Összefoglalás
A biztonsági megkerülő biztonsági rés abban az módban létezik, ahogyan a nyomtató távoli eljáráshívási kötése kezeli a hitelesítést a távoli Várólistás folyamat felületén. A Windows frissítés az RPC-hitelesítési szint növelésével és egy új házirend és beállításkulcs bevezetésével szünteti meg a biztonsági rést, hogy az ügyfelek a hitelesítési szint növeléséhez letilthatják vagy engedélyezhetik a kényszerítési módot a kiszolgálóoldalon.
A biztonsági résről további információt a CVE-2021-1678-| Windows Print Spooler Spoofing Vulnerability.
Művelet A környezet védelme és a kimaradások megelőzése érdekében tegye a következőket:
|
Frissítések időzítése
Ezeket Windows frissítéseket két fázisban fogjuk megjelentetni:
-
A 2021. január 12-én Windows frissítések kezdeti telepítési fázisa.
-
A későbbi időpontban kiadott Windows frissítés kényszerítési fázisa.
2021. január 12.: Kezdeti telepítési fázis
A kezdeti telepítési fázis a 2021. január 12-én kiadott Windows-frissítéssel kezdődik, amely lehetővé teszi a kiszolgáló ügyfeleinek, hogy a környezetük készenléte alapján saját maga engedélyezték ezt a fokozott biztonsági szintet.
Ez a kiadás:
-
Címek: CVE-2021-1678 (telepítési módban alapértelmezés szerint Ki van kapcsolva).
-
Az RpcAuthnLevelPrivacyEnabled beállításjegyzékbeli érték támogatása a nyomtató IRemoteWinspool protection engedélyezési szintjének növeléséhez.
A megoldás az ügyfél- és kiszolgálószintű Windows frissítések telepítésének része.
2021. szeptember 14.: Kényszerítési fázis
A kiadás 2021. szeptember 14-én áttűn a kényszerítési szakaszba. A kényszerítési szakasz a CVE-2021-1678 cím módosításait úgy kényszeríti ki, hogy megnöveli az engedélyezési szintet a beállításjegyzék értékének beállítása nélkül.
Telepítési útmutató
A frissítés telepítése előtt
A frissítés telepítése előtt telepítenie kell az alábbi szükséges frissítéseket. Ha az Windows frissítéseket használja, a rendszer automatikusan felajánlja ezeket a szükséges frissítéseket.
-
A frissítés telepítése előtt telepítenie kell a 2019. szeptember 23-án vagy egy újabb SHA-2 frissítéssel(KB4474419)kell telepítenie az SHA-2 frissítést, majd újra kell indítania az eszközt. Az SHA-2 frissítésekkel kapcsolatos további információkért lásd: A 2019 SHA-2kódalá aláírása támogatási követelménye a Windows és a WSUS-ban.
-
A Windows Server 2008 R2 SP1 esetében telepítenie kell a 2019. március 12-én frissülő karbantartási köteg frissítését (SSU) (KB4490628). A KB4490628 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésről további információt az ADV990001-frissítés | A karbantartási köteg legújabb frissítései.
-
A Windows Server 2008 SP2 esetében a 2019. április 9-i karbantartási köteg frissítésének (SSU) (KB4493730)kell lennie. A KB4493730 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésekkel kapcsolatos további információkért lásd: ADV990001 | A karbantartási köteg legújabb frissítései.
-
Az ügyfeleknek meg kell vásárolniuk a kiterjesztett biztonsági frissítést a Windows Server 2008 SP2 vagy az Windows Server 2008 R2 SP1 helyszíni verzióihoz, miután a kiterjesztett technikai támogatás 2020. január 14-én véget ért. A kb4522133-as frissítésre vonatkozó eljárást kell követniük a biztonsági frissítések fogadásának folytatásához. Az ESU-val és a támogatott kiadásokkal kapcsolatos további információkért lásd: KB4497181.
Fontos!A szükséges frissítések telepítése után újra kell indítania az eszközt.
A frissítés telepítése
A biztonsági rés feloldásához telepítse a biztonsági Windows, és engedélyezze a Kényszerítési módot az alábbi lépésekkel:
-
Telepítse a 2021. január 12-i frissítést az összes ügyfél- és kiszolgálóeszközökön.
-
Miután az összes ügyfél- és kiszolgálóeszközök frissültek, teljes védelmet engedélyezhet, ha a beállításjegyzékbeli értéket az 1értékre engedélyezi.
1. lépés: A Windows telepítése
A 2021. január 12-i Windows vagy újabb frissítést Windows az összes ügyfél- és kiszolgálóeszközökre.
Windows Kiszolgálói termék |
KB # |
Frissítés típusa |
Windows Server, version 20H2 (Server Core Installation) |
Biztonsági frissítés |
|
Windows Server, version 2004 (Server Core installation) |
Biztonsági frissítés |
|
Windows Server, version 1909 (Server Core installation) |
Biztonsági frissítés |
|
Windows Server, version 1903 (Server Core installation) |
Biztonsági frissítés |
|
Windows Server 2019 (Server Core installation) |
Biztonsági frissítés |
|
Windows Server 2019 |
Biztonsági frissítés |
|
Windows Server 2016 (Server Core telepítés) |
Biztonsági frissítés |
|
Windows Server 2016 |
Biztonsági frissítés |
|
Windows Server 2012 R2 (Server Core telepítés) |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2012 R2 |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2012 (Server Core telepítés) |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2012 |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2008 R2 Service Pack 1 |
Havi összegző összegző |
|
Csak biztonság |
||
Windows Server 2008 Service Pack 2 |
Havi összegző összegző |
|
Csak biztonság |
2. lépés: A kényszerítési mód engedélyezése
Fontos Ez a szakasz, módszer vagy feladat a beállításjegyzék módosításának lépéseit tartalmazza. A beállításjegyzék helytelen módosítása azonban komoly problémákhoz vezethet. Ezért ügyeljen arra, hogy pontosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonságimentőt kell a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentésének és visszaállításának mikéntjéhez lásd: A beállításjegyzék biztonsági mentésének és visszaállításának Windows.
Miután az összes ügyfél- és kiszolgálóeszközök frissültek, a teljes védelmet bekapcsolhatja a Kényszerítési mód telepítéséhez. Ezt a következőképpen teheti meg:
-
Kattintson a jobb gombbal a Start gombra, kattintson a Futtatás parancsra,írja be a cmd parancsot a Futtatás mezőbe, majd nyomja le a Ctrl+Shift+Enter billentyűkombinációt.
-
A Rendszergazda parancssorba írja be a regedit parancsot, és nyomja le az Enter billentyűt.
-
Keresse meg a következő beállításkulcsot:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Kattintson a jobb gombbal a Nyomtatás, válassza az Újlehetőséget, majd kattintson a Duplaszó (32 bites) Érték elemre.
-
Írja be az RpcAuthnLevelPrivacyEnabled parancsot, és nyomja le az Enter billentyűt.
-
Kattintson a jobb gombbal az RpcAuthnLevelPrivacyEnabled elemre, majd kattintson a Módosítás parancsra.
-
Az Érték mezőbe írja be az 1 értéket, majd kattintson az OK gombra.
Megjegyzés: Ez a frissítés támogatja az RpcAuthnLevelPrivacyEnabled beállításjegyzékbeli értéket a nyomtató IRemoteWinspoolengedélyezési szintjének növelése érdekében.
Beállításalkulcs |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Érték |
RpcAuthnLevelPrivacyEnabled |
Adattípus |
REG_DWORD |
Érték |
1: Kényszerítési mód bekapcsolása. Mielőtt bekapcsolja a kényszerítési módot a kiszolgálóoldali módban, győződjön meg arról, hogy az összes ügyféleszközök telepítették a 202 Windows 1. január 12-én kiadott Windows frissítést vagy egy újabb frissítést. Ez a javítás növeli a nyomtató IRemoteWinspool RPC felületének engedélyezési szintjét, és felvesz egy új házirendet és beállításjegyzék-értéket a kiszolgálóoldali kiszolgálón, hogy kényszerítsen az ügyfél számára az új engedélyezési szint használatára, ha kényszerítési módot alkalmaz. Ha az ügyféleszköz nem rendelkezik a 2021. január 12-i biztonsági frissítéssel vagy újabb Windows-frissítést alkalmaz, a nyomtatási élmény megszakad, amikor az ügyfél az IRemoteWinspool felületen keresztül csatlakozik a kiszolgálóhoz. 0:Nem ajánlott. Letiltja a hitelesítési szint növelése a nyomtató IRemoteWinspooleszközén, és az eszközök nincsenek védelem alatt. |
Alapértelmezett |
Alapértelmezett működés a frissítések telepítése után, ha a beállításkulcs nincs beállítva:
|
Szükség van újraindításra? |
Igen, szükség van az eszköz újraindítására vagy a nyomtatásisor-kezelő szolgáltatás újraindítására. |