요약

2021년 7월 6일 이후 릴리스된 보안 업데이트에는 CVE-2021-34527에설명된 Windows Print Spooler 서비스(spoolsv.exe)의 원격 코드 실행 취약성에 대한 보호가 포함되어 있습니다. 2021년 7월 이후 업데이트를 설치한 후 프린터 운영자와 같은 위임된 관리자 그룹을 포함하여 관리자가 아닌 관리자가 인쇄 서버에 서명된 프린터 드라이버 및 서명되지 않은 프린터 드라이버를 설치할 수 없습니다. 기본적으로 관리자만 서명된 프린터 드라이버와 서명되지 않은 프린터 드라이버를 모두 인쇄 서버에 설치할 수 있습니다. 

참고 2021년 7월 대역 외 및 나중에 CVE-202 Windows 1-34527에 대한 보호를 포함하는 업데이트를 설치하기 전에 프린터 운영자의 보안 그룹은 프린터 서버에 서명된 프린터 드라이버와 서명되지 않은 프린터 드라이버를 둘 다 설치할 수 있습니다. 2021년 7월 대역 외 업데이트부터 프린터 서버에 서명된 프린터 드라이버 및 서명되지 않은 프린터 드라이버를 설치하려면 관리자 자격 증명이 필요합니다. 선택적으로 모든 지점 및 인쇄 제한 그룹 정책 설정을 재지정하고 관리자만 인쇄 서버에 프린터 드라이버를 설치할 수 있는지 확인하려면 RestrictDriverInstallationToAdministrators 레지스트리 값을 1로 구성합니다.

2021년 7월 6일 또는 Windows 현재 인쇄 스푸러 서비스를 호스트하는 디바이스부터 지원되는 모든 클라이언트 Windows 및 서버 운영 체제에 릴리스된 최신 업데이트를 즉시 설치하는 것이 좋습니다. 다음으로 지점 및 인쇄 제한 그룹 정책 설정에서 "새 연결에 대한 드라이버를 설치할 때" 및 "기존 연결에 대한 드라이버를 업데이트할 때"를 "경고 및 상승 프롬프트 표시"로 설정합니다.

해결 방법

  1. 2021년 7월 대역 외 업데이트 이상을 설치합니다.

  2. 다음 조건이 true인지 검사합니다.

  • 레지스트리 설정: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

    • NoWarningNoElevationOnInstall = 0(DWORD) 또는 정의되지 않은(기본 설정)

    • UpdatePromptSettings = 0(DWORD) 또는 정의되지 않은(기본 설정)

  • 그룹 정책: 지점 및 인쇄 제한 그룹 정책을 구성하지 않은 경우

두 조건이 true이면 CVE-2021-34527에 취약하지 않습니다. 추가 작업이 필요하지 않습니다. 두 조건 중 하나가 true가 아닌 경우 취약합니다. 지점 및 인쇄 제한 그룹 정책을 보안 구성으로 변경하려면 아래 단계를 따릅니다.

  1. 그룹 정책 편집기 도구를 열고 프린터에서 관리 > 컴퓨터 구성 > 로 이동하세요. 

  2. 다음과 같이 지점 및 인쇄 제한 그룹 정책 설정을 구성합니다.

    1. 지점 및 인쇄 제한 그룹 정책 설정을 "사용"으로 설정합니다.

    2. "새 연결에 대한 드라이버를 설치할 때": "경고 및 상승 프롬프트 표시".

    3. "기존 연결에 대한 드라이버를 업데이트할 때": "경고 및 상승 프롬프트 표시".

대체 텍스트

중요 인쇄 스푸러 서비스를 호스트하는 모든 머신에 이 정책을 적용하는 것이 좋습니다.

다시 시작 요구 사항: 이 정책 변경은 이러한 설정을 적용한 후 디바이스 또는 인쇄 스푸러 서비스를 다시 시작할 필요가 없습니다. 

3. 다음 레지스트리 키를 사용하여 그룹 정책이 올바르게 적용되어 있는지 확인합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

  • NoWarningNoElevationOnInstall = 0(DWORD)

  • UpdatePromptSettings = 0(DWORD)

경고 이러한 값을 0이 아닌 값으로 설정하면 CVE-2021-34527 업데이트를 설치한 디바이스가 취약합니다.

참고 이러한 설정을 구성하면 지점 및 인쇄 기능이 비활성화되지 않습니다.

4. [선택 사항] 관리자만 프린터 서버에 인쇄 드라이버를 설치할 수 있도록 지점 및 인쇄 제한을 다시 적용합니다. 

모든 지점 및 인쇄 제한 그룹 정책 설정을 재지정하고, RestrictDriverInstallationToAdministrators 레지스트리 값을 1로 구성하여 관리자만 인쇄 서버에 프린터 드라이버를 설치할 수 있도록 하는 옵션이 있습니다.

새 프린터 드라이버의 설치를 제한하려면 다음과 같이 RestrictDriverInstallationToAdministrators 레지스트리 값을 수동으로 설정합니다.

참고 이 제한에 대한 그룹 정책 설정은 없습니다.

레지스트리 위치

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

참고  RestrictDriverInstallationToAdministrators 레지스트리 설정은 PointAndPrint 레지스트리 위치에 있지만 CVE-2021-34527에 대한 보호에 국한되지만 지점 및 인쇄 동작과 관련이 없습니다.

DWord 이름

RestrictDriverInstallationToAdministrators

값 데이터

값을  0으로설정하거나 값을 정의되지 않은 채로 두면 비 관리자가 서명된 드라이버와 서명되지 않은 드라이버를 인쇄 서버에 설치할 수 있지만 지점 및 인쇄 그룹 정책 설정을 다시 정의하지   않습니다. 기본값입니다. 따라서 지점 및 인쇄 제한 그룹 정책 설정은 비 관리자가 서명된 인쇄 드라이버와 서명되지 않은 인쇄 드라이버를 인쇄 서버에 설치할 수 있도록 이 설정을 다시 설정할 수 있습니다.

이 값을 1 또는  0이아닌 값으로 설정하면 모든 지점 및 인쇄 제한 그룹 정책 설정을 오버라이드하고 관리자만 인쇄 서버에 프린터 드라이버를   설치할 수 있습니다.  

참고: 이 값이 0으로 설정되어있는 경우 레지스트리 값이 비활성화됩니다(기본값 또는 존재하지 않습니다).

다시 시작 요구 사항

이 레지스트리 값을 만들거나 수정할 때 다시 시작이 필요하지 않습니다.

RestrictDriverInstallationToAdministrators 레지스트리 값의 추가를 자동화하기 위해 다음 단계를 수행합니다.

  1. 권한 상승을cmd.exe명령 프롬프트 창(cmd.exe)을 니다.

  2. 다음 명령을 입력한 다음 Enter를 누를 수 있습니다.

    reg 추가 "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

자세한 내용

CVE-2021-34527에 대한 수정은 공유 네트워크 프린터에 대한 인쇄 드라이버를 연결하고 설치하는 클라이언트 디바이스의 기본 지점 및 인쇄 드라이버 설치 시나리오에 영향을 미치나요?

아니요, CVE-2021-34527에 대한 수정은 공유 네트워크 프린터에 대한 인쇄 드라이버를 연결하고 설치하는 클라이언트 디바이스의 기본 지점 및 인쇄 드라이버 설치 시나리오에 직접 영향을 주지 않습니다. 이 경우 클라이언트 디바이스는 인쇄 서버에 연결하고 해당 신뢰할 수 있는 서버에서 드라이버를 다운로드하고 설치합니다. 이 시나리오는 공격자가 로컬 또는 원격으로 인쇄 서버 자체에 악의적인 드라이버를 설치하려고 하는 취약한 시나리오와 다릅니다.

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

번역 품질에 얼마나 만족하시나요?

사용 경험에 어떠한 영향을 주었나요?

추가 피드백이 있으신가요? (선택 사항)

소중한 의견에 감사드립니다.

×