Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Összefoglalás

A biztonsági megkerülő biztonsági rés abban az módban létezik, ahogyan a nyomtató távoli eljáráshívási kötése kezeli a hitelesítést a távoli Várólistás folyamat felületén. A Windows frissítés az RPC-hitelesítési szint növelésével és egy új házirend és beállításkulcs bevezetésével szünteti meg a biztonsági rést, hogy az ügyfelek a hitelesítési szint növeléséhez letilthatják vagy engedélyezhetik a kényszerítési módot a kiszolgálóoldalon.    

A biztonsági résről további információt a CVE-2021-1678-| Windows Print Spooler Spoofing Vulnerability.

Művelet

A környezet védelme és a kimaradások megelőzése érdekében tegye a következőket:

  1. Az összes ügyfél- és kiszolgálóeszközöket a 2021. január 12-i Windows vagy újabb frissítés telepítésével Windows frissíteni. Vegye figyelembe, hogy a Windows frissítés telepítése nem csökkenti teljes mértékben a biztonsági rést, és hatással lehet a jelenlegi nyomtatási beállításokra. El kell végeznie a 2. lépést.

  2. Engedélyezze a Kényszerítési módot a nyomtatókiszolgálón. A kényszerítési mód bizonyos későbbi Windows minden eszközén engedélyezve lesz.

Frissítések időzítése

Ezeket Windows frissítéseket két fázisban fogjuk megjelentetni:

  • A 2021. január 12-én Windows frissítések kezdeti telepítési fázisa.

  • A későbbi időpontban kiadott Windows frissítés kényszerítési fázisa.

2021. január 12.: Kezdeti telepítési fázis

A kezdeti telepítési fázis a 2021. január 12-én kiadott Windows-frissítéssel kezdődik, amely lehetővé teszi a kiszolgáló ügyfeleinek, hogy a környezetük készenléte alapján saját maga engedélyezték ezt a fokozott biztonsági szintet.

Ez a kiadás:

  • Címek: CVE-2021-1678 (telepítési módban alapértelmezés szerint Ki van kapcsolva).

  • Az RpcAuthnLevelPrivacyEnabled beállításjegyzékbeli érték támogatása a nyomtató IRemoteWinspool protection engedélyezési szintjének növeléséhez.

A megoldás az ügyfél- és kiszolgálószintű Windows frissítések telepítésének része.

2021. szeptember 14.: Kényszerítési fázis

A kiadás 2021. szeptember 14-én áttűn a kényszerítési szakaszba. A kényszerítési szakasz a CVE-2021-1678 cím módosításait úgy kényszeríti ki, hogy megnöveli az engedélyezési szintet a beállításjegyzék értékének beállítása nélkül.

Telepítési útmutató

A frissítés telepítése előtt

A frissítés telepítése előtt telepítenie kell az alábbi szükséges frissítéseket. Ha az Windows frissítéseket használja, a rendszer automatikusan felajánlja ezeket a szükséges frissítéseket.

  • A frissítés telepítése előtt telepítenie kell a 2019. szeptember 23-án vagy egy újabb SHA-2 frissítéssel(KB4474419)kell telepítenie az SHA-2 frissítést, majd újra kell indítania az eszközt. Az SHA-2 frissítésekkel kapcsolatos további információkért lásd: A 2019 SHA-2kódalá aláírása támogatási követelménye a Windows és a WSUS-ban.

  • A Windows Server 2008 R2 SP1 esetében telepítenie kell a 2019. március 12-én frissülő karbantartási köteg frissítését (SSU) (KB4490628). A KB4490628 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésről további információt az ADV990001-frissítés | A karbantartási köteg legújabb frissítései.

  • A Windows Server 2008 SP2 esetében a 2019. április 9-i karbantartási köteg frissítésének (SSU) (KB4493730)kell lennie. A KB4493730 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésekkel kapcsolatos további információkért lásd: ADV990001 | A karbantartási köteg legújabb frissítései.

  • Az ügyfeleknek meg kell vásárolniuk a kiterjesztett biztonsági frissítést a Windows Server 2008 SP2 vagy az Windows Server 2008 R2 SP1 helyszíni verzióihoz, miután a kiterjesztett technikai támogatás 2020. január 14-én véget ért. A kb4522133-as frissítésre vonatkozó eljárást kell követniük a biztonsági frissítések fogadásának folytatásához. Az ESU-val és a támogatott kiadásokkal kapcsolatos további információkért lásd: KB4497181.

Fontos!A szükséges frissítések telepítése után újra kell indítania az eszközt.

A frissítés telepítése

A biztonsági rés feloldásához telepítse a biztonsági Windows, és engedélyezze a Kényszerítési módot az alábbi lépésekkel:

  1. Telepítse a 2021. január 12-i frissítést az összes ügyfél- és kiszolgálóeszközökön.

  2. Miután az összes ügyfél- és kiszolgálóeszközök frissültek, teljes védelmet engedélyezhet, ha a beállításjegyzékbeli értéket az 1értékre engedélyezi.

1. lépés: A Windows telepítése

A 2021. január 12-i Windows vagy újabb frissítést Windows az összes ügyfél- és kiszolgálóeszközökre.

Windows Kiszolgálói termék

KB #

Frissítés típusa

Windows Server, version 20H2 (Server Core Installation)

4598242

Biztonsági frissítés

Windows Server, version 2004 (Server Core installation)

4598242

Biztonsági frissítés

Windows Server, version 1909 (Server Core installation)

4598229

Biztonsági frissítés

Windows Server, version 1903 (Server Core installation)

4598229

Biztonsági frissítés

Windows Server 2019 (Server Core installation)

4598230

Biztonsági frissítés

Windows Server 2019

4598230

Biztonsági frissítés

Windows Server 2016 (Server Core telepítés)

4598243

Biztonsági frissítés

Windows Server 2016

4598243

Biztonsági frissítés

Windows Server 2012 R2 (Server Core telepítés)

4598285

Havi összegző összegző

4598275

Csak biztonság

Windows Server 2012 R2

4598285

Havi összegző összegző

4598275

Csak biztonság

Windows Server 2012 (Server Core telepítés)

4598278

Havi összegző összegző

4598297

Csak biztonság

Windows Server 2012

4598278

Havi összegző összegző

4598297

Csak biztonság

Windows Server 2008 R2 Service Pack 1

4598279

Havi összegző összegző

4598289

Csak biztonság

Windows Server 2008 Service Pack 2

4598288

Havi összegző összegző

4598287

Csak biztonság

2. lépés: A kényszerítési mód engedélyezése

                Fontos Ez a szakasz, módszer vagy feladat a beállításjegyzék módosításának lépéseit tartalmazza. A beállításjegyzék helytelen módosítása azonban komoly problémákhoz vezethet. Ezért ügyeljen arra, hogy pontosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonságimentőt kell a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentésének és visszaállításának mikéntjéhez lásd: A beállításjegyzék biztonsági mentésének és visszaállításának Windows.

Miután az összes ügyfél- és kiszolgálóeszközök frissültek, a teljes védelmet bekapcsolhatja a Kényszerítési mód telepítéséhez. Ezt a következőképpen teheti meg:

  1. Kattintson a jobb gombbal a Start gombra, kattintson a Futtatás parancsra,írja be a cmd parancsot a Futtatás mezőbe, majd nyomja le a Ctrl+Shift+Enter billentyűkombinációt.

  2. A Rendszergazda parancssorba írja be a regedit parancsot, és nyomja le az Enter billentyűt.

  3. Keresse meg a következő beállításkulcsot:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Kattintson a jobb gombbal a Nyomtatás, válassza az Újlehetőséget, majd kattintson a Duplaszó (32 bites) Érték elemre.

  2. Írja be az RpcAuthnLevelPrivacyEnabled parancsot, és nyomja le az Enter billentyűt.

  3. Kattintson a jobb gombbal az RpcAuthnLevelPrivacyEnabled elemre, majd kattintson a Módosítás parancsra.

  4. Az Érték mezőbe írja be az 1 értéket, majd kattintson az OK gombra.

Megjegyzés: Ez a frissítés támogatja az RpcAuthnLevelPrivacyEnabled beállításjegyzékbeli értéket a nyomtató IRemoteWinspoolengedélyezési szintjének növelése érdekében.

Beállításalkulcs

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Érték

RpcAuthnLevelPrivacyEnabled

Adattípus

REG_DWORD

Érték

1: Kényszerítési mód bekapcsolása. Mielőtt bekapcsolja a kényszerítési módot a kiszolgálóoldali módban, győződjön meg arról, hogy az összes ügyféleszközök telepítették a 202 Windows 1. január 12-én kiadott Windows frissítést vagy egy újabb frissítést. Ez a javítás növeli a nyomtató IRemoteWinspool RPC felületének engedélyezési szintjét, és felvesz egy új házirendet és beállításjegyzék-értéket a kiszolgálóoldali kiszolgálón, hogy kényszerítsen az ügyfél számára az új engedélyezési szint használatára, ha kényszerítési módot alkalmaz. Ha az ügyféleszköz nem rendelkezik a 2021. január 12-i biztonsági frissítéssel vagy újabb Windows-frissítést alkalmaz, a nyomtatási élmény megszakad, amikor az ügyfél az IRemoteWinspool felületen keresztül csatlakozik a kiszolgálóhoz.

0:Nem ajánlott. Letiltja a hitelesítési szint növelése a nyomtató IRemoteWinspooleszközén, és az eszközök nincsenek védelem alatt.

Alapértelmezett

Alapértelmezett működés a frissítések telepítése után, ha a beállításkulcs nincs beállítva:

  • 2021. január 12-i vagy újabb frissítések alapértelmezett viselkedése 0 (nulla), ha nincs beállítva.

  • 2021. szeptember 14-i vagy újabb frissítések alapértelmezett viselkedése 1 (egy), ha nincs beállítva.

Szükség van újraindításra?

Igen, szükség van az eszköz újraindítására vagy a nyomtatásisor-kezelő szolgáltatás újraindítására.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.