Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Ringkasan

Terdapat kerentanan bypass keamanan pada cara Pengikatan Printer Remote Procedure Call (RPC) menangani autentikasi untuk antarmuka Desktop Desktop jarak jauh. Pembaruan Windows mengatasi kerentanan ini dengan meningkatkan tingkat autentikasi RPC dan memperkenalkan kebijakan baru dan kunci registri untuk memungkinkan pelanggan menonaktifkan atau mengaktifkan mode Penerapan di sisi server untuk meningkatkan tingkat autentikasi.   

Untuk mempelajari selengkapnya tentang kerentanan, lihat saluran IDE-2021-1678 | Windows Print Spooler Spoofing Vulnerability.

Mengambil Tindakan

Untuk melindungi lingkungan Anda dan mencegah terjadinya pemadaman, Anda harus melakukan hal berikut:

  1. Perbarui semua perangkat klien dan server dengan menginstal pembaruan 12 Januari 2021 Windows atau pembaruan Windows terbaru. Ketahuilah bahwa menginstal Windows pembaruan perangkat tidak sepenuhnya mengurangi kerentanan keamanan dan mungkin berdampak pada penyetelan cetak Anda saat ini. Anda harus melakukan Langkah 2.

  2. Aktifkan mode Penerapan pada server cetak. Mode Penerapan akan diaktifkan di semua Windows pada beberapa tanggal mendatang.

Pengaturan waktu pembaruan

Pembaruan Windows akan dirilis dalam dua tahap:

  • Fase penyebaran awal untuk Windows yang dirilis pada atau setelah 12 Januari 2021.

  • Fase pemberlakuan untuk Windows pembaruan yang dirilis pada beberapa tanggal mendatang.

12 Januari 2021: Fase Penyebaran Awal

Fase penyebaran awal dimulai dengan pembaruan Windows yang dirilis pada 12 Januari 2021 dengan menyediakan kemampuan bagi pelanggan server untuk mengaktifkan tingkat keamanan yang ditingkatkan sendiri berdasarkan kesiapan lingkungan mereka.

Rilis ini:

  • Alamat HYPERLINK-2021-1678 (dalam mode Penyebaran diatur ke Nonaktif secara default).

  • Menambahkan dukungan untuk nilai registri RpcAuthnLevelPrivacyEnabled untuk memungkinkan peningkatan tingkat otorisasi untuk proteksi klub IRemoteWinspool printer.

Mitigasi terdiri dari penginstalan pembaruan Windows di semua perangkat tingkat klien dan server.

14 September 2021: Fase Penerapan

Rilis akan transisi ke fase pemberlakuan pada 14 September 2021. Fase pemberlakuan memberlakukan perubahan untuk mengatasi DEFAULT-2021-1678 dengan meningkatkan tingkat otorisasi tanpa harus mengatur nilai registri.

Panduan instalasi

Sebelum menginstal pembaruan ini

Pembaruan berikut ini harus terinstal sebelum menerapkan pembaruan ini. Jika Anda menggunakan Windows Pembaruan, pembaruan yang diperlukan ini akan ditawarkan secara otomatis jika diperlukan.

  • Anda harus memiliki pembaruan SHA-2 (KB4474419) tanggal 23 September 2019 atau pembaruan SHA-2 yang lebih baru yang terinstal lalu hidupkan ulang perangkat Anda sebelum menerapkan pembaruan ini. Untuk informasi selengkapnya tentang pembaruan SHA-2, lihat Persyaratan Dukungan Penandatanganan Kode SHA-2 2019untuk Windows dan WSUS.

  • Untuk Windows Server 2008 R2 SP1, Anda harus menginstal pembaruan tumpukan pelayanan (SSU) (KB4490628) tanggal 12 Maret 2019. Setelah pembaruan KB4490628 diinstal, kami menyarankan agar Anda menginstal pembaruan SSU terbaru. Untuk informasi selengkapnya tentang pembaruan SSU terbaru, lihat ADV990001 | Pembaruan Tumpukan Pelayanan Terbaru.

  • Untuk Windows Server 2008 SP2, Anda harus menginstal pembaruan tumpukan pelayanan (SSU) (KB4493730) tanggal 9 April 2019. Setelah pembaruan KB4493730 diinstal, kami menyarankan agar Anda menginstal pembaruan SSU terbaru. Untuk informasi selengkapnya tentang pembaruan SSU terbaru, lihat ADV990001 | Pembaruan Tumpukan Pelayanan Terbaru.

  • Pelanggan harus membeli Pembaruan Keamanan Diperluas (ESU, Extended Security Update) untuk versi lokal Windows Server 2008 SP2 atau Windows Server 2008 R2 SP1 setelah dukungan tambahan berakhir pada 14 Januari 2020. Pelanggan yang telah membeli ESU harus mengikuti prosedur dalam KB4522133 untuk terus menerima pembaruan keamanan. Untuk informasi selengkapnya tentang ESU dan edisi mana yang didukung, lihat KB4497181.

Penting Anda harus menghidupkan ulang perangkat setelah menginstal pembaruan yang diperlukan ini.

Instal pembaruan

Untuk mengatasi kerentanan keamanan, instal pembaruan Windows dan aktifkan mode Penerapan dengan mengikuti langkah-langkah ini:

  1. Sebarkan pembaruan 12 Januari 2021 ke semua perangkat klien dan server.

  2. Setelah semua perangkat klien dan server diperbarui, proteksi penuh dapat diaktifkan dengan mengatur nilai registri ke 1.


Langkah 1: Instal Windows baru

Instal pembaruan 12 Januari 2021 Windows atau yang lebih Windows ke semua perangkat klien dan server.

Windows Produk server

KB #

Tipe pembaruan

Windows Server, versi 20H2 (Instalasi Inti Server)

4598242

Pembaruan Keamanan

Windows Server, versi 2004 (instalasi Server Core)

4598242

Pembaruan Keamanan

Windows Server, versi 1909 (instalasi Server Core)

4598229

Pembaruan Keamanan

Windows Server, versi 1903 (instalasi Server Core)

4598229

Pembaruan Keamanan

Windows Server 2019 (penginstalan Server Core)

4598230

Pembaruan Keamanan

Windows Server 2019

4598230

Pembaruan Keamanan

Windows Server 2016 (instalasi Server Core)

4598243

Pembaruan Keamanan

Windows Server 2016

4598243

Pembaruan Keamanan

Windows Server 2012 R2 (Instalasi Server Core)

4598285

Rollup Bulanan

4598275

Keamanan Saja

Windows Server 2012 R2

4598285

Rollup Bulanan

4598275

Keamanan Saja

Windows Server 2012 (instalasi Server Core)

4598278

Rollup Bulanan

4598297

Keamanan Saja

Windows Server 2012

4598278

Rollup Bulanan

4598297

Keamanan Saja

Windows Server 2008 R2 Service Pack 1

4598279

Rollup Bulanan

4598289

Keamanan Saja

Windows Server 2008 Paket Layanan 2

4598288

Rollup Bulanan

4598287

Keamanan Saja

Langkah 2: Aktifkan mode Penerapan

Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda cara mengubah registri. Namun, masalah serius dapat terjadi jika Anda mengubah registri dengan tidak benar. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, lihat Cara mencadangkan dan memulihkan registri di Windows.

Setelah semua perangkat klien dan server diperbarui, Anda dapat mengaktifkan perlindungan penuh dengan menggunakan mode Penerapan. Untuk melakukannya, ikuti langkah-langkah berikut:

  1. Klik kanan Mulai,klik Jalankan,ketik cmd dalam kotak Jalankan, lalu tekan Ctrl+Shift+Enter.

  2. Pada prompt perintah Administrator, ketikkan regedit, lalu tekan Enter.

  3. Temukan subkey registri berikut:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Klik kanan Cetak,pilih Baru,lalu klik Nilai DWORD VALUE (32-bit).

  2. Ketik RpcAuthnLevelPrivacyEnabled lalu tekan Enter.

  3. Klik kanan RpcAuthnLevelPrivacyEnabled, lalu klik Ubah.

  4. Dalam kotak Data nilai, ketik 1 lalu klik Ok.

Note Pembaruan ini memperkenalkan dukungan untuk nilai registri RpcAuthnLevelPrivacyEnabled untuk meningkatkan tingkat otorisasi untuk klub IRemoteWinspoolprinter.

Subkey registri

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Nilai

RpcAuthnLevelPrivacyEnabled

Tipe data

REG_DWORD

Data

1: Mengaktifkan mode Penerapan. Sebelum Anda mengaktifkan mode Penerapan untuk sisi server, pastikan semua perangkat klien telah menginstal pembaruan Windows yang dirilis pada tanggal 12 Januari 2021 atau yang lebih Windows lagi. Perbaikan ini meningkatkan tingkat otorisasi untuk antarmuka RPC IRemoteWinspool printer dan menambahkan kebijakan dan nilai registri baru di sisi server untuk memberlakukan klien untuk menggunakan tingkat otorisasi baru jika mode Penerapan diterapkan. Jika perangkat klien tidak memiliki pembaruan keamanan 12 Januari 2021 atau pembaruan Windows yang lebih baru yang diterapkan, pengalaman pencetakan akan rusak saat klien tersambung ke server melalui antarmuka IRemoteWinspool.

0: Tidak disarankan. Menonaktifkan peningkatan tingkat autentikasi untuk printer IRemoteWinspool,dan perangkat Anda tidak dilindungi.

Default

Perilaku default setelah menginstal pembaruan ketika kunci registri tidak diatur:

  • Pembaruan 12 Januari 2021 atau yang lebih baru memiliki perilaku default 0 (nol) ketika tidak diatur.

  • Pembaruan 14 September 2021 atau yang lebih baru memiliki perilaku default 1 (satu) ketika tidak diatur.

Apakah Perlu mulai ulang?

Ya, perangkat mulai ulang atau mulai ulang layanan spooler diperlukan.
Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×