Applies ToWindows Server 2008 Service Pack 2 Windows Server 2008 R2 Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Windows Server version 1809 Windows Server version 1903 Windows Server version 1909 Windows Server 2016, all editions Windows Server 2019 Windows Server version 2004 Windows Server version 20H2

Sammendrag

Det finnes et sikkerhetsproblem i måten rpc-bindingshåndtaksgodkjenning (Printer Remote Procedure Call) håndterer godkjenning på for det eksterne Winspool-grensesnittet. Oppdateringen Windows løser dette sikkerhetsproblemet ved å øke RPC-godkjenningsnivået og introdusere en ny policy og registernøkkel for å tillate kunder å deaktivere eller aktivere håndhevelsesmodus på serversiden for å øke godkjenningsnivået.   

Hvis du vil lære mer om sikkerhetsproblemet, kan du se CVE-2021-1678 | Windows Sikkerhetsproblem med utskriftskø for forfalskende.

Handling

Hvis du vil beskytte miljøet og forhindre avbrudd, må du gjøre følgende:

  1. Oppdater alle klient- og serverenheter ved å installere oppdateringen 12. januar 2021 Windows eller en Windows oppdatering. Vær oppmerksom på at installasjon av Windows-oppdateringen ikke reduserer sikkerhetsproblemet fullstendig og kan påvirke det gjeldende utskriftsoppsettet. Du må utføre trinn 2.

  2. Aktiver håndhevelsesmodus på utskriftsserveren. Håndhevelsesmodus aktiveres på alle Windows enheter på en fremtidig dato.

Tidsberegning for oppdateringer

Disse Windows vil bli utgitt i to faser:

  • Den første distribusjonsfasen for Windows utgitt 12. januar 2021.

  • Håndhevelsesfasen for Windows utgitt på et senere tidspunkt.

12. januar 2021: Første distribusjonsfase

Den første distribusjonsfasen starter med Windows oppdateringen som ble utgitt 12. januar 2021, ved å gi serverkunder muligheten til å aktivere dette økte sikkerhetsnivået på egen hånd basert på miljøets beredskap.

Denne utgivelsen:

  • Adresser AV-2021-1678 (i distribusjonsmodus satt til Av som standard).

  • Legger til støtte for rpcAuthnLevelPrivacyEnabled-registerverdien for å aktivere økningen av autorisasjonsnivået for skriver IRemoteWinspool-beskyttelse.

Begrensning består av installasjonen av Windows oppdateringer på alle klient- og servernivåenheter.

14. september 2021: Håndhevelsesfasen

Utgivelsen går over til håndhevelsesfasen 14. september 2021.  Håndhevelsesfasen håndhever endringene i adressen TIL-2021-1678 ved å øke autorisasjonsnivået uten å måtte angi registerverdien.

Installasjonsveiledning

Før du installerer denne oppdateringen

Du må ha følgende nødvendige oppdateringer installert før du installerer denne oppdateringen. Hvis du bruker Windows Update, tilbys disse nødvendige oppdateringene automatisk etter behov.

  • Du må ha SHA-2-oppdateringen (KB4474419)som er datert 23. september 2019 eller en nyere SHA-2-oppdatering installert, og start deretter enheten på nytt før du bruker denne oppdateringen. Hvis du vil ha mer informasjon om SHA-2-oppdateringer, kan du se 2019 SHA-2-kodesigneringsstøttekrav forWindows og WSUS .

  • For Windows Server 2008 R2 SP1 må du ha installert vedlikeholdsstakken (SSU) (KB4490628)som er datert 12. mars 2019. Når oppdateringen KB4490628 er installert, anbefaler vi at du installerer den nyeste SSU-oppdateringen. Hvis du vil ha mer informasjon om den nyeste SSU-oppdateringen, kan du se ADV990001 | De nyeste vedlikeholdsstakkoppdateringene.

  • For Windows Server 2008 SP2 må du ha installert vedlikeholdsstakken (SSU) (KB4493730)som er datert 9. april 2019. Når oppdateringen KB4493730 er installert, anbefaler vi at du installerer den nyeste SSU-oppdateringen. Hvis du vil ha mer informasjon om de nyeste SSU-oppdateringene, kan du se ADV990001 | De nyeste vedlikeholdsstakkoppdateringene.

  • Kunder må kjøpe den utvidede sikkerhetsoppdateringen (ESU) for lokale versjoner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 etter at utvidet støtte ble avsluttet 14. januar 2020. Kunder som har kjøpt ESU, må følge fremgangsmåtene i KB4522133 for å fortsette å motta sikkerhetsoppdateringer. Hvis du vil ha mer informasjon om ESU og hvilke versjoner som støttes, kan du se KB4497181.

ViktigDu må starte enheten på nytt når du har installert disse nødvendige oppdateringene.

Installere oppdateringen

Hvis du vil løse sikkerhetsproblemet, installerer du Windows og aktiverer håndhevelsesmodus ved å følge disse trinnene:

  1. Distribuer oppdateringen 12. januar 2021 til alle klient- og serverenheter.

  2. Når alle klient- og serverenheter er oppdatert, kan full beskyttelse aktiveres ved å angi registerverdien til 1.

Trinn 1: Installere Windows oppdateringen

Installer oppdateringen 12. januar 2021 Windows eller en Windows oppdatering til alle klient- og serverenheter.

Windows Serverprodukt

KB #

Type oppdatering

Windows Server, versjon 20H2 (serverkjerneinstallasjon)

4598242

Sikkerhetsoppdatering

Windows Server, versjon 2004 (serverkjerneinstallasjon)

4598242

Sikkerhetsoppdatering

Windows Server, versjon 1909 (serverkjerneinstallasjon)

4598229

Sikkerhetsoppdatering

Windows Server, versjon 1903 (serverkjerneinstallasjon)

4598229

Sikkerhetsoppdatering

Windows Server 2019 (serverkjerneinstallasjon)

4598230

Sikkerhetsoppdatering

Windows Server 2019

4598230

Sikkerhetsoppdatering

Windows Server 2016 (serverkjerneinstallasjon)

4598243

Sikkerhetsoppdatering

Windows Server 2016

4598243

Sikkerhetsoppdatering

Windows Server 2012 R2 (serverkjerneinstallasjon)

4598285

Månedlig beregnet verdi

4598275

Bare sikkerhet

Windows Server 2012 R2

4598285

Månedlig beregnet verdi

4598275

Bare sikkerhet

Windows Server 2012 (serverkjerneinstallasjon)

4598278

Månedlig beregnet verdi

4598297

Bare sikkerhet

Windows Server 2012

4598278

Månedlig beregnet verdi

4598297

Bare sikkerhet

Windows Server 2008 R2 Service Pack 1

4598279

Månedlig beregnet verdi

4598289

Bare sikkerhet

Windows Server 2008 Service Pack 2

4598288

Månedlig beregnet verdi

4598287

Bare sikkerhet

Trinn 2: Aktivere håndhevelsesmodus

                Viktig Denne delen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feil. Sørg derfor for at du følger fremgangsmåten nøye. For ekstra beskyttelse bør du sikkerhetskopiere registeret før du endrer det. Da kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registeret, kan du se Slik sikkerhetskopierer og gjenoppretter du registeret i Windows.

Når alle klient- og serverenheter er oppdatert, kan du aktivere full beskyttelse ved å distribuere håndhevelsesmodus. Dette gjør du slik:

  1. Høyreklikk Start, klikkKjør,skriv inn cmd i Kjør-boksen, og trykk deretter CTRL+SKIFT+ENTER.

  2. Skriv inn regedit i ledeteksten Administrator, og trykk deretter ENTER.

  3. Finn følgende registerundernøkkel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Høyreklikk Skriv ut,velg Ny, og klikk deretter DWORD-VERDI (32-biters) Verdi.

  2. Skriv inn RpcAuthnLevelPrivacyEnabled, og trykk deretter ENTER.

  3. Høyreklikk RpcAuthnLevelPrivacyEnabled, og klikk deretter Endre.

  4. Skriv inn 1 i Verdidata-boksen, og klikk deretter OK.

Obs! Denne oppdateringen introduserer støtte for rpcAuthnLevelPrivacyEnabled-registerverdien for å øke autorisasjonsnivået for skriveren IRemoteWinspool.

Registerundernøkkel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Verdi

RpcAuthnLevelPrivacyEnabled

Datatype

REG_DWORD

Data

1:Aktiverer håndhevelsesmodus. Før du aktiverer håndhevelsesmodus for serversiden, må du kontrollere at alle klientenheter har installert Windows-oppdateringen utgitt 12. januar 2021 eller en Windows oppdatering. Denne løsningen øker autorisasjonsnivået for skriveren IRemoteWinspool RPC-grensesnittet og legger til en ny policy og registerverdi på serversiden for å tvinge klienten til å bruke det nye autorisasjonsnivået hvis håndhevelsesmodus brukes. Hvis klientenheten ikke har sikkerhetsoppdateringen 12. januar 2021 eller en nyere Windows-oppdatering brukt, vil utskriftsopplevelsen bli brutt når klienten kobler til serveren via IRemoteWinspool-grensesnittet.

0: Anbefales ikke. Deaktiverer øk godkjenningsnivået for skriveren IRemoteWinspool, og enhetene dine er ikke beskyttet.

Standard

Standard virkemåte etter installasjon av oppdateringer når registernøkkelen ikke er angitt:

  • Oppdateringer 12. januar 2021 eller nyere har standard virkemåten 0 (null) når den ikke er angitt.

  • Oppdateringer 14. september 2021 eller nyere har standard virkemåten 1 (én) når den ikke er angitt.

Kreves en omstart?

Ja, en enhet må startes på nytt eller startes på nytt av utskriftskøtjenesten.

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.