Sammendrag
Det finnes et sikkerhetsproblem i måten rpc-bindingshåndtaksgodkjenning (Printer Remote Procedure Call) håndterer godkjenning på for det eksterne Winspool-grensesnittet. Oppdateringen Windows løser dette sikkerhetsproblemet ved å øke RPC-godkjenningsnivået og introdusere en ny policy og registernøkkel for å tillate kunder å deaktivere eller aktivere håndhevelsesmodus på serversiden for å øke godkjenningsnivået.
Hvis du vil lære mer om sikkerhetsproblemet, kan du se CVE-2021-1678 | Windows Sikkerhetsproblem med utskriftskø for forfalskende.
Handling Hvis du vil beskytte miljøet og forhindre avbrudd, må du gjøre følgende:
|
Tidsberegning for oppdateringer
Disse Windows vil bli utgitt i to faser:
-
Den første distribusjonsfasen for Windows utgitt 12. januar 2021.
-
Håndhevelsesfasen for Windows utgitt på et senere tidspunkt.
12. januar 2021: Første distribusjonsfase
Den første distribusjonsfasen starter med Windows oppdateringen som ble utgitt 12. januar 2021, ved å gi serverkunder muligheten til å aktivere dette økte sikkerhetsnivået på egen hånd basert på miljøets beredskap.
Denne utgivelsen:
-
Adresser AV-2021-1678 (i distribusjonsmodus satt til Av som standard).
-
Legger til støtte for rpcAuthnLevelPrivacyEnabled-registerverdien for å aktivere økningen av autorisasjonsnivået for skriver IRemoteWinspool-beskyttelse.
Begrensning består av installasjonen av Windows oppdateringer på alle klient- og servernivåenheter.
14. september 2021: Håndhevelsesfasen
Utgivelsen går over til håndhevelsesfasen 14. september 2021. Håndhevelsesfasen håndhever endringene i adressen TIL-2021-1678 ved å øke autorisasjonsnivået uten å måtte angi registerverdien.
Installasjonsveiledning
Før du installerer denne oppdateringen
Du må ha følgende nødvendige oppdateringer installert før du installerer denne oppdateringen. Hvis du bruker Windows Update, tilbys disse nødvendige oppdateringene automatisk etter behov.
-
Du må ha SHA-2-oppdateringen (KB4474419)som er datert 23. september 2019 eller en nyere SHA-2-oppdatering installert, og start deretter enheten på nytt før du bruker denne oppdateringen. Hvis du vil ha mer informasjon om SHA-2-oppdateringer, kan du se 2019 SHA-2-kodesigneringsstøttekrav forWindows og WSUS .
-
For Windows Server 2008 R2 SP1 må du ha installert vedlikeholdsstakken (SSU) (KB4490628)som er datert 12. mars 2019. Når oppdateringen KB4490628 er installert, anbefaler vi at du installerer den nyeste SSU-oppdateringen. Hvis du vil ha mer informasjon om den nyeste SSU-oppdateringen, kan du se ADV990001 | De nyeste vedlikeholdsstakkoppdateringene.
-
For Windows Server 2008 SP2 må du ha installert vedlikeholdsstakken (SSU) (KB4493730)som er datert 9. april 2019. Når oppdateringen KB4493730 er installert, anbefaler vi at du installerer den nyeste SSU-oppdateringen. Hvis du vil ha mer informasjon om de nyeste SSU-oppdateringene, kan du se ADV990001 | De nyeste vedlikeholdsstakkoppdateringene.
-
Kunder må kjøpe den utvidede sikkerhetsoppdateringen (ESU) for lokale versjoner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 etter at utvidet støtte ble avsluttet 14. januar 2020. Kunder som har kjøpt ESU, må følge fremgangsmåtene i KB4522133 for å fortsette å motta sikkerhetsoppdateringer. Hvis du vil ha mer informasjon om ESU og hvilke versjoner som støttes, kan du se KB4497181.
ViktigDu må starte enheten på nytt når du har installert disse nødvendige oppdateringene.
Installere oppdateringen
Hvis du vil løse sikkerhetsproblemet, installerer du Windows og aktiverer håndhevelsesmodus ved å følge disse trinnene:
-
Distribuer oppdateringen 12. januar 2021 til alle klient- og serverenheter.
-
Når alle klient- og serverenheter er oppdatert, kan full beskyttelse aktiveres ved å angi registerverdien til 1.
Trinn 1: Installere Windows oppdateringen
Installer oppdateringen 12. januar 2021 Windows eller en Windows oppdatering til alle klient- og serverenheter.
Windows Serverprodukt |
KB # |
Type oppdatering |
Windows Server, versjon 20H2 (serverkjerneinstallasjon) |
Sikkerhetsoppdatering |
|
Windows Server, versjon 2004 (serverkjerneinstallasjon) |
Sikkerhetsoppdatering |
|
Windows Server, versjon 1909 (serverkjerneinstallasjon) |
Sikkerhetsoppdatering |
|
Windows Server, versjon 1903 (serverkjerneinstallasjon) |
Sikkerhetsoppdatering |
|
Windows Server 2019 (serverkjerneinstallasjon) |
Sikkerhetsoppdatering |
|
Windows Server 2019 |
Sikkerhetsoppdatering |
|
Windows Server 2016 (serverkjerneinstallasjon) |
Sikkerhetsoppdatering |
|
Windows Server 2016 |
Sikkerhetsoppdatering |
|
Windows Server 2012 R2 (serverkjerneinstallasjon) |
Månedlig beregnet verdi |
|
Bare sikkerhet |
||
Windows Server 2012 R2 |
Månedlig beregnet verdi |
|
Bare sikkerhet |
||
Windows Server 2012 (serverkjerneinstallasjon) |
Månedlig beregnet verdi |
|
Bare sikkerhet |
||
Windows Server 2012 |
Månedlig beregnet verdi |
|
Bare sikkerhet |
||
Windows Server 2008 R2 Service Pack 1 |
Månedlig beregnet verdi |
|
Bare sikkerhet |
||
Windows Server 2008 Service Pack 2 |
Månedlig beregnet verdi |
|
Bare sikkerhet |
Trinn 2: Aktivere håndhevelsesmodus
Viktig Denne delen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feil. Sørg derfor for at du følger fremgangsmåten nøye. For ekstra beskyttelse bør du sikkerhetskopiere registeret før du endrer det. Da kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registeret, kan du se Slik sikkerhetskopierer og gjenoppretter du registeret i Windows.
Når alle klient- og serverenheter er oppdatert, kan du aktivere full beskyttelse ved å distribuere håndhevelsesmodus. Dette gjør du slik:
-
Høyreklikk Start, klikkKjør,skriv inn cmd i Kjør-boksen, og trykk deretter CTRL+SKIFT+ENTER.
-
Skriv inn regedit i ledeteksten Administrator, og trykk deretter ENTER.
-
Finn følgende registerundernøkkel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
-
Høyreklikk Skriv ut,velg Ny, og klikk deretter DWORD-VERDI (32-biters) Verdi.
-
Skriv inn RpcAuthnLevelPrivacyEnabled, og trykk deretter ENTER.
-
Høyreklikk RpcAuthnLevelPrivacyEnabled, og klikk deretter Endre.
-
Skriv inn 1 i Verdidata-boksen, og klikk deretter OK.
Obs! Denne oppdateringen introduserer støtte for rpcAuthnLevelPrivacyEnabled-registerverdien for å øke autorisasjonsnivået for skriveren IRemoteWinspool.
Registerundernøkkel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print |
Verdi |
RpcAuthnLevelPrivacyEnabled |
Datatype |
REG_DWORD |
Data |
1:Aktiverer håndhevelsesmodus. Før du aktiverer håndhevelsesmodus for serversiden, må du kontrollere at alle klientenheter har installert Windows-oppdateringen utgitt 12. januar 2021 eller en Windows oppdatering. Denne løsningen øker autorisasjonsnivået for skriveren IRemoteWinspool RPC-grensesnittet og legger til en ny policy og registerverdi på serversiden for å tvinge klienten til å bruke det nye autorisasjonsnivået hvis håndhevelsesmodus brukes. Hvis klientenheten ikke har sikkerhetsoppdateringen 12. januar 2021 eller en nyere Windows-oppdatering brukt, vil utskriftsopplevelsen bli brutt når klienten kobler til serveren via IRemoteWinspool-grensesnittet. 0: Anbefales ikke. Deaktiverer øk godkjenningsnivået for skriveren IRemoteWinspool, og enhetene dine er ikke beskyttet. |
Standard |
Standard virkemåte etter installasjon av oppdateringer når registernøkkelen ikke er angitt:
|
Kreves en omstart? |
Ja, en enhet må startes på nytt eller startes på nytt av utskriftskøtjenesten. |