要約

2021 年 7 月 6 日以降にリリースされたセキュリティ更新プログラムには、CVE-2021-34527 に記載されている、"PrintNightmare" と呼ばれる Windows 印刷スプーラー サービス(spoolsv.exe)のリモートコード実行の脆弱性に対する保護が含まれています。   July 2021 以降の更新プログラムをインストールした後、管理者以外 (プリンター オペレーターなどの代理管理者グループを含む) は、署名付きプリンター ドライバーと署名されていないプリンター ドライバーを印刷サーバーにインストールできません。 既定では、署名付きプリンター ドライバーと署名されていないプリンター ドライバーの両方を印刷サーバーにインストールできるのは管理者のみです。 

CVE-2021-34527 の保護を含む July 2021 アウトオブバンド以降の Windows 更新プログラムをインストールする前に、プリンターオペレーターのセキュリティ グループは、署名付きプリンター ドライバーと署名されていないプリンター ドライバーの両方をプリンター サーバーにインストールできます。 2021 年 7 月の帯域外更新プログラムより、署名付きプリンター ドライバーと署名されていないプリンター ドライバーをプリンター サーバーにインストールするには、管理者の資格情報が必要になります。 必要に応じて、ポイントと印刷の制限グループのすべてのポリシー設定をオーバーライドし、管理者だけがプリンター ドライバーを印刷サーバーにインストールするには、RestrictDriverInstallationToAdministrators レジストリ値を 1 に構成します。

現在印刷スプーラー サービスをホストしているデバイスから始め、2021 年 7 月 6 日以降にリリースされた最新の Windows 更新プログラムを、サポートされているすべての Windows クライアントおよびサーバー オペレーティング システムに直ちにインストールすることをお勧めします。 次に、[ポイントと印刷の制限] グループ ポリシー設定の [新しい接続のドライバーをインストールする場合] と [既存の接続のドライバーを更新する場合] を [警告と昇格のプロンプトを表示する] に設定します。

[解像度]

  1. July 2021 Out-of-band 以降の更新プログラムをインストールします。

  2. 次の条件に当てはまるか確認します。

  • レジストリ設定: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0 (DWORD) または定義されていない (既定の設定)

    • UpdatePromptSettings = 0 (DWORD) または定義されていない (既定の設定)

  • グループ ポリシー: ポイントと印刷の制限グループ ポリシーを構成していない。

両方の条件が true の場合、CVE-2021-34527 に対して脆弱ではなく、それ以上のアクションは必要はありません。 いずれかの条件が true ではない場合は、脆弱です。 ポイントと印刷の制限グループ ポリシーをセキュリティで保護された構成に変更するには、次の手順に従います。

  1. グループ ポリシー エディター ツールを開き、[コンピューターの構成] > [ プリンター] > します 

  2. [ポイントと印刷の制限] グループ ポリシー設定を次のように構成します。

    1. [ポイントと印刷の制限] グループ ポリシーの設定を [有効] に設定します。

    2. "新しい接続用のドライバーをインストールする場合": "警告と昇格のプロンプトを表示します"。

    3. "既存の接続のドライバーを更新する場合": "警告と昇格のプロンプトを表示します"。

代替テキスト

重要 印刷スプーラー サービスをホストしているすべてのマシンにこのポリシーを適用することを強く推奨します。

再起動の要件: このポリシーの変更では、これらの設定を適用した後に、デバイスまたは印刷スプーラー サービスを再起動する必要は一切発生します。 

3. 次のレジストリ キーを使用して、グループ ポリシーが正しく適用されていることを確認します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0 (DWORD)

  • UpdatePromptSettings = 0 (DWORD)

警告 これらを 0 以外の値に設定すると、CVE-2021-34527 更新プログラムをインストールしたデバイスが脆弱になります。

これらの設定を構成しても、ポイントと印刷の機能は無効になではありません。

4. [推奨] 管理者だけがプリンター サーバーに印刷ドライバーをインストールできるよう、ポイントと印刷の制限をオーバーライドします。 これは、レジストリ キー RestrictDriverInstallationToAdministrators を使用して行われます。 2021 年 7 月 6 日以降にリリースされた更新プログラムの既定値は、2021 年 8 月 10 日にリリースされるまで、既定値は 0 (無効) です。  2021 年 8 月 10 日以降にリリースされた更新プログラムの既定値は 1 (有効) です。  RestrictDriverInstallationToAdministratorsおよび他の印刷関連の推奨事項を設定する方法の詳細については、「KB5005652- 新しいポイントの管理」および「既定のドライバーのインストール動作を印刷する(CVE-2021-34481)」を参照してください。

詳細情報

CVE-2021-34527 の修正プログラムは、共有ネットワーク プリンターの印刷ドライバーに接続してインストールするクライアント デバイスの既定のポイント ドライバーと印刷ドライバーのインストール シナリオに影響しますか?

いいえ。CVE-2021-34527 の修正プログラムは、共有ネットワーク プリンター用の印刷ドライバーに接続してインストールするクライアント デバイスの既定のポイント および印刷ドライバーのインストール シナリオには直接影響しません。 この場合、クライアント デバイスは印刷サーバーに接続し、その信頼されたサーバーからドライバーをダウンロードしてインストールします。 このシナリオは、攻撃者が悪意のあるドライバーを印刷サーバー自体 (ローカルまたはリモート) にインストールしようとしている脆弱なシナリオとは異なります。

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。