요약
프린터 RPC(원격 프로시저 호출) 바인딩이 원격 Winspool 인터페이스 인증을 처리하는 방식에 보안 우회 취약성이 존재합니다. Windows 업데이트는 RPC 인증 수준을 높이고 고객이 서버 측의 적용 모드를 사용하지 않거나 사용하도록 설정하여 인증 수준을 높일 수 있도록 새 정책 및 레지스트리 키를 도입하여 이 취약성을 해결합니다.
취약성에 대한 자세한 내용은 CVE-2021-1678 | Windows 인쇄 스풀러 스푸핑 취약성을 참조하세요.
조치 취하기 환경을 보호하고 중단을 방지하려면 다음을 수행해야 합니다.
|
업데이트 시기
이 Windows 업데이트는 두 단계로 릴리스됩니다.
-
2021년 1월 12일 또는 그 이후에 릴리스된 Windows 업데이트의 초기 배포 단계입니다.
-
향후 릴리스된 Windows 업데이트에 대한 적용 단계입니다.
2021년 1월 12일: 초기 배포 단계
초기 배포 단계는 2021년 1월 12일에 릴리스된 Windows 업데이트로 시작되며, 증가된 보안 수준을 서버 고객이 환경의 준비 상태를 기반으로 자체적으로 활성화할 수 있도록 기능을 제공합니다.
이 릴리스는 다음과 같습니다:
-
CVE-2021-1678을 해결합니다(배포 모드에서 기본값으로 꺼짐으로 설정).
-
RpcAuthnLevelPrivacyEnabled 레지스트리 값에 대한 지원을 추가하여 프린터 IRemoteWinspool 보호에 대한 권한 부여 수준을 높일 수 있습니다.
완화는 모든 클라이언트 및 서버 수준 디바이스에 Windows 업데이트를 설치하는 것으로 구성됩니다.
2021년 9월 14일: 적용 단계
릴리스는 2021년 9월 14일 적용 단계로 전환됩니다. 적용 단계에서는 레지스트리 값을 설정하지 않고도 권한 부여 수준을 높여 CVE-2021-1678을 해결하기 위한 변경 사항을 적용합니다.
설치 지침
이 업데이트를 설치하기 전에
이 업데이트를 적용하려면 다음 필수 업데이트가 설치되어 있어야 합니다. Windows Update를 사용하는 경우 이러한 필수 업데이트는 필요에 따라 자동으로 제공됩니다.
-
2019년 9월 23일자 SHA-2 업데이트(KB4474419)가 설치되었거나 그 이후의 SHA-2 업데이트가 설치되어 있어야 하며 이 업데이트를 적용하기 전에 디바이스를 다시 시작해야 합니다. SHA-2 업데이트에 대한 자세한 내용은 2019 SHA-2 Windows 및 WSUS용 코드 서명 지원 요구 사항을 참조하세요.
-
Windows Server 2008 R2 SP1의 경우, 2019년 3월 12일자 SSU(서비스 스택 업데이트)(KB4490628)를 설치해야 합니다. KB4490628 업데이트를 설치한 후 최신 SSU 업데이트를 설치하는 것이 좋습니다. 최신 SSU 업데이트에 대한 자세한 내용은 ADV990001 | 최신 서비스 스택 업데이트를 참조하세요.
-
Windows Server 2008 SP2의 경우, 2019년 4월 9일자 SSU(서비스 스택 업데이트)(KB4493730)를 설치해야 합니다. KB4493730 업데이트를 설치한 후 최신 SSU 업데이트를 설치하는 것이 좋습니다. 최신 SSU 업데이트에 대한 자세한 내용은 ADV990001 | 최신 서비스 스택 업데이트를 참조하세요.
-
고객은 2020년 1월 14일에 추가 지원이 종료된 후 Windows Server 2008 SP2 또는 Windows Server 2008 R2 SP1의 온-프레미스 버전용 ESU(추가 보안 업데이트)를 구매해야 합니다. ESU를 구매한 고객은 보안 업데이트를 계속 받으려면 KB4522133의 절차를 따라야 합니다. ESU 및 지원되는 버전에 관한 더 자세한 정보는 KB4497181을 확인하세요.
중요 이 필수 업데이트를 설치한 후에는 반드시 디바이스를 다시 시작해야 합니다.
업데이트 설치
보안 취약성을 해결하기 위해서 Windows 업데이트를 설치하고 다음 단계에 따라 적용 모드를 활성화합니다.
-
모든 클라이언트 및 서버 디바이스에 2021년 1월 12일 업데이트를 배포합니다.
-
모든 클라이언트 및 서버 디바이스가 업데이트되고 나면 레지스트리 값을 1로 설정하여 전체 보호를 활성화할 수 있습니다.
1단계: Windows 업데이트 설치
2021년 1월 12일 Windows 업데이트 또는 이후 Windows 업데이트를 모든 클라이언트 및 서버 디바이스에 설치합니다.
Windows Server 제품 |
KB # |
업데이트 유형 |
Windows Server 버전 20H2(Server Core 설치) |
보안 업데이트 |
|
Windows Server 버전 2004(Server Core 설치) |
보안 업데이트 |
|
Windows Server 버전 1909(Server Core 설치) |
보안 업데이트 |
|
Windows Server, 버전 1903(Server Core 설치) |
보안 업데이트 |
|
Windows Server 2019(Server Core 설치) |
보안 업데이트 |
|
Windows Server 2019 |
보안 업데이트 |
|
Windows Server 2016(Server Core 설치) |
보안 업데이트 |
|
Windows Server 2016 |
보안 업데이트 |
|
Windows Server 2012 R2(Server Core 설치) |
월별 롤업 |
|
보안 전용 |
||
Windows Server 2012 R2 |
월별 롤업 |
|
보안 전용 |
||
Windows Server 2012(Server Core 설치) |
월별 롤업 |
|
보안 전용 |
||
Windows Server 2012 |
월별 롤업 |
|
보안 전용 |
||
Windows Server 2008 R2 서비스 팩 1 |
월별 롤업 |
|
보안 전용 |
||
Windows Server 2008 Service Pack 2 |
월별 롤업 |
|
보안 전용 |
2단계: 적용 모드 사용
중요 이 섹션, 방법 또는 작업에는 레지스트리 변경 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하더라도 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하세요.
모든 클라이언트 및 서버 디바이스가 업데이트되고 나면 적용 모드를 배포하여 전체 보호를 활성화할 수 있습니다. 이렇게 하려면 다음과 같이 하십시오.
-
시작, 실행을 차례로 클릭하고 실행 상자에 cmd를 입력한 다음 Ctrl+Shift+Enter를 누릅니다.
-
관리자 명령 프롬프트에서 regedit를 입력한 다음 Enter키를 누릅니다.
-
다음 레지스트리 하위 키를 찾습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
인쇄를 마우스 오른쪽 버튼으로 클릭하고 새로 만들기를 선택한 다음 DWORD VALUE (32비트) 값을 클릭합니다.
-
RpcAuthnLevelPrivacyEnabled를 입력한 다음 Enter 키를 누릅니다.
-
RpcAuthnLevelPrivacyEnabled를 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다.
-
값 데이터 상자에 1을 입력한 다음 확인을 클릭합니다.
참고 이 업데이트는 RpcAuthnLevelPrivacyEnabled 레지스트리 값에 대한 지원을 도입하여 프린터 IRemoteWinspool의 권한 부여 수준을 높입니다.
레지스트리 하위 키 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
값 |
RpcAuthnLevelPrivacyEnabled |
데이터 형식 |
REG_DWORD |
데이터 |
1: 적용 모드 사용 설정. 서버 측에 대한 적용 모드를 활성화하기 전에 모든 클라이언트 디바이스가 2021년 1월 12일 또는 그 이후에 릴리스된 Windows 업데이트를 설치했는지 확인합니다. 이 픽스는 프린터 IRemoteWinspool RPC 인터페이스에 대한 권한 부여 수준을 높이고, 서버 측에 새 정책 및 레지스트리 값을 추가함으로써 적용 모드가 적용된 경우, 클라이언트가 새 권한 부여 수준을 사용할 수 있도록 합니다. 클라이언트 디바이스에 2021년 1월 12일 보안 업데이트 또는 이후 Windows 업데이트가 적용되지 않은 경우, 클라이언트가 IRemoteWinspool 인터페이스를 통해 서버에 연결하면 인쇄 환경이 끊어집니다. 0: 권장되지 않습니다. 프린터 IRemoteWinspool에 대한 인증 수준 증가를 비활성화하고 디바이스가 보호되지 않습니다. |
기본값 |
레지스트리 키가 설정되지 않은 경우 업데이트 설치 후 기본 동작:
|
다시 시작이 필요한가요? |
예, 디바이스를 다시 시작하거나 스풀러 서비스를 다시 시작해야 합니다. |