Résumé
Les mises à jour de sécurité publiées le 6 juillet 2021 contiennent des protections pour la vulnérabilité de l’exécution du code distant dans le servicePooler d’impression Windows (spoolsv.exe), appelé « PrintNightmare », documenté dans CVE-2021-34527. Après avoir installé les mises à jour de juillet 2021 et ultérieures, les non-administrateurs, y compris les groupes d’administration délégués tels que les opérateurs d’imprimante, ne peuvent pas installer les pilotes d’imprimante signés et non signés sur un serveur d’impression. Par défaut, seuls les administrateurs peuvent installer les pilotes d’imprimante signés et non signés sur un serveur d’impression.
Remarque Avant d’installer les mises à jour hors bande de juillet 2021 et ultérieures Windows contenant les protections pour CVE-2021-34527, le groupe de sécurité des opérateurs d’imprimante pouvait installer à la fois des pilotes d’imprimante signés et non signés sur un serveur d’imprimante. À partir de la mise à jour hors bande de juillet 2021, des informations d’identification d’administrateur seront requises pour installer les pilotes d’imprimante signés et non signés sur un serveur d’imprimante. De manière facultative, pour remplacer tous les paramètres de stratégie de groupe Restrictions de point et d’impression et vous assurer que seuls les administrateurs peuvent installer des pilotes d’imprimante sur un serveur d’impression, configurez la valeur du Registre RestrictDriverInstallationToAdministrators sur 1.
Nous vous recommandons d’installer immédiatement les dernières mises à jour de Windows publiées le 6 juillet 2021 sur tous les systèmes d’exploitation du client et du serveur Windows pris en charge, à commencer par les appareils qui hébergent actuellement le service de covoiturage d’impression. Définissez ensuite les paramètres « Lors de l’installation des pilotes pour une nouvelle connexion » et « Lors de la mise à jour des pilotes pour une connexion existante » dans le paramètre de stratégie de groupe Restrictions de point et d’impression sur « Afficher l’avertissement et l’invite de hauteur ».
Résolution
-
Installez les mises à jour hors bande ou ultérieures de juillet 2021.
-
Vérifiez si les conditions suivantes sont vraies :
-
Registre Paramètres : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) ou non défini (paramètre par défaut)
-
UpdatePromptSettings = 0 (DWORD) ou non défini (paramètre par défaut)
-
-
Stratégie de groupe : vous n’avez pas configuré la stratégie de groupe Restrictions de point et d’impression.
Si les deux conditions sont vraies, vous n’êtes pas vulnérable à CVE-2021-34527 et aucune action supplémentaire n’est requise de votre part. Si l’une ou l’autre condition n’est pas vraie, vous êtes vulnérable. Suivez les étapes ci-dessous pour modifier la stratégie de groupe Restrictions de point et d’impression en configuration sécurisée.
-
Ouvrez l’outil éditeur de stratégie de groupe et allez à Configuration > modèles d’administration > imprimantes.
-
Configurez le paramètre de stratégie de groupe Restrictions de point et d’impression comme suit :
-
Définissez le paramètre de stratégie de groupe Restrictions sur les points et les impressions sur « Activé ».
-
« Lors de l’installation des pilotes pour une nouvelle connexion » : « Afficher une invite d’avertissement et de hauteur ».
-
« Lors de la mise à jour des pilotes pour une connexion existante » : « Afficher une invite d’avertissement et d’élévation ».
-
Important Nous vous recommandons vivement d’appliquer cette stratégie à tous les ordinateurs qui hébergent le service de covoiturage d’impression.
Conditions requises pour le redémarrage : Cette modification de stratégie ne nécessite pas de redémarrage de l’appareil ou du service de covoiturage après l’application de ces paramètres.
3. Utilisez les clés de Registre suivantes pour confirmer que la stratégie de groupe a été appliquée correctement :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Avertissement La définition de ces valeurs sur des valeurs autres que zéro rend vulnérables les appareils sur lesquels vous avez installé la mise à jour CVE-2021-34527.
Remarque La configuration de ces paramètres ne désactive pas la fonctionnalité Point et Imprimer.
4. [Recommandé] Restrictions relatives aux points de remplacement et à l’impression afin que seuls les administrateurs peuvent installer des pilotes d’impression sur les serveurs d’imprimante. Pour ce faire, utilisez la clé de Registre RestrictDriverInstallationToAdministrators. Les mises à jour publiées le 6 juillet 2021 ou version ultérieure ont une valeur par défaut de 0 (désactivée) jusqu’au 10 août 2021. Les mises à jour publiées le 10 août 2021 ou version ultérieure ont la valeur 1 par défaut (activée). Pour plus d’informations sur la façon de définir RestrictDriverInstallationToAdministrators et d’autres recommandations liées à l’impression, voir KB5005652 : gérer le nouveau point et imprimer le comportement d’installation par défaut des pilotes (CVE-2021-34481)
Plus d’informations
Les correctifs pour CVE-2021-34527 ont-ils une incidence sur le scénario d’installation des points et des pilotes d’impression par défaut pour un périphérique client qui se connecte à une imprimante réseau partagée et l’installe-t-elle ?
Non, les correctifs pour CVE-2021-34527 n’affectent pas directement le scénario d’installation des points et des pilotes d’impression par défaut pour un périphérique client qui se connecte à une imprimante réseau partagée et l’installe. Dans ce cas, un appareil client se connecte à un serveur d’impression, puis télécharge et installe les pilotes à partir de ce serveur approuvé. Ce scénario est différent du scénario vulnérable où un pirate informatique tente d’installer un pilote malveillant sur le serveur d’impression lui-même, localement ou à distance.
