Suvestinė
2021 m. liepos 6 d. ir po jos išleidžiamuose saugos naujinuose yra "Windows Print Spooler" tarnybos ( "spoolsv.exe "PrintNightmare", dokumentuotos CVE-2021-34527,nuotolinio kodo vykdymo pažeidžiamumo apsaugos. Įdiegus 2021 m. liepos ir vėlesnius naujinimus, ne administratoriai, įskaitant įgaliotąsias administravimo grupes, pvz., spausdintuvo operatorius, negali įdiegti pasirašytų ir nepasirašytų spausdintuvų tvarkyklių į spausdinimo serverį. Pagal numatytuosius nustatymus tik administratoriai gali įdiegti pasirašytas ir nepasirašytas spausdintuvo tvarkykles į spausdinimo serverį.
Pastaba Prieš diegdami 2021 m. liepos mėn. "Out-of-band" ir naujesnius "Windows" naujinimus, kuriuose yra CVE-2021-34527 apsaugos, spausdintuvo operatorių saugos grupė spausdintuvo serveryje gali įdiegti pasirašytas ir nepasirašytas spausdintuvo tvarkykles. Pradedant nuo 2021 m. liepos mėn. naujinimo iš juostos, norint spausdintuvo serveryje įdiegti pasirašytas ir nepasirašytas spausdintuvo tvarkykles, reikės administratoriaus kredencialų. Jei norite nepaisyti visų taškų ir spausdinimo apribojimų grupės strategijos parametrų ir užtikrinti, kad spausdintuvo tvarkykles spausdinimo serveryje gali įdiegti tik administratoriai, sukonfigūruokite Registro reikšmę RestrictDriverInstallationToAdministrators į 1.
Rekomenduojame iš karto įdiegti naujausius "Windows" naujinimus, išleistus 2021 m. liepos 6 d. arba vėliau, visose palaikomose "Windows" kliento ir serverio operacinėse sistemose, pradedant įrenginiais, kuriuose šiuo metu yra spausdinimo kaupos tarnybos. Tada grupės strategijos parametre Point and Print Restrictions nustatykite parametrą "Diegiant naujo ryšio tvarkykles" ir "Naujinant esamo ryšio tvarkykles", kaip "Rodyti įspėjimo ir aukščio raginimą".
Sprendimas
-
Įdiekite 2021 m. liepos mėn. "Out-of-band" arba naujesnius naujinimus.
-
Patikrinkite, ar tenkinamos šios sąlygos:
-
Registro Parametrai: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoElevationOnInstall = 0 (DWORD) arba nėra apibrėžta (numatytasis parametras)
-
UpdatePromptSettings = 0 (DWORD) arba nėra apibrėžta (numatytasis parametras)
-
-
Grupės strategija: nesukonfigūravote grupės strategijos Point and Print Restrictions.
Jei abi sąlygos yra tikros, tada jums nėra pažeidžiama CVE-2021-34527 ir nereikia imtis tolesnių veiksmų. Jei kuri nors sąlyga nėra teisinga, esate pažeidžiama. Atlikite toliau nurodytus veiksmus, kad pakeistų grupės strategiją Point and Print Restrictions į saugią konfigūraciją.
-
Atidarykite grupės strategijos rengyklės įrankį ir eikite į Kompiuterio > Administravimo šablonai > Spausdintuvai.
-
Konfigūruokite taškų ir spausdinimo apribojimų grupės strategijos parametrą taip:
-
Nustatykite parametrą Point and Print Restrictions Group Policy kaip "Enabled".
-
"Diegiant naujo ryšio tvarkykles": "Rodyti įspėjimo ir aukščio raginimą".
-
"Naujinant esamo ryšio tvarkykles": "Rodyti įspėjimo ir aukščio raginimą".
-
Svarbu Primygtinai rekomenduojame taikyti šią strategiją visiems mašinoms, kurios yra spausdinimo kaupos tarnybos pagrindinis kompiuteris.
Iš naujo paleiskite reikalavimus: Šis strategijos pakeitimas nereikalauja iš naujo paleisti įrenginio arba spausdinimo kaupos tarnybos pritaikius šiuos parametrus.
3. Naudokite šiuos registro raktus, kad patvirtintumėte, jog grupės strategija buvo taikoma tinkamai:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoelevationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Įspėjimas Nustačius šias ne nulines reikšmes, įrenginiai, kuriuose įdiegėte CVE-2021-34527 naujinimą, yra pažeidžiami.
Pastaba Konfigūruojant šiuos parametrus, funkcija Taškas ir Spausdinimas neišjungs.
4. [Rekomenduojama] Nepaisyti taškų ir spausdinimo apribojimų, kad spausdintuvo serveriuose spausdinimo tvarkykles galėtų įdiegti tik administratoriai. Tai atliekama naudojant registro raktą RestrictDriverInstallationToAdministrators. Naujinimų, išleistų 2021 m. liepos 6 d. arba naujesnėse versijose, numatytoji reikšmė yra 0 (išjungta), kol naujinimai išleidžiami 2021 m. rugpjūčio 10 d. Naujinimų, išleistų 2021 m. rugpjūčio 10 d. arba naujesnėse versijose, numatytoji reikšmė yra 1 (įgalinta). Daugiau informacijos, kaip nustatyti RestrictDriverInstallationToAdministrators ir kitas su spausdinimui susijusias rekomendacijas, žr. KB5005652 – Naujo taško valdymas ir numatytojo tvarkyklės diegimo spausdinimo veikimas (CVE-2021-34481)
Daugiau informacijos
Ar CVE-2021-34527 pataisos veikia numatytąjį taško ir spausdinimo tvarkyklės diegimo scenarijų kliento įrenginyje, kuris jungiasi prie bendrinamo tinklo spausdintuvo spausdinimo tvarkyklės ir įdiegia jos diegimą?
Ne, CVE-2021-34527 pataisos neturi tiesiogiai įtakos kliento įrenginio, jungiantis prie bendrinamo tinklo spausdintuvo spausdinimo tvarkyklės ir jį diegiant, numatytojo taško ir spausdinimo tvarkyklės diegimo scenarijui. Šiuo atveju kliento įrenginys prisijungia prie spausdinimo serverio ir atsisiunčia ir įdiegia tvarkykles iš to patikimo serverio. Šis scenarijus skiriasi nuo pažeidžiamo scenarijaus, kai pažeidėjas bando įdiegti kenkėjišką tvarkyklę spausdinimo serveryje lokaliai arba nuotoliniu būdu.
