedit ja vajutage sisestusklahvi (Enter).

  3. Otsige üles järgmine registri alamvõti.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Paremklõpsake käsku Prindi, valige Uusja seejärel klõpsake käsku DWORD-VÄÄRTUS (32-bitine) Väärtus.

  2. Tippige RpcAuthnLevelPrivacyEnabled ja vajutage sisestusklahvi (Enter).

  3. Paremklõpsake valikut RpcAuthnLevelPrivacyEnabled ja seejärel klõpsake käsku Muuda.

  4. Tippige väljale Value data (Väärtuseandmed) väärtus 1 ja seejärel klõpsake nuppu Ok.

Märkus. See värskendus tutvustab registriväärtuse RpcAuthnLevelPrivacyEnabled tuge printeri IRemoteWinspooli autoriseerimistaseme suurendamiseks.

Registri alamvõti

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Väärtus

RpcAuthnLevelPrivacyEnabled

Andmetüüp

REG_DWORD

Andmed

1:lubab jõustamisrežiimi. Enne serveripoolse jõustamise režiimi lubamist veenduge, et kõik klientseadmed on installinud Windows värskenduse, mis anti välja 12. jaanuaril 2021 või uuemas Windows värskenduses. See parandus suurendab printeri IRemoteWinspool RPC liidese autoriseerimistaset ja lisab serveripoolsele väljale uue autoriseerimistaseme jõustamiseks uue autoriseerimistaseme jõustamiseks uue poliitika ja registriväärtuse. Kui klientseadmel pole 12. jaanuari 2021 turbevärskendust või uuemat Windows värskendust rakendatud, katkeb printimiskogemus, kui klient loob serveriga ühenduse IRemoteWinspooli liidese kaudu.

0:Pole soovitatav. Keelab printeri IRemoteWinspoolisuurendamiseks autentimistaseme ja teie seadmed pole kaitstud.

Vaikesäte

Vaikekäitumine pärast värskenduste installimist, kui registrivõti pole määratud:

  • 12. jaanuaril 2021 või uuemates värskendustes on vaikekäitumine 0 (null), kui seda pole määratud.

  • 14. septembril 2021 või uuemal värskendusel on vaikekäitumine 1 (üks), kui seda pole määratud.

Kas taaskäivitamine on nõutav?

Jah, vaja on seadme taaskäivitamist või spuuleriteenuse taaskäivitamist.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?

Täname tagasiside eest!

×