Kopsavilkums
Drošības atjauninājumi, kas izlaisti 2021. gada 6. jūlijā un kas izlaisti pēc 2021. gada 6. jūlija, ietver aizsardzību attālās koda izpildes ievainojamībai pakalpojumā Windows Print Spooler (spoolsv.exe) , kas tiek dēvēts par "PrintNightford", dokumentēts programmā CVE-2021-34527. Pēc 2021. gada jūlija un jaunāku versiju atjauninājumu instalēšanas neadministratoriem, tostarp pilnvaroto administratoru grupām, piemēram, printeru operatoriem, nevar instalēt parakstītus un neparakstītus printera draiverus drukas serverī. Pēc noklusējuma tikai administratori var instalēt gan parakstītus, gan neparakstītus printera draiverus drukas serverī.
Piezīme Pirms 2021. gada jūlija ārpusjoslas un jaunāku Windows atjauninājumu instalēšanas, kas satur CVE-2021-34527 aizsardzību, printera operatoru drošības grupa var instalēt gan parakstītus, gan neparakstītus printera draiverus printera serverī. Sākot ar 2021. gada jūlija ārpussavienības atjauninājumu, būs nepieciešami administratora akreditācijas dati, lai instalētu parakstītus un neparakstītus printera draiverus printeru serverī. Ja vēlaties, lai ignorētu visus punktu un drukas ierobežojumu grupas politikas iestatījumus un nodrošinātu, ka tikai administratori var instalēt printera draiverus drukas serverī, konfigurējiet reģistra vērtību RestrictDriverInstallationToAdministrators uz 1.
Ieteicams nekavējoties instalēt jaunākos Windows atjauninājumus, kas izlaisti 2021. gada 6. jūlijā vai pēc tam, visās atbalstītās Windows klientu un serveru operētājsistēmās, sākot ar ierīcēm, kurās pašlaik tiek viesots drukas spolētāja pakalpojums. Pēc tam sadaļā Punktu un drukas ierobežojumu grupas politikas iestatījums norādiet "Instalējot jaunā savienojuma draiverus" un "Kad atjaunināt esošā savienojuma draiverus" uz Rādīt brīdinājuma un pacēluma uzvedni.
Risinājums
-
Instalējiet 2021. gada jūlija ārpusjoslas vai jaunākus atjauninājumus.
-
Pārbaudiet, vai ir spēkā šādi nosacījumi:
-
Reģistra Iestatījumi: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoEinstallationOnInstall = 0 (DWORD) vai nav definēts (noklusējuma iestatījums)
-
UpdatePromptSettings = 0 (DWORD) vai nav definēts (noklusējuma iestatījums)
-
-
Grupas politika: jūs neesat konfigurējis punktu un drukas ierobežojumu grupas politiku.
Ja abi nosacījumi ir izpildīti, neesat neaizsargāts pret CVE-2021-34527 un nav jāveic papildu darbības. Ja kāds no nosacījumiem nav patiess, esat neaizsargāts. Veiciet tālāk norādītās darbības, lai mainītu punktu un drukas ierobežojumu grupas politiku uz drošu konfigurāciju.
-
Atveriet grupas politikas redaktora rīku un dodieties uz sadaļu Datora > Administratīvās veidnes > printerus.
-
Konfigurējiet punktu un drukas ierobežojumu grupas politikas iestatījumu šādi:
-
Iestatiet grupas politikas Point un Print Restrictions iestatījumu "Enabled".
-
"Instalējot draiverus jaunam savienojumam": "Rādīt brīdinājuma un pacēluma uzvedni".
-
"Atjauninot draiverus esošam savienojumam": "Rādīt brīdinājuma un pacēluma uzvedni".
-
Svarīgi! Mēs stingri iesakām šo politiku lietot visiem datoriem, kuros tiek viesots drukas spolētāja pakalpojums.
Restartēšanas prasības: Šīs politikas maiņai nav nepieciešama ierīces vai drukas spolētāja pakalpojuma restartēšana pēc šo iestatījumu lietošanas.
3. Izmantojiet tālāk norādītās reģistra atslēgas, lai pārliecinātos, vai grupas politika ir lietota pareizi:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
-
NoWarningNoEinstallationOnInstall = 0 (DWORD)
-
UpdatePromptSettings = 0 (DWORD)
Brīdinājums Iestatot šīs vērtības uz vērtībām, kas nav nulles, ierīces, kurās esat instalējis CVE-2021-34527 atjauninājumu, padarītu neizturīgas.
Piezīme Konfigurējot šos iestatījumus, netiek atspējots līdzeklis Punkts un Drukāšana.
4. [Ieteicams] Ignorēt punktu un drukas ierobežojumus, lai tikai administratori var instalēt drukas draiverus printeru serveros. Tas ir paveikts, izmantojot reģistra atslēgu RestrictDriverInstallationToAdministrators. Atjauninājumiem, kas izlaisti 2021. gada 6. jūlijā vai jaunākā versijā, pēc noklusējuma ir 0 (atspējoti) līdz 2021. gada 10. augustam izlaistajiem atjauninājumiem. 2021. gada 10. augusta vai jaunākas versijas atjauninājumiem ir noklusējuma vērtība 1 (iespējots). Papildinformāciju par to, kā iestatīt RestrictDriverInstallationToAdministrators un citus ar drukāšanu saistītus ieteikumus, skatiet rakstā KB5005652 — jauna punkta pārvaldība un noklusējuma draivera instalēšanas darbība (CVE-2021-34481)
Papildinformācija
Vai CVE-2021-34527 labojumi ietekmē noklusējuma punktu un drukas draivera instalēšanas scenāriju klienta ierīcei, kas veido savienojumu ar koplietojama tīkla printeri un to instalējat?
Nē, CVE-2021-34527 labojumi tieši neietekmē noklusējuma punktu un drukas draivera instalēšanas scenāriju klienta ierīcei, kas veido savienojumu ar drukas draiveri un to instalējat koplietotam tīkla printerim. Šajā gadījumā klienta ierīce izveido savienojumu ar drukas serveri, lejupielādē un instalē šī uzticamā servera draiverus. Šāds scenārijs atšķiras no neaizsargātās situācijas, kad uzbrucējs mēģina instalēt ļaunprātīgu draiveri pašā drukas serverī lokāli vai attāli.
