Administrere distribusjon av skrive ren RPC binde endringer for CVE-2021-1678

Sammendrag

Det finnes et sikkerhets problem som kan føre til sikkerhets omgåelse i måten RPC-binding (Remote Procedure Call) håndterer godkjenning for Remote Winspool-grensesnittet. Windows Update løser dette sikkerhets problemet ved å øke RPC-godkjenningsnivået og introduserer en ny policy og register nøkkel slik at kundene kan deaktivere eller aktivere håndhevelses modus på serversiden for å øke godkjennings nivået.

Hvis du vil lære mer om sikkerhets problemet, kan du se CVE-2021-1678 | Sikkerhets problem ved omgåelse av NTLM sikkerhets funksjon.

Gjør noe

Du må gjøre følgende for å beskytte miljøet og hindre brudd

  1. Oppdater alle klient-og server enheter ved å installere Windows-oppdateringen for januar 12, 2021, eller en nyere Windows Update. Vær oppmerksom på at installasjonen av Windows Update ikke reduserer sikkerhets problemet helt og kan påvirke gjeldende utskrifts oppsett. Du må utføre trinn 2.

  2. Aktiver håndhevelses modus på utskriftsserveren. Fra og med 8. juni 2021-oppdateringen aktiveres håndhevelses modus på alle Windows-enheter.

Tids beregning for oppdateringer

Disse Windows-oppdateringene vil bli utgitt i to faser:

  • Den første distribusjons fasen for Windows-oppdateringer som ble utgitt den 12. januar 2021.

  • Håndhevelses fasen for Windows-oppdateringer utgitt den 8 2021.

12. januar 2021: første distribusjons fase

Den første distribusjons fasen starter med Windows-oppdateringen som ble utgitt 12. januar 2021, ved å gi server-kunder mulighet til å aktivere dette økte sikkerhets nivået på egen hånd, basert på miljøets klar gjøring.

Denne utgaven:

  • Adresser CVE-2020-1678 (i distribusjons modus satt til av som standard ).

  • Legger til støtte for register verdien RpcAuthnLevelPrivacyEnabled for å aktivere økningen av godkjennings nivå for skrive ren IRemoteWinspool beskyttelse.

Reduksjon består av installasjonen av Windows-oppdateringer på alle enheter på klient-og servernivå.

8. juni 2021: håndhevelses fase

Den 8. juni 2021-utgaven i håndhevelses fasen. Håndhevelses fasen håndhever endringene i adresse CVE-2020-1678 ved å øke godkjennings nivået uten å måtte angi register verdien.

Installasjons veiledning

Før du installerer denne oppdateringen

Du må ha følgende obligatoriske oppdateringer installert før du installerer denne oppdateringen. Hvis du bruker Windows Update, blir disse nødvendige oppdateringene tilbudt automatisk etter behov.

  • Du må ha SHA-2-oppdateringen (KB4474419) som er datert 23, 2019 eller en nyere SHA-2-oppdatering installert, og deretter starte enheten på nytt før du bruker denne oppdateringen. Hvis du vil ha mer informasjon om SHA-2-oppdateringer, kan du se 2019 SHA-2 Code Signing-krav for Windows og WSUS.

  • For Windows Server 2008 R2 SP1 må du ha installert vedlikeholds stack-oppdateringen (SSU) (KB4490628) som er datert 12, 2019. Når Update KB4490628 er installert, anbefaler vi at du installerer den nyeste SSU-oppdateringen. Hvis du vil ha mer informasjon om den nyeste SSU-oppdateringen, kan du se ADV990001 | Oppdateringer for siste service Takk.

  • For Windows Server 2008 SP2 må du ha installert vedlikeholds stack-oppdateringen (SSU) (KB4493730) som er datert 9, 2019. Når Update KB4493730 er installert, anbefaler vi at du installerer den nyeste SSU-oppdateringen. Hvis du vil ha mer informasjon om de nyeste SSU oppdateringene, kan du se ADV990001 | Oppdateringer for siste service Takk.

  • Kunder må kjøpe den utvidede sikkerhets oppdateringen (ESU) for lokale versjoner av Windows Server 2008 SP2 eller Windows Server 2008 R2 SP1 etter at utvidet støtte opphørte 14. januar 2020. Kunder som har kjøpt ESU, må følge Fremgangs måtene i KB4522133 for å fortsette å motta sikkerhets oppdateringer. Hvis du vil ha mer informasjon om ESU og hvilke utgaver som støttes, kan du se KB4497181.

ViktigDu må starte enheten på nytt etter at du har installert disse nødvendige oppdateringene.

Installere oppdateringen

Du kan løse sikkerhets problemet ved å installere Windows-oppdateringene og aktivere håndhevelses modus ved å følge disse trinnene:

  1. Distribuer den 12.2021-oppdateringen for alle klient-og server enheter.

  2. Når alle klient-og server-enheter er oppdatert, kan full beskyttelse aktiveres ved å sette register verdien til 1.


Trinn 1: installere Windows Update

Installer Windows-oppdateringen datert 12, 2021 eller en nyere Windows-oppdatering for alle klient-og server-enheter.

Windows Server-produkt

KB #

Type oppdatering

Windows Server, versjon 20H2 (Server Core-installasjon)

4598242

Sikkerhets oppdatering

Windows Server, versjon 2004 (Server Core-installasjon)

4598242

Sikkerhets oppdatering

Windows Server, versjon 1909 (Server Core-installasjon)

4598229

Sikkerhets oppdatering

Windows Server, versjon 1903 (Server Core-installasjon)

4598229

Sikkerhets oppdatering

Windows Server 2019 (Server Core-installasjon)

4598230

Sikkerhets oppdatering

Windows Server 2019

4598230

Sikkerhets oppdatering

Windows Server 2016 (Server Core-installasjon)

4598243

Sikkerhets oppdatering

Windows Server 2016

4598243

Sikkerhets oppdatering

Windows Server 2012 R2 (Server Core-installasjon)

4598285

Månedlig beregnet verdi

4598275

Bare sikkerhet

Windows Server 2012 R2

4598285

Månedlig beregnet verdi

4598275

Bare sikkerhet

Windows Server 2012 (Server Core-installasjon)

4598278

Månedlig beregnet verdi

4598297

Bare sikkerhet

Windows Server 2012

4598278

Månedlig beregnet verdi

4598297

Bare sikkerhet

Windows Server 2008 R2 Service Pack 1

4598279

Månedlig beregnet verdi

4598289

Bare sikkerhet

Windows Server 2008 Service Pack 2

4598288

Månedlig beregnet verdi

4598287

Bare sikkerhet

Trinn 2: aktivere håndhevelses modus

Viktig Denne delen, metoden eller oppgaven inneholder Fremgangs måter som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feil. Sørg derfor for at du følger fremgangsmåten nøye. For ekstra beskyttelse sikkerhetskopierer du registret før du endrer det. Da kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du se hvordan du sikkerhetskopierer og gjenoppretter registeret i Windows.

Når alle klient-og server-enheter er oppdatert, kan du aktivere full beskyttelse ved å distribuere håndhevelses modus. Dette gjør du slik:

  1. Høyre klikk Start, klikk Kjør, Skriv inn cmd i Kjør -boksen, og trykk deretter CTRL+SKIFT+Enter.

  2. Skriv inn regedit i administrator lede teksten, og trykk deretter Enter.

  3. Finn følgende register undernøkkel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Høyre klikk Skriv ut, velg ny, og klikk deretter DWORD-verdi (32-biters).

  2. Skriv inn RpcAuthnLevelPrivacyEnabled , og trykk deretter Enter.

  3. Høyre klikk RpcAuthnLevelPrivacyEnabled , og klikk deretter endre.

  4. Skriv inn 1 i boksen verdi data , og klikk deretter OK.

Obs! Denne oppdateringen gir støtte for register verdien RpcAuthnLevelPrivacyEnabled for å øke godkjennings nivået for skriver IRemoteWinspool.

Register undernøkkel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Verdiene

RpcAuthnLevelPrivacyEnabled

Data typen

REG_DWORD

Tilkobling

1: aktiverer håndhevelses modus. Før du aktiverer håndhevelses modus for serversiden, må du kontrollere at alle klient enheter har installert Windows-oppdateringen som ble utgitt 12, 2021 eller en nyere Windows Update. Denne løsningen øker godkjennings nivået for skriver IRemoteWinspool RPC-grensesnittet og legger til en ny policy og register verdi på serversiden for å tvinge klienten til å bruke det nye godkjennings nivået hvis håndhevelses modus brukes. Hvis klient enheten ikke har sikkerhets oppdateringen datert 12, 2021 eller en nyere versjon av Windows installert, vil utskrifts opplevelsen bli brutt når klienten kobler til serveren via IRemoteWinspool -grensesnittet.

0: anbefales ikke. Deaktiverer IRemoteWinspoolfor å øke godkjennings nivået for skriver, og enhetene dine er ikke beskyttet.

Verdien

0 (når register nøkkelen ikke er angitt)

Er det nødvendig å starte maskinen på nytt?

Ja, en omstart av enheten eller det kreves en omstart av Spooler-tjenesten.

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×