Het beheren van de implementatie van RPC 2021-1678-bindings wijzigingen in de printer

Samenvatting

Er is een beveiligingslek met betrekking tot het omzeilen van beveiligingsproblemen aanwezig in de manier waarop de verbinding met een externe procedure (RPC) via een printer voor de externe winspool-interface wordt geverifieerd. De Windows update lost dit probleem op door het RPC-authenticatieniveau te verhogen en een nieuw beleid en registersleutel in te stellen, zodat klanten de handhavings modus op de server kunnen in-en uitschakelen om het authenticatieniveau te verhogen.

Voor meer informatie over het beveiligingslek raadpleegt u CVE-2021-1678 | Beveiligingslekmet betrekking tot het omzeilen van NTLM-beveiligingsfuncties.

Actie ondernemen

Ga als volgt te werk om uw omgeving te beschermen en verouderings regels te voorkomen:

  1. U kunt alle client-en server apparaten bijwerken door de Windows-Update van 12 januari 2021 of een latere Windows-Update te installeren. Houd er rekening mee dat bij het installeren van de Windows Update het beveiligingsprobleem niet volledig is beperkt en dat van invloed kan zijn op de huidige afdrukinstelling. U dient stap 2 uit te voeren.

  2. Schakel de handhavingsmodus op de afdrukserver in. Vanaf de update van 8 juni 2021 wordt de handhavings modus ingeschakeld op alle Windows-apparaten.

Tijdsinstellingen voor updates

Deze Windows-updates worden in twee fasen uitgebracht:

  • De eerste implementatiefase voor Windows-updates die zijn uitgebracht op of na 12 januari 2021.

  • De uitvoeringsfase voor Windows-updates die zijn uitgebracht op of na 8 juni 2021.

12 januari 2021: initiële implementatiefase

De eerste implementatiefase begint met de Windows Update die is uitgebracht op 12 januari 2021, zodat Server klanten dit verhoogde beveiligingsniveau kunnen inschakelen op basis van de voorbereiding van de omgeving.

Deze release:

  • Adressen CVE-2020-1678 (in de implementatie modus ingesteld op is standaard uitgeschakeld ).

  • Hiermee wordt ondersteuning toegevoegd voor de registerwaarde RpcAuthnLevelPrivacyEnabled , zodat de toename van autorisatieniveau voor de bescherming van de printer IRemoteWinspool wordt ingeschakeld.

Beperking omvat de installatie van de Windows-updates op alle clients en apparaten met serverniveau.

Dinsdag 8 juni 2021: afdwingings fase

De release van 8 juni 2021 verandert in de afdwingings fase. Met handhavings fase worden de wijzigingen in het adres CVE-2020-1678 geforceerd door het machtigingsniveau groter te maken zonder dat u de registerwaarde hoeft in te stellen.

Installatie-instructies

Voordat u deze update installeert

U moet de volgende vereiste updates hebben geïnstalleerd voordat u deze update toepast. Als u Windows Update gebruikt, worden deze vereiste updates zo nodig automatisch aangeboden.

  • U moet de SHA-2-update (KB4474419) hebben waarvan de datum van 23 september 2019 of een latere SHA-2-update zijn geïnstalleerd en vervolgens het apparaat opnieuw opstarten voordat u deze update toepast. Zie voor meer informatie over SHA-2-updates de vereisten voor de ondersteuning van 2019 SHA-2 voor Windows en WSUS.

  • Voor Windows Server 2008 R2 SP1 moet u de service stack update (SSU) (KB4490628) van 12 maart 2019 hebben geïnstalleerd. Wanneer update KB4490628 is geïnstalleerd, is het raadzaam om de meest recente Ssu update te installeren. Ga voor meer informatie over de meest recente update van SSU naar ADV990001 | Nieuwste service-stack updates.

  • Voor Windows Server 2008 SP2, moet u de service-stack update (SSU) (KB4493730) installeren die is uitgebracht op 9 april 2019. Wanneer update KB4493730 is geïnstalleerd, is het raadzaam om de meest recente Ssu update te installeren. Voor meer informatie over de meest recente updates voor SSU raadpleegt u ADV990001 | Nieuwste service-stack updates.

  • Klanten zijn verplicht de uitgebreide beveiligings update (ESU) te kopen voor lokale versies van Windows Server 2008 SP2 of Windows Server 2008 R2 SP1 nadat de uitgebreide ondersteuning is beëindigd op 14 januari 2020. Voor klanten die de ESU hebben aangeschaft, moet u de procedures in KB4522133 volgen om de ontvangst van beveiligingsupdates te blijven ontvangen. Zie KB4497181voor meer informatie over ESU en welke versies worden ondersteund.

BelangrijkU moet uw apparaat opnieuw opstarten nadat u deze vereiste updates hebt geïnstalleerd.

De update installeren

Om het beveiligingsprobleem op te lossen, installeert u de Windows updates en schakelt u de handhavings modus als volgt in:

  1. Implementeer de update van 12 januari 2021 op alle client-en server apparaten.

  2. Wanneer alle client-en server apparaten zijn bijgewerkt, kan volledige beveiliging worden ingeschakeld door de registerwaarde in te stellen op 1.


Stap 1: Windows Update installeren

Installeer de Windows-Update voor 12 januari 2021 of een latere Windows-Update voor alle client-en server apparaten.

Windows Server-product

Knowledge #

Type update

Windows Server, versie 20H2 (Server Core installeren)

4598242

Beveiligings update

Windows Server, versie 2004 (Server Core installeren)

4598242

Beveiligings update

Windows Server, versie 1909 (Server Core installeren)

4598229

Beveiligings update

Windows Server, versie 1903 (Server Core installeren)

4598229

Beveiligings update

Windows Server 2019 (Server Core-installatie)

4598230

Beveiligings update

Windows Server 2019

4598230

Beveiligings update

Windows Server 2016 (Server Core-installatie)

4598243

Beveiligings update

Windows Server 2016

4598243

Beveiligings update

Windows Server 2012 R2 (Server Core installeren)

4598285

Maandelijks samenvatten

4598275

Alleen beveiliging

Windows Server 2012 R2

4598285

Maandelijks samenvatten

4598275

Alleen beveiliging

Windows Server 2012 (Server Core-installatie)

4598278

Maandelijks samenvatten

4598297

Alleen beveiliging

Windows Server 2012

4598278

Maandelijks samenvatten

4598297

Alleen beveiliging

Windows Server 2008 R2 Service Pack 1

4598279

Maandelijks samenvatten

4598289

Alleen beveiliging

Windows Server 2008 Service Pack 2

4598288

Maandelijks samenvatten

4598287

Alleen beveiliging

Stap 2: de Handhavingsmodus inschakelen

Belangrijk Deze sectie, methode of taak bevat stappen die bepalen hoe u het register kunt wijzigen. Dit kan echter wel gebeuren als u het register niet goed kunt wijzigen. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Voor extra beveiliging maakt u een back-up van het register voordat u dit wijzigt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Zie voor meer informatie over het maken van een back-up van het register een back-up maken en terugzetten in Windows.

Nadat de clients en server apparaten zijn bijgewerkt, kunt u de volledige beveiliging inschakelen door de uitvoeringsclient te implementeren. Ga hiervoor als volgt te werk:

  1. Klik met de rechtermuisknop op Start, klik op uitvoeren, typ cmd in het vak uitvoeren en druk vervolgens op CTRL+SHIFT+Enter.

  2. Typ bij de opdrachtprompt van de beheerder regedit en druk vervolgens op Enter.

  3. Ga naar de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

  1. Klik met de rechtermuisknop op afdrukken, kies Nieuwen klik vervolgens op DWORD-waarde (32-bits).

  2. Typ RpcAuthnLevelPrivacyEnabled en druk op Enter.

  3. Klik met de rechtermuisknop op RpcAuthnLevelPrivacyEnabled en klik vervolgens op wijzigen.

  4. Typ 1 in het vak Waardegegevens en klik vervolgens op OK.

Opmerking Deze update introduceert ondersteuning voor de RpcAuthnLevelPrivacyEnabled -registerwaarde om het autorisatieniveau voor printer IRemoteWinspoolte verhogen.

Registersubsleutel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

Waarde

RpcAuthnLevelPrivacyEnabled

Gegevenstype

REG_DWORD

Data

1: de handhavings modus inschakelen. Voordat u de handhavings modus inschakelt voor de server, controleert u of op alle clientapparaten de Windows Update is geïnstalleerd die is uitgebracht op 12 januari 2021 of op een latere Windows-Update. Met deze oplossing wordt het autorisatieniveau voor de IRemoteWinspool RPC-interface van de client verhoogd en worden er een nieuwe beleids-en registerwaarde aan de serverzijde toegevoegd, zodat de client het nieuwe machtigingsniveau voor het toepassen van het nieuwe machtigingsniveau op de server afdwingt . Als op het clientapparaat de beveiligingsupdate van 12 januari 2021 of een latere Windows Update niet is toegepast, wordt de afdruk ervaring verbroken wanneer de client verbinding maakt met de server via de IRemoteWinspool -interface.

0: wordt niet aanbevolen. Schakelt het vergroten van authenticatie van printer IRemoteWinspoolen uw apparaten niet uit.

Standaard

0 (als registersleutel niet is ingesteld)

Is opnieuw opstarten vereist?

Ja, opnieuw opstarten of opnieuw opstarten van de Spooler-service is vereist.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×