Gestion du déploiement des modifications concernant la liaison RPC de l’imprimante pour CVE-2021-1678

Résumé

Une vulnérabilité de contournement de sécurité existe dans la façon dont la liaison d’appel de procédure à distance (RPC) de l’imprimante gère l’authentification de l’interface Winspool distante. La mise à jour Windows s’attaque à cette vulnérabilité en augmentant le niveau d’authentification RPC et en introduisant une nouvelle stratégie ainsi qu’une nouvelle clé de Registre pour permettre aux clients d’activer ou de désactiver le mode de mise en conformité côté serveur afin d’augmenter le niveau d’authentification.

Pour en savoir plus sur cette vulnérabilité, consultez l’avis CVE-2021-1678 | Vulnérabilité de contournement de la fonctionnalité de sécurité dans NTLM.

Procédure à suivre

Pour protéger votre environnement et empêcher les pannes, vous devez suivre la procédure ci-dessous :

  1. Mettez à jour tous les périphériques serveurs et clients en installant la mise à jour Windows du 12 janvier 2021 ou une version ultérieure. Veuillez noter que l’installation de la mise à jour Windows n’atténue pas complètement la faille de sécurité et peut affecter la configuration de l’impression actuelle. Vous devez exécuter l’étape 2.

  2.                 Activer le mode de mise en conformité sur le serveur d’impression. À partir de la mise à jour du 8 juin 2021, le mode de mise en conformité sera activé sur tous les appareils Windows.

Calendrier des mises à jour

Ces mises à jour Windows seront publiées en deux phases :

  • La phase de déploiement initial, prévue pour les mises à jour Windows publiées le 12 janvier 2021 ou ultérieurement.

  • La phase de mise en conformité, prévue pour les mises à jour Windows publiées le 8 juin 2021 ou ultérieurement.

12 janvier 2021 : phase de déploiement initial

La phase de déploiement initiale démarre avec la mise à jour Windows publiée le 12 janvier 2021 en offrant aux clients du serveur la possibilité d’activer eux-mêmes le niveau de sécurité supérieur, en fonction de la préparation de leur environnement.

Cette version :

  • Résolution de la vulnérabilité CVE-2020-1678 (en mode de déploiement défini sur Désactivé par défaut).

  • Ajoute un support pour la valeur du Registre RpcAuthnLevelPrivacyEnabled afin d’activer l’augmentation du niveau d’autorisation pour la protection d’imprimante iRemoteWinspool.

L’atténuation consiste en l’installation des mises à jour Windows sur tous les périphériques au niveau du serveur et du client.

8 juin 2021 : phase de mise en conformité

La publication du 8 juin 2021 constitue la transition vers la phase de mise en conformité. La phase de mise en conformité applique les modifications permettant de résoudre les problèmes de CVE-2020-1678 en augmentant le niveau d’autorisation sans avoir à définir la valeur du Registre.

Instructions d’installation

Avant d’installer cette mise à jour

Vous devez avoir installé les mises à jour obligatoires suivantes avant d’appliquer cette mise à jour. Si vous utilisez Windows Update, ces mises à jour obligatoires vous seront proposées automatiquement, si nécessaire.

  • Vous devez avoir installé la mise à jour SHA-2 (KB4474419) du 23 septembre 2019 ou une mise à jour SHA-2 ultérieure, puis redémarrer votre appareil avant d’appliquer cette mise à jour. Pour plus d’informations sur les mises à jour SHA-2, consultez l’article Obligation de prise en charge de la signature du code SHA-2 2019 pour Windows et WSUS.

  • Pour Windows Server 2008 R2 SP1, vous devez avoir installé la mise à jour de la pile de maintenance (SSU) (KB4490628) datée du 12 mars 2019. Une fois la mise à jour KB4490628 installée, il est recommandé d’installer la dernière mise à jour SSU. Pour plus d’informations sur les dernières mises à jour SSU, consultez l’avis ADV990001 | Dernières mises à jour de la pile de maintenance.

  • Pour Windows Server 2008 SP2, vous devez avoir installé la mise à jour de la pile de maintenance (SSU) (KB4493730) datée du 9 avril 2019. Une fois la mise à jour KB4493730 installée, il est recommandé d’installer la dernière mise à jour SSU. Pour plus d’informations sur les dernières mises à jour SSU, consultez l’avis ADV990001 | Dernières mises à jour de la pile de maintenance.

  • Vous devez acheter la mise à jour de sécurité étendue (ESU) pour les versions locales de Windows Server 2008 SP2 ou de Windows Server 2008 R2 SP1 après la date de fin du support étendu fixée au 14 janvier 2020. Si vous avez acheté la mise à jour de sécurité étendue (ESU), vous devez suivre les procédures décrites dans l’article KB4522133 pour continuer à recevoir les mises à jour de sécurité. Pour plus d’informations sur la mise à jour ESU et sur les éditions prises en charge, consultez l’article KB4497181.

                Important Vous devez redémarrer votre appareil après avoir installé ces mises à jour obligatoires.

Installation de la mise à jour

Pour corriger la faille de sécurité, installez les mises à jour Windows et activez le mode de mise en conformité en procédant comme suit :

  1. Déployez la mise à jour du 12 janvier 2021 sur tous les périphériques clients et serveurs.

  2. Après la mise à jour de tous les appareils clients et serveurs, activez une protection totale en définissant la valeur du Registre sur 1.


Étape 1 : Installer la mise à jour Windows

Installez la mise à jour Windows du 12 janvier 2021 ou une version ultérieure sur tous les périphériques clients et serveurs.

Produit Windows Server

N° article

Type de mise à jour

Windows Server version 20H2 (installation Server Core)

4598242

Mise à jour de sécurité

Windows Server version 2004 (installation Server Core)

4598242

Mise à jour de sécurité

Windows Server version 1909 (installation Server Core)

4598229

Mise à jour de sécurité

Windows Server version 1903 (installation Server Core)

4598229

Mise à jour de sécurité

Windows Server 2019 (installation Server Core)

4598230

Mise à jour de sécurité

Windows Server 2019

4598230

Mise à jour de sécurité

Windows Server 2016 (installation Server Core)

4598243

Mise à jour de sécurité

Windows Server 2016

4598243

Mise à jour de sécurité

Windows Server 2012 R2 (installation Server Core)

4598285

Correctif cumulatif mensuel

4598275

Sécurité uniquement

Windows Server 2012 R2

4598285

Correctif cumulatif mensuel

4598275

Sécurité uniquement

Windows Server 2012 (installation Server Core)

4598278

Correctif cumulatif mensuel

4598297

Sécurité uniquement

Windows Server 2012

4598278

Correctif cumulatif mensuel

4598297

Sécurité uniquement

Windows Server 2008 R2 Service Pack 1

4598279

Correctif cumulatif mensuel

4598289

Sécurité uniquement

Windows Server 2008 Service Pack 2

4598288

Correctif cumulatif mensuel

4598287

Sécurité uniquement

Étape 2 : Activer le mode de mise en conformité

                Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

Après la mise à jour de tous les appareils clients et serveurs, vous pouvez activer une protection totale en déployant le mode de mise en conformité. Pour cela, procédez comme suit :

  1. Cliquez avec le bouton droit sur Démarrer, sélectionnez Exécuter, tapez cmd dans la zone Exécuter, puis appuyez sur Ctrl+Maj+Entrée.

  2. À l’invite de commandes administrateur, tapez regedit.exe, puis appuyez sur Entrée.

  3. Trouvez la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Cliquez avec le bouton droit sur Imprimer, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).

  2. Tapez RpcAuthnLevelPrivacyEnabled, puis appuyez sur Entrée.

  3. Cliquez avec le bouton droit sur RpcAuthnLevelPrivacyEnabled, puis cliquez sur Modifier.

  4. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.

                Remarque Cette mise à jour introduit la prise en charge de la valeur du Registre RpcAuthnLevelPrivacyEnabled afin d’augmenter le niveau d’autorisation d’imprimante IRemoteWinspool.

Sous-clé de Registre

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Valeur

RpcAuthnLevelPrivacyEnabled

Type de données

REG_DWORD

Données

                1 : cette valeur active le mode de mise en conformité. Avant d’activer le mode de mise en conformité côté serveur, assurez-vous que la mise à jour Windows publiée le 12 janvier 2021 ou une version ultérieure a bien été installée sur tous les périphériques clients. Ce correctif augmente le niveau d’autorisation de l’interface RPC d’imprimante iRemoteWinspool. Il ajoute également une nouvelle stratégie et une nouvelle valeur de Registre côté serveur pour contraindre le client à utiliser le nouveau niveau d’autorisation en cas d’application du mode de mise en conformité. Si la mise à jour de sécurité du 12 janvier 2021 ou une mise à jour Windows ultérieure n’a pas été installée sur l’appareil client, l’expérience d’impression est interrompue lors de la connexion du client au serveur via l’interface IRemoteWinspool.

0 : cette valeur n’est pas recommandée. Désactivation de l’augmentation du niveau d’authentification d’imprimante IRemoteWinspool. Vos appareils ne sont alors pas protégés.

Valeur par défaut

            0 (si la clé de Registre n’est pas définie)

Redémarrage nécessaire ?

Oui, un redémarrage de l’appareil ou du service Spouleur est requis.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×