MS16-087: Beveiligingsupdate voor Windows afdrukken spooler onderdelen: 12 juli 2016

Van toepassing: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Essentials

Aankondiging


Deze update is opnieuw uitgebracht voor 12 September 2017, naar bekende problemen in update 3170455 voor 2016-CVE-3238adres.

Microsoft heeft verstrekt de volgende updates voor momenteel ondersteunde versies van Microsoft Windows. Ga voor meer informatie het volgende artikel in de Microsoft Knowledge Base:

  • Opnieuw uitgebrachte update 3170455 voor Windows Server 2008
  • 4038779 maandelijkse updatepakket 4038777 en beveiliging-update voor Windows 7 en Windows Server 2008 R2
  • 4038786 maandelijkse updatepakket 4038799 en security-update voor Windows Server 2012
  • 4038793 maandelijkse updatepakket 4038792 en security-update voor Windows 8.1 en Windows Server 2012 R2
  • Cumulatieve update 4038781 voor Windows 10
  • Cumulatieve update 4038781 voor Windows 10 versie 1511
  • Cumulatieve update 4038782 voor Windows 10 versie 1607 en Windows Server 2016

Microsoft raadt klanten die werken met Windows Server 2008 installeert bijwerken 3170455. Microsoft raadt aan dat klanten met een andere ondersteunde versies van Windows de juiste update installeert. Ga naar de Microsoft Knowledge Base-artikel 3170455voor meer informatie.


Andere wijzigingen die zijn opgenomen in de MS16 087 heruitgave

  • Toegevoegd om te helpen bij het vaststellen van de oorzaak van printer stuurprogramma installatiefouten logboekregistratie

Eerder, de enige manier om een klant te weten waarom een stuurprogramma is mislukt met de nieuwe beperking door controles die geïmplementeerd als onderdeel van MS16 087 print etw zich aanmeldt, verzamelen was vervolgens verzenden naar Microsoft voor analyse.

Functionaliteit voor het melden van de oorzaak van fouten naar het gebeurtenislogboek zodat klanten kunnen de oorzaak van het stuurprogramma storingen zelf onderzoeken hebben we toegevoegd.

Gegevens die worden geregistreerd:

1. Als een stuurprogramma niet bekend met pakket is of juist niet is ondertekend, wordt het volgende bericht vastgelegd:

MSG_CSRSPL_UNTRUSTED_DRIVER: 'de afdruk-spooler kan niet downloaden van het stuurprogramma <stuurprogrammanaam>. Foutcode = <errorCodeFromListBelow>. Als er stuurprogramma blokkeren kan een mogelijkheid van potentiële manipulatie worden."

2. Als een stuurprogramma niet kan worden gevalideerd van een handtekening met behulp van de opgegeven catalogus, wordt het volgende bericht vastgelegd:

VALIDATEDRVINFO_FAILED : "In VALIDATINGDRVINFO, printerstuurprogramma toevoegen <stuurprogrammanaam> mislukt <errorCodeFromListBelow>.

Mogelijke foutcodes:

Code

Betekenis

0x800F0243L

Publisher niet vertrouwd

0x800F024BL

Hash-niet in de catalogus

0x800F022FL

Geen catalogus voor OEM INF-bestand

0x800F023FL

Geen authenticode-catalogus

0x800F0240L

Authenticode niet toegestaan

0x800F0249L

Algemene "stuurprogramma installeren geblokkeerd"

 

Samenvatting


Deze update herstelt beveiligingslekken in Microsoft Windows. De ernstige van de beveiligingsproblemen kan leiden tot uitvoering van externe code als een aanvaller kan uitvoeren van een man-in-the-middle (MiTM) aanval op een werkstation of server afdrukken of een rogue-afdrukserver op een netwerk instellen.

Zie voor meer informatie over het beveiligingslek, Microsoft Security Bulletin MS16 087.

Meer informatie


Belangrijk
 
  • Na installatie van deze beveiligingsupdate implementeren Point en Print-stuurprogramma's van servers naar clients afdrukken, moet u de volgende Windows update-pakket toepassen op de printer in Windows 8.1 of Windows Server 2012 R2 server:
    3000850 November 2014 updatepakket voor Windows RT 8.1, Windows 8.1 en Windows Server 2012 R2
  • Alle toekomstige updates voor Windows RT 8.1, Windows 8.1 en Windows Server 2012 R2 die al dan niet betrekking hebben op beveiliging vereisen de installatie van update 2919355. U wordt aangeraden de update 2919355 te installeren op uw computer met Windows RT 8.1, Windows 8.1 of Windows Server 2012 R2 zodat u in de toekomst updates kunt ontvangen.
  • Als u een taalpakket installeert nadat u deze update installeert, moet u deze update opnieuw installeren. Daarom wordt aangeraden dat u de taalpakketten die u nodig hebt, installeert voordat u deze update installeert. Zie voor meer informatie Taalpakketten toevoegen aan Windows.

Aanvullende informatie over deze beveiligingsupdate


De volgende artikelen bevatten aanvullende informatie over deze beveiligingsupdate met betrekking tot individuele productversies. De artikelen bevatten bekend probleem gegevens.
 
  • 3170455 MS16-087: Beschrijving van de beveiligingsupdate voor Windows-onderdelen spooler afdrukken: 12 juli 2016
  • Cumulatieve update voor Windows 10 3163912 : 12 juli 2016
  • Cumulatieve update voor Windows 10 versie 1511 en Windows Server 2016 technische Preview 4 3172985 : 12 juli 2016
 

Bekende problemen

Als u afdrukken via het netwerk in uw omgeving gebruikt, kunnen de volgende problemen optreden:
 
  • U wordt gevraagd met een waarschuwing over het installeren van een printerstuurprogramma of het stuurprogramma kan niet worden geïnstalleerd zonder melding na het toepassen van MS16 087. Hier de symptomen zijn afhankelijk van het specifieke scenario.
     

    Scenario 1

    Voor niet-pakket bewust v3 printerstuurprogramma's, worden het volgende waarschuwingsbericht weergegeven wanneer gebruikers verbinding maken met printers van point-and-print:

    Do you trust this printer?
     

    Scenario 2

    Pakket bewust stuurprogramma's moeten worden ondertekend met een vertrouwd certificaat. De controle wordt gecontroleerd of de bestanden die zijn opgenomen in het stuurprogramma zijn met hash-bewerking in de catalogus. Als deze controle mislukt, wordt het stuurprogramma onbetrouwbaar geacht. In dit geval de installatie van stuurprogramma is geblokkeerd en wordt het volgende waarschuwingsbericht weergegeven:

    Add printer
     

    Scenario 3

    Voor niet-interactieve scenario's (bijvoorbeeld, de printer is geïnstalleerd via een geautomatiseerd script), wanneer het stuurprogramma overeenkomt met de criteria die wordt beschreven in Scenario 1 of 2 Scenario, mislukt de printerinstallatie van de en wordt geen waarschuwingsbericht weergegeven.

    In deze gevallen contact op met uw netwerkbeheerder om een bijgewerkt stuurprogramma aanvragen bij de fabrikant van de printer.

    Richtlijnen voor netwerkbeheerders:
     
    • Werk het stuurprogramma waarin dit probleem optreedt. Pakket bewust V3 printerstuurprogramma's werden geïntroduceerd in Windows Vista. Een pakket geschikt printerstuurprogramma te installeren, wordt het probleem opgelost.
    • Als een bepaalde oudere printer niet het juiste stuurprogramma, wordt voorinstallatie van het problematische stuurprogramma op het clientsysteem het probleem opgelost.
    Zie de volgende Microsoft-bronnen voor meer informatie over deze scenario's:
     
  • Nadat u MS16-087 (KB 3170455 beveiligingsupdate ) en maak verbinding met een vertrouwde pakket bewust printer dat is geïnstalleerd op een systeem met Windows 8.1 of Windows Server 2012 R2, kunt u geen verbinding met de printer.

    Dit probleem oplossen door de volgende Windows update-pakket van toepassing op de printer in Windows 8.1 of Windows Server 2012 R2 server:
    3000850 November 2014 updatepakket voor Windows RT 8.1, Windows 8.1 en Windows Server 2012 R2

Okt 2016 Update: Beperkende factoren voor bekende problemen

Microsoft heeft een update uitgebracht voor oktober 2016 die u kunt configureren netwerkbeheerders beleid waarmee de installatie van printerstuurprogramma's die zij veilig zijn. Deze update kan ook voor netwerkbeheerders die veilige overwegen printerverbindingen wilt distribueren.

De updates zijn opgenomen in de volgende combinatiepakketten.

 
Windows 10 RTM KB 3192440
Windows 10, 1511 KB 3192441
Windows 10 1607 KB 3194798
Windows 7 en Windows Server 2008 R2 KB 3192403
Windows Server 2012 KB 3192406
Windows 8.1 en Windows Server 2012 R2 KB 3192404

Lijst met toegestane Groepsbeleid configureren afdrukservers aan toevoegen

  1. Klik op Start en klik vervolgens op Uitvoeren.
  2. Typ gpedit.mscen klik vervolgens op OK.
  3. Vouw Computerconfiguratieen Beheersjablonen.
  4. Klik op Printers.
  5. Dubbelklik op Point en Print-beperkingenen selecteer vervolgens de optie ingeschakeld .
  6. Onder Optieshet selectievakje gebruikers kunnen alleen point en print met deze servers en typ vervolgens de volledig gekwalificeerde namen in het tekstvak, gescheiden door puntkomma's.
  7. Selecteer onder Beveiliging wordt gevraagd, niet waarschuwing of vraag om bevoegdheden weergeven in de lijsten van de bij de installatie van stuurprogramma's voor een nieuwe verbinding en bij het bijwerken van stuurprogramma's voor een bestaande verbinding .
  8. Klik op toepassenen klik op OK.
  9. Dubbelklik in de pagina Printers beleid op pakket Point en Print-servers goedgekeurd.
  10. Selecteer de optie ingeschakeld .
  11. Opties, klik op weergeven.
  12. Typ de naam van een volledige server in elke rij.
  13. Klik op OK.
  14. Klik op toepassenen klik vervolgens op OK.
  15. Als u een zelfstandige client gebruikt, start de client opnieuw op en controleer of deze beleidsregels zijn van kracht.
  16. Als u domeinbeleid gebruikt, het beleid voor het domeinclients push en controleer of dit beleid van kracht zijn.
Opmerking Nadat u deze Groepsbeleid hebt ingeschakeld, moet u alle printerservers toevoegen aan de lijst met Point en Print beperkingen en de lijst pakket Point en Print-server goedgekeurd . Dit geldt ongeacht pakket bewuster te maken.
 

Okt 2016 Update Veelgestelde vragen

  • Q: moeten we de vorige update verwijderen?
    A: Nee. De vorige update corrigeert het beveiligingslek. De update van oktober 2016 biedt beperken zodat netwerkbeheerders de mogelijkheid ze veilig kunt u stuurprogramma's installeren.
  • V: Even met de geïnstalleerde update van oktober 2016 en de Groepsbeleid is geconfigureerd, wordt het bericht 'vertrouwt u deze printer' nog steeds wordt weergegeven wanneer ik probeer om een lokale printer te installeren. Waarom is dat?
    A: deze beperking is bedoeld voor netwerkprinters en niet-lokale printers, zodat dit probleem wordt verwacht.

    Opmerking Als u het bericht 'deze printer vertrouwen' ontvangt, Vervang het huidige stuurprogramma met behulp van een vertrouwde pakket bewust stuurprogramma of de stuurprogramma's naar het lokale stuurprogramma-archief installeren voordat u de lokale printer. Zie voor meer informatie, de afdeling Oriëntatie voor netwerkbeheerders .

Het verkrijgen en installeren van de update


Methode 1: Windows Update

Deze update is beschikbaar via Windows Update. Als u automatische updates inschakelt, wordt deze update gedownload en automatisch geïnstalleerd. Zie voor meer informatie over het inschakelen van automatische updates, beveiligingsupdates automatisch.

Opmerking Voor Windows RT 8.1 is deze update enkel beschikbaar via Windows Update.

Meer informatie