Riepilogo
Esiste una vulnerabilità del bypass di sicurezza nel modo in cui il binding RPC (Printer Remote Procedure Call) gestisce l'autenticazione per l'interfaccia remota di Winspool. L'aggiornamento Windows risolve questa vulnerabilità aumentando il livello di autenticazione RPC e introducendo un nuovo criterio e una nuova chiave del Registro di sistema per consentire ai clienti di disabilitare o abilitare la modalità di imposizione sul lato server per aumentare il livello di autenticazione.
Per altre informazioni sulla vulnerabilità, vedere CVE-2021-1678 | Windows Vulnerabilità di spoofing dello spooler di stampa.
|
Azione Per proteggere l'ambiente e prevenire le interruzioni, è necessario eseguire le operazioni seguenti:
|
Intervallo di aggiornamenti
Questi Windows verranno rilasciati in due fasi:
-
La fase di distribuzione iniziale Windows aggiornamenti rilasciati il 12 gennaio 2021 o dopo.
-
Fase di applicazione degli Windows aggiornamenti rilasciati in una data futura.
12 gennaio 2021: Fase di distribuzione iniziale
La fase di distribuzione iniziale inizia con l'aggiornamento di Windows rilasciato il 12 gennaio 2021, offrendo ai clienti del server la possibilità di abilitare questo livello di sicurezza maggiore in base alla conformità dell'ambiente.
Questa versione:
-
Indirizzi CVE-2021-1678 (in modalità di distribuzione impostato su Disattivato per impostazione predefinita).
-
Aggiunge il supporto per il valore del Registro di sistema RpcAuthnLevelPrivacyEnabled per abilitare l'aumento del livello di autorizzazione per la protezione IRemoteWinspool della stampante.
L'attenuazione consiste nell'installazione Windows aggiornamenti in tutti i dispositivi a livello di client e server.
14 settembre 2021: Fase di applicazione
Il rilascio passa alla fase di applicazione il 14 settembre 2021. La fase di applicazione applica le modifiche apportate all'indirizzo CVE-2021-1678 aumentando il livello di autorizzazione senza dover impostare il valore del Registro di sistema.
Indicazioni per l'installazione
Prima di installare questo aggiornamento
Prima di applicare questo aggiornamento, è necessario che siano installati gli aggiornamenti necessari seguenti. Se si usa Windows, questi aggiornamenti necessari verranno offerti automaticamente in base alle esigenze.
-
È necessario avere installato l'aggiornamento SHA-2 (KB4474419) datato 23 settembre 2019 o versione successiva, quindi riavviare il dispositivo prima di applicare questo aggiornamento. Per altre informazioni sugli aggiornamenti SHA-2, vedere Requisiti di supporto per la firma del codice SHA-2 2019per Windows e WSUS.
-
Per Windows Server 2008 R2 SP1, è necessario aver installato l'aggiornamento dello stack di manutenzione (KB4490628) datato 12 marzo 2019. Dopo aver installato l'aggiornamento KB4490628, è consigliabile installare l'aggiornamento SSU più recente. Per altre informazioni sull'aggiornamento SSU più recente, vedere ADV990001 | Aggiornamenti più recenti dello stack di manutenzione.
-
Per Windows Server 2008 SP2, è necessario aver installato l'aggiornamento dello stack di manutenzione (KB4493730) datato 9 aprile 2019. Dopo aver installato l'aggiornamento KB4493730, è consigliabile installare l'aggiornamento SSU più recente. Per altre informazioni sugli aggiornamenti SSU più recenti, vedere ADV990001 | Aggiornamenti più recenti dello stack di manutenzione.
-
I clienti devono acquistare l'aggiornamento della sicurezza estesa (ESU) per le versioni locali di Windows Server 2008 SP2 o Windows Server 2008 R2 SP1 dopo che il supporto esteso è terminato il 14 gennaio 2020. I clienti che hanno acquistato l'ESU devono seguire le procedure descritte in KB4522133 per continuare a ricevere gli aggiornamenti della sicurezza. Per altre informazioni su ESU e sulle edizioni supportate, vedere KB4497181.
Importante Dopo aver installato gli aggiornamenti necessari, è necessario riavviare il dispositivo.
Installare l'aggiornamento
Per risolvere la vulnerabilità della sicurezza, installare gli aggiornamenti Windows e abilitare la modalità di applicazione seguendo questa procedura:
-
Distribuire l'aggiornamento del 12 gennaio 2021 in tutti i dispositivi client e server.
-
Dopo l'aggiornamento di tutti i dispositivi client e server, è possibile abilitata la protezione completa impostando il valore del Registro di sistema su 1.
Passaggio 1: Installare l'Windows aggiornamento
Installare l'aggiornamento del 12 gennaio 2021 Windows o un aggiornamento Windows in tutti i dispositivi client e server.
|
Windows Prodotto server |
KB # |
Tipo di aggiornamento |
|
Windows Server, versione 20H2 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server, versione 2004 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server, versione 1909 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server, versione 1903 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server 2019 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server 2019 |
Aggiornamento della sicurezza |
|
|
Windows Server 2016 (installazione server core) |
Aggiornamento della sicurezza |
|
|
Windows Server 2016 |
Aggiornamento della sicurezza |
|
|
Windows Server 2012 R2 (installazione server core) |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
||
|
Windows Server 2012 R2 |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
||
|
Windows Server 2012 (installazione di Server Core) |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
||
|
Windows Server 2012 |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
||
|
Windows Server 2008 R2 Service Pack 1 |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
||
|
Windows Server 2008 Service Pack 2 |
Aggiornamento cumulativo mensile |
|
|
Solo sicurezza |
Passaggio 2: Abilitare la modalità di applicazione
Importante Questa sezione, metodo o attività contiene passaggi che spiegano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Per questo motivo, occorre attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. in modo da poterlo poi ripristinare in caso di problemi. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedere Come eseguire il backup e il ripristino del Registro di sistema in Windows.
Dopo aver aggiornato tutti i dispositivi client e server, è possibile abilitare la protezione completa distribuendo la modalità di applicazione. A tal fine, attenersi alla seguente procedura:
-
Fare clic con il pulsante destro del mouse su Start,scegliere Esegui,digitare cmd nella casella Esegui e quindi premere CTRL+MAIUSC+INVIO.
-
Al prompt dei comandi dell'amministratore digitare regedit e quindi premere INVIO.
-
Individuare la sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Fare clic con il pulsante destro delmouse su Stampa , scegliere Nuovoe quindi fare clic su Valore DWORD (32 bit).
-
Digitare RpcAuthnLevelPrivacyEnabled e quindi premere INVIO.
-
Fare clic con il pulsante destro del mouse su RpcAuthnLevelPrivacyEnabled e quindi scegliere Modifica.
-
Nella casella Dati valore digitare 1 e quindi fare clic su OK.
Note Questo aggiornamento introduce il supporto per il valore del Registro di sistema RpcAuthnLevelPrivacyEnabled per aumentare il livello di autorizzazione per la stampante IRemoteWinspool.
|
Sottochiave del Registro di sistema |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
|
Valore |
RpcAuthnLevelPrivacyEnabled |
|
Tipo di dati |
REG_DWORD |
|
Data |
1:abilita la modalità di imposizione. Prima di abilitare la modalità di imposizione per il lato server, assicurarsi che tutti i dispositivi client abbia installato l'aggiornamento di Windows rilasciato il 12 gennaio 2021 o un aggiornamento Windows successivo. Questa correzione aumenta il livello di autorizzazione per l'interfaccia RPC IRemoteWinspool della stampante e aggiunge un nuovo criterio e un nuovo valore del Registro di sistema sul lato server per applicare al client l'uso del nuovo livello di autorizzazione se viene applicata la modalità di imposizione. Se al dispositivo client non è applicato l'aggiornamento della sicurezza del 12 gennaio 2021 o un aggiornamento di Windows successivo, l'esperienza di stampa verrà interrotta quando il client si connette al server tramite l'interfaccia IRemoteWinspool. 0: Non consigliato. Disabilita l'aumento del livello di autenticazione per la stampante IRemoteWinspoole i dispositivi non sono protetti. |
|
Impostazione predefinita |
Comportamento predefinito dopo l'installazione degli aggiornamenti quando la chiave del Registro di sistema non è impostata:
|
|
È necessario riavviare il computer? |
Sì, è necessario riavviare il dispositivo o riavviare il servizio spooler. |
