A nyomtató RPC-kötési módosításainak kezelése a CVE-2021-1678 esetén

Összefoglalás

A biztonsági megkerülő biztonsági rés abban az módban létezik, ahogyan a nyomtató távoli eljáráshívási kötése kezeli a hitelesítést a távoli Várólistás folyamat felületén. A Windows frissítés az RPC hitelesítési szint növelésével és egy új házirend és beállításkulcs bevezetésével szünteti meg a biztonsági rést, hogy az ügyfelek a kiszolgálóoldali kényszerítési módot letilthatják vagy engedélyezve növelhetik a hitelesítési szintet.

A biztonsági résről további információt a CVE-2021-1678-| NTLM security feature Bypass Vulnerability.

Művelet

A környezet védelme és a kimaradások megelőzése érdekében tegye a következőket:

  1. A 2021. január 12-én Windows vagy újabb frissítéssel frissítheti az összes ügyfél- Windows eszközt. Vegye figyelembe, hogy a Windows frissítés telepítése nem csökkenti teljes mértékben a biztonsági rést, és hatással lehet a jelenlegi nyomtatási beállításokra. El kell végeznie a 2. lépést.

  2. Engedélyezze a Kényszerítési módot a nyomtatókiszolgálón. A 2021. június 8-i frissítéstől kezdődően a Kényszerítési mód minden eszközön Windows engedélyezett.

Frissítések időzítése

Ezeket Windows frissítéseket két fázisban fogjuk megjelentetni:

  • A 2021. január 12-én Windows vagy azt követően kiadott frissítések kezdeti telepítési fázisa.

  • A 2021. június 8-án Windows vagy azt követően kiadott frissítések kényszerítési fázisa.

2021. január 12.: Kezdeti telepítési fázis

A kezdeti telepítési fázis a 2021. január 12-én kiadott Windows-frissítéssel kezdődik, amely lehetővé teszi a kiszolgáló ügyfeleinek, hogy a környezetük készenléte alapján saját maga engedélyezték ezt a fokozott biztonsági szintet.

Ez a kiadás:

  • Címek: CVE-2021-1678 (telepítési módban alapértelmezés szerint Ki van kapcsolva).

  • Az RpcAuthnLevelPrivacyEnabled beállításjegyzékbeli érték támogatása a nyomtató IRemoteWinspool protection engedélyezési szintjének növeléséhez.

A megoldás az ügyfél- és kiszolgálószintű Windows frissítések telepítésének része.

2021. június 8.: Kényszerítési fázis

A 2021. június 8-i kiadás áttűn a kényszerítési fázisra. A kényszerítési szakasz a CVE-2021-1678 cím módosításait úgy kényszeríti ki, hogy megnöveli az engedélyezési szintet a beállításjegyzék értékének beállítása nélkül.

Telepítési útmutató

A frissítés telepítése előtt

A frissítés telepítése előtt telepítenie kell az alábbi szükséges frissítéseket. Ha az Windows frissítéseket használja, a rendszer automatikusan felajánlja ezeket a szükséges frissítéseket.

  • A frissítés telepítése előtt telepítenie kell a 2019. szeptember 23-án vagy egy újabb SHA-2 frissítéssel(KB4474419)kell telepítenie az SHA-2 frissítést, majd újra kell indítania az eszközt. Az SHA-2 frissítésekkel kapcsolatos további információkért lásd: A 2019 SHA-2kódalá aláírása támogatási követelménye a Windows és a WSUS-ban.

  • A Windows Server 2008 R2 SP1 esetén telepítenie kell a 2019. március 12-én frissülő karbantartási köteg frissítését (SSU) (KB4490628). A KB4490628 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésről további információt az ADV990001-| A karbantartási köteg legújabb frissítései.

  • A Windows Server 2008 SP2 esetében a 2019. április 9-i karbantartási köteg frissítésének (SSU) (KB4493730)kell lennie. A KB4493730 frissítés telepítését követően javasoljuk, hogy telepítse a legújabb SSU-frissítést. A legújabb SSU-frissítésekkel kapcsolatos további információkért lásd: ADV990001 | A karbantartási köteg legújabb frissítései.

  • Az ügyfeleknek meg kell vásárolniuk a kiterjesztett biztonsági frissítést a Windows Server 2008 SP2 vagy Windows Server 2008 R2 SP1 helyszíni verzióihoz, miután a kiterjesztett technikai támogatás 2020. január 14-én véget ért. A kb4522133-as frissítésre vonatkozó eljárást kell követniük a biztonsági frissítések fogadásának folytatásához. Az ESU-val és a támogatott kiadásokkal kapcsolatos további információkért lásd: KB4497181.

Fontos!A szükséges frissítések telepítése után újra kell indítania az eszközt.

A frissítés telepítése

A biztonsági rés feloldásához telepítse a biztonsági Windows, és engedélyezze a Kényszerítési módot az alábbi lépésekkel:

  1. Telepítse a 2021. január 12-i frissítést az összes ügyfél- és kiszolgálóeszközökön.

  2. Miután az összes ügyfél- és kiszolgálóeszközök frissültek, teljes védelmet engedélyezhet, ha a beállításjegyzékbeli értéket az 1értékre engedélyezi.


1. lépés: A Windows telepítése

A 2021. január 12-i Windows vagy újabb frissítést Windows az összes ügyfél- és kiszolgálói eszközre.

Windows Kiszolgálói termék

KB #

Frissítés típusa

Windows Server, version 20H2 (Server Core Installation)

4598242

Biztonsági frissítés

Windows Server, version 2004 (Server Core installation)

4598242

Biztonsági frissítés

Windows Server, version 1909 (Server Core installation)

4598229

Biztonsági frissítés

Windows Server, version 1903 (Server Core installation)

4598229

Biztonsági frissítés

Windows Server 2019 (Server Core installation)

4598230

Biztonsági frissítés

Windows Server 2019

4598230

Biztonsági frissítés

Windows Server 2016 (Server Core telepítés)

4598243

Biztonsági frissítés

Windows Server 2016

4598243

Biztonsági frissítés

Windows Server 2012 R2 (Server Core telepítés)

4598285

Havi összegző összegző

4598275

Csak biztonság

Windows Server 2012 R2

4598285

Havi összegző összegző

4598275

Csak biztonság

Windows Server 2012 (Server Core telepítés)

4598278

Havi összegző összegző

4598297

Csak biztonság

Windows Server 2012

4598278

Havi összegző összegző

4598297

Csak biztonság

Windows Server 2008 R2 Service Pack 1

4598279

Havi összegző összegző

4598289

Csak biztonság

Windows Server 2008 Service Pack 2

4598288

Havi összegző összegző

4598287

Csak biztonság

2. lépés: A kényszerítési mód engedélyezése

Fontos: Ez a szakasz, módszer vagy feladat a beállításjegyzék módosításának lépéseit tartalmazza. A beállításjegyzék helytelen módosítása azonban komoly problémákhoz vezethet. Ezért ügyeljen arra, hogy pontosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonságimentőt kell a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentésének és visszaállításának mikéntjéhez lásd: A beállításjegyzék biztonsági mentésének és visszaállításának Windows.

Miután az összes ügyfél- és kiszolgálóeszközök frissültek, a teljes védelmet bekapcsolhatja a Kényszerítési mód telepítéséhez. Ezt a következőképpen teheti meg:

  1. Kattintson a jobb gombbal a Start gombra, kattintson a Futtatás parancsra,írja be a cmd parancsot a Futtatás mezőbe, majd nyomja le a Ctrl+Shift+Enter billentyűkombinációt.

  2. A Rendszergazda parancssorba írja be a regedit parancsot, és nyomja le az Enter billentyűt.

  3. Keresse meg a következő beállításkulcsot:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Kattintson a jobb gombbal a Nyomtatás, válassza az Újlehetőséget, majd kattintson a Duplaszó (32 bites) Érték elemre.

  2. Írja be az RpcAuthnLevelPrivacyEnabled parancsot, és nyomja le az Enter billentyűt.

  3. Kattintson a jobb gombbal az RpcAuthnLevelPrivacyEnabled elemre, majd kattintson a Módosítás parancsra.

  4. Az Érték mezőbe írja be az 1 értéket, majd kattintson az OK gombra.

Megjegyzés: Ez a frissítés támogatja az RpcAuthnLevelPrivacyEnabled beállításjegyzékbeli értéket a nyomtató IRemoteWinspoolengedélyezési szintjének növelése érdekében.

Beállításalkulcs

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Érték

RpcAuthnLevelPrivacyEnabled

Adattípus

REG_DWORD

Érték

1: Kényszerítési mód bekapcsolása. Mielőtt engedélyezné a kényszerítési módot a kiszolgálóoldali használatra, győződjön meg arról, hogy az összes ügyféleszközök telepítve vannak a 2021. január 12-én kiadott Windows, illetve egy újabb Windows frissítésre. Ez a javítás növeli a nyomtató IRemoteWinspool RPC felületének engedélyezési szintjét, és felvesz egy új házirendet és beállításjegyzék-értéket a kiszolgálóoldali kiszolgálón, hogy kényszerítse az ügyfél számára az új engedélyezési szint használatát, ha a Kényszerítési módot alkalmazza. Ha az ügyféleszközre nem vonatkozik a 2021. január 12-i biztonsági frissítés, vagy ha Windows újabb frissítés van alkalmazva, a nyomtatási élmény megszakad, amikor az ügyfél az IRemoteWinspool felületén keresztül csatlakozik a kiszolgálóhoz.

0:Nem ajánlott. Letiltja a hitelesítési szint növelése a nyomtató IRemoteWinspooleszközén, és az eszközök nincsenek védelem alatt.

Alapértelmezett

0 (ha a beállításkulcs nincs beállítva)

Szükség van újraindításra?

Igen, szükség van az eszköz újraindítására vagy a nyomtatásisor-kezelő szolgáltatás újraindítására.

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Köszönjük visszajelzését!

×